Konfigurieren der Firewalleinstellungen in DPM
Wichtig
Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Sie sollten ein Upgrade auf DPM 2019 durchführen.
Während der Bereitstellung von System Center Data Protection Manager-Server (DPM) und DPM-Agent tritt häufig die Frage auf, welche Ports in der Firewall geöffnet sein müssen. In diesem Artikel werden die Firewallports und -protokolle eingeführt, die DPM für den Netzwerkverkehr verwendet. Weitere Informationen zu Firewallausnahmen für DPM-Clients finden Sie unter: Konfigurieren von Firewallausnahmen für den Agent.
| Protocol | Port | Details |
|---|---|---|
| DCOM | 135/TCP Dynamic | DCOM wird vom DPM-Server und dem DPM-Schutz-Agent verwendet, um Befehle und Antworten auszugeben. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server. TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 1024 bis 65535 von DCOM dynamisch zugewiesen. Sie können den TCP-Portbereich jedoch mit den Komponentendiensten anpassen. Gehen Sie hierzu folgendermaßen vor: 1. Klicken Sie in IIS 7.0 Manager im Bereich Verbindungen auf den Serverknoten in der Struktur. 2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung. 3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein. 4. Klicken Sie im Bereich Aktionen auf Anwenden, um die Konfigurationseinstellungen zu speichern. |
| TCP | 5718/TCP 5719/TCP |
Der DPM-Datenkanal basiert auf TCP. Sowohl von DPM als auch vom geschützten Computer werden Verbindungen hergestellt, um DPM-Operationen wie Synchronisierung und Wiederherstellung zu aktivieren. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. |
| TCP | 6075/TCP | Aktiviert, wenn Sie eine Schutzgruppe für den Schutz von Clientcomputern erstellen. Für die Wiederherstellung durch Endbenutzer erforderlich. Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm (Amscvhost.exe) erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren. |
| DNS | 53/UDP | Wird für die Hostnamensauflösung zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| Kerberos | 88/UDP 88/TCP |
Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
| LDAP | 389/TCP 389/UDP |
Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Wird für sonstige Operationen zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für SMB (Server Message Block) verwendet, wenn es direkt auf TCP/IP gehostet wird. |
Windows-Firewall-Einstellungen
Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewall-Einstellungen nach Bedarf zusammen mit den Regeln und Ausnahmen. Die Einstellungen sind in der folgenden Tabelle zusammengefasst.
Anmerkung:
Informationen zum Einrichten von Firewallausnahmen für durch DPM geschützte Computer finden Sie unter Configure firewall exceptions for the agent.
Informationen dazu, wenn die Windows-Firewall bei der Installation von DPM nicht verfügbar war, finden Sie unter Manuelles Konfigurieren der Windows-Firewall.
Wenn Sie die DPM-Datenbank auf einer Remoteinstanz von SQL Server ausführen, müssen Sie mehrere Firewallausnahmen auf der Remoteinstanz von SQL Server einrichten. Weitere Informationen finden Sie unter Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server.
| Regelname | Details | Protokoll | Port |
|---|---|---|---|
| Microsoft System Center 2012 Data Protection Manager DCOM-Einstellung | Erforderlich für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. | DCOM | 135/TCP Dynamic |
| Microsoft System Center 2012 Data Protection Manager | Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
| Microsoft System Center 2012 Data Protection Manager Replikations-Agent | Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst, der für das Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Manuelles Konfigurieren der Windows-Firewall
Wählen Sie im Server Manager Lokaler ServerToolsWindows-Firewall mit erweiterter Sicherheit.
Überprüfen Sie in der Konsole der Windows-Firewall mit erweiterter Sicherheit, ob die Windows-Firewall für alle Profile aktiviert ist, und klicken Sie dann auf Eingehende Regeln.
Zum Erstellen einer Ausnahme klicken Sie im Bereich Aktionen auf Neue Regel , um den Assistenten für neue eingehende Regeln zu öffnen.
Bestätigen Sie auf der Seite Regeltyp, dass die Option Programm ausgewählt ist, und klicken Sie auf Weiter.
Konfigurieren Sie Ausnahmen, die den Standardregeln entsprechen und durch das DPM-Setup erstellt worden wären, wenn die Windows-Firewall während der Installation von DPM aktiviert gewesen wäre.
Zum manuellen Erstellen der Ausnahme, die der Standardregel für Microsoft System Center 2012 R2 Data Protection Manager entspricht, klicken Sie auf der Seite Programm neben dem Feld Programmpfad auf Durchsuchen, und gehen Sie dann zu Systemlaufwerkbuchstabe:\Programme\Microsoft DPM\DPM\binMsdpm.exeÖffnenWeiter.
Behalten Sie auf der Seite „Aktion“ die Standardeinstellung für Verbindung zulassen bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf Weiter.
Behalten Sie auf der Seite Profil die Standardeinstellungen für Domäne, Privat und Öffentlich bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf Weiter.
Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.
Führen Sie jetzt dieselben Schritte aus, um manuell die Ausnahme zu erstellen, die der Standardregel für den Microsoft System Center 2012 R2 Data Protection Replikations-Agent entspricht, indem Sie zu Systemlaufwerkbuchstabe>:\Programme\Microsoft DPM\DPM\bin wechseln und > auswählen.
Beachten Sie Folgendes: Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mithilfe des Microsoft System Center 2012 Service Pack 1 Data Protection Managerbenannt.
Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server
Wenn Sie eine Remoteinstanz von SQL Server für Ihre DPM-Datenbank verwenden, müssen Sie als Teil des Prozesses die Windows-Firewall auf dieser Remoteinstanz von SQL Server konfigurieren.
Nach Abschluss der Installation von SQL Server sollte das TCP/IP-Protokoll für die DPM-Instanz von SQL Server zusammen mit den folgenden Einstellungen aktiviert werden:
Standardeinstellung für Fehlerüberwachung
Aktivierte Kennwortrichtlinienprüfung
Konfigurieren Sie eine eingehende Ausnahme für „sqlservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.
Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Diese Einstellung kann geändert werden. Um den SQL Server-Browserdienst zum Herstellen von Verbindungen zu Instanzen zu verwenden, die nicht an Standardport 1433 lauschen, benötigen Sie UDP-Port 1434.
Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Diese Einstellung kann geändert werden.
Welche Portnummer aktuell von der Datenbank-Engine verwendet wird, können Sie dem Fehlerprotokoll von SQL Server entnehmen. Zum Anzeigen von Fehlerprotokollen stellen Sie mit SQL Server Management Studio eine Verbindung mit der benannten Instanz her. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige ipv4>-Portnummer].“ ansehen.
Sie müssen einen Remoteprozeduraufruf (RPC) auf der Remoteinstanz von SQL Server aktivieren.