Konfigurieren der Firewalleinstellungen in DPM

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Sie sollten ein Upgrade auf DPM 2019 durchführen.

Während der Bereitstellung von System Center Data Protection Manager-Server (DPM) und DPM-Agent tritt häufig die Frage auf, welche Ports in der Firewall geöffnet sein müssen. In diesem Artikel werden die Firewallports und -protokolle eingeführt, die DPM für den Netzwerkverkehr verwendet. Weitere Informationen zu Firewallausnahmen für DPM-Clients finden Sie unter: Konfigurieren von Firewallausnahmen für den Agent.

Protocol Port Details
DCOM 135/TCP Dynamic DCOM wird vom DPM-Server und dem DPM-Schutz-Agent verwendet, um Befehle und Antworten auszugeben. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server.

TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 1024 bis 65535 von DCOM dynamisch zugewiesen. Sie können den TCP-Portbereich jedoch mit den Komponentendiensten anpassen. Gehen Sie hierzu folgendermaßen vor:

1. Klicken Sie in IIS 7.0 Manager im Bereich Verbindungen auf den Serverknoten in der Struktur.
2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung.
3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein.
4. Klicken Sie im Bereich Aktionen auf Anwenden, um die Konfigurationseinstellungen zu speichern.
TCP 5718/TCP

5719/TCP
Der DPM-Datenkanal basiert auf TCP. Sowohl von DPM als auch vom geschützten Computer werden Verbindungen hergestellt, um DPM-Operationen wie Synchronisierung und Wiederherstellung zu aktivieren. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719.
TCP 6075/TCP Aktiviert, wenn Sie eine Schutzgruppe für den Schutz von Clientcomputern erstellen. Für die Wiederherstellung durch Endbenutzer erforderlich.

Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm (Amscvhost.exe) erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren.
DNS 53/UDP Wird für die Hostnamensauflösung zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet.
Kerberos 88/UDP

88/TCP
Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet.
LDAP 389/TCP

389/UDP
Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet.
NetBios 137/UDP

138/UDP

139/TCP

445/TCP
Wird für sonstige Operationen zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für SMB (Server Message Block) verwendet, wenn es direkt auf TCP/IP gehostet wird.

Windows-Firewall-Einstellungen

Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewall-Einstellungen nach Bedarf zusammen mit den Regeln und Ausnahmen. Die Einstellungen sind in der folgenden Tabelle zusammengefasst.

Anmerkung:

Regelname Details Protokoll Port
Microsoft System Center 2012 Data Protection Manager DCOM-Einstellung Erforderlich für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. DCOM 135/TCP Dynamic
Microsoft System Center 2012 Data Protection Manager Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. Alle Protokolle Alle Ports
Microsoft System Center 2012 Data Protection Manager Replikations-Agent Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst, der für das Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. Alle Protokolle Alle Ports

Manuelles Konfigurieren der Windows-Firewall

  1. Wählen Sie im Server Manager Lokaler ServerToolsWindows-Firewall mit erweiterter Sicherheit.

  2. Überprüfen Sie in der Konsole der Windows-Firewall mit erweiterter Sicherheit, ob die Windows-Firewall für alle Profile aktiviert ist, und klicken Sie dann auf Eingehende Regeln.

  3. Zum Erstellen einer Ausnahme klicken Sie im Bereich Aktionen auf Neue Regel , um den Assistenten für neue eingehende Regeln zu öffnen.

    Bestätigen Sie auf der Seite Regeltyp, dass die Option Programm ausgewählt ist, und klicken Sie auf Weiter.

  4. Konfigurieren Sie Ausnahmen, die den Standardregeln entsprechen und durch das DPM-Setup erstellt worden wären, wenn die Windows-Firewall während der Installation von DPM aktiviert gewesen wäre.

    1. Zum manuellen Erstellen der Ausnahme, die der Standardregel für Microsoft System Center 2012 R2 Data Protection Manager entspricht, klicken Sie auf der Seite Programm neben dem Feld Programmpfad auf Durchsuchen, und gehen Sie dann zu Systemlaufwerkbuchstabe:\Programme\Microsoft DPM\DPM\binMsdpm.exeÖffnenWeiter.

      Behalten Sie auf der Seite „Aktion“ die Standardeinstellung für Verbindung zulassen bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf Weiter.

      Behalten Sie auf der Seite Profil die Standardeinstellungen für Domäne, Privat und Öffentlich bei, oder ändern Sie diese gemäß den Richtlinien Ihrer Organisation, und klicken Sie auf Weiter.

      Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.

    2. Führen Sie jetzt dieselben Schritte aus, um manuell die Ausnahme zu erstellen, die der Standardregel für den Microsoft System Center 2012 R2 Data Protection Replikations-Agent entspricht, indem Sie zu Systemlaufwerkbuchstabe>:\Programme\Microsoft DPM\DPM\bin wechseln und > auswählen.

      Beachten Sie Folgendes: Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mithilfe des Microsoft System Center 2012 Service Pack 1 Data Protection Managerbenannt.

Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server

  • Wenn Sie eine Remoteinstanz von SQL Server für Ihre DPM-Datenbank verwenden, müssen Sie als Teil des Prozesses die Windows-Firewall auf dieser Remoteinstanz von SQL Server konfigurieren.

  • Nach Abschluss der Installation von SQL Server sollte das TCP/IP-Protokoll für die DPM-Instanz von SQL Server zusammen mit den folgenden Einstellungen aktiviert werden:

    • Standardeinstellung für Fehlerüberwachung

    • Aktivierte Kennwortrichtlinienprüfung

  • Konfigurieren Sie eine eingehende Ausnahme für „sqlservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.

  • Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Diese Einstellung kann geändert werden. Um den SQL Server-Browserdienst zum Herstellen von Verbindungen zu Instanzen zu verwenden, die nicht an Standardport 1433 lauschen, benötigen Sie UDP-Port 1434.

  • Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Diese Einstellung kann geändert werden.

  • Welche Portnummer aktuell von der Datenbank-Engine verwendet wird, können Sie dem Fehlerprotokoll von SQL Server entnehmen. Zum Anzeigen von Fehlerprotokollen stellen Sie mit SQL Server Management Studio eine Verbindung mit der benannten Instanz her. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige ipv4>-Portnummer].“ ansehen.

    Sie müssen einen Remoteprozeduraufruf (RPC) auf der Remoteinstanz von SQL Server aktivieren.