Настройка параметров брандмауэра в DPM
Важно!
Поддержка этой версии Data Protection Manager (DPM) завершена. Рекомендуется выполнить обновление до DPM 2022.
Распространенный вопрос, который возникает во время развертывания сервера System Center Data Protection Manager (DPM) и развертывания агента DPM, связан с тем, какие порты должны быть открыты в брандмауэре. В этой статье описаны порты брандмауэра и протоколы, используемые DPM для обработки сетевого трафика. Дополнительные сведения об исключениях брандмауэра для клиентов DPM см. в статье Настройка исключений брандмауэра для агента.
| Протокол | Port | Сведения |
|---|---|---|
| DCOM | 135/TCP, динамический | Сервер DPM и агент защиты DPM используют DCOM для отправки команд и откликов. DPM дает команды агенту защиты, создавая для него вызовы DCOM. Агент защиты отвечает, создавая вызовы DCOM на сервере DPM. TCP-порт 135 — это точка разрешения конечных точек DCE, используемая DCOM. По умолчанию DCOM динамически назначает порты из диапазона TCP-портов от 1024 до 65 535. Но для настройки диапазона TCP-портов можно использовать службы компонентов. Для этого выполните следующие действия: 1. В диспетчере IIS 7.0 в области Connections выберите узел уровня сервера в дереве. 2. Дважды щелкните значок Поддержка брандмауэра FTP в списке компонентов. 3. Укажите диапазон значений в поле Диапазон портов канала данных для своей службы FTP. 4. На панели Действия нажмите кнопку Применить , чтобы сохранить параметры конфигурации. |
| TCP | 5718/TCP 5719/TCP |
Канал данных DPM основан на протоколе TCP. И DPM, и защищенный компьютер инициируют подключения для включения операций DPM, таких как синхронизация и восстановление. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. |
| TCP | 6075/TCP | Включен, когда вы создаете группу защиты для защиты клиентских компьютеров. Требуется для восстановления конечным пользователем. Если в Operations Manager включить центральную консоль DPM, то в брандмауэре Windows для программы Amscvhost.exe создается исключение DPMAM_WCF_Service. |
| DNS | 53/UDP | Используется для разрешения имен узлов при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. |
| Kerberos | 88/UDP 88/TCP |
Используются для проверки подлинности конечной точки подключения при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. |
| LDAP | 389/TCP 389/UDP |
Используются для передачи запросов между DPM и контроллером домена. |
| NetBios; | 137/UDP 138/UDP 139/TCP 445/TCP |
Используются для выполнения прочих операций при обмене данными между DPM и защищенным компьютером, между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. Используется для функций DPM для блока сообщений сервера (SMB) при его непосредственном размещении в TCP/IP. |
Параметры брандмауэра Windows
Если при установке DPM включен брандмауэр Windows, то программа установки DPM необходимым образом настроит параметры брандмауэра Windows, используя правила и исключения. Параметры перечислены в следующей таблице.
Примечание
- Сведения о настройке исключений брандмауэра для компьютеров, защищенных DPM, см. в статье Configure firewall exceptions for the agent.
- Если при установке DPM брандмауэр Windows был недоступен, см. статью Настройка брандмауэра Windows вручную.
- При запуске базы данных DPM на удаленном экземпляре SQL Server необходимо настроить несколько исключений брандмауэра на удаленном экземпляре SQL Server. См. раздел Настройка брандмауэра Windows на удаленном экземпляре SQL Server.
| Имя правила | Сведения | Протокол | Порт |
|---|---|---|---|
| Параметр DCOM в Data Protection Manager для Microsoft System Center 2012 | Необходимо для обмена данными между сервером DPM и защищенными компьютерами по протоколу DCOM. | DCOM | 135/TCP, динамический |
| Data Protection Manager для Microsoft System Center 2012 | Исключение для файла Msdpm.exe (служба DPM). Работает на сервере DPM. | Все протоколы | Все порты |
| Агент репликации Data Protection Manager для Microsoft System Center 2012 | Исключение для файла Dpmra.exe (служба агента защиты, используемая для архивации и восстановления данных). Работает на сервере DPM и защищенных компьютерах. | Все протоколы | Все порты |
Настройка брандмауэра Windows вручную
В диспетчере серверов последовательно выберите пункты Локальный серверИнструментыБрандмауэр Windows в режиме повышенной безопасности.
В консоли Брандмауэр Windows в режиме повышенной безопасности убедитесь, что брандмауэр Windows включен для всех профилей, а затем выберите Правила для входящих подключений.
Чтобы создать исключение, в области Действия выберите Создать правило , чтобы открыть мастер создания правил для входящего трафика .
На странице Тип правила убедитесь, что выбран пункт Программа , а затем нажмите кнопку Далее.
Если при установке DPM был включен брандмауэр Windows, то настройте исключения согласно правилам по умолчанию, созданным программой установки DPM.
Чтобы вручную создать исключение, соответствующее правилу Microsoft System Center 2012 R2 Data Protection Manager по умолчанию на странице Программа , выберите Обзор для поля Этот путь к программе , а затем перейдите к <системной букве> диска:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Открыть>далее.
На странице Действие оставьте значение по умолчанию Разрешить подключение или измените параметры в соответствии с рекомендациями > вашей организации Далее.
На странице Профиль оставьте параметры по умолчанию Домен, Частный и Общедоступный или измените параметры в соответствии с рекомендациями > вашей организации Далее.
На странице Имя введите имя правила и (при необходимости) его описание, а затем нажмите кнопку Готово.
Теперь выполните те же действия, чтобы вручную создать исключение, соответствующее правилу агента репликации защиты данных Microsoft System Center 2012 R2 по умолчанию, перейдя к системному диску<:>\Program Files\Microsoft DPM\DPM\bin и выбрав Dpmra.exe.
Если вы используете System Center 2012 R2 с пакетом обновления 1 (SP1), правила по умолчанию будут называться с помощью Microsoft System Center 2012 с пакетом обновления 1 (SP1) Data Protection Manager.
Настройка брандмауэра Windows на удаленном экземпляре SQL Server
При использовании удаленного экземпляра SQL Server для базы данных DPM в рамках процесса необходимо настроить брандмауэр Windows на этом удаленном экземпляре SQL Server.
После завершения установки SQL Server необходимо включить протокол TCP/IP для экземпляра DPM SQL Server вместе со следующими параметрами:
Аудит отказов по умолчанию
Включенная проверка политики паролей
Настройте входящее исключение для sqlservr.exe для экземпляра DPM SQL Server разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80.
Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443. Этот параметр можно изменить. Чтобы использовать службу браузера SQL Server для подключения к экземплярам, которые не прослушивают заданный по умолчанию порт 1433, потребуется UDP-порт 1434.
По умолчанию именованный экземпляр SQL Server использует динамические порты. Этот параметр можно изменить.
Просмотреть текущий номер порта, используемый ядром СУБД, можно в журнале ошибок SQL Server. Журналы ошибок можно просмотреть с помощью SQL Server Management Studio и при подключении к именованному экземпляру. Вы можете просмотреть текущий журнал в разделе Управление — Журналы SQL Server в записи "Сервер прослушивает ["любой" ipv4> номер_порта]".
Необходимо включить удаленный вызов процедур (RPC) на удаленном экземпляре SQL Server.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по