Condividi tramite

  • Articolo

Configurare le impostazioni dei firewall per DPM

 

Si applica a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM usa le seguenti porte e protocolli:

Protocollo

Porta

Dettagli

DCOM

135/TCP dinamica

Il server DPM e l'agente protezione DPM usano il protocollo DCOM per emettere comandi e risposte. DPM genera i comandi per l'agente protezione eseguendo chiamate DCOM sull'agente. L'agente protezione risponde eseguendo chiamate DCOM sul server DPM.

La porta TCP 135 è il punto di risoluzione endpoint DCE usato da DCOM. Per impostazione predefinita, DCOM assegna le porte dinamicamente dall'intervallo di porte TCP da 1024 a 65535. È tuttavia possibile configurare questo intervallo usando Servizi componenti.

TCP

5718/TCP

5719/TCP

Il canale dati di DPM è basato sul protocollo TCP. Sia in DPM sia nel computer protetto vengono avviate le connessioni per abilitare le operazioni di DPM, come la sincronizzazione e il ripristino. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719.

TCP

6075/TCP

Abilitati quando si crea un gruppo protezione dati per proteggere i computer client. Richiesti per il ripristino gestito dall'utente.

Quando si abilita la Console centrale per DPM in Operations Manager verrà creata un'eccezione in Windows Firewall (DPMAM_WCF_Service) per il programma Amscvhost.exe.

DNS

53/UDP

Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per la risoluzione dei nomi host.

Kerberos

88/UDP

88/TCP

Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per l'autenticazione dell'endpoint di connessione.

LDAP

389/TCP

389/UDP

Usato tra DPM e il controller di dominio per le query.

NetBios

137/UDP

138/UDP

139/TCP

445/TCP

Usato tra DPM e il computer protetto, tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio, per operazioni varie. Usato per SMB ospitato direttamente su TCP/IP per le funzioni di DPM.

Impostazioni di Windows Firewall

Se Windows Firewall è abilitato quando si installa DPM, le impostazioni di Windows Firewall saranno configurate come richiesto con le regole e l'eccezione riepilogate nella tabella seguente. Tenere presente quanto segue:

  • Per informazioni sulla configurazione di eccezioni firewall per computer protetti da DPM, vedere Configurare le eccezioni del firewall per l'agente.

  • Se Windows Firewall non era disponibile durante l'installazione di DPM, configurarlo manualmente con Configurare Windows Firewall manualmente.

  • Se si esegue il database DPM su un SQL Server remoto è necessario configurare alcune eccezioni del firewall. Vedi Configurare Windows Firewall nell'istanza remota di SQL Server.

Nome regola

Dettagli

Protocollo

Porta

Impostazione DCOM di Microsoft System Center 2012 R2 Data Protection Manager

Richiesta per le comunicazioni DCOM tra il server DPM e i computer protetti

DCOM

135/TCP dinamica

Microsoft System Center 2012 R2 Data Protection Manager

Eccezione per Msdpm.exe (il servizio DPM). Eseguita nel server DPM.

Tutti i protocolli

Tutte le porte

Agente di replica di Microsoft System Center 2012 R2 Data Protection Manager

Eccezione per Dpmra.exe (servizio agente protezione usato per eseguire il backup e ripristino dei dati). Eseguita sul server DPM e sui computer protetti.

Tutti i protocolli

Tutte le porte

Configurare Windows Firewall manualmente

  1. In Server Manager, selezionare Server locale > Strumenti > Windows Firewall con protezione avanzata.

  2. Nella console Windows Firewall con protezione avanzata, verificare che Windows Firewall sia attivato in tutti i profili, quindi selezionare Regole connessioni in entrata.

  3. Per creare un'eccezione, nel riquadro Azioni fai clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.

    Nella pagina Tipo di regola, verificare che sia selezionata l'opzione Programma, quindi fare clic su Avanti.

  4. Configurare le eccezioni corrispondenti alle regole predefinite che sarebbero state create da DPM se fosse stato abilitato Windows Firewall durante l'installazione di DPM.

    1. Per creare manualmente l'eccezione corrispondente alla regola predefinita di Microsoft System Center 2012 R2 Data Protection Manager nella pagina Programma, fare clic su Sfoglia accanto alla casella Percorso programma, passare a <lettera di unità sistema>:\Programmi\Microsoft DPM\DPM\bin > Msdpm.exe > Apri> Avanti.

      Nella pagina Azione, lasciare l'impostazione predefinita per Consenti la connessione oppure modificare le impostazioni in base alle linee guida della propria organizzazione > Avanti.

      Nella pagina Profilo, lasciare l'impostazione predefinita di Dominio, Privato e Pubblico oppure modificare le impostazioni in base alle linee guida della propria organizzazione > Avanti.

      Nella pagina Nome, digitare un nome per la regola ed eventualmente una descrizione > Fine.

    2. Usare ora la stessa procedura per creare manualmente l'eccezione corrispondente alla regola predefinita di Microsoft System Center 2012 R2 Data Protection Manager passando a <lettera di unità sistema>:\Programmi\Microsoft DPM\DPM\bin e selezionando Dpmra.exe.

    Se si esegue System Center 2012 R2 con SP1 le regole predefinite saranno denominate con Microsoft System Center 2012 Service Pack 1 Data Protection Manager.

Configurare Windows Firewall nell'istanza remota di SQL Server

Se usi un'istanza remota di SQL Server per il database DPM, durante il processo dovrai configurare Windows Firewall su quell'istanza remota di SQL Server.

  • Al termine dell'installazione di SQL Server, il protocollo TCP/IP dovrebbe essere abilitato per l'istanza DPM di SQL Server con le seguenti impostazioni: controllo con esito negativo predefinito e abilitazione del controllo dei criteri password.

  • Configurare un'eccezione in entrata per sqservr.exe per l'istanza DPM di SQL Server, in modo da consentire TCP sulla porta 80. Il server di report è in ascolto delle richieste HTTP sulla porta 80.

  • L'istanza predefinita del motore di database è in ascolto sulla porta TCP 1443. Questa impostazione può essere modificata. Per usare il servizio SQL Server Browser per connettersi alle istanze che non sono in ascolto sulla porta predefinita 1433, servirà la porta UDP 1434. 

  • Per impostazione predefinita, un'istanza denominata di SQL Server usa le porte dinamiche. Questa impostazione può essere modificata.

  • Puoi vedere il numero di porta corrente usato dal motore di database nel log degli errori di SQL Server. Puoi visualizzare i log degli errori usando SQL Server Management Studio e connettendoti all'istanza denominata. È possibile visualizzare il log corrente sotto Gestione - Log di SQL Server. Il server è in ascolto su [‘any’ <ipv4> numero_porta].

  • Dovrai abilitare RPC sull'istanza remota di SQL Server.