通过

  • 项目

为 DPM 配置防火墙设置

 

适用对象:System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM 使用下列端口和协议。

协议

端口

详细信息

DCOM

135/TCP 动态

DCOM 由 DPM 服务器和 DPM 保护代理使用以发出命令和响应。DPM 通过在保护代理上引发 DCOM 调用向保护代理发出命令。保护代理通过在 DPM 服务器上引发 DCOM 调用来响应。

TCP 端口 135 是 DCOM 使用的 DCE 终结点解析点。默认情况下,DCOM 会从 TCP 端口范围(1024 到 65535)动态分配端口。但是,你可以使用组件服务来配置此范围。

TCP

5718/TCP

5719/TCP

DPM 数据通道基于 TCP。DPM 和受保护的计算机均会发起连接,以便能执行诸如同步和恢复等 DPM 操作。DPM 在端口 5718 上与代理协调器通信,并在端口 5719 上与保护代理通信。

TCP

6075/TCP

当创建用于保护客户端计算机的保护组时启用。为最终用户恢复所必需。

当在 Operations Manager 中为 DPM 启用中央控制台时,将为程序 Amscvhost.exe 创建 Windows 防火墙 (DPMAM_WCF_Service) 例外。

DNS

53/UDP

在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于解析主机名。

Kerberos

88/UDP

88/TCP

在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于验证连接终结点。

LDAP

389/TCP

389/UDP

在 DPM 与域控制器之间使用,用于执行查询。

NetBios

137/UDP

138/UDP

139/TCP

445/TCP

在 DPM 与受保护的计算机之间、在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于执行其他操作。用于直接在 TCP/IP 上托管的 SMB,以执行 DPM 功能。

Windows 防火墙设置

如果安装 DPM 时启用了 Windows 防火墙,则 DPM 安装程序会根据下表中总结的规则和例外来配置 Windows 防火墙设置。请注意:

  • 如果要查找有关为受 DPM 保护的计算机设置防火墙例外的信息,请参阅 为代理配置防火墙例外

  • 如果安装 DPM 时 Windows 防火墙不可用,则使用 手动配置 Windows 防火墙 手动进行安装。

  • 如果在远程 SQL Server 上运行 DPM 数据库,将需要设置几个防火墙例外。请参阅设置远程 SQL 服务器上的 Windows 防火墙。

规则名称

详细信息

协议

端口

Microsoft System Center 2012 R2 Data Protection Manager DCOM 设置

在 DPM 服务器和受保护的计算机之间进行 DCOM 通信时需要

DCOM

135/TCP 动态

Microsoft System Center 2012 R2 Data Protection Manager

Msdpm.exe 例外(DPM 服务)。在 DPM 服务器上运行。

所有协议

所有端口

Microsoft System Center 2012 R2 Data Protection Manager 复制代理

Dpmra.exe 例外(用于备份和还原数据的保护代理服务)。在 DPM 服务器和受保护的计算机上运行。

所有协议

所有端口

手动配置 Windows 防火墙

  1. 在服务器管理器中,选择**“本地服务器”>“工具”>“高级安全 Windows 防火墙”**。

  2. 在“高级安全 Windows 防火墙”控制台中,验证是否已为所有配置文件启用了 Windows 防火墙,然后单击**“入站规则”**。

  3. 要创建例外,在“操作”窗格中,单击“新建规则”以打开“新建入站规则向导”。

    在“规则类型”页上,验证是否选择了“程序”,然后单击“下一步”。

  4. 如果安装 DPM 时启用了 Windows 防火墙,则配置例外以匹配由 DPM 安装程序创建的默认规则。

    1. 若要在**“程序”页上手动创建与默认的 Microsoft System Center 2012 R2 Data Protection Manager 规则相匹配的例外,单击“此程序路径”框的“浏览”,导航到“<system drive letter>:\Program Files\Microsoft DPM\DPM\bin”>“Msdpm.exe”>“打开”>“下一步”**。

      在“操作”页上,保留**“允许连接”的默认设置,或依据组织的准则修改设置,然后单击“下一步”**。

      在**“配置文件”页上,保留“域”“专用”“公共”的默认设置,或依据组织的准则修改设置,然后单击“下一步”**。

      在**“名称”页上,为规则键入名称并根据需要键入描述,然后单击“完成”**。

    2. 现在,通过浏览到 <system drive letter>:\Program Files\Microsoft DPM\DPM\bin,并选择**“Dpmra.exe”**,使用相同的步骤手动创建与默认 Microsoft System Center 2012 R2 Data Protection 复制代理规则匹配的例外。

    请注意,如果你正运行带有 SP1 的 System Center 2012 R2,默认规则将被命名为 Microsoft System Center 2012 Service Pack 1 Data Protection Manager

设置远程 SQL 服务器上的 Windows 防火墙

如果 DPM 数据库使用远程 SQL Server,作为过程的一部分,您需要在该远程 SQL Server 上配置 Windows 防火墙。

  • SQL Server 安装完成后,应为 SQL Server 的 DPM 实例启用 TCP/IP 协议,设置如下:默认失败审核、启用密码策略检查。

  • 为 SQL Server 的 DPM 实例 sqservr.exe 配置传入例外,以允许使用端口 80 上的 TCP。报表服务器在端口 80 上侦听 HTTP 请求。

  • 数据库引擎的默认实例侦听 TCP 端口 1443。此设置可以修改。若要使用 SQL Server Browser 服务连接到不在默认 1433 端口侦听的实例,需要 UDP 端口 1434。 

  • 默认情况下,SQL Server 的命名实例使用动态端口。此设置可以修改。

  • 您可以在 SQL Server 错误日志中查看数据库引擎使用的当前端口号。您可以通过使用 SQL Server Management Studio 并连接到命名实例来查看错误日志。可以在“服务器正在侦听 [‘any’ <ipv4> port_number]”条目下的“管理 – SQL Server 日志”中查看当前日志。

  • 需要在远程 SQL 服务器上启用 RPC。