Share via

  • Artikel

Konfigurieren der Firewalleinstellungen für DPM

 

Betrifft: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM verwendet die folgenden Ports und Protokolle.

Protokoll

Port

Details

DCOM

135/TCP Dynamic

DCOM wird vom DPM-Server und dem DPM-Schutz-Agent verwendet, um Befehle und Antworten auszugeben.DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden.Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server.

TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 1024 bis 65535 von DCOM dynamisch zugewiesen.Sie können diesen Bereich mithilfe von Komponentendiensten konfigurieren.

TCP

5718/TCP

5719/TCP

Der DPM-Datenkanal basiert auf TCP.Sowohl von DPM als auch vom geschützten Computer werden Verbindungen hergestellt, um DPM-Operationen wie Synchronisierung und Wiederherstellung zu aktivieren.DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719.

TCP

6075/TCP

Aktiviert, wenn Sie eine Schutzgruppe für Clientcomputer erstellen.Für die Wiederherstellung durch Endbenutzer erforderlich.

Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm (Amscvhost.exe) erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren.

DNS

53/UDP

Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller zur Hostnamensauflösung verwendet.

Kerberos

88/UDP

88/TCP

Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller zur Authentifizierung des Verbindungsendpunkts verwendet.

LDAP

389/TCP

389/UDP

Wird zwischen DPM und dem Domänencontroller für Abfragen verwendet.

NetBios

137/UDP

138/UDP

139/TCP

445/TCP

Wird zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für sonstige Operationen verwendet.Wird für direkt auf TCP/IP gehostetes SMB für DPM-Funktionen verwendet.

Windows-Firewall-Einstellungen

Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, dann konfiguriert das DPM-Setup Windows-Firewall-Einstellungen nach Bedarf mit den Regeln und Ausnahmen, die in der folgenden Tabelle zusammengefasst sind.Beachten Sie dabei Folgendes:

  • Informationen zum Einrichten von Firewallausnahmen für durch DPM geschützte Computer finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.

  • Wenn die Windows-Firewall bei der Installation von DPM nicht verfügbar war, richten Sie sie mithilfe von Manuelles Konfigurieren der Windows-Firewall manuell ein.

  • Wenn Sie die DPM-Datenbank auf einem Remotecomputer mit SQL Server ausführen, müssen Sie einige Firewallausnahmen einrichten.Weitere Informationen finden Sie unter Einrichten der Windows-Firewall auf der SQL Server-Remoteinstanz.

Regelname

Details

Protokoll

Port

Microsoft System Center 2012 R2 Data Protection Manager DCOM-Einstellungen

Erforderlich für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern.

DCOM

135/TCP Dynamic

Microsoft System Center 2012 R2 Data Protection Manager

Ausnahme für Msdpm.exe (der DPM-Dienst).Wird auf dem DPM-Server ausgeführt.

Alle Protokolle

Alle Ports

Microsoft System Center 2012 R2 Data Protection Manager Replikations-Agent

Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst für das Sichern und Wiederherstellen von Daten).Wird auf dem DPM-Server und geschützten Computern ausgeführt.

Alle Protokolle

Alle Ports

Manuelles Konfigurieren der Windows-Firewall

  1. Wählen Sie im Server Manager Lokaler Server> Tools> Windows-Firewall mit erweiterter Sicherheit.

  2. Überprüfen Sie in der Konsole der Windows-Firewall mit erweiterter Sicherheit, ob die Windows-Firewall für alle Profile aktiviert ist, und klicken Sie dann auf Eingehende Regeln.

  3. Zum Erstellen einer Ausnahme klicken Sie im Bereich Aktionen auf Neue Regel, um den Assistenten für neue eingehende Regeln zu öffnen.

    Bestätigen Sie auf der Seite Regeltyp, dass die Option Programm ausgewählt ist, und klicken Sie auf Weiter.

  4. Konfigurieren Sie Ausnahmen, die den Standardregeln entsprechen und durch das DPM-Setup erstellt worden wären, wenn die Windows-Firewall während der Installation von DPM aktiviert gewesen wäre.

    1. Zum manuellen Erstellen der Ausnahme, die der Standardregel für Microsoft System Center 2012 R2 Data Protection Manager entspricht, klicken Sie auf der Seite Programm auf Durchsuchen für das Feld Dieser Programmpfad, navigieren Sie zu <Systemlaufwerkbuchstabe>: \Programme\Microsoft DPM\DPM\bin > Msdpm.exe > Öffnen > Weiter...

      Behalten Sie auf der Seite „Aktion“ die Standardeinstellung für Verbindung zulassen bei, oder modifizieren Sie diese gemäß den Richtlinien Ihres Unternehmens, und klicken Sie auf Weiter.

      Behalten Sie auf der Seite Profil die Standardeinstellung für Domäne, Privat, and Öffentlich bei, oder modifizieren Sie diese gemäß den Richtlinien Ihres Unternehmens, und klicken Sie auf Weiter.

      Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.

    2. Führen Sie jetzt dieselben Schritte zur manuellen Erstellung der Ausnahme aus, die der Standardregel für Microsoft System Center 2012 R2 Data Protection Replikations-Agent entspricht, indem Sie auf <Systemlaufwerkbuchstabe>: \Programme\Microsoft DPM\DPM\bin navigieren, und Dpmra.exe wählen.

    Bitte beachten Sie: Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mit dem Microsoft System Center 2012 Service Pack 1 Data Protection Manager benannt.

Einrichten der Windows-Firewall auf der SQL Server-Remoteinstanz

Wenn Sie eine SQL Server-Remoteinstanz für Ihre DPM-Datenbank verwenden, müssen Sie als Teil des Prozesses die Windows-Firewall auf dieser SQL Server-Remoteinstanz konfigurieren.

  • Nach Abschluss der Installation von SQL Server sollte das TCP/IP-Protokoll für die DPM-Instanz von SQL Server mit den folgenden Einstellungen aktiviert werden: Standardeinstellung für Fehlerüberwachung und aktivierte Kennwortrichtlinienprüfung.

  • Konfigurieren Sie eine eingehende Ausnahme für „sqservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.

  • Die Standardinstanz des Datenbankmoduls lauscht an TCP-Port 1443.Diese Einstellung kann geändert werden.Um den SQL Server-Browserdienst zum Herstellen von Verbindungen zu Instanzen zu verwenden, die nicht an Standardport 1433 lauschen, benötigen Sie UDP-Port 1434. 

  • Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports.Diese Einstellung kann geändert werden.

  • Welche Portnummer aktuell vom Datenbankmodul verwendet wird, können Sie dem Fehlerprotokoll von SQL Server entnehmen.Zum Anzeigen der Fehlerprotokolle stellen Sie mit SQL Server Management Studio eine Verbindung zur benannten Instanz her.Sie können das aktuelle Protokoll unter "Verwaltung" – "SQL Server-Protokolle" im Eintrag "Der Server lauscht an [‘beliebig’ <ipv4>-Portnummer]" anzeigen.

  • Sie müssen RPC auf der SQL Server-Remoteinstanz aktivieren.