Настройка параметров брандмауэра для DPM
Применимо к:System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
DPM использует указанные ниже порты и протоколы.
Протокол |
Порт |
Подробные сведения |
|---|---|---|
DCOM |
135/TCP, динамический |
Сервер DPM и агент защиты DPM используют DCOM для отправки команд и откликов.DPM дает команды агенту защиты, создавая для него вызовы DCOM.Агент защиты отвечает, создавая вызовы DCOM на сервере DPM. TCP-порт 135 — это точка разрешения конечной точки среды распределенных вычислений (DCE), используемой DCOM. По умолчанию DCOM динамически назначает порты из диапазона TCP-портов от 1024 до 65535.Тем не менее, можно настроить этот диапазон с помощью служб компонентов. |
TCP |
5718/TCP 5719/TCP |
Канал данных DPM основан на протоколе TCP.DPM и защищенный компьютер инициируют подключения, чтобы можно было выполнять операции DPM, например операции синхронизации и восстановления.DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. |
TCP |
6075/TCP |
Включен, когда вы создаете группу защиты для защиты клиентских компьютеров.Необходим для восстановления конечным пользователем. Если в Operations Manager включить центральную консоль DPM, то в брандмауэре Windows для программы Amscvhost.exe будет создано исключение DPMAM_WCF_Service. |
DNS |
53/UDP |
Используется при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для разрешения имен узлов. |
Kerberos |
88/UDP 88/TCP |
Используются при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для проверки подлинности конечной точки подключения. |
LDAP |
389/TCP 389/UDP |
Используются для передачи запросов между DPM и контроллером домена. |
NetBIOS |
137/UDP 138/UDP 139/TCP 445/TCP |
Используются для обмена данными между DPM и защищенным компьютером, между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена при выполнении прочих операций.Используются для SMB, размещаемого непосредственно на TCP/IP, для выполнения функций DPM. |
Параметры брандмауэра Windows
Если при установке DPM включен брандмауэр Windows, то программа установки DPM необходимым образом настроит параметры брандмауэра Windows, используя правила и исключения, описанные в таблице ниже.Обратите внимание на следующие условия.
Сведения о настройке исключений брандмауэра для компьютеров, защищенных DPM, см. в статье Настройка исключений брандмауэра для агента.
Если при установке DPM брандмауэр Windows был недоступен, то настройте его вручную, изучив сведения в статье Настройка брандмауэра Windows вручную.
Если вы используете базу данных DPM на удаленном SQL Server, необходимо настроить несколько исключений брандмауэра.См. раздел Настройка брандмауэра Windows на удаленном сервере SQL Server.
Имя правила |
Подробные сведения |
Протокол |
Порт |
|---|---|---|---|
Параметр DCOM в Data Protection Manager для Microsoft System Center 2012 R2 |
Необходимо для обмена данными между сервером DPM и защищенными компьютерами по протоколу DCOM. |
DCOM |
135/TCP, динамический |
Data Protection Manager для Microsoft System Center 2012 R2 |
Исключение для файла Msdpm.exe (служба DPM).Работает на сервере DPM. |
Все протоколы |
Все порты |
Агент репликации Data Protection Manager для Microsoft System Center 2012 R2 |
Исключение для файла Dpmra.exe (служба агента защиты, используемая для архивации и восстановления данных).Работает на сервере DPM и защищенных компьютерах. |
Все протоколы |
Все порты |
Настройка брандмауэра Windows вручную
-
В диспетчере серверов последовательно выберите пункты Локальный сервер, Инструменты и Брандмауэр Windows в режиме повышенной безопасности .
-
В консоли брандмауэра Windows в режиме повышенной безопасности проверьте, включен ли брандмауэр Windows для всех профилей, а затем щелкните элемент Правила для входящих подключений.
-
Чтобы создать исключение, на панели Действия выберите пункт Создать правило для открытия мастер создания правила для нового входящего подключения.
На странице Тип правила убедитесь, что выбран параметр Для программы, и нажмите кнопку Далее.
-
Если при установке DPM был включен брандмауэр Windows, то настройте исключения согласно правилам по умолчанию, созданным программой установки DPM.
Чтобы вручную создать исключение в соответствии с правилом Data Protection Manager для Microsoft System Center 2012 R2 по умолчанию, на странице Программа нажмите кнопку Обзор рядом с полем Путь к этой программе, перейдите к папке <буква_системного_диска>:\Program Files\Microsoft DPM\DPM\bin, выберите файл Msdpm.exe, нажмите кнопку Открыть, а затем — кнопку Далее.
На странице "Действие" оставьте значение по умолчанию для параметра Разрешить подключение или измените параметр согласно рекомендациям, используемым в вашей организации, а затем нажмите кнопку Далее.
На странице Профиль оставьте значения по умолчанию для параметров Домен, Частный и Общедоступный или измените параметры согласно рекомендациям, используемым в вашей организации, а затем нажмите кнопку Далее.
На странице Имя введите имя правила и (при необходимости) его описание, а затем нажмите кнопку Готово.
Теперь с помощью таких же действий вручную создайте исключение согласно правилу агента репликации Data Protection Manager для Microsoft System Center 2012 R2, используемому по умолчанию, перейдя к папке <буква_системного_диска>:\Program Files\Microsoft DPM\DPM\bin и выбрав файл Dpmra.exe.
Обратите внимание, что если вы используете System Center 2012 R2 с пакетом обновления 1 (SP1), то имена правилам по умолчанию будут присваиваться с помощью Data Protection Manager для Microsoft System Center 2012 с пакетом обновления 1.
Настройка брандмауэра Windows на удаленном сервере SQL Server
Если для базы данных DPM используется удаленный экземпляр SQL Server, на нем потребуется настроить брандмауэр Windows.
После завершения установки SQL Server для экземпляра DPM SQL Server должен быть включен протокол TCP/IP со следующими параметрами: аудит сбоев по умолчанию и проверка политики паролей.
Настройте исключение входящего соединения для файла sqlservr.exe для экземпляра SQL Server, используемого в DPM, чтобы разрешить TCP-подключения через порт 80.Сервер отчетов прослушивает HTTP-запросы в порту 80.
Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443.Этот параметр можно изменить.Чтобы использовать службу браузера SQL Server для подключения к экземплярам, которые не прослушивают заданный по умолчанию порт 1433, потребуется UDP-порт 1434.
Именованный экземпляр SQL Server использует динамические порты по умолчанию.Этот параметр можно изменить.
Просмотреть текущий номер порта, используемый компонентом Database Engine, можно в журнале ошибок SQL Server.Журналы ошибок можно просмотреть с помощью SQL Server Management Studio и при подключении к именованному экземпляру.Вы можете просмотреть текущий журнал в разделе "Управление", так как журналы SQL Server в записи "Сервер" прослушивают все порты протокола IPv4.
На удаленном сервере SQL необходимо включить службу удаленного вызова процедур (RPC).