Tűzfalbeállítások konfigurálása a DPM számára

 

Érvényes: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

A DPM a következő portokat és protokollokat használja.

Protokoll

Port

Részletek

DCOM

135/TCP dinamikus

A DPM-kiszolgáló és a DPM védelmi ügynök a DCOM protokoll segítségével adja ki a parancsokat és válaszokat. A DPM úgy ad ki parancsokat a védelmi ügynök számára, hogy DCOM-hívásokat kezdeményez az ügynökön. A védelmi ügynök úgy válaszol, hogy a DPM-kiszolgálón ad meg DCOM-hívásokat.

A 135-ös TCP-port a DCOM által használt DCE-végponti feloldási pont. Alapértelmezés szerint a DCOM dinamikusan rendeli hozzá a portokat az 1024–65 535 porttartományból. Ezt a tartományt azonban módosíthatja a komponensszolgáltatások használatával.

TCP

5718/TCP

5719/TCP

A DPM adatcsatornája a TCP protokollt használja. A DPM és a védett számítógépek egyaránt kezdeményeznek kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál.

TCP

6075/TCP

Az engedélyezése a védelmi csoport létrehozásakor történik az ügyfélszámítógépek védelme érdekében. A végfelhasználói helyreállításhoz szükséges.

Amikor engedélyezi a DPM központi konzolt az Operations Managerben, a rendszer hozzáadja az Amscvhost.exe programot a Windows tűzfal (DPMAM_WCF_Service) kivételeihez.

DNS

53/UDP

A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a gazdagép névfeloldásához.

Kerberos

88/UDP

88/TCP

A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a csatlakozási végpont hitelesítéséhez.

LDAP

389/TCP

389/UDP

A DPM és a tartományvezérlő között használatos a lekérdezésekhez.

NetBIOS

137/UDP

138/UDP

139/TCP

445/TCP

A DPM és a védett számítógép, a DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos különböző műveletekhez. Az SMB használja közvetlenül a TCP/IP protokollon a DPM funkcióihoz.

Ha a Windows tűzfal engedélyezve volt a DPM telepítésekor, akkor a DPM telepítője szükség szerint konfigurálta annak beállításait az alábbi táblázatban összefoglalt szabályok és kivételek alapján. Vegye figyelembe a következőket:

Szabály neve

Részletek

Protokoll

Port

Microsoft System Center 2012 R2 Data Protection Manager DCOM beállítása

A DPM-kiszolgáló és a védett számítógépek közötti DCOM kommunikációhoz szükséges

DCOM

135/TCP dinamikus

Microsoft System Center 2012 R2 Data Protection Manager

Az Msdpm.exe (a DPM-szolgáltatás) kivételei. A DPM-kiszolgálón fut.

Minden protokoll

Minden port

Microsoft System Center 2012 R2 Data Protection Manager Replication Agent

A Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmi ügynök szolgáltatás) kivételei. A DPM-kiszolgálón és a védett számítógépeken fut.

Minden protokoll

Minden port

A Windows tűzfal kézi konfigurálása

  1. A Kiszolgálókezelőben válasza a Helyi kiszolgáló > Eszközök > Fokozott biztonságú Windows tűzfal elemet.

  2. A Fokozott biztonságú Windows tűzfal konzolon ellenőrizze, hogy a Windows tűzfal be van-e kapcsolva minden profil esetében, és kattintson a Bejövő szabályok elemre.

  3. Kivétel létrehozásához a Műveletek ablaktáblán kattintson az Új szabály elemre az Új bejövő szabály varázsló megnyitásához.

    A Szabály típusa lapon válassza a Program beállítást, és kattintson a Tovább gombra.

  4. Állítsa be a kivételeket úgy, hogy megegyezzenek az alapértelmezett szabályokkal, amelyeket a DPM-telepítő hozott volna létre, ha a Windows tűzfal engedélyezve lett volna a DPM telepítésekor.

    1. A Microsoft System Center 2012 R2 Data Protection Manager alapértelmezett szabályának megfelelő kivételek manuális létrehozásához a Program lapon kattintson a Program elérési útja mező melletti Tallózás gombra, lépjen a(z) <rendszermeghajtó betűjele>:\Program Files\Microsoft DPM\DPM\bin mappára, kattintson az Msdpm.exe fájlra, majd kattintson a Megnyitás gombra, és végül a Tovább gombra.

      A Művelet lapon fogadja el az Engedélyezze a kapcsolatot beállítás alapértelmezett értékét, vagy módosítsa a beállításokat a szervezet igényeinek megfelelően > Tovább gomb.

      A Profil lapon fogadja el a Tartomány, a Saját és a Nyilvános beállítás alapértelmezett értékét, vagy módosítsa a beállításokat a szervezet igényeinek megfelelően > Tovább gomb.

      A Név lapon adja meg a szabály nevét és leírását (utóbbi nem kötelező), és kattintson a Befejezés gombra.

    2. Ugyanezen lépések segítségével a Microsoft System Center 2012 R2 Data Protection Replication Agent alapértelmezett szabályának megfelelő kivételek létrehozásához lépjen a(z) <rendszermeghajtó betűjele>:\Program Files\Microsoft DPM\DPM\bin mappára, majd válassza a Dpmra.exe fájlt.

    Ügyeljen arra, hogy ha a System Center 2012 R2 SP1-et futtatja, az alapértelmezett szabályok a Microsoft System Center 2012 Service Pack 1 Data Protection Managerrel lesznek elnevezve.

Ha távoli SQL-kiszolgálót használ a DPM-adatbázishoz, a folyamat részeként konfigurálnia kell a Windows tűzfalat a távoli SQL-kiszolgálón.

  • Az SQL-kiszolgáló telepítésének befejezését követően engedélyezni kell a TCP/IP protokollt a SQL-kiszolgáló DPM-példánya számára a következő beállításokkal: sikertelen műveletek alapértelmezett naplózása és a jelszóházirend-ellenőrző engedélyezése.

  • Konfiguráljon egy bejövő kivételt az sqservr.exe folyamatra vonatkozóan az SQL Server DPM-példánya számára a TCP engedélyezéséhez a 80-as porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket.

  • Az adatbázismotor alapértelmezett példánya az 1443-as TCP-portot figyeli. Ez a beállítás módosítható. Ha az SQL Server Browser szolgáltatást szeretné használni az alapértelmezett 1433-as portot nem figyelő példányokhoz való csatlakozáshoz, az 1434-es UDP-portra lesz szüksége. 

  • Az SQL-kiszolgáló megnevezett példánya alapértelmezés szerint dinamikus portokat használ. Ez a beállítás módosítható.

  • Az adatbázismotor által aktuálisan használt portszámot az SQL-kiszolgáló hibanaplójában tekintheti meg. A hibanaplókat az SQL Server Management Studio segítségével, a megnevezett példányhoz kapcsolódva tekintheti meg. Az aktuális naplót „A kiszolgáló figyel a következőn: [bármilyen <ipv4>-portszám]” bejegyzésben található Kezelés – SQL Server-naplók alatt tekintheti meg.

  • Engedélyeznie kell az RPC szolgáltatást a távoli SQL-kiszolgálón.

Megjelenítés: