進行 DPM 中的防火牆設定
重要
此版本的 Data Protection Manager (DPM) 已終止支援。 建議您 升級至 DPM 2022。
System Center Data Protection Manager (DPM) 伺服器部署和 DPM 代理程式部署期間所發生的常見問題,在於防火牆上必須開啟哪些埠。 本文介紹 DPM 針對網路流量所使用的防火牆連接埠和通訊協定。 如需 DPM 用戶端防火牆例外狀況的詳細資訊,請參閱: 設定代理程式的防火牆例外狀況。
| 通訊協定 | Port | 詳細資料 |
|---|---|---|
| DCOM | 135/TCP 動態 | DPM 伺服器和 DPM 保護代理程式會使用 DCOM 來發出命令與回應。 DPM 藉由叫用代理程式上的 DCOM 呼叫,來發出命令給保護代理程式。 保護代理程式藉由叫用 DPM 伺服器上的 DCOM 呼叫來回應。 TCP 連接埠 135 是 DCOM 所使用的 DCE 端點解析點。 根據預設,DCOM 會從 1024 到 65535 的 TCP 連接埠範圍中動態指派連接埠。 不過,您可以使用元件服務來調整 TCP 連接埠範圍。 若要這樣做,請遵循下列步驟: 1.在 IIS 7.0 管理員的 [Connections] 窗格中,選取樹狀結構中的伺服器層級節點。 2.在功能清單中,按兩下 FTP防火牆支援 圖示。 3.輸入 FTP 服務 之 [數據通道埠範圍 ] 的值範圍。 4.在 [ 動作] 窗格中,選取 [ 套用 ] 以儲存您的組態設定。 |
| TCP | 5718/TCP 5719/TCP |
DPM 資料通道是以 TCP 為根據。 DPM 和受保護的計算機都會起始連線,以啟用 DPM 作業,例如同步處理和復原。 DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。 |
| TCP | 6075/TCP | 在您建立保護群組以協助保護用戶端電腦時啟用。 用戶復原的必要專案。 當您在 Operations Manager 中啟用 DPM 的中央主控台時,即會針對 Amscvhost.exe 程式在 Windows 防火牆 (DPMAM_WCF_Service) 中建立例外狀況。 |
| DNS | 53/UDP | 在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行主機名稱解析。 |
| Kerberos | 88/UDP 88/TCP |
在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行連線端點驗證。 |
| LDAP | 389/TCP 389/UDP |
在 DPM 和網域控制站之間,用來進行查詢。 |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
在 DPM 和受保護電腦之間、在 DPM 和網域控制站之間,以及在受保護電腦和網域控制站之間,用來進行其他操作。 用於伺服器消息塊的 DPM 函式, (SMB) 直接裝載於 TCP/IP 上。 |
Windows 防火牆設定
如果您在安裝 DPM 時啟用了 Windows 防火牆,則 DPM 安裝程式會視需要進行 Windows 防火牆設定,以及規則與例外。 下表摘要說明這些設定。
注意
- 如果您想了解如何針對 DPM 協助保護的電腦設定防火牆例外狀況的相關資訊,請參閱 Configure firewall exceptions for the agent。
- 如果您在安裝 DPM 時無法使用 Windows 防火牆,請參閱 如何手動設定 Windows 防火牆。
- 如果您在 SQL Server 的遠程實例上執行 DPM 資料庫,則必須在 SQL Server 的遠端實例上設定數個防火牆例外狀況。 請參閱 在 SQL Server 的遠端執行個體上設定 Windows 防火牆。
| 規則名稱 | 詳細資料 | 通訊協定 | 連接埠 |
|---|---|---|---|
| Microsoft System Center 2012 Data Protection Manager DCOM 設定 | 在 DPM 伺服器和受保護電腦之間進行 DCOM 通訊的必要項。 | DCOM | 135/TCP 動態 |
| Microsoft System Center 2012 Data Protection Manager | Msdpm.exe (DPM 服務) 的例外狀況。 在 DPM 伺服器上執行。 | 所有通訊協定 | 所有連接埠 |
| Microsoft System Center 2012 Data Protection Manager 複寫代理程式 | Dpmra.exe 的例外狀況 (用來備份和還原資料的保護代理程式服務)。 在 DPM 伺服器和受保護的電腦上執行。 | 所有通訊協定 | 所有連接埠 |
如何手動設定 Windows 防火牆
在 伺服器管理員 中,選取 [本機伺服器>工具>] [Windows 防火牆與進階安全性]。
在 [具有進階安全性的 Windows 防火牆] 控制台中,確認所有配置檔的 Windows 防火牆已開啟,然後選取 [ 輸入規則]。
若要建立例外狀況,請在 [ 動作 ] 窗格中,選取 [ 新增規則 ] 以開啟 [ 新增輸入規則 精靈]。
在 [ 規則類型 ] 頁面上,確認已選取 [程式 ],然後選取 [ 下一步]。
如果在安裝 DPM 時啟用了 Windows 防火牆,請設定例外規則以符合 DPM 安裝程式所建立的預設規則。
若要在 [程式] 頁面上手動建立符合預設 Microsoft System Center 2012 R2 Data Protection Manager 規則的例外狀況,請選取 [瀏覽此程序路徑] 方塊,然後瀏覽至<系統驅動器號>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>[開啟>下一步]。
在 [動作] 頁面上,保留 [ 允許連線 ] 的預設設定,或根據組織的指導方針 >[下一步] 變更設定。
在 [ 配置檔 ] 頁面上,保留 [ 網域]、 [私人] 和 [ 公用 ] 的預設設定,或根據您的組織 >指導方針 [下一步] 變更設定。
在 [ 名稱] 頁面上,輸入規則的名稱,並選擇性地輸入描述 >[完成]。
現在,請依照相同的步驟,流覽至 <系統驅動器號>:\Program Files\Microsoft DPM\DPM\bin 並選取Dpmra.exe,以手動建立符合預設 Microsoft System Center 2012 R2 數據保護復寫代理程序規則 的 例外狀況。
如果您是使用 SP1 執行 System Center 2012 R2,則會使用 Microsoft System Center 2012 Service Pack 1 Data Protection Manager 來命名默認規則。
在 SQL Server的遠程實例上設定 Windows 防火牆
如果您使用 DPM 資料庫的遠端實例 SQL Server,作為程式的一部分,您必須在 SQL Server 的該遠端實例上設定 Windows 防火牆。
完成 SQL Server 安裝之後,應該為 SQL Server 的 DPM 實例啟用 TCP/IP 通訊協定,以及下列設定:
預設失敗稽核
啟用密碼原則檢查
為 sqlservr.exe SQL Server 的 DPM 實例設定傳入例外狀況,以允許埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。
資料庫引擎的預設執行個體會在 TCP 連接埠 1443 上進行接聽。 您可以變更這項設定。 若要使用 SQL Server Browser 服務連接到不在預設 1433 連接埠上接聽的執行個體,您將需要 UDP 連接埠 1434。
根據預設,SQL Server 的具名實例會使用動態埠。 您可以變更這項設定。
您可以在 SQL Server 錯誤記錄檔中檢視資料庫引擎目前使用的連接埠號碼。 您可以使用 SQL Server Management Studio 並連線到具名執行個體,以檢視錯誤記錄檔。 您可以在 [管理] - SQL Server [伺服器正在接聽 ['any' <ipv4> port_number] 專案中的目前記錄檔。
您必須在遠端實例上啟用遠端過程調用 (RPC) SQL Server。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應