Firewalleinstellungen in DPM konfigurieren
Eine häufige Frage, die bei der Bereitstellung des System Center Data Protection Manager (DPM)-Servers und des DPM-Agents auftritt, betrifft die Frage, welche Ports in der Firewall geöffnet werden müssen. In diesem Artikel werden die Firewallports und Protokolle vorgestellt, die DPM für den Netzwerkdatenverkehr verwendet. Weitere Informationen zu Firewallausnahmen für DPM-Clients finden Sie unter: Firewallausnahmen für den Agent konfigurieren.
| Protocol | Port | Details |
|---|---|---|
| DCOM | 135/TCP Dynamic | DCOM wird vom DPM-Server und dem DPM-Schutz-Agent zum Ausgeben von Befehlen und Antworten verwendet. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent aufgerufen werden. Der Schutz-Agent reagiert durch Aufrufen von DCOM-Aufrufen auf dem DPM-Server. TCP-Port 135 ist der DCE-Endpunktauflösungspunkt, der von DCOM verwendet wird. Standardmäßig weist DCOM Ports dynamisch aus dem TCP-Portbereich von 1024 bis 65535 zu. Sie können jedoch Komponentendienste verwenden, um den TCP-Portbereich anzupassen. Gehen Sie dazu wie folgt vor: 1. Klicken Sie in IIS 7.0 Manager im Bereich Verbindungen auf den Knoten auf Serverebene in der Struktur. 2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung. 3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein. 4. Klicken Sie im Bereich Aktionen auf Anwenden, um die Konfigurationseinstellungen zu speichern. |
| TCP | 5718/TCP 5719/TCP |
Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu ermöglichen. DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719. |
| TCP | 6075/TCP | Aktiviert, wenn Sie eine Schutzgruppe erstellen, um Clientcomputer zu schützen. Erforderlich für die Endbenutzer-Wiederherstellung. Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm Amscvhost.exe erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren. |
| Domain Name System | 53/UDP | Wird für die Auflösung von Hostnamen zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| Kerberos | 88/UDP 88/TCP |
Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| LDAP | 389/TCP 389/UDP |
Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Wird für verschiedene Vorgänge zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für Server Message Block (SMB) verwendet, wenn es direkt auf TCP/IP gehostet wird. |
Windows-Firewall-Einstellungen
Wenn die Windows-Firewall beim Installieren von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewalleinstellungen wie erforderlich zusammen mit den Regeln und Ausnahmen. Die Einstellungen sind in der folgenden Tabelle zusammengefasst.
Hinweis
- Weitere Informationen zum Einrichten von Firewall-Ausnahmen für Computer, die durch DPM geschützt werden, finden Sie unter Konfigurieren von Firewall-Ausnahmen für den Agenten.
- Wenn die Windows-Firewall bei der Installation von DPM nicht verfügbar war, lesen Sie den Abschnitt Manuelle Konfiguration der Windows-Firewall.
- Wenn Sie die DPM-Datenbank auf einer Remote-Instanz des SQL-Servers ausführen, müssen Sie mehrere Firewall-Ausnahmen auf der Remote-Instanz des SQL-Servers einrichten. Siehe Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server.
| Regelname | Details | Protocol | Port |
|---|---|---|---|
| Microsoft System Center Data Protection Manager: DCOM-Einstellung | Erforderlich für DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. | DCOM | 135/TCP Dynamic |
| Microsoft System Center Data Protection Manager | Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
| Microsoft System Center Data Protection Management: Replikations-Agent | Ausnahme für Dpmra.exe (Schutz-Agent-Dienst, der zum Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Manuelles Konfigurieren der Windows-Firewall
Wählen Sie im Server-Manager Lokaler Server>Tools>Windows-Firewall mit erweiterter Sicherheit.
Vergewissern Sie sich in der Konsole Windows-Firewall mit erweiterter Sicherheit, dass die Windows-Firewall für alle Profile aktiviert ist und wählen Sie dann Eingangsregeln.
Um eine Ausnahme zu erstellen, wählen Sie im Bereich Aktionen die Option Neue Regel, um den Assistenten Neue Eingangsregel zu öffnen.
Vergewissern Sie sich auf der Seite Regeltyp, dass Programm ausgewählt ist und wählen Sie dann Weiter.
Konfigurieren Sie Ausnahmen so, dass sie den Standardregeln entsprechen, die vom DPM-Setup erstellt wurden, wenn die Windows-Firewall bei der Installation von DPM aktiviert wurde.
Um die Ausnahme, die der Standardregel des Microsoft System Center 2012 R2 Data Protection Manager auf der Seite Programm entspricht, manuell zu erstellen, wählen Sie im Feld Dieser Programmpfad die Option Durchsuchen aus und navigieren Sie dann zum <Laufwerksbuchstaben des Systems>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Öffnen>Weiter.
Behalten Sie auf der Seite „Aktion“ die Standardeinstellung für Verbindung zulassen bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf >Weiter.
Behalten Sie auf der Seite Profil die Standardeinstellungen für Domäne, Privat und Öffentlich bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf >Weiter.
Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.
Führen Sie jetzt dieselben Schritte aus, um manuell die Ausnahme zu erstellen, die der Standardregel für den Microsoft System Center 2012 R2 Data Protection Replikations-Agent entspricht, indem Sie zum <Laufwerksbuchstaben des Systems>:\Program Files\Microsoft DPM\DPM\bin wechseln und Dpmra.exe auswählen.
Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mit Microsoft System Center 2012 Service Pack 1 Data Protection Manager benannt.
Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server
Wenn Sie für Ihre DPM-Datenbank eine Remoteinstanz des SQL-Servers verwenden, müssen Sie im Rahmen des Prozesses die Windows-Firewall auf dieser Remoteinstanz des SQL-Servers konfigurieren.
Nach Abschluss der SQL Server-Installation sollte das TCP/IP-Protokoll zusammen mit den folgenden Einstellungen für die DPM-Instanz des SQL Server aktiviert werden:
Standardfehlerüberwachung
Aktivierte Kennwortrichtlinienüberprüfung
Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-Instanz des SQL Server, um TCP an Port 80 zuzulassen. Standardmäßig lauscht der Berichtsserver HTTP-Anforderungen an Port 80.
Die Standardinstanz der Datenbank-Engine lauscht auf TCP-Port 1443. Diese Einstellung kann angepasst werden. Um den SQL Server Browser-Dienst für die Verbindung mit Instanzen zu verwenden, die nicht auf dem Standardport 1433 lauschen, benötigen Sie den UDP-Port 1434.
Standardmäßig verwendet eine benannte Instanz des SQL-Servers dynamische Ports. Diese Einstellung kann nicht geändert werden.
Sie können die aktuelle Portnummer sehen, die vom Datenbankmodul im SQL Server-Fehlerprotokoll verwendet wird. Sie können Fehlerprotokolle mithilfe von SQL Server Management Studio anzeigen und eine Verbindung mit der benannten Instanz herstellen. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige <ipv4>-Portnummer].“ ansehen.
Sie müssen einen Remoteprozeduraufruf (RPC) für die Remoteinstanz von SQL Server aktivieren.