Tűzfalbeállítások konfigurálása a DPM-ben
Fontos
A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.
A System Center Data Protection Manager (DPM) kiszolgáló üzembe helyezése és a DPM-ügynök üzembe helyezése során felmerülő gyakori kérdés az, hogy mely portokat kell megnyitni a tűzfalon. Ez a témakör azokat a tűzfalportokat és protokollokat mutatja be, amelyeket a DPM a hálózati forgalom lebonyolításához használ. További információ a DPM-ügyfelek tűzfal-kivételeiről: Tűzfal-kivételek konfigurálása az ügynökhöz.
| Protokoll | Port | Részletek |
|---|---|---|
| DCOM | 135/TCP dinamikus | A DPM-kiszolgáló és a DPM védelmi ügynök a DCOM protokoll segítségével adja ki a parancsokat és válaszokat. A DPM úgy ad ki parancsokat a védelmi ügynök számára, hogy DCOM-hívásokat kezdeményez az ügynökön. A védelmi ügynök úgy válaszol, hogy a DPM-kiszolgálón ad meg DCOM-hívásokat. A 135-ös TCP-port a DCOM által használt DCE-végponti feloldási pont. A DCOM alapértelmezés szerint dinamikusan rendeli hozzá a portokat az 1024–65535 porttartományból. A Component Services használatával azonban módosíthatja a TCP-porttartományt. Ehhez kövesse az alábbi lépéseket: 1. Az IIS 7.0 Managerben az Connections panelen válassza ki a kiszolgálószintű csomópontot a fán. 2. A szolgáltatások listájában kattintson duplán az FTP-tűzfal támogatás ikonjára. 3. Adjon meg egy értéktartományt az FTP-szolgáltatás adatcsatornaport-tartományához . 4. A Műveletek panelen válassza az Alkalmaz lehetőséget a konfigurációs beállítások mentéséhez. |
| TCP | 5718/TCP 5719/TCP |
A DPM adatcsatornája a TCP protokollt használja. A DPM és a védett számítógép is kezdeményez kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál. |
| TCP | 6075/TCP | Az engedélyezése a védelmi csoport létrehozásakor történik az ügyfélszámítógépek védelme érdekében. A végfelhasználói helyreállításhoz szükséges. Amikor engedélyezi a DPM központi konzolt az Operations Managerben, a rendszer az Amscvhost.exe programhoz Windows tűzfal-kivételt állít be (DPMAM_WCF_Service). |
| DNS | 53/UDP | A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a gazdagép névfeloldásához. |
| Kerberos | 88/UDP 88/TCP |
A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos a csatlakozási végpont hitelesítéséhez. |
| LDAP | 389/TCP 389/UDP |
A DPM és a tartományvezérlő között használatos a lekérdezésekhez. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
A DPM és a védett számítógép, a DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használatos különböző műveletekhez. DpM-függvényekhez használatos a kiszolgálói üzenetblokkhoz (SMB), ha az közvetlenül TCP/IP-címen van üzemeltetve. |
A Windows tűzfal beállításai
Ha a DPM telepítésekor engedélyezve van a Windows tűzfal, a DPM beállítása szükség szerint konfigurálja a Windows tűzfal beállításait a szabályokkal és kivételekkel együtt. A beállításokat az alábbi táblázatban foglaljuk össze.
Megjegyzés
- A DPM által védett számítógépekre vonatkozó tűzfalkivételek beállításáról az alábbi témakörben talál bővebb információt: Configure firewall exceptions for the agent.
- Ha a Windows tűzfal nem volt engedélyezve a DPM telepítésekor, olvassa el a következő témakört: A Windows tűzfal kézi konfigurálása.
- Ha a DPM-adatbázist a SQL Server egy távoli példányán futtatja, számos tűzfal kivételt kell beállítania a SQL Server távoli példányán. Lásd: Windows tűzfal beállítása távoli SQL Server-példányon.
| Szabály neve | Részletek | Protokoll | Port |
|---|---|---|---|
| A Microsoft System Center 2012 Data Protection Manager DCOM-beállítása | A DPM-kiszolgáló és a védett számítógépek közötti DCOM kommunikációhoz szükséges | DCOM | 135/TCP dinamikus |
| Microsoft System Center 2012 Data Protection Manager | Az Msdpm.exe (a DPM-szolgáltatás) kivételei. A DPM-kiszolgálón fut. | Minden protokoll | Minden port |
| Microsoft System Center 2012 Data Protection Manager Replication Agent | A Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmiügynök-szolgáltatás) kivételei. A DPM-kiszolgálón és a védett számítógépeken fut. | Minden protokoll | Minden port |
A Windows tűzfal kézi konfigurálása
A Kiszolgálókezelő válassza a Helyi kiszolgálóeszközök>>Windows tűzfal speciális biztonsággal lehetőséget.
A Windows tűzfal speciális biztonsági konzolon ellenőrizze, hogy a Windows tűzfal minden profilhoz be van-e kapcsolva, majd válassza a Bejövő szabályok lehetőséget.
Kivétel létrehozásához a Műveletek panelen válassza az Új szabály lehetőséget az Új bejövő szabály varázsló megnyitásához.
A Szabály típusa lapon ellenőrizze, hogy a Program ki van-e jelölve, majd válassza a Tovább gombot.
Állítsa be a kivételeket úgy, hogy megegyezzenek az alapértelmezett szabályokkal, amelyeket a DPM-telepítő hozott volna létre, ha a Windows tűzfal engedélyezve lett volna a DPM telepítésekor.
Ha manuálisan szeretné létrehozni az alapértelmezett Microsoft System Center 2012 R2 Data Protection Manager-szabálynak megfelelő kivételt a Program lapon, válassza a Tallózás lehetőséget a Program elérési útja mezőben, majd keresse meg a <rendszermeghajtó betűjelét>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Nyissa meg>a Tovább gombot.
A Művelet lapon hagyja meg a Kapcsolat engedélyezése alapértelmezett beállítását, vagy módosítsa a beállításokat a szervezet következő irányelveinek > megfelelően.
A Profil lapon hagyja meg a Tartomány, a Privát és a Nyilvános alapértelmezett beállításokat, vagy módosítsa a beállításokat a szervezet következő irányelveinek > megfelelően.
A Név lapon írja be a szabály nevét, és opcionálisan a Befejezés leírást>.
Most ugyanezeket a lépéseket követve manuálisan hozza létre azt a kivételt, amely megfelel az alapértelmezett Microsoft System Center 2012 R2 adatvédelmi replikációs ügynök szabálynak. Ehhez nyissa <meg a rendszermeghajtó betűjelét>:\Program Files\Microsoft DPM\DPM\bin, és válassza aDpmra.exelehetőséget.
Ha a System Center 2012 R2 sp1-et használja, az alapértelmezett szabályok a Microsoft System Center 2012 Service Pack 1 Data Protection Manager használatával lesznek elnevezve.
A Windows tűzfal beállítása a SQL Server távoli példányán
Ha a DPM-adatbázishoz a SQL Server egy távoli példányát használja, a folyamat részeként konfigurálnia kell a Windows tűzfalat a SQL Server távoli példányán.
A SQL Server telepítése után engedélyezni kell a TCP/IP protokollt a SQL Server DPM-példányához az alábbi beállításokkal együtt:
Sikertelen műveletek alapértelmezett naplózása
A jelszószabályzat-ellenőrzés engedélyezése
Konfiguráljon egy bejövő kivételt sqlservr.exe a SQL Server DPM-példányához, hogy engedélyezze a TCP-t a 80-s porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket.
Az adatbázismotor alapértelmezett példánya az 1443-as TCP-portot figyeli. Ez a beállítás módosítható. Ha az SQL Server Browser szolgáltatást szeretné használni az alapértelmezett 1433-as portot nem figyelő példányokhoz való csatlakozáshoz, az 1434-es UDP-portra lesz szüksége.
Alapértelmezés szerint a SQL Server nevesített példánya dinamikus portokat használ. Ez a beállítás módosítható.
Az adatbázismotor által jelenleg használt portszámot az SQL Server hibanaplójában tekintheti meg. A hibanaplókat az SQL Server Management Studio segítségével, a nevesített példányhoz kapcsolódva tekintheti meg. Az aktuális naplót a Kezelés – SQL Server Naplók területen tekintheti meg a "Server is listening on "any" <ipv4> port_number].
Engedélyeznie kell a távoli eljáráshívást (RPC) a SQL Server távoli példányán.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: