Konfigurowanie ustawień zapory w programie DPM

Ważne

Ta wersja programu Data Protection Manager (DPM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu DPM 2022.

Typowe pytanie, które pojawia się podczas wdrażania serwera programu System Center Data Protection Manager (DPM) i wdrażania agenta programu DPM dotyczy tego, które porty muszą być otwarte w zaporze. W tym artykule omówiono porty i protokoły zapory używane przez program DPM na potrzeby ruchu sieciowego. Aby uzyskać więcej informacji na temat wyjątków zapory dla klientów programu DPM, zobacz Konfigurowanie wyjątków zapory dla agenta.

Protokół	Port	Szczegóły
DCOM	135/TCP (dynamiczny)	Protokół DCOM jest używany przez serwer programu DPM i agenta ochrony DPM do tworzenia poleceń i odpowiedzi. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM. Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego DCE używany przez protokół DCOM. Domyślnie protokół DCOM przypisuje porty dynamicznie z zakresu portów TCP od 1024 do 65 535. Można jednak użyć usług składowych, aby dostosować zakres portów TCP. W tym celu wykonaj następujące kroki: 1. W Menedżerze usług IIS 7.0 w okienku Connections wybierz węzeł na poziomie serwera w drzewie. 2. Na liście funkcji kliknij dwukrotnie ikonę Obsługa zapory FTP . 3. Wprowadź zakres wartości zakresu portów kanału danych dla usługi FTP. 4. W okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji.
TCP	5718/TCP 5719/TCP	Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie. Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719.
TCP	6075/TCP	Włączony podczas tworzenia grupy ochrony, aby ułatwić ochronę komputerów klienckich. Wymagane do odzyskiwania przez użytkownika końcowego. Wyjątek Zapory systemu Windows (DPMAM_WCF_Service) dla programu Amscvhost.exe zostanie utworzony po włączeniu programu Central Console dla programu DPM w programie Operations Manager.
DNS	53/UDP	Używany do rozpoznawania nazw hostów na potrzeby komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny.
Kerberos	88/UDP 88/TCP	Używany do uwierzytelniania punktu końcowego połączenia podczas komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny.
LDAP	389/TCP 389/UDP	Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny.
NetBios	137/UDP 138/UDP 139/TCP 445/TCP	Używany do wykonywania różnych operacji podczas komunikacji między programem DPM a komputerem chronionym, między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. Służy do obsługi funkcji programu DPM dla bloku komunikatów serwera (SMB), gdy jest on bezpośrednio hostowany na protokole TCP/IP.

Ustawienia Zapory systemu Windows

Jeśli zapora systemu Windows jest włączona podczas instalowania programu DPM, instalator programu DPM konfiguruje ustawienia Zapory systemu Windows zgodnie z wymaganiami wraz z regułami i wyjątkami. Ustawienia zostały podsumowane w poniższej tabeli.

Uwaga

• Aby uzyskać informacje dotyczące konfigurowania wyjątków zapory dla komputerów chronionych za pomocą programu DPM, zobacz Configure firewall exceptions for the agent.
• Jeśli Zapora systemu Windows nie była dostępna podczas instalowania programu DPM, zobacz Ręczne konfigurowanie Zapory systemu Windows.
• Jeśli używasz bazy danych programu DPM w zdalnym wystąpieniu SQL Server, musisz skonfigurować kilka wyjątków zapory w zdalnym wystąpieniu SQL Server. Zapoznaj się z tematem Konfigurowanie Zapory systemu Windows w zdalnym wystąpieniu programu SQL Server.

Nazwa reguły	Szczegóły	Protokół	Port
Ustawienie protokołu DCOM programu Microsoft System Center 2012 Data Protection Manager	Wymagane na potrzeby komunikacji DCOM między serwerem programu DPM a chronionymi komputerami.	DCOM	135/TCP (dynamiczny)
Microsoft System Center 2012 Data Protection Manager	Wyjątek dla programu Msdpm.exe (usługi programu DPM). Uruchamiany na serwerze DPM.	Wszystkie protokoły	Wszystkie porty
Agent replikacji programu Microsoft System Center 2012 Data Protection Manager	Wyjątek dla programu Dpmra.exe (usługi agenta ochrony używanej do tworzenia kopii zapasowej i przywracania danych). Uruchamiany na serwerze DPM i komputerach chronionych.	Wszystkie protokoły	Wszystkie porty

Ręczne konfigurowanie Zapory systemu Windows

1. W Menedżer serwera wybierz pozycjęLokalne narzędzia>serweraZapora systemu >Windows z zabezpieczeniami zaawansowanymi.

2. W konsoli Zapora systemu Windows z zabezpieczeniami zaawansowanymi sprawdź, czy Zapora systemu Windows jest włączona dla wszystkich profilów, a następnie wybierz pozycję Reguły ruchu przychodzącego.

3. Aby utworzyć wyjątek, w okienku Akcje wybierz pozycję Nowa reguła , aby otworzyć Kreatora nowej reguły ruchu przychodzącego .

   Na stronie Typ reguły sprawdź, czy wybrano pozycję Program , a następnie wybierz przycisk Dalej.

4. Skonfiguruj wyjątki zgodne z domyślnymi regułami, które zostałyby utworzone przez Instalatora programu DPM, gdyby Zapora systemu Windows była włączona podczas instalowania programu DPM.

   1. Aby ręcznie utworzyć wyjątek zgodny z domyślną regułą programu Microsoft System Center 2012 R2 Data Protection Manager na stronie Program , wybierz przycisk Przeglądaj w polu Ta ścieżka programu , a następnie przejdź do <litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Otwórz>dalej.

      Na stronie Akcja pozostaw domyślne ustawienie Zezwalaj na połączenie lub zmień ustawienia zgodnie z wytycznymi > organizacji Dalej.

      Na stronie Profil pozostaw ustawienia domyślne domen, prywatnych i publicznych lub zmień ustawienia zgodnie z wytycznymi > organizacji Dalej.

      Na stronie Nazwa wpisz nazwę reguły i opcjonalnie opis >Zakończ.

   2. Teraz wykonaj te same kroki, aby ręcznie utworzyć wyjątek zgodny z domyślną regułą agenta replikacji ochrony danych programu Microsoft System Center 2012 R2, przechodząc do <litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin i wybierając Dpmra.exe.

      Jeśli używasz programu System Center 2012 R2 z dodatkiem SP1, domyślne reguły będą mieć nazwę przy użyciu programu Microsoft System Center 2012 z dodatkiem Service Pack 1 Data Protection Manager.

Konfigurowanie Zapory systemu Windows w zdalnym wystąpieniu SQL Server

• Jeśli używasz zdalnego wystąpienia SQL Server dla bazy danych programu DPM, w ramach procesu należy skonfigurować Zaporę systemu Windows w tym zdalnym wystąpieniu SQL Server.

• Po zakończeniu instalacji SQL Server należy włączyć protokół TCP/IP dla wystąpienia programu DPM SQL Server wraz z następującymi ustawieniami:

  • Domyślna inspekcja niepowodzeń

  • Włączone sprawdzanie zasad haseł

• Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM SQL Server, aby zezwolić na ruch TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80.

• Domyślne wystąpienie aparatu bazy danych nasłuchuje na porcie TCP 1443. Ustawienie to można zmienić. Aby można było używać usługi SQL Server Browser do łączenia z wystąpieniami, które nie nasłuchują na domyślnym porcie 1433, potrzebny jest port UDP 1434.

• Domyślnie nazwane wystąpienie SQL Server używa portów dynamicznych. Ustawienie to można zmienić.

• Numer portu aktualnie używanego przez aparat bazy danych jest widoczny w dzienniku błędów programu SQL Server. Dzienniki błędów można wyświetlić przy użyciu programu SQL Server Management Studio po połączeniu z nazwanym wystąpieniem. Bieżący dziennik można wyświetlić w obszarze Zarządzanie — SQL Server Dzienniki we wpisie "Serwer nasłuchuje na serwerze ['any' <ipv4> port_number]."

  Należy włączyć zdalne wywołanie procedury (RPC) w zdalnym wystąpieniu SQL Server.