Firewallinstellingen configureren in DPM
Belangrijk
Deze versie van Data Protection Manager (DPM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar DPM 2022.
Een veelvoorkomende vraag die zich voordoet tijdens de implementatie van System Center Data Protection Manager (DPM) en de implementatie van de DPM-agent, maakt zich zorgen over welke poorten moeten worden geopend op de firewall. In dit artikel wordt beschreven welke firewallpoorten en protocollen DPM gebruikt voor het netwerkverkeer. Zie Firewall-uitzonderingen configureren voor de agent voor meer informatie over firewall-uitzonderingen voor DPM-clients.
| Protocol | Poort | Details |
|---|---|---|
| DCOM | 135/TCP dynamisch | DCOM wordt gebruikt door de DPM-server en de DPM-beveiligingsagent om opdrachten en antwoorden uit te geven. DMP geeft opdrachten aan de beveiligingsagent door DCOM-oproepen voor de agent aan te roepen. De beveiligingsagent antwoordt door DCOM-oproepen op de DPM-server aan te roepen. TCP-poort 135 is het DCE-eindpuntresolutiepunt dat wordt gebruikt door DCOM. Standaard worden poorten door DCOM dynamisch toegewezen met het TCP-poortbereik van 1024 tot en met 65535. U kunt echter Component Services gebruiken om het TCP-poortbereik aan te passen. Voer hiervoor de volgende stappen uit: 1. Selecteer in IIS 7.0-beheer in het deelvenster Connections het knooppunt op serverniveau in de structuur. 2. Dubbelklik in de lijst met functies op het pictogram FTP-firewallondersteuning . 3. Voer een bereik van waarden in voor het poortbereik van het gegevenskanaal voor uw FTP-service. 4. Selecteer toepassen in het deelvenster Acties om uw configuratie-instellingen op te slaan. |
| TCP | 5718/TCP 5719/TCP |
Het DPM-gegevenskanaal is gebaseerd op TCP. Zowel DPM als de beveiligde computer initiëren verbindingen om DPM-bewerkingen, zoals synchronisatie en herstel, in te schakelen. DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719. |
| TCP | 6075/TCP | Ingeschakeld wanneer u een beveiligingsgroep maakt waarmee clientcomputers worden beveiligd. Vereist voor herstel door eindgebruikers. Er wordt een uitzondering gemaakt in de Windows Firewall (DPMAM_WCF_Service) voor het programma Amscvhost.exe wanneer u de DPM Central-console in Operations Manager inschakelt. |
| DNS | 53/UDP | Gebruikt voor het omzetten van de hostnaam tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller. |
| Kerberos | 88/UDP 88/TCP |
Gebruikt voor de verificatie van het verbindingseindpunt tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller. |
| LDAP | 389/TCP 389/UDP |
Gebruikt voor query's tussen DPM en de domeincontroller. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Gebruikt voor verschillende bewerkingen tussen DPM en de beveiligde computer, tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller. Wordt gebruikt voor DPM-functies voor Server Message Block (SMB) wanneer deze rechtstreeks wordt gehost op TCP/IP. |
Windows Firewall-instellingen
Als Windows Firewall is ingeschakeld wanneer u DPM installeert, configureert de DPM-installatie de Windows Firewall-instellingen zoals vereist, samen met de regels en uitzonderingen. De instellingen worden samengevat in de volgende tabel.
Notitie
- Zie Configure firewall exceptions for the agentvoor informatie over het instellen van firewalluitzonderingen voor computers die worden beveiligd door DPM.
- Als Windows Firewall niet beschikbaar was toen u DPM installeerde, raadpleegt u Windows Firewall handmatig configureren.
- Als u de DPM-database uitvoert op een extern exemplaar van de SQL Server, moet u verschillende firewall-uitzonderingen instellen op het externe exemplaar van de SQL Server. Zie Windows Firewall instellen op het externe exemplaar van SQL Server.
| Regelnaam | Details | Protocol | Poort |
|---|---|---|---|
| DCOM-instelling voor Microsoft System Center 2012 Data Protection Manager | Vereist voor de DCOM-communicatie tussen de DPM-server en beveiligde computers | DCOM | 135/TCP dynamisch |
| Microsoft System Center 2012 Data Protection Manager | Uitzondering voor Msdpm.exe (de DPM-service). Wordt uitgevoerd op de DPM-server. | Alle protocollen | Alle poorten |
| Replicatieagent voor Microsoft System Center 2012 Data Protection Manager | Uitzondering voor Dpmra.exe (beveiligingsagentservice die wordt gebruikt om back-ups van gegevens te maken en gegevens te herstellen). Wordt uitgevoerd op de DPM-server en beveiligde computers. | Alle protocollen | Alle poorten |
Windows Firewall handmatig configureren
Selecteer in ServerbeheerHulpprogramma'svoor lokale> servers >Windows Firewall met geavanceerde beveiliging.
Controleer in de console Windows Firewall met geavanceerde beveiliging of Windows Firewall is ingeschakeld voor alle profielen en selecteer vervolgens Regels voor binnenkomend verkeer.
Als u een uitzondering wilt maken, selecteert u in het deelvenster Actiesde optie Nieuwe regel om de wizard Nieuwe binnenkomende regel te openen.
Controleer op de pagina Regeltype of Programma is geselecteerd en selecteer vervolgens Volgende.
Configureer uitzonderingen die overeenkomen met de standaardregels die door DPM Setup zouden zijn gemaakt als Windows Firewall was ingeschakeld toen DPM werd geïnstalleerd.
Als u handmatig de uitzondering wilt maken die overeenkomt met de standaardregel Microsoft System Center 2012 R2 Data Protection Manager op de pagina Programma, selecteert u Bladeren naar het vak Dit programmapad en bladert u naar <de stationsletter> van het systeemstation:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Volgende openen>.
Laat op de pagina Actie de standaardinstelling Verbinding toestaan staan of wijzig de instellingen volgens de richtlijnen > van uw organisatie Volgende.
Laat op de pagina Profiel de standaardinstellingen Domein, Privé en Openbaar staan of wijzig de instellingen volgens de richtlijnen > van uw organisatie Volgende.
Typ op de pagina Naam een naam voor de regel en desgewenst een beschrijving >Voltooien.
Volg nu dezelfde stappen om handmatig de uitzondering te maken die overeenkomt met de standaardregel microsoft System Center 2012 R2 Data Protection Replication Agent door naar de stationsletter> van het systeem te< bladeren:\Program Files\Microsoft DPM\DPM\bin en Dpmra.exete selecteren.
Als u System Center 2012 R2 met SP1 uitvoert, worden de standaardregels benoemd met behulp van Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Windows Firewall instellen op het externe exemplaar van de SQL Server
Als u als onderdeel van het proces een extern exemplaar van de SQL Server voor uw DPM-database gebruikt, moet u Windows Firewall configureren op dat externe exemplaar van de SQL Server.
Nadat de SQL Server installatie is voltooid, moet het TCP/IP-protocol worden ingeschakeld voor het DPM-exemplaar van de SQL Server samen met de volgende instellingen:
Standaardcontrole op mislukte pogingen
Controle van het ingeschakelde wachtwoordbeleid
Configureer een binnenkomende uitzondering voor sqlservr.exe voor het DPM-exemplaar van de SQL Server om TCP toe te staan op poort 80. De rapportserver luistert naar HTTP-aanvragen op poort 80.
Het standaardexemplaar van de database-engine luistert op TCP-poort 1443. Deze instelling kan worden gewijzigd. Als u de SQL Server Browser-service wilt gebruiken om verbinding te maken met exemplaren die niet op de standaardpoort 1433 luisteren, hebt u UDP-poort 1434 nodig.
Standaard maakt een benoemd exemplaar van de SQL Server gebruik van dynamische poorten. Deze instelling kan worden gewijzigd.
U vindt het huidige poortnummer dat door de database-engine wordt gebruikt in het SQL Server-foutenlogboek. U kunt met SQL Server Management Studio foutenlogboeken bekijken door verbinding te maken met het benoemde exemplaar. U kunt het huidige logboek bekijken onder Beheer - SQL Server Logboeken in de vermelding 'Server luistert op ['any' ipv4> port_number].' <
U moet RPC (Remote Procedure Call) inschakelen op het externe exemplaar van de SQL Server.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor