Konfigurieren von Firewalleinstellungen in DPM
Eine häufige Frage, die während der System Center Data Protection Manager (DPM)-Serverbereitstellung und der DPM-Agent-Bereitstellung auftritt, betrifft, welche Ports in der Firewall geöffnet werden müssen. In diesem Artikel werden die Firewallports und Protokolle vorgestellt, die DPM für den Netzwerkdatenverkehr verwendet. Weitere Informationen zu Firewall-Ausnahmen für DPM-Clients finden Sie unter: Konfigurieren von Firewall-Ausnahmen für den Agent.
| Protocol | Port | Details |
|---|---|---|
| DCOM | 135/TCP Dynamic | DCOM wird vom DPM-Server und dem DPM-Schutz-Agent zum Ausgeben von Befehlen und Antworten verwendet. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent aufgerufen werden. Der Schutz-Agent reagiert durch Aufrufen von DCOM-Aufrufen auf dem DPM-Server. TCP-Port 135 ist der DCOM-Endpunktauflösungspunkt. Standardmäßig weist DCOM Ports dynamisch aus dem TCP-Portbereich von 1024 bis 65535 zu. Sie können jedoch Komponentendienste verwenden, um den TCP-Portbereich anzupassen. Gehen Sie dazu wie folgt vor: 1. Wählen Sie im IIS 7.0-Manager im Bereich "Verbindungen" den Knoten auf Serverebene in der Struktur aus. 2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung. 3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein. 4. Wählen Sie im Bereich "Aktionen " die Option "Übernehmen" aus, um Ihre Konfigurationseinstellungen zu speichern. |
| TCP | 5718/TCP 5719/TCP |
Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu ermöglichen. DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719. |
| TCP | 6075/TCP | Aktiviert, wenn Sie eine Schutzgruppe erstellen, um Clientcomputer zu schützen. Erforderlich für die Wiederherstellung des Endbenutzers. Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm Amscvhost.exe erstellt, wenn Sie die Zentrale Konsole für DPM in Operations Manager aktivieren. |
| Domain Name System | 53/UDP | Wird für die Auflösung von Hostnamen zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| Kerberos | 88/UDP 88/TCP |
Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| LDAP | 389/TCP 389/UDP |
Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Wird für verschiedene Vorgänge zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für Server Message Block (SMB) verwendet, wenn sie direkt auf TCP/IP gehostet wird. |
Windows-Firewall-Einstellungen
Wenn die Windows-Firewall beim Installieren von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewalleinstellungen wie erforderlich zusammen mit den Regeln und Ausnahmen. Die Einstellungen werden in der folgenden Tabelle zusammengefasst.
Hinweis
- Informationen zum Einrichten von Firewall-Ausnahmen für Computer, die DPM schützen kann, finden Sie unter Konfigurieren von Firewall-Ausnahmen für den Agent.
- Wenn die Windows-Firewall bei der Installation von DPM nicht verfügbar war, lesen Sie , wie Sie die Windows-Firewall manuell konfigurieren.
- Wenn Sie die DPM-Datenbank auf einer Remoteinstanz von SQL Server ausführen, müssen Sie mehrere Firewall-Ausnahmen für die Remoteinstanz von SQL Server einrichten. Siehe Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server.
| Regelname | Details | Protocol | Port |
|---|---|---|---|
| Microsoft System Center Data Protection Manager DCOM-Einstellung | Erforderlich für DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. | DCOM | 135/TCP Dynamic |
| Microsoft System Center Data Protection Manager | Ausnahme für Msdpm.exe (DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
| Microsoft System Center Data Protection Manager-Replikations-Agent | Ausnahme für Dpmra.exe (Schutz-Agent-Dienst, der zum Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Manuelles Konfigurieren der Windows-Firewall
Wählen Sie in Server-Manager "Windows-Firewall mit erweiterter Sicherheit" die Option "Lokale Servertools>>" aus.
Überprüfen Sie in der Windows-Firewall mit erweiterter Sicherheitskonsole, ob die Windows-Firewall für alle Profile aktiviert ist, und wählen Sie dann "Eingehende Regeln" aus.
Um eine Ausnahme zu erstellen, wählen Sie im Bereich "Aktionen " die Option "Neue Regel " aus, um den Assistenten für neue eingehende Regel zu öffnen.
Überprüfen Sie auf der Seite "Regeltyp", ob "Programm" ausgewählt ist, und wählen Sie dann "Weiter" aus.
Konfigurieren Sie Ausnahmen so, dass sie den Standardregeln entsprechen, die von DPM Setup erstellt wurden, wenn die Windows-Firewall bei der Installation von DPM aktiviert wurde.
Wenn Sie die Ausnahme manuell erstellen möchten, die der Standardmäßigen Microsoft System Center 2012 R2 Data Protection Manager-Regel auf der Seite "Programm" entspricht, wählen Sie "Nach diesem Programmpfad suchen" aus, und navigieren Sie dann zum< Systemlaufwerkbuchstaben>:\Programme\Microsoft DPM\DPM\bin>Msdpm.exe>Öffnen>Weiter.
Behalten Sie auf der Seite "Aktion" die Standardeinstellung " Verbindung zulassen" bei, oder ändern Sie die Einstellungen gemäß den Richtlinien >Ihrer Organisation Weiter.
Lassen Sie auf der Seite "Profil " die Standardeinstellungen " Domäne", "Privat" und "Öffentlich " oder ändern Sie die Einstellungen gemäß den Richtlinien >Ihrer Organisation Weiter.
Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.
Führen Sie nun die gleichen Schritte aus, um manuell die Ausnahme zu erstellen, die der standardmäßigen Microsoft System Center 2012 R2 R2 Data Protection Replication Agent-Regel entspricht, indem Sie zu Systemlaufwerkbuchstaben> navigieren<:\Programme\Microsoft DPM\DPM\bin und Dpmra.exe auswählen.
Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mit Microsoft System Center 2012 Service Pack 1 Data Protection Manager benannt.
Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server
Wenn Sie im Rahmen des Prozesses eine Remoteinstanz des SQL Server für Ihre DPM-Datenbank verwenden, müssen Sie die Windows-Firewall für diese Remoteinstanz von SQL Server konfigurieren.
Nach Abschluss der SQL Server-Installation sollte das TCP/IP-Protokoll zusammen mit den folgenden Einstellungen für die DPM-Instanz des SQL Server aktiviert werden:
Standardfehlerüberwachung
Aktivierte Kennwortrichtlinienüberprüfung
Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-Instanz des SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht auf HTTP-Anforderungen an Port 80.
Die Standardinstanz des Datenbankmoduls lauscht auf TCP-Port 1443. Diese Einstellung kann geändert werden. Um den SQL Server-Browserdienst zum Herstellen einer Verbindung mit Instanzen zu verwenden, die nicht auf den Standardport 1433 lauschen, benötigen Sie UDP-Port 1434.
Standardmäßig verwendet eine benannte Instanz von SQL Server dynamische Ports. Diese Einstellung kann geändert werden.
Sie können die aktuelle Portnummer sehen, die vom Datenbankmodul im SQL Server-Fehlerprotokoll verwendet wird. Sie können Fehlerprotokolle mithilfe von SQL Server Management Studio anzeigen und eine Verbindung mit der benannten Instanz herstellen. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige <ipv4>-Portnummer].“ ansehen.
Sie müssen den Remoteprozeduraufruf (RPC) für die Remoteinstanz des SQL Server aktivieren.