DPM のファイアウォール設定の構成
重要
このバージョンの Data Protection Manager (DPM) がサポート終了に達しました。 DPM 2022 にアップグレードすることをお勧めします。
System Center Data Protection Manager (DPM) サーバーの展開中に発生する一般的な質問と、ファイアウォールで開く必要があるポートに関する DPM エージェントの展開に関する問題。 この記事では、ネットワーク トラフィックで DPM が使用するファイアウォールのポートとプロトコルについて説明します。 DPM クライアントのファイアウォール例外の詳細については、「 エージェントのファイアウォール例外を構成する」を参照してください。
| Protocol | ポート | 詳細 |
|---|---|---|
| DCOM | 135/TCP 動的 | DCOM は、DPM サーバーと DPM 保護エージェントがコマンドと応答を発行するために使用します。 DPM は、エージェントで DCOM の呼び出しを起動して、保護エージェントにコマンドを発行します。 保護エージェントは、DPM サーバーで DCOM の呼び出しを起動して応答します。 TCP ポート 135 は、DCOM によって使用される DCE エンドポイント解決ポイントです。 既定では、DCOM により動的に 1024 ~ 65535 の範囲の TCP ポートからポートが割り当てられます。 ただし、コンポーネント サービスを使用して、TCP ポートの範囲を調整することができます。 これを行うには、次の手順に従います。 1. IIS 7.0 Manager の [Connections] ウィンドウで、ツリー内のサーバー レベルノードを選択します。 2. 機能の一覧で、[FTP ファイアウォール サポート] アイコンをダブルクリックします。 3. FTP サービスの [データ チャネルのポート範囲] に値の範囲を入力します。 4. [操作 ] ウィンドウで、[ 適用 ] を選択して構成設定を保存します。 |
| TCP | 5718/TCP 5719/TCP |
DPM データ チャネルは TCP をベースにしています。 DPM と保護されたコンピューターの両方が接続を開始して、同期や回復などの DPM 操作を有効にします。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。 |
| TCP | 6075/TCP | クライアント コンピューターの保護に役立てるために保護グループを作成するときに有効になります。 エンド ユーザーの回復に必要です。 Operations Manager で DPM の中央コンソールを有効にする場合、Windows ファイアウォールの例外 (DPMAM_WCF_Service) が、プログラム Amscvhost.exe に対して作成されます。 |
| DNS | 53/UDP | ホスト名を解決するために、DPM とドメイン コントローラーの間、および保護されたコンピューターとドメイン コントローラーの間で使用されます。 |
| Kerberos | 88/UDP 88/TCP |
接続エンドポイントを認証するために、DPM とドメイン コントローラーの間、および保護されたコンピューターとドメイン コントローラーの間で使用されます。 |
| LDAP | 389/TCP 389/UDP |
クエリ実行のために、DPM とドメイン コントローラーの間で使用されます。 |
| NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
その他の操作のために、DPM と保護されたコンピューターの間、DPM とドメイン コントローラーの間、および保護されたコンピューターとドメイン コントローラーの間で使用されます。 サーバー メッセージ ブロック (SMB) が TCP/IP で直接ホストされている場合に DPM 関数に使用されます。 |
Windows ファイアウォールの設定
DPM をインストールするときに Windows ファイアウォールを有効にした場合、DPM のセットアップでは、ルールと例外を必要に応じて使用して、Windows ファイアウォールの設定が構成されます。 次の表に設定をまとめます。
注意
- DPM によって保護されているコンピューターのファイアウォールの例外を設定する方法については、「 Configure firewall exceptions for the agent」を参照してください。
- DPM のインストール時に Windows ファイアウォールを使用できなかった場合は、「 Windows ファイアウォールを手動で構成する方法」を参照してください。
- SQL Serverのリモート インスタンスで DPM データベースを実行している場合は、SQL Serverのリモート インスタンスに対していくつかのファイアウォール例外を設定する必要があります。 「 SQL Server のリモート インスタンスでの Windows ファイアウォールのセットアップ」を参照してください。
| 規則の名前 | 詳細 | プロトコル | Port |
|---|---|---|---|
| Microsoft System Center 2012 Data Protection Manager の DCOM の設定 | DPM サーバーと保護されたコンピューターの間の DCOM 通信に必要です。 | DCOM | 135/TCP 動的 |
| Microsoft System Center 2012 Data Protection Manager | Msdpm.exe (DPM サービス) の例外です。 DPM サーバーで実行します。 | すべてのプロトコル | すべてのポート |
| Microsoft System Center 2012 Data Protection Manager レプリケーション エージェント | Dpmra.exe (データのバックアップと復元に使用される保護エージェント サービス) 用の例外です。 DPM サーバーと保護されたコンピューターで実行します。 | すべてのプロトコル | すべてのポート |
Windows ファイアウォールを手動で構成する方法
サーバー マネージャーで、 [ローカル サーバー]>[ツール]>[セキュリティが強化された Windows ファイアウォール]」を参照してください。
[セキュリティが強化された Windows ファイアウォール] コンソールで、すべてのプロファイルに対して Windows ファイアウォールがオンになっていることを確認し、[受信規則] を選択します。
例外を作成するには、[ 操作 ] ウィンドウで [ 新しい規則 ] を選択して、 新しい受信規則 ウィザードを開きます。
[ ルールの種類 ] ページで、[ プログラム ] が選択されていることを確認し、[ 次へ] を選択します。
DPM のインストール時に Windows ファイアウォールを有効にした場合、DPM のセットアップによって作成された既定の規則と一致するように例外を構成します。
[プログラム] ページの既定の Microsoft System Center 2012 R2 データ保護マネージャー 規則に一致する例外を手動で作成するには、[このプログラム パス] ボックスの [参照] を選択し、システム ドライブ文字>:\Program Files\Microsoft DPM\DPM\binMsdpm.exe[次へ開く] を参照<します。>>>
[アクション] ページで、[接続を許可する] の既定の設定のままにするか、organizationのガイドラインに従って設定を>変更します。
[プロファイル] ページで、[ドメイン]、[プライベート]、[パブリック] の既定の設定をそのまま使用するか、organizationのガイドラインに従って設定を>変更します。
[名前] ページで、規則の名前 (および必要な場合は説明) を入力 >[完了] をクリックします。
次に、同じ手順に従って、既定の Microsoft System Center 2012 R2 データ保護レプリケーション エージェントルールに一致する例外を手動で作成します。システム ドライブ文字>:\Program Files\Microsoft DPM\DPM\bin を参照<し、 Dpmra.exeを選択します。
System Center 2012 R2 と SP1 を実行している場合、既定の規則には Microsoft System Center 2012 Service Pack 1 Data Protection Manager を使用して名前が付けられます。
SQL Serverのリモート インスタンスで Windows ファイアウォールを設定する
DPM データベースのSQL Serverのリモート インスタンスを使用する場合は、プロセスの一環として、SQL Serverのそのリモート インスタンスで Windows ファイアウォールを構成する必要があります。
SQL Serverのインストールが完了したら、次の設定と共に、SQL Serverの DPM インスタンスに対して TCP/IP プロトコルを有効にする必要があります。
既定の失敗の監査
パスワード ポリシー確認の有効化
ポート 80 で TCP を許可するように、SQL Serverの DPM インスタンスの sqlservr.exe の受信例外を構成します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。
データベース エンジンの既定のインスタンスは TCP ポート 1443 でリッスンします。 この設定は変更できます。 SQL Server Browser サービスを使用して、既定の 1433 ポートでリッスンしないインスタンスに接続するには、UDP ポート 1434 が必要となります。
既定では、SQL Serverの名前付きインスタンスは動的ポートを使用します。 この設定は変更できます。
SQL Server のエラー ログで、データベース エンジンによって使用されている現在のポート番号を確認できます。 エラー ログを表示するには、SQL Server Management Studio を使用して、名前付きインスタンスに接続します。 [管理] – [SQL Server ログ] の "サーバーは ['any' <ipv4> port_number] でリッスンしています" エントリで、現在のログを表示できます。
SQL Serverのリモート インスタンスでリモート プロシージャ コール (RPC) を有効にする必要があります。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示