在 DPM 中配置防火墙设置
重要
此版本的 Data Protection Manager (DPM) 已终止支持。 建议 升级到 DPM 2022。
System Center Data Protection Manager (DPM) 服务器部署和 DPM 代理部署期间出现的常见问题涉及必须在防火墙上打开哪些端口。 本文介绍 DPM 用于网络流量的防火墙端口和协议。 有关 DPM 客户端的防火墙例外的详细信息,请参阅: 为代理配置防火墙例外。
| 协议 | Port | 详细信息 |
|---|---|---|
| DCOM | 135/TCP 动态 | DCOM 由 DPM 服务器和 DPM 保护代理使用以发出命令和响应。 DPM 通过在保护代理上引发 DCOM 调用向保护代理发出命令。 保护代理通过在 DPM 服务器上引发 DCOM 调用来响应。 TCP 端口 135 是 DCOM 使用的 DCE 终结点解析点。 默认情况下,DCOM 自动分配 TCP 端口范围 在 1024 到 65535 之间的端口。 不过,可以使用组件服务来调整 TCP 端口范围。 为此,请按照下列步骤进行操作: 1. 在 IIS 7.0 管理器的“Connections”窗格中,选择树中的服务器级节点。 2. 在功能列表中,双击“FTP 防火墙支持”图标。 3. 为 FTP 服务的“数据通道端口范围”输入值范围 。 4. 在 “操作 ”窗格中,选择“ 应用 ”以保存配置设置。 |
| TCP | 5718/TCP 5719/TCP |
DPM 数据通道基于 TCP。 DPM 和受保护的计算机都启动连接以启用 DPM 操作,例如同步和恢复。 DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。 |
| TCP | 6075/TCP | 当创建用于保护客户端计算机的保护组时启用。 最终用户恢复所必需的。 当在 Operations Manager 中为 DPM 启用中央控制台时,将为程序 Amscvhost.exe 创建 Windows 防火墙 (DPMAM_WCF_Service) 例外。 |
| DNS | 53/UDP | 在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于解析主机名。 |
| Kerberos | 88/UDP 88/TCP |
在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于验证连接终结点。 |
| LDAP | 389/TCP 389/UDP |
在 DPM 与域控制器之间使用,用于执行查询。 |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
在 DPM 与受保护的计算机之间、在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于执行其他操作。 用于服务器消息块的 DPM 函数, (SMB) 直接托管在 TCP/IP 上时。 |
Windows 防火墙设置
如果安装 DPM 时启用了 Windows 防火墙,则 DPM 安装程序会根据需要并结合规则和例外来配置 Windows 防火墙设置。 下表对这些设置进行了总结。
注意
- 如果要查找有关如何为受 DPM 保护的计算机设置防火墙例外的信息,请参阅 Configure firewall exceptions for the agent。
- 如果安装 DPM 时 Windows 防火墙不可用,请参阅 如何手动配置 Windows 防火墙。
- 如果在SQL Server的远程实例上运行 DPM 数据库,则必须在SQL Server的远程实例上设置多个防火墙例外。 请参阅 在 SQL Server 远程实例上设置 Windows 防火墙。
| 规则名称 | 详细信息 | 协议 | 端口 |
|---|---|---|---|
| Microsoft System Center 2012 Data Protection Manager DCOM 设置 | 在 DPM 服务器和受保护的计算机之间进行 DCOM 通信时需要。 | DCOM | 135/TCP 动态 |
| Microsoft System Center 2012 Data Protection Manager | Msdpm.exe 例外(DPM 服务)。 在 DPM 服务器上运行。 | 所有协议 | 所有端口 |
| Microsoft System Center 2012 Data Protection Manager 复制代理 | Dpmra.exe 例外(用于备份和还原数据的保护代理服务)。 在 DPM 服务器和受保护的计算机上运行。 | 所有协议 | 所有端口 |
如何手动配置 Windows 防火墙
在服务器管理器中,选择 “本地服务器”>“工具”>“高级安全 Windows 防火墙”。
在 “高级安全 Windows 防火墙 ”控制台中,验证“Windows 防火墙”是否为所有配置文件打开,然后选择“ 入站规则”。
若要创建例外,请在“ 操作 ”窗格中选择“ 新建规则” ,打开 “新建入站规则 向导”。
在“ 规则类型 ”页上,验证是否选择了 “程序 ”,然后选择“ 下一步”。
如果安装 DPM 时启用了 Windows 防火墙,则配置例外以匹配由 DPM 安装程序创建的默认规则。
若要在 “程序 ”页上手动创建与默认的 Microsoft System Center 2012 R2 Data Protection Manager 规则匹配的异常,请选择“ 浏览 ”以获取 “此程序路径 ”框,然后浏览到 <系统驱动器号>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>打开>下一步。
在“操作”页上,保留默认设置“允许连接”,或者根据组织的“下一步”指南>更改设置。
在“配置文件”页上,保留“域”、“专用”和“公共”的默认设置,或者根据组织的“下一步”指南>更改设置。
在“名称”页上,为规则键入名称并根据需要键入描述 >“完成”。
现在,按照相同的步骤手动创建与默认 Microsoft System Center 2012 R2 Data Protection Replication Agent 规则匹配的异常,方法是浏览到 <系统驱动器号>:\Program Files\Microsoft DPM\DPM\bin 并选择 “Dpmra.exe”。
如果运行带 SP1 的 System Center 2012 R2,将使用 Microsoft System Center 2012 Service Pack 1 Data Protection Manager 命名默认规则。
在远程实例上设置 Windows 防火墙SQL Server
如果对 DPM 数据库使用 SQL Server的远程实例,则在此过程中,必须在SQL Server的远程实例上配置 Windows 防火墙。
SQL Server安装完成后,应为SQL Server的 DPM 实例启用 TCP/IP 协议以及以下设置:
默认失败审核
启用密码策略检查
为 SQL Server的 DPM 实例配置 sqlservr.exe 的传入异常,以允许端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。
数据库引擎的默认实例侦听 TCP 端口 1443。 此设置可以更改。 若要使用 SQL Server Browser 服务连接到不在默认 1433 端口侦听的实例,需要 UDP 端口 1434。
默认情况下,SQL Server的命名实例使用动态端口。 此设置可以更改。
可以在 SQL Server 错误日志中查看数据库引擎使用的当前端口号。 可以通过使用 SQL Server Management Studio 并连接到命名实例来查看错误日志。 可以在“管理 – SQL Server 日志”下的条目“服务器正在侦听 [‘any’ <ipv4> port_number]”中查看当前日志。
必须在SQL Server的远程实例上 (RPC) 启用远程过程调用。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈