Konfigurowanie ustawień zapory w programie DPM
Typowe pytanie występujące podczas wdrażania serwera programu System Center Data Protection Manager (DPM) i wdrażania agenta programu DPM dotyczy portów, które muszą być otwarte w zaporze. W tym artykule omówiono porty i protokoły zapory używane przez program DPM na potrzeby ruchu sieciowego. Aby uzyskać więcej informacji na temat wyjątków zapory dla klientów programu DPM, zobacz Konfigurowanie wyjątków zapory dla agenta.
| Protokół | Port | Szczegóły |
|---|---|---|
| DCOM | 135/TCP (dynamiczny) | Protokół DCOM jest używany przez serwer programu DPM i agenta ochrony DPM do tworzenia poleceń i odpowiedzi. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM. Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego DCE używany przez protokół DCOM. Domyślnie protokół DCOM przypisuje porty dynamicznie z zakresu portów TCP od 1024 do 65 535. Można jednak użyć usług składników, aby dostosować zakres portów TCP. W tym celu wykonaj następujące kroki: 1. W Menedżerze usług IIS 7.0 w okienku Połączenia wybierz węzeł na poziomie serwera w drzewie. 2. Na liście funkcji kliknij dwukrotnie ikonę Obsługa zapory FTP. 3. Wprowadź zakres wartości zakresu portów kanału danych dla usługi FTP. 4. W okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji. |
| TCP | 5718/TCP 5719/TCP |
Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie. Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719. |
| TCP | 6075/TCP | Włączony podczas tworzenia grupy ochrony, aby ułatwić ochronę komputerów klienckich. Wymagane do odzyskiwania przez użytkownika końcowego. Wyjątek Zapory systemu Windows (DPMAM_WCF_Service) dla programu Amscvhost.exe zostanie utworzony po włączeniu programu Central Console dla programu DPM w programie Operations Manager. |
| DNS | 53/UDP | Używany do rozpoznawania nazw hostów na potrzeby komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. |
| Kerberos | 88/UDP 88/TCP |
Używany do uwierzytelniania punktu końcowego połączenia podczas komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. |
| LDAP | 389/TCP 389/UDP |
Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Używany do wykonywania różnych operacji podczas komunikacji między programem DPM a komputerem chronionym, między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. Służy do obsługi funkcji programu DPM dla bloku komunikatów serwera (SMB), gdy jest on bezpośrednio hostowany w protokole TCP/IP. |
Ustawienia Zapory systemu Windows
Jeśli zapora systemu Windows jest włączona podczas instalowania programu DPM, instalator programu DPM konfiguruje ustawienia Zapory systemu Windows zgodnie z wymaganiami wraz z regułami i wyjątkami. Ustawienia zostały podsumowane w poniższej tabeli.
Uwaga
- Aby uzyskać informacje dotyczące konfigurowania wyjątków zapory dla komputerów chronionych za pomocą programu DPM, zobacz Configure firewall exceptions for the agent.
- Jeśli Zapora systemu Windows nie była dostępna podczas instalowania programu DPM, zobacz Ręczne konfigurowanie Zapory systemu Windows.
- Jeśli używasz bazy danych programu DPM w zdalnym wystąpieniu programu SQL Server, musisz skonfigurować kilka wyjątków zapory w zdalnym wystąpieniu programu SQL Server. Zapoznaj się z tematem Konfigurowanie Zapory systemu Windows w zdalnym wystąpieniu programu SQL Server.
| Nazwa reguły | Szczegóły | Protokół | Port |
|---|---|---|---|
| Ustawienie DCOM programu Microsoft System Center Data Protection Manager | Wymagane na potrzeby komunikacji DCOM między serwerem programu DPM a chronionymi komputerami. | DCOM | 135/TCP (dynamiczny) |
| Microsoft System Center Data Protection Manager | Wyjątek dla programu Msdpm.exe (usługi programu DPM). Uruchamiany na serwerze DPM. | Wszystkie protokoły | Wszystkie porty |
| Agent replikacji programu Microsoft System Center Data Protection Manager | Wyjątek dla programu Dpmra.exe (usługi agenta ochrony używanej do tworzenia kopii zapasowej i przywracania danych). Uruchamiany na serwerze DPM i komputerach chronionych. | Wszystkie protokoły | Wszystkie porty |
Ręczne konfigurowanie Zapory systemu Windows
W Menedżerze serwera wybierz kolejno opcje Serwer lokalny>Narzędzia>Zapora systemu Windows z zabezpieczeniami zaawansowanymi.
W konsoli Zapora systemu Windows z zabezpieczeniami zaawansowanymi sprawdź, czy zapora systemu Windows jest włączona dla wszystkich profilów, a następnie wybierz pozycję Reguły ruchu przychodzącego.
Aby utworzyć wyjątek, w okienku Akcje wybierz pozycję Nowa reguła, aby otworzyć Kreatora nowej reguły ruchu przychodzącego.
Na stronie Typ reguły sprawdź, czy wybrano pozycję Program , a następnie wybierz przycisk Dalej.
Skonfiguruj wyjątki zgodne z domyślnymi regułami, które zostałyby utworzone przez Instalatora programu DPM, gdyby Zapora systemu Windows była włączona podczas instalowania programu DPM.
Aby ręcznie utworzyć wyjątek zgodny z domyślną regułą programu Microsoft System Center 2012 R2 Data Protection Manager na stronie Program, wybierz pozycję Przeglądaj w polu Ta ścieżka programu, a następnie przejdź do< litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Otwórz>dalej.
Na stronie Akcja pozostaw ustawienie domyślne Zezwalaj na połączenie lub zmień ustawienia zgodnie z wytycznymi >organizacji Dalej.
Na stronie Profil pozostaw domyślne ustawienia Domena, Prywatna i Publiczna lub zmień ustawienia zgodnie z wytycznymi >organizacji Dalej.
Na stronie Nazwa wpisz nazwę reguły i opcjonalnie opis >Zakończ.
Teraz wykonaj te same kroki, aby ręcznie utworzyć wyjątek zgodny z domyślną regułą agenta replikacji ochrony danych programu Microsoft System Center 2012 R2, przechodząc do <litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin i wybierając Dpmra.exe.
Jeśli używasz programu System Center 2012 R2 z dodatkiem SP1, domyślne reguły będą nazwane przy użyciu programu Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Konfigurowanie Zapory systemu Windows w zdalnym wystąpieniu programu SQL Server
Jeśli używasz zdalnego wystąpienia programu SQL Server dla bazy danych programu DPM, w ramach procesu należy skonfigurować Zaporę systemu Windows w tym zdalnym wystąpieniu programu SQL Server.
Po zakończeniu instalacji programu SQL Server dla wystąpienia programu SQL Server należy włączyć protokół TCP/IP wraz z następującymi ustawieniami:
Domyślna inspekcja niepowodzeń
Włączone sprawdzanie zasad haseł
Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM programu SQL Server, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80.
Domyślne wystąpienie aparatu bazy danych nasłuchuje na porcie TCP 1443. Ustawienie to można zmienić. Aby można było używać usługi SQL Server Browser do łączenia z wystąpieniami, które nie nasłuchują na domyślnym porcie 1433, potrzebny jest port UDP 1434.
Domyślnie nazwane wystąpienie programu SQL Server używa portów dynamicznych. Ustawienie to można zmienić.
Numer portu aktualnie używanego przez aparat bazy danych jest widoczny w dzienniku błędów programu SQL Server. Dzienniki błędów można wyświetlić przy użyciu programu SQL Server Management Studio po połączeniu z nazwanym wystąpieniem. Bieżący dziennik można wyświetlić w obszarze Zarządzanie — dzienniki programu SQL Server w wpisie "Serwer nasłuchuje na ['any' <ipv4> port_number]."
Należy włączyć zdalne wywołanie procedury (RPC) w zdalnym wystąpieniu programu SQL Server.