Mengonfigurasi pengaturan firewall di DPM
Penting
Versi Data Protection Manager (DPM) ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke DPM 2022.
Pertanyaan umum yang muncul selama penyebaran server System Center Data Protection Manager (DPM) dan masalah penyebaran agen DPM yang port mana yang harus dibuka di firewall. Artikel ini memperkenalkan port firewall dan protokol yang digunakan DPM untuk lalu lintas jaringan. Untuk informasi selengkapnya tentang pengecualian firewall untuk klien DPM, lihat: Mengonfigurasi pengecualian firewall untuk agen.
| Protokol | Port | Detail |
|---|---|---|
| DCOM | Dinamis 135/TCP | DCOM digunakan oleh server DPM dan agen perlindungan DPM untuk mengeluarkan perintah dan respons. DPM mengeluarkan perintah ke agen perlindungan dengan memanggil panggilan DCOM pada agen. Agen perlindungan merespons dengan memanggil panggilan DCOM di server DPM. Port TCP 135 adalah titik resolusi titik akhir DCE yang digunakan oleh DCOM. Secara default, DCOM menetapkan port secara dinamis dari rentang port TCP 1024 hingga 65535. Namun, Anda dapat menggunakan Layanan Komponen untuk menyesuaikan rentang port TCP. Untuk melakukan ini, ikuti langkah-langkah berikut: 1. Di Manajer IIS 7.0, di panel Connections, pilih simpul tingkat server di pohon. 2. Dalam daftar fitur, klik dua kali ikon Dukungan Firewall FTP . 3. Masukkan rentang nilai untuk Rentang Port Saluran Data untuk layanan FTP Anda. 4. Di panel Tindakan , pilih Terapkan untuk menyimpan pengaturan konfigurasi Anda. |
| TCP | 5718/TCP 5719/TCP |
Saluran data DPM didasarkan pada TCP. DPM dan komputer yang dilindungi memulai koneksi untuk mengaktifkan operasi DPM, seperti sinkronisasi dan pemulihan. DPM berkomunikasi dengan koordinator agen pada port 5718 dan dengan agen perlindungan pada port 5719. |
| TCP | 6075/TCP | Diaktifkan saat Anda membuat grup perlindungan untuk membantu melindungi komputer klien. Diperlukan untuk pemulihan pengguna akhir. Pengecualian di Windows Firewall (DPMAM_WCF_Service) dibuat untuk program Amscvhost.exe saat Anda mengaktifkan Central Console untuk DPM di Operations Manager. |
| DNS | 53/UDP | Digunakan untuk resolusi nama host antara DPM dan pengendali domain, dan antara komputer yang dilindungi dan pengontrol domain. |
| Kerberos | 88/UDP 88/TCP |
Digunakan untuk autentikasi titik akhir koneksi antara DPM dan pengendali domain, dan antara komputer yang dilindungi dan pengontrol domain. |
| LDAP | 389/TCP 389/UDP |
Digunakan untuk kueri antara DPM dan pengendali domain. |
| Netbios | 137/UDP 138/UDP 139/TCP 445/TCP |
Digunakan untuk operasi lain-lain antara DPM dan komputer yang dilindungi, antara DPM dan pengontrol domain, dan antara komputer yang dilindungi dan pengontrol domain. Digunakan untuk fungsi DPM untuk Blok Pesan Server (SMB) saat langsung dihosting di TCP/IP. |
Pengaturan Windows Firewall
Jika Windows Firewall diaktifkan saat Anda menginstal DPM, penyiapan DPM mengonfigurasi pengaturan Windows Firewall sebagaimana diperlukan bersama dengan aturan dan pengecualian. Pengaturan dirangkum dalam tabel berikut.
Catatan
- Jika Anda mencari informasi tentang cara menyiapkan pengecualian firewall untuk komputer yang membantu dilindungi DPM, lihat Mengonfigurasi pengecualian firewall untuk agen.
- Jika Windows Firewall tidak tersedia saat Anda menginstal DPM, lihat Cara mengonfigurasi Windows Firewall secara manual.
- Jika Anda menjalankan database DPM pada instans jarak jauh SQL Server, Anda harus menyiapkan beberapa pengecualian firewall pada instans jarak jauh SQL Server. Lihat Menyiapkan Windows Firewall pada instans jarak jauh SQL Server.
| Nama aturan | Detail | Protokol | Port |
|---|---|---|---|
| Pengaturan DCOM Microsoft System Center 2012 Data Protection Manager | Diperlukan untuk komunikasi DCOM antara server DPM dan komputer yang dilindungi. | DCOM | Dinamis 135/TCP |
| Microsoft System Center 2012 Data Protection Manager | Pengecualian untuk Msdpm.exe (layanan DPM). Berjalan di server DPM. | Semua protokol | Semua port |
| Agen Replikasi Manajer Perlindungan Data Microsoft System Center 2012 | Pengecualian untuk Dpmra.exe (layanan agen perlindungan yang digunakan untuk mencadangkan dan memulihkan data). Berjalan di server DPM dan komputer yang dilindungi. | Semua protokol | Semua port |
Cara mengonfigurasi Windows Firewall secara manual
Di Manajer Server, pilihAlat>Server> LokalWindows Firewall dengan Keamanan Tingkat Lanjut.
Di konsol Windows Firewall dengan Keamanan Tingkat Lanjut , verifikasi bahwa Windows Firewall aktif untuk semua profil lalu pilih Aturan Masuk.
Untuk membuat pengecualian, di panel Tindakan , pilih Aturan Baru untuk membuka Panduan Aturan Masuk Baru .
Pada halaman Jenis Aturan , verifikasi bahwa Program dipilih lalu pilih Berikutnya.
Konfigurasikan pengecualian agar sesuai dengan aturan default yang akan dibuat oleh Penyiapan DPM jika Windows Firewall telah diaktifkan saat DPM diinstal.
Untuk membuat pengecualian secara manual yang cocok dengan aturan Manajer Perlindungan Data Microsoft System Center 2012 R2 default pada halaman Program , pilih Telusuri kotak Jalur program ini lalu telusuri ke <huruf> kandar sistem:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Buka>Berikutnya.
Pada halaman Tindakan, biarkan pengaturan default Izinkan koneksi atau ubah pengaturan sesuai dengan panduan > organisasi Anda Berikutnya.
Pada halaman Profil, biarkan pengaturan default Domain, Privat, dan Publik atau ubah pengaturan sesuai dengan panduan > organisasi Anda Berikutnya.
Pada halaman Nama , ketik nama untuk aturan dan secara opsional deskripsi >Selesai.
Sekarang ikuti langkah yang sama untuk membuat pengecualian secara manual yang cocok dengan aturan Agen Replikasi Perlindungan Data Microsoft System Center 2012 R2 default dengan menelusuri huruf <drive> sistem:\Program Files\Microsoft DPM\DPM\bin dan memilih Dpmra.exe.
Jika Anda menjalankan System Center 2012 R2 dengan SP1, aturan default akan diberi nama dengan menggunakan Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Menyiapkan Windows Firewall pada instans jarak jauh SQL Server
Jika Anda menggunakan instans jarak jauh SQL Server untuk database DPM Anda, sebagai bagian dari proses, Anda harus mengonfigurasi Windows Firewall pada instans jarak jauh SQL Server.
Setelah penginstalan SQL Server selesai, protokol TCP/IP harus diaktifkan untuk instans DPM SQL Server bersama dengan pengaturan berikut:
Audit kegagalan default
Mengaktifkan pemeriksaan kebijakan kata sandi
Konfigurasikan pengecualian masuk untuk sqlservr.exe untuk instans DPM SQL Server untuk memungkinkan TCP pada port 80. Server laporan mendengarkan permintaan HTTP pada port 80.
Instans default mesin database mendengarkan port TCP 1443. Pengaturan ini dapat diubah. Untuk menggunakan layanan SQL Server Browser untuk menyambungkan ke instans yang tidak mendengarkan pada port 1433 default, Anda memerlukan port UDP 1434.
Secara default, instans bernama SQL Server menggunakan port Dinamis. Pengaturan ini dapat diubah.
Anda dapat melihat nomor port saat ini yang sedang digunakan oleh mesin database di log kesalahan SQL Server. Anda dapat melihat log kesalahan dengan menggunakan SQL Server Management Studio dan menyambungkan ke instans bernama. Anda dapat melihat log saat ini di bawah Manajemen – SQL Server Log di entri "Server mendengarkan ['any' <ipv4> port_number]."
Anda harus mengaktifkan panggilan prosedur jarak jauh (RPC) pada instans jarak jauh SQL Server.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk