• Article

Configuration des paramètres de pare-feu pour DPM

 

S'applique à: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM utilise les ports et les protocoles suivants.

Protocole

Port

Détails

DCOM

135/TCP dynamique

DCOM est utilisé par le serveur DPM et l'agent de protection DPM pour émettre des commandes et des réponses.DPM émet des commandes à destination de l'agent de protection via des appels DCOM sur l'agent.L'agent de protection répond en effectuant des appels DCOM sur le serveur DPM.

Le port TCP 135 est le point de résolution de point de terminaison DCE utilisé par DCOM. Par défaut, DCOM assigne dynamiquement les ports compris dans l'étendue de ports TCP 1024 à 65535.Cependant, vous pouvez configurer cette étendue à l'aide des services de composants.

TCP

5718/TCP

5719/TCP

Le canal de données DPM est basé sur TCP.DPM et l'ordinateur protégé lancent des connexions pour permettre les opérations de DPM, telles que la synchronisation et la récupération.DPM communique avec le coordinateur d'agents sur le port 5718 et avec l'agent de protection sur le port 5719.

TCP

6075/TCP

Activé quand vous créez un groupe de protection pour protéger des ordinateurs clients.Requis pour la récupération par l'utilisateur.

Une exception dans le Pare-feu Windows (DPMAM_WCF_Service) est créé pour le programme Amscvhost.exe) quand vous activez la console centrale DPM dans Operations Manager.

DNS

53/UDP

Utilisé entre DPM et le contrôleur de domaine et entre l'ordinateur protégé et le contrôleur de domaine, pour la résolution de nom d'hôte.

Kerberos

88/UDP

88/TCP

Utilisé entre DPM et le contrôleur de domaine et entre l'ordinateur protégé et le contrôleur de domaine, pour l'authentification du point de terminaison de connexion.

LDAP

389/TCP

389/UDP

Utilisé entre DPM et le contrôleur de domaine pour les requêtes.

NetBIOS

137/UDP

138/UDP

139/TCP

445/TCP

Utilisé entre DPM et l'ordinateur protégé, entre DPM et le contrôleur de domaine et entre l'ordinateur protégé et le contrôleur de domaine, pour des opérations diverses.Utilisé pour SMB directement hébergé sur TCP/IP pour les fonctions de DPM.

Paramètres du Pare-feu Windows

Si le Pare-feu Windows était activé au cours de l'installation de DPM, le programme d'installation de DPM a configuré les paramètres du Pare-feu Windows conformément aux règles et exceptions résumées dans le tableau suivant.Sachez que :

  • Si vous êtes à la recherche d'informations sur la configuration des exceptions de pare-feu pour les ordinateurs protégés par DPM, consultez la page Configuration d'exceptions de pare-feu pour l'agent.

  • Si le Pare-feu Windows n'était pas disponible pendant l'installation de DPM, configurez-le manuellement en suivant les instructions de la section Configuration manuelle du Pare-feu Windows.

  • Si vous exécutez la base de données DPM sur un serveur SQL Server distant, vous devez configurer des exceptions de pare-feu.Consultez Configuration du Pare-feu Windows sur le serveur SQL Server distant.

Nom de la règle

Détails

Protocole

Port

Paramètre DCOM de Microsoft System Center 2012 R2 Data Protection Manager

Requis pour les communications DCOM entre le serveur DPM et les ordinateurs protégés

DCOM

135/TCP dynamique

Microsoft System Center 2012 R2 Data Protection Manager

Exception pour Msdpm.exe (service DPM).S'exécute sur le serveur DPM.

Tous les protocoles

Tous les ports

Agent de réplication Microsoft System Center 2012 R2 Data Protection Manager

Exception pour Dpmra.exe (service d'agent de protection utilisé pour sauvegarder et restaurer les données).S'exécute sur le serveur DPM et les ordinateurs protégés.

Tous les protocoles

Tous les ports

Configuration manuelle du Pare-feu Windows

  1. Dans le Gestionnaire de serveur, sélectionnez Serveur local > Outils > Pare-feu Windows avec fonctions avancées de sécurité.

  2. Dans la console Pare-feu Windows avec fonctions avancées de sécurité, vérifiez que le Pare-feu Windows est activé pour tous les profils, puis cliquez sur Règles de trafic entrant.

  3. Pour créer une exception, dans le volet Actions, cliquez sur Nouvelle règle pour ouvrir l'Assistant Nouvelle règle de trafic entrant.

    Dans la page Type de règle, vérifiez que Programme est sélectionné, puis cliquez sur Suivant.

  4. Configurez des exceptions qui correspondent aux règles par défaut que le programme d'installation de DPM aurait créées si le Pare-feu Windows avait été activé pendant l'installation de DPM.

    1. Pour créer manuellement l'exception qui correspond à la règle par défaut de Microsoft System Center 2012 R2 Data Protection Manager dans la page Programme, cliquez sur Parcourir en regard de la zone Ce chemin d'accès au programme, accédez à <lettre du lecteur système>:\Program Files\Microsoft DPM\DPM\bin > Msdpm.exe > Ouvrir > Suivant.

      Dans la page Action, conservez le paramètre par défaut de Autoriser la connexion ou modifiez les paramètres conformément aux directives de votre organisation > Suivant.

      Dans la page Profil, conservez les paramètres par défaut définis pour Domaine, Privé et Public ou modifiez les paramètres conformément aux directives de votre organisation > Suivant.

      Dans la page Nom, tapez un nom pour la règle et éventuellement une description > Terminer.

    2. Maintenant, suivez la même procédure pour créer manuellement l'exception qui correspond à la règle par défaut de l'agent de réplication Microsoft System Center 2012 R2 Data Protection Manager en accédant à <lettre du lecteur système>:\Program Files\Microsoft DPM\DPM\bin et en sélectionnant Dpmra.exe.

    À noter que si vous utilisez System Center 2012 R2 avec SP1, le nom des règles par défaut contient Microsoft System Center 2012 Service Pack 1 Data Protection Manager.

Configuration du Pare-feu Windows sur le serveur SQL Server distant

Si vous utilisez un serveur SQL Server distant pour votre base de données DPM, dans le cadre du processus, vous devrez configurer le Pare-feu Windows sur ce serveur.

  • Une fois l'installation de SQL Server terminée, le protocole TCP/IP doit être activé pour l'instance DPM de SQL Server avec les paramètres suivants : audit des échecs par défaut, et activation de la vérification de la stratégie de mot de passe.

  • Configurez une exception entrante pour sqservr.exe pour l'instance DPM de SQL Server afin d'autoriser TCP sur le port 80.Le serveur de rapports écoute le port 80 pour les requêtes HTTP.

  • L'instance par défaut du moteur de base de données écoute sur le port TCP 1443.Ce paramètre peut être modifié.Pour utiliser le service SQL Server Browser pour vous connecter aux instances qui n'écoutent pas sur le port 1433 par défaut, vous avez besoin du port UDP 1434. 

  • Une instance nommée de SQL Server utilise des ports dynamiques par défaut.Ce paramètre peut être modifié.

  • Vous pouvez voir le numéro de port actuel utilisé par le moteur de base de données dans le journal des erreurs SQL Server.Vous pouvez consulter les journaux des erreurs à l'aide de SQL Server Management Studio et en vous connectant à l'instance nommée.Vous pouvez consulter le journal actuel sous Administration – Journaux SQL Server dans l'entrée « Le serveur écoute sur [numéro_port <ipv4> « quelconque »] ».

  • Vous devez activer RPC sur le serveur SQL distant.