Konfigurowanie ustawień zapory w programie DPM
Ważne
Ta wersja programu Data Protection Manager (DPM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu DPM 2022.
Typowe pytanie, które pojawia się podczas wdrażania serwera programu System Center Data Protection Manager (DPM) i wdrażania agenta programu DPM dotyczy, które porty muszą być otwarte w zaporze. W tym artykule omówiono porty i protokoły zapory używane przez program DPM na potrzeby ruchu sieciowego. Aby uzyskać więcej informacji na temat wyjątków zapory dla klientów programu DPM, zobacz: Konfigurowanie wyjątków zapory dla agenta.
| Protokół | Port | Szczegóły |
|---|---|---|
| DCOM | 135/TCP (dynamiczny) | Protokół DCOM jest używany przez serwer programu DPM i agenta ochrony DPM do tworzenia poleceń i odpowiedzi. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM. Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego DCE używany przez protokół DCOM. Domyślnie protokół DCOM przypisuje porty dynamicznie z zakresu portów TCP od 1024 do 65 535. Można jednak użyć usług składników, aby dostosować zakres portów TCP. W tym celu wykonaj następujące kroki: 1. W Menedżerze usług IIS 7.0 w okienku Połączenia wybierz węzeł na poziomie serwera w drzewie. 2. Na liście funkcji kliknij dwukrotnie ikonę Obsługa zapory FTP . 3. Wprowadź zakres wartości zakresu portów kanału danych dla usługi FTP. 4. W okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji. |
| TCP | 5718/TCP 5719/TCP |
Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie. Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719. |
| TCP | 6075/TCP | Włączony podczas tworzenia grupy ochrony, aby ułatwić ochronę komputerów klienckich. Wymagane do odzyskania przez użytkownika końcowego. Wyjątek Zapory systemu Windows (DPMAM_WCF_Service) dla programu Amscvhost.exe zostanie utworzony po włączeniu programu Central Console dla programu DPM w programie Operations Manager. |
| DNS | 53/UDP | Używany do rozpoznawania nazw hostów na potrzeby komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. |
| Kerberos | 88/UDP 88/TCP |
Używany do uwierzytelniania punktu końcowego połączenia podczas komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. |
| LDAP | 389/TCP 389/UDP |
Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Używany do wykonywania różnych operacji podczas komunikacji między programem DPM a komputerem chronionym, między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. Używany w przypadku funkcji programu DPM dla bloku komunikatów serwera (SMB), gdy jest on bezpośrednio hostowany w protokole TCP/IP. |
Ustawienia Zapory systemu Windows
Jeśli zapora systemu Windows jest włączona podczas instalowania programu DPM, konfiguracja programu DPM konfiguruje ustawienia Zapory systemu Windows zgodnie z wymaganiami wraz z regułami i wyjątkami. Ustawienia zostały podsumowane w poniższej tabeli.
Uwaga
- Aby uzyskać informacje dotyczące konfigurowania wyjątków zapory dla komputerów chronionych za pomocą programu DPM, zobacz Configure firewall exceptions for the agent.
- Jeśli Zapora systemu Windows nie była dostępna podczas instalowania programu DPM, zobacz Ręczne konfigurowanie Zapory systemu Windows.
- Jeśli używasz bazy danych programu DPM w zdalnym wystąpieniu SQL Server, musisz skonfigurować kilka wyjątków zapory w zdalnym wystąpieniu SQL Server. Zapoznaj się z tematem Konfigurowanie Zapory systemu Windows w zdalnym wystąpieniu programu SQL Server.
| Nazwa reguły | Szczegóły | Protokół | Port |
|---|---|---|---|
| Ustawienie protokołu DCOM programu Microsoft System Center 2012 Data Protection Manager | Wymagane na potrzeby komunikacji DCOM między serwerem programu DPM a chronionymi komputerami. | DCOM | 135/TCP (dynamiczny) |
| Microsoft System Center 2012 Data Protection Manager | Wyjątek dla programu Msdpm.exe (usługi programu DPM). Uruchamiany na serwerze DPM. | Wszystkie protokoły | Wszystkie porty |
| Agent replikacji programu Microsoft System Center 2012 Data Protection Manager | Wyjątek dla programu Dpmra.exe (usługi agenta ochrony używanej do tworzenia kopii zapasowej i przywracania danych). Uruchamiany na serwerze DPM i komputerach chronionych. | Wszystkie protokoły | Wszystkie porty |
Ręczne konfigurowanie Zapory systemu Windows
W Menedżer serwera wybierz pozycjęNarzędzia lokalne Serwera> Zapora systemu>Windows z zabezpieczeniami zaawansowanymi.
W konsoli Zapora systemu Windows z zabezpieczeniami zaawansowanymi sprawdź, czy zapora systemu Windows jest włączona dla wszystkich profilów, a następnie wybierz pozycję Reguły ruchu przychodzącego.
Aby utworzyć wyjątek, w okienku Akcje wybierz pozycję Nowa reguła , aby otworzyć Kreatora nowej reguły ruchu przychodzącego .
Na stronie Typ reguły sprawdź, czy wybrano pozycję Program , a następnie wybierz przycisk Dalej.
Skonfiguruj wyjątki zgodne z domyślnymi regułami, które zostałyby utworzone przez Instalatora programu DPM, gdyby Zapora systemu Windows była włączona podczas instalowania programu DPM.
Aby ręcznie utworzyć wyjątek zgodny z domyślną regułą Microsoft programu System Center 2012 R2 Data Protection Manager na stronie Program, wybierz pozycję Przeglądaj w polu Ta ścieżka programu, a następnie przejdź do <litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Otwórz>dalej.
Na stronie Akcja pozostaw ustawienie domyślne Zezwalaj na połączenie lub zmień ustawienia zgodnie z wytycznymi > organizacji Dalej.
Na stronie Profil pozostaw ustawienia domyślne domeny, prywatnej i publicznej lub zmień ustawienia zgodnie z wytycznymi > organizacji Dalej.
Na stronie Nazwa wpisz nazwę reguły i opcjonalnie opis >Zakończ.
Teraz wykonaj te same kroki, aby ręcznie utworzyć wyjątek zgodny z domyślnym Microsoft regułą agenta replikacji ochrony danych programu System Center 2012 R2, przechodząc do <litery> dysku systemowego:\Program Files\Microsoft DPM\DPM\bin i wybierając Dpmra.exe.
Jeśli korzystasz z programu System Center 2012 R2 z dodatkiem SP1, domyślne reguły zostaną nazwane przy użyciu programu Microsoft System Center 2012 z dodatkiem Service Pack 1 Data Protection Manager.
Konfigurowanie zapory systemu Windows w zdalnym wystąpieniu SQL Server
Jeśli używasz zdalnego wystąpienia SQL Server dla bazy danych programu DPM, w ramach procesu należy skonfigurować zaporę systemu Windows w tym zdalnym wystąpieniu SQL Server.
Po zakończeniu instalacji SQL Server należy włączyć protokół TCP/IP dla wystąpienia programu DPM SQL Server wraz z następującymi ustawieniami:
Domyślna inspekcja niepowodzeń
Włączone sprawdzanie zasad haseł
Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM SQL Server, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80.
Domyślne wystąpienie aparatu bazy danych nasłuchuje na porcie TCP 1443. Ustawienie to można zmienić. Aby można było używać usługi SQL Server Browser do łączenia z wystąpieniami, które nie nasłuchują na domyślnym porcie 1433, potrzebny jest port UDP 1434.
Domyślnie nazwane wystąpienie SQL Server używa portów dynamicznych. Ustawienie to można zmienić.
Numer portu aktualnie używanego przez aparat bazy danych jest widoczny w dzienniku błędów programu SQL Server. Dzienniki błędów można wyświetlić przy użyciu programu SQL Server Management Studio po połączeniu z nazwanym wystąpieniem. Bieżący dziennik można wyświetlić w obszarze Zarządzanie — SQL Server Dzienniki w wpisie "Serwer nasłuchuje na serwerze ['any' <ipv4> port_number]."
Należy włączyć zdalne wywołanie procedury (RPC) w zdalnym wystąpieniu SQL Server.