Tűzfalbeállítások konfigurálása a DPM számára
Érvényes: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
A DPM a következő portokat és protokollokat használja.
Protokoll |
Port |
Részletek |
---|---|---|
DCOM |
135/TCP dinamikus |
A DPM-kiszolgáló és a DPM védelmi ügynök a DCOM protokoll segítségével adja ki a parancsokat és válaszokat. A DPM úgy ad ki parancsokat a védelmi ügynök számára, hogy DCOM-hívásokat kezdeményez az ügynökön. A védelmi ügynök úgy válaszol, hogy a DPM-kiszolgálón ad meg DCOM-hívásokat. A 135-ös TCP-port a DCOM által használt DCE-végponti feloldási pont. Alapértelmezés szerint a DCOM dinamikusan rendeli hozzá a portokat az 1024–65 535 porttartományból. Ezt a tartományt azonban módosíthatja a komponensszolgáltatások használatával. |
TCP |
5718/TCP 5719/TCP |
A DPM adatcsatornája a TCP protokollt használja. A DPM és a védett számítógépek egyaránt kezdeményeznek kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál. |
TCP |
6075/TCP |
Az engedélyezése a védelmi csoport létrehozásakor történik az ügyfélszámítógépek védelme érdekében. A végfelhasználói helyreállításhoz szükséges. Amikor engedélyezi a DPM központi konzolt az Operations Managerben, a rendszer hozzáadja az Amscvhost.exe programot a Windows tűzfal (DPMAM_WCF_Service) kivételeihez. |
DNS |
53/UDP |
A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a gazdagép névfeloldásához. |
Kerberos |
88/UDP 88/TCP |
A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a csatlakozási végpont hitelesítéséhez. |
LDAP |
389/TCP 389/UDP |
A DPM és a tartományvezérlő között használatos a lekérdezésekhez. |
NetBIOS |
137/UDP 138/UDP 139/TCP 445/TCP |
A DPM és a védett számítógép, a DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos különböző műveletekhez. Az SMB használja közvetlenül a TCP/IP protokollon a DPM funkcióihoz. |
A Windows tűzfal beállításai
Ha a Windows tűzfal engedélyezve volt a DPM telepítésekor, akkor a DPM telepítője szükség szerint konfigurálta annak beállításait az alábbi táblázatban összefoglalt szabályok és kivételek alapján. Vegye figyelembe a következőket:
Ha a DPM által védett számítógépekre vonatkozó tűzfalkivételek beállításával kapcsolatos információkat keres, tekintse meg a következő témakört: Tűzfalkivétel konfigurálása az ügynök számára.
Ha a Windows tűzfal nem volt engedélyezve a DPM telepítésekor, a következő részben leírtak segítségével manuálisan is beállíthatja: A Windows tűzfal kézi konfigurálása.
Ha a DPM-adatbázist egy távoli SQL Serveren futtatja, be kell állítania néhány tűzfalkivételt. Lásd: Windows tűzfal beállítása távoli SQL Serveren.
Szabály neve |
Részletek |
Protokoll |
Port |
---|---|---|---|
Microsoft System Center 2012 R2 Data Protection Manager DCOM beállítása |
A DPM-kiszolgáló és a védett számítógépek közötti DCOM kommunikációhoz szükséges |
DCOM |
135/TCP dinamikus |
Microsoft System Center 2012 R2 Data Protection Manager |
Az Msdpm.exe (a DPM-szolgáltatás) kivételei. A DPM-kiszolgálón fut. |
Minden protokoll |
Minden port |
Microsoft System Center 2012 R2 Data Protection Manager Replication Agent |
A Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmi ügynök szolgáltatás) kivételei. A DPM-kiszolgálón és a védett számítógépeken fut. |
Minden protokoll |
Minden port |
A Windows tűzfal kézi konfigurálása
-
A Kiszolgálókezelőben válasza a Helyi kiszolgáló > Eszközök > Fokozott biztonságú Windows tűzfal elemet.
-
A Fokozott biztonságú Windows tűzfal konzolon ellenőrizze, hogy a Windows tűzfal be van-e kapcsolva minden profil esetében, és kattintson a Bejövő szabályok elemre.
-
Kivétel létrehozásához a Műveletek ablaktáblán kattintson az Új szabály elemre az Új bejövő szabály varázsló megnyitásához.
A Szabály típusa lapon válassza a Program beállítást, és kattintson a Tovább gombra.
-
Állítsa be a kivételeket úgy, hogy megegyezzenek az alapértelmezett szabályokkal, amelyeket a DPM-telepítő hozott volna létre, ha a Windows tűzfal engedélyezve lett volna a DPM telepítésekor.
A Microsoft System Center 2012 R2 Data Protection Manager alapértelmezett szabályának megfelelő kivételek manuális létrehozásához a Program lapon kattintson a Program elérési útja mező melletti Tallózás gombra, lépjen a(z) <rendszermeghajtó betűjele>:\Program Files\Microsoft DPM\DPM\bin mappára, kattintson az Msdpm.exe fájlra, majd kattintson a Megnyitás gombra, és végül a Tovább gombra.
A Művelet lapon fogadja el az Engedélyezze a kapcsolatot beállítás alapértelmezett értékét, vagy módosítsa a beállításokat a szervezet igényeinek megfelelően > Tovább gomb.
A Profil lapon fogadja el a Tartomány, a Saját és a Nyilvános beállítás alapértelmezett értékét, vagy módosítsa a beállításokat a szervezet igényeinek megfelelően > Tovább gomb.
A Név lapon adja meg a szabály nevét és leírását (utóbbi nem kötelező), és kattintson a Befejezés gombra.
Ugyanezen lépések segítségével a Microsoft System Center 2012 R2 Data Protection Replication Agent alapértelmezett szabályának megfelelő kivételek létrehozásához lépjen a(z) <rendszermeghajtó betűjele>:\Program Files\Microsoft DPM\DPM\bin mappára, majd válassza a Dpmra.exe fájlt.
Ügyeljen arra, hogy ha a System Center 2012 R2 SP1-et futtatja, az alapértelmezett szabályok a Microsoft System Center 2012 Service Pack 1 Data Protection Managerrel lesznek elnevezve.
Windows tűzfal beállítása távoli SQL Serveren
Ha távoli SQL-kiszolgálót használ a DPM-adatbázishoz, a folyamat részeként konfigurálnia kell a Windows tűzfalat a távoli SQL-kiszolgálón.
Az SQL-kiszolgáló telepítésének befejezését követően engedélyezni kell a TCP/IP protokollt a SQL-kiszolgáló DPM-példánya számára a következő beállításokkal: sikertelen műveletek alapértelmezett naplózása és a jelszóházirend-ellenőrző engedélyezése.
Konfiguráljon egy bejövő kivételt az sqservr.exe folyamatra vonatkozóan az SQL Server DPM-példánya számára a TCP engedélyezéséhez a 80-as porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket.
Az adatbázismotor alapértelmezett példánya az 1443-as TCP-portot figyeli. Ez a beállítás módosítható. Ha az SQL Server Browser szolgáltatást szeretné használni az alapértelmezett 1433-as portot nem figyelő példányokhoz való csatlakozáshoz, az 1434-es UDP-portra lesz szüksége.
Az SQL-kiszolgáló megnevezett példánya alapértelmezés szerint dinamikus portokat használ. Ez a beállítás módosítható.
Az adatbázismotor által aktuálisan használt portszámot az SQL-kiszolgáló hibanaplójában tekintheti meg. A hibanaplókat az SQL Server Management Studio segítségével, a megnevezett példányhoz kapcsolódva tekintheti meg. Az aktuális naplót „A kiszolgáló figyel a következőn: [bármilyen <ipv4>-portszám]” bejegyzésben található Kezelés – SQL Server-naplók alatt tekintheti meg.
Engedélyeznie kell az RPC szolgáltatást a távoli SQL-kiszolgálón.