none
Windows Firewall (Server 2008) verhindert Kommunikation mit DPM07 RRS feed

  • Frage

  • Hi Leute,
    folgende Problematik.

    Der DPM07 soll mehrere Server sichern. Darunter ein DC (server 2003), ein SQL 08 (Server 2008) und ein Exchange 2007 (Server 2008 x64).
    Der Rollout des Clients über die DPM07-Konsole auf den DC war unproblematisch. Auf den SQL08 gab es schon Probleme.
    Wenn die Firewall für Private und Domänenkommunikation ausgeschaltet wurde, kam keine Verbindung zu stande. Erst mit Deaktivierung des Dienstes, konnte der Agent auf dem SQL-Server installiert werden.

    Auf dem Exchange Server war es ähnlich.
    Allerdings kommt hier keine Kommunikation zwischen dem DPM07 und dem Agent auf dem Exchange Server zustande.
    Auch nicht, wenn ich in der Konfiguration der Firewall alle Verbindungen zulasse. Nur nach Deaktivierung des Firewall-Dienstes funktioniert die Kommunikation.

    Die Regeln, die ich auf dem SQL-Server verwende, habe ich 1:1 auf dem Exchange-Server übertragen, kein Erfolg.
    Im folgenden habe ich folgende Regeln für die Kommunikation definiert (erlaubt):
    TCP 5718, 5719 - Eingehend
    %ProgramFiles%\Microsoft Data Protection Manager\DPM\bin\dpmra.exe - TCP - Alle Ports
    UDP 88, 137, 138, 389 - Eingehend

    Für Domänen- und Privates-Profil eingehend folgende, eingehende Dienste geöffnet:
    Remotedienstverwaltung (RPC)
    Remote-Ereignisprotokollverwaltung (RPC)
    Remoteverwaltung (RPC)
    Windows-Verwaltungsinstrumentation (WMI eingehend)

    Die Konfiguration is exakt identisch mit dem SQL Server, doch zeigt mir die DPM-Konsole der Server ist nicht verfügbar.

    Welche Ports muss ich noch öffnen oder wo könnte der Fehler liegen? Hab auch schon im Word-Dokument dpmv2deployment[1].doc reingechaut, aber nichts weiter gefunden.
    Bin mir ziemlich sicher, dass die Firewall auf dem Exchange-Server fehlerhaft reagiert.

    Danke!
    Samstag, 27. Juni 2009 10:41

Alle Antworten

  • Hallo Roger,

    Sp1 hast Du drauf ?

    hier ein Link der Dir weiterhelfen könnte: http://msmvps.com/blogs/rauscher/archive/2009/01/10/DPMCLient_5F00_manuell.aspx

    Gruß Ralph Andreas Altermann
    Samstag, 27. Juni 2009 12:57
  • Ja, SP2 ist drauf.
    Naja, dass Problem ist ja nicht mehr, dass der Agent sich nicht installieren lässt, sondern sobald ich die Windows-Firewall einschalte, dass der DPM07 dann keine Verbindung mehr zum Agent auf dem Exchange 2007 bekommen.

    Und das, obwohl es die gleichen Regeln sind, wie auf dem SQL-Server und der funktioniert tadellos.

    Hatte auch schon die manuelle DPM-Agent-Installation versucht, aber Ergebnis ist das selbe.
    Samstag, 27. Juni 2009 13:04
  • ich meinte Sp1 für DPM07 :-)
    Gruß Ralph Andreas Altermann
    Samstag, 27. Juni 2009 13:06
  • Sorry, jou ist seid gestern auch drauf. Hatte gehoftt, dass es vielleicht was ändert :-)
    Samstag, 27. Juni 2009 13:59
  • Hallo Roger

    Wurden die Agenten auch aktualisiert?

    http://technet.microsoft.com/en-us/library/dd367824.aspx
    http://technet.microsoft.com/en-us/library/dd367823.aspx

    In diesen KB Artikel (Weitere Informationen) sind alle Ports die der DPM07 benutzt zu finden. Diese könnten beim Erstellen der Firewall-Regeln auf dem Exchange-Server behilflich sein.

    http://support.microsoft.com/kb/947682

    Gruß
    Andrei
    Dienstag, 30. Juni 2009 07:58
    Moderator
  • Hmm, wieso wurde der Thread als gelöst eingestuft?

    Das Problem ist ja nicht behoben und wie ich im ersten Thread schon geschrieben habe:

    Die Regeln, die ich auf dem SQL-Server verwende, habe ich 1:1 auf dem Exchange-Server übertragen, kein Erfolg.
    Im folgenden habe ich folgende Regeln für die Kommunikation definiert (erlaubt):
    TCP 5718, 5719 - Eingehend
    %ProgramFiles%\Microsoft Data Protection Manager\DPM\bin\dpmra.exe - TCP - Alle Ports
    UDP 88, 137, 138, 389 - Eingehend

    Für Domänen- und Privates-Profil eingehend folgende, eingehende Dienste geöffnet:
    Remotedienstverwaltung (RPC)
    Remote-Ereignisprotokollverwaltung (RPC)
    Remoteverwaltung (RPC)
    Windows-Verwaltungsinstrumentation (WMI eingehend)

    Die Konfiguration is exakt identisch mit dem SQL Server, doch zeigt mir die DPM-Konsole der Server ist nicht verfügbar.

    Auf dem DPM-Server werden die Verbindung zu 3 Servern (2 x Server 2008, 1 x Server 2003) als verbunden angezeigt. Nur der Exchange 2007 mit Server 2008 x64 lässt sich nicht erreichen.
    Die Firewall-Konfiguration ist identisch.

    Selbst mit ausschalten der Firewall im Domänen-, Privaten- und Öffentlichen Profil lässt sich der Agent nicht erreichen. ERst wenn ich den Dienst Windows Firewall deaktiviere, Funktioniert die Kommunikation zwischen Agent und Server einwandfrei.
    Dies deutet für mich schon sehr eindeutig auf ein PRoblem der Firewall hin.

    Wie seht ihr das?

    Dienstag, 7. Juli 2009 10:18
  • Hallo Roger

    der Thread wurde markiert, weil keine Antwort auf dem letzten Post für 7 Tage kam und der vorgeschlagene Lösungansatz für andere Benutzer hilfreich sein könnte.

    Es ist aber kein Problem, wenn man wie in diesen Fall die Markierung später wieder aufhebt. Die Idee dahinter bleibt eine Lösung für das Problem zu finden.

    Ich würde gerne nochmal auf die letzten Fragen kommen:

    1. Wurden die Agenten nach der SP1 Installation auch akualisiert?

    2. Die Liste dient dazu eine Übersicht von den Ports zu verschaffen. Evtl. hilft hier alle Ports auf beiden Maschinen mit den entsprechenden IP-Adressen manuell für ein- und ausgehende Regelen zu erstellen. Vielleicht werden ja ausgehende Ports blockiert oder die TCP Ports werden auch von einen anderen Dienst als dpmra.exe benutzt.

    TCP 5178
    TCP 5179
    TCP 135 dynamic
    User Datagram Protocol (UDP) 53
    UDP 88
    TCP 88
    UDP 137
    UDP 138
    TCP 139
    TCP 389
    UDP 389


    Letztenendes hilft dir ein Netzwerktrace auf beiden Maschinen (mit und ohne Firewall), um zu sehen welche Ports vom Firewall geblockt werden, um dannach die gewünschten Regeln zu erstellen.
    Viele Grüße
    Andrei
    Dienstag, 7. Juli 2009 11:16
    Moderator
  • Hallo, achso, jetzt weiss man wenigstens auch wie das Verfahren hier ist :-)

    1. Ja, die Agenten wurden nach der Installation des SP1 aktualisiert. Dies wurde ja auch vom DPM Server 2007 als Notwendig angegeben.

    2. Die Frage die sich doch ganz eindeutig stellt ist, warum blockt die Firewall, wenn ich in den Profilen "Domäne, Privat und Öffentlich" diese auf deaktiviert stelle. Und weswegen funktioniert die Kommunikation erst dann, wenn ich den Dienst komplett deaktiviere.

    Ich kann das Verhalten einfach nicht nachvollziehen. Exakt die gleichen Regeln werden ja auf den anderen Servern verwendet.

    Auf dem besagten Server, habe ich es bereits versucht mit In- und Outgoing-Regeln.

    Das die Ports von einem anderen Dienst verwendet werden, halte ich auch für unwahrscheinlich, da, wie gesagt, die Funktion gegeben ist, sobald der Dienst "Windows Firewall" deaktiviert wird.

    Der Unterschied zwischen den Systemen besteht ja im Prinzip darin, dass die 3 Systeme bei denen es funktioniert 32 Bit Versionen sind und bei dem nicht funktionierendem System handelt es sich um eine 64Bit Edition.

    Na, ich werd nochmal schauen, ob ich was finde, sonst werd ich mich wohl mit den PsTools dran machen müssen.
    Freitag, 10. Juli 2009 05:41
  • Hallo Roger

    du könntest versuchen den Agenten manuell nochmal auf den betroffenen Server zu installieren. Die nötigen Schritte:

    1. Die DPMAgentInstaller_amd64.exe Datei auf den Server kopieren.
    2. Den Firewall Dienst stoppen und deaktivieren. Das ist auf 2008 Server/Vista notwendig!
    3. DPMAgentInstaller_amd64.exe ausführen.
    4. Firewall dienst starten.
    5. Neustart des betroffenen Servers.
    6. Die Firewall exceptions eingeben.

    Mehr darüber ist in den unteren Artikel zu finden:

    http://technet.microsoft.com/en-us/library/bb870935.aspx

    Lass uns auch wissen, ob irgendwelche Fehlermeldungen in der Ereignisanzeige aufkommen.

    Gruß
    Andrei
    Dienstag, 14. Juli 2009 09:21
    Moderator
  • Hi,

    schau mal mit der MMC unter Ipsec ob dort Regeln definiert sind, wir hatten mal ein ähnliches Problem.
    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Dienstag, 14. Juli 2009 10:51
  • Wollte mal einen Sachstand abgegeben, mittlerweile bekommt der DPM-Server einen Connect mit dem Agent auf dem Exchange-Server.

    Allerdings fallen mir noch immer Ungereimheiten auf, wobei ich fast Fehler in der Windows-Firewall vermute.

    Auf den Servern, die auch Zugang zum WAN haben, sind zwei Interfaces, 1 x LAN und 1 x WAN. Auf Backend-Server logischerweise nur ein Interface.

    Das LAN-Interface wurde auf allen Server 2008 als Domänennetzwerk erkannt. Die Freigaben für den DPM-Agent funktionieren aber nur, wenn ich unter Erweitert in der Windows Firewall "Alle Bereiche" aktiviere. Sobald ich nur den Punkt "Domäne" oder "Domäne und Privat" markiere, bekommt der Server keinen Connect zu seinen Agents.
    Es muss, um einen Connect zu bekommen auch der Punkt "Öffentlich" aktiiert werden.

    Woran liegt das, habt ihr dafür eine Erklärung?
    Über die Öffentliche Schnittstelle sind die Server unter einer anderen IP-Adresse erreichbar, die auch nicht in den Backend-DNS-Servern eingetragen ist. Also verwerht sich mir noch mehr, warum dieser Punkt aktivirt sein muss.

    Danke schonmal.

    Gruß
    Gregor

    Donnerstag, 30. Juli 2009 08:01
  • Hi,

    welche Netzwerke zur Domäne gehören wird anhand der Einstellungen in Active Directory, Sites and Services ermittelt. Ist das Subnetz in dem der Server steht eingetragen in der richtigen Site?
    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Donnerstag, 30. Juli 2009 08:03
  • Ja, ist er. Es gibt für die Server nur zwei Standorte. DAzu auch zwei Sunnetze. Beide DC`s an dem Standort sind auch dem korrekten Standort zugewiesen. Hab gerad noch mal geschaut.

    Das andere Subnetz ist derzeit nicht in Betrieb.
    Donnerstag, 30. Juli 2009 12:48
  • Hi,

    welche Fehlermeldung bekommst du denn im DPM

    cu
    Frank
    Dienstag, 11. August 2009 14:46