在 DPM 中設定防火牆設定
System Center Data Protection Manager (DPM) 伺服器部署和 DPM 代理程式部署期間發生的常見問題,涉及必須在防火牆上開啟哪些埠。 本文介紹 DPM 針對網路流量所使用的防火牆連接埠和通訊協定。 如需 DPM 用戶端防火牆例外狀況的詳細資訊,請參閱: 設定代理程式的防火牆例外狀況。
| 通訊協定 | 連接埠 | 詳細資料 |
|---|---|---|
| DCOM | 135/TCP 動態 | DPM 伺服器和 DPM 保護代理程式會使用 DCOM 來發出命令與回應。 DPM 藉由叫用代理程式上的 DCOM 呼叫,來發出命令給保護代理程式。 保護代理程式藉由叫用 DPM 伺服器上的 DCOM 呼叫來回應。 TCP 連接埠 135 是 DCOM 所使用的 DCE 端點解析點。 根據預設,DCOM 會從 1024 到 65535 的 TCP 連接埠範圍中動態指派連接埠。 不過,您可以使用元件服務來調整 TCP 通訊埠範圍。 若要這樣做,請遵循下列步驟: 1.在 IIS 7.0 管理員的 [ 連線 ] 窗格中,選取樹狀結構中的伺服器層級節點。 2.在功能清單中,按兩下 FTP防火牆支援 圖示。 3.輸入 FTP 服務之數據通道埠範圍的值 範圍 。 4.在 [ 動作] 窗格中,選取 [ 套用 ] 以儲存組態設定。 |
| TCP | 5718/TCP 5719/TCP |
DPM 資料通道是以 TCP 為根據。 DPM 和受保護的計算機都會起始連線,以啟用 DPM 作業,例如同步處理和復原。 DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。 |
| TCP | 6075/TCP | 在您建立保護群組以協助保護用戶端電腦時啟用。 用戶復原的必要專案。 當您在 Operations Manager 中啟用 DPM 的中央主控台時,即會針對 Amscvhost.exe 程式在 Windows 防火牆 (DPMAM_WCF_Service) 中建立例外狀況。 |
| DNS | 53/UDP | 在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行主機名稱解析。 |
| Kerberos | 88/UDP 88/TCP |
在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行連線端點驗證。 |
| LDAP | 389/TCP 389/UDP |
在 DPM 和網域控制站之間,用來進行查詢。 |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
在 DPM 和受保護電腦之間、在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行其他操作。 當伺服器消息塊 (SMB) 直接載入於 TCP/IP 時,用於 DPM 函式。 |
Windows 防火牆設定
如果您在安裝 DPM 時啟用 Windows 防火牆,DPM 安裝程式會視需要設定 Windows 防火牆設定,以及規則和例外狀況。 下表摘要說明這些設定。
注意
- 如果您想了解如何針對 DPM 協助保護的電腦設定防火牆例外狀況的相關資訊,請參閱 Configure firewall exceptions for the agent。
- 如果您在安裝 DPM 時無法使用 Windows 防火牆,請參閱 如何手動設定 Windows 防火牆。
- 如果您在 SQL Server 的遠端實例上執行 DPM 資料庫,您必須在 SQL Server 的遠端實例上設定數個防火牆例外狀況。 請參閱 在 SQL Server 的遠端實例上設定 Windows 防火牆。
| 規則名稱 | 詳細資料 | 通訊協定 | 連接埠 |
|---|---|---|---|
| Microsoft System Center Data Protection Manager DCOM 設定 | 在 DPM 伺服器和受保護電腦之間進行 DCOM 通訊的必要項。 | DCOM | 135/TCP 動態 |
| Microsoft System Center Data Protection Manager | Msdpm.exe (DPM 服務) 的例外狀況。 在 DPM 伺服器上執行。 | 所有通訊協定 | 所有連接埠 |
| Microsoft System Center Data Protection Manager 複寫代理程式 | Dpmra.exe 的例外狀況 (用來備份和還原資料的保護代理程式服務)。 在 DPM 伺服器和受保護的電腦上執行。 | 所有通訊協定 | 所有連接埠 |
如何手動設定 Windows 防火牆
在 [伺服器管理員] 中,選取 [具有進階安全性的本地伺服器>工具>Windows 防火牆]。
在 [具有進階安全性的 Windows 防火牆] 控制台中,確認所有配置檔的 Windows 防火牆已開啟,然後選取 [輸入規則]。
若要建立例外狀況,請在 [ 動作 ] 窗格中,選取 [ 新增規則 ] 以開啟 [ 新增輸入規則 精靈]。
在 [ 規則類型 ] 頁面上,確認已 選取 [程式 ],然後選取 [ 下一步]。
如果在安裝 DPM 時啟用了 Windows 防火牆,請設定例外規則以符合 DPM 安裝程式所建立的預設規則。
若要在 [程式] 頁面上手動建立符合預設Microsoft System Center 2012 R2 Data Protection Manager 規則的例外狀況,請選取 [瀏覽此程序路徑] 方塊,然後瀏覽至<系統驅動器號>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Open>Next。
在 [動作] 頁面上,保留 [允許連線] 的預設設定,或根據您的組織下一步指導方針>變更設定。
在 [配置檔] 頁面上,保留 [網域]、[私人] 和 [公用] 的默認設定,或根據貴組織的指導方針>[下一步] 變更設定。
在 [ 名稱] 頁面上,輸入規則的名稱,並選擇性地輸入描述 >[完成]。
現在請遵循相同的步驟,以手動建立符合預設Microsoft System Center 2012 R2 數據保護複寫代理程序規則的例外狀況,方法是流覽至 <系統驅動器號>:\Program Files\Microsoft DPM\DPM\bin ,然後選取 [Dpmra.exe]。
如果您執行 System Center 2012 R2 搭配 SP1,默認規則將會使用 Microsoft System Center 2012 Service Pack 1 Data Protection Manager 來命名。
在 SQL Server 的遠端實例上設定 Windows 防火牆
如果您針對 DPM 資料庫使用 SQL Server 的遠端實例,作為程式的一部分,您必須在該 SQL Server 遠端實例上設定 Windows 防火牆。
SQL Server 安裝完成之後,應該為 SQL Server 的 DPM 實例啟用 TCP/IP 通訊協定,以及下列設定:
預設失敗稽核
啟用密碼原則檢查
為 SQL Server 的 DPM 實例設定sqlservr.exe傳入例外狀況,以允許埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。
資料庫引擎的預設執行個體會在 TCP 連接埠 1443 上進行接聽。 您可以變更這項設定。 若要使用 SQL Server Browser 服務連接到不在預設 1433 連接埠上接聽的執行個體,您將需要 UDP 連接埠 1434。
根據預設,SQL Server 的具名實例會使用動態埠。 您可以變更這項設定。
您可以在 SQL Server 錯誤記錄檔中檢視資料庫引擎目前使用的連接埠號碼。 您可以使用 SQL Server Management Studio 並連線到具名執行個體,以檢視錯誤記錄檔。 您可以在 [管理 - SQL Server 記錄] 專案中檢視目前的記錄檔:「伺服器正在接聽 ['any' <ipv4> port_number]。」
您必須在 SQL Server 的遠端實例上啟用遠端過程調用 (RPC)。