2.3 Zugriffs- und Kommunikationsanforderungen in Ihrem Schutz-Netzwerk

2.3.1 Zugriffs- und Kommunikationsanforderungen für Workloads

Nachfolgend werden die Software-, Netzwerk- und Firewall-Anforderungen für Workloads beschrieben, die mithilfe von PlateSpin Forge geschützt werden sollen.

Tabelle 2-2 Zugriffs- und Kommunikationsanforderungen für Workloads

Workload-Typ

Voraussetzungen

Erforderliche Ports

Alle Workloads

Ping-Funktion (ICMP-Echoanfrage und -antwort).

 

Alle Windows-Workloads

.NET Framework Version 2.0 oder höher

 

Windows 7;

Windows Server 2008;

Windows Vista

  • Integrierte Administrator- oder Domänen-Administrator-Kontoberechtigungsnachweise (die Mitgliedschaft in der lokalen Administratorgruppe reicht nicht aus). Unter Vista muss das Konto aktiviert sein (es ist standardmäßig deaktiviert).

  • Bei der Konfiguration der Windows-Firewall müssen die folgenden Eingangsregeln aktiviert und auf Zulassen gesetzt werden:

    • Datei- und Druckerfreigabe (Echoanforderung - ICMPv4In)

    • Datei- und Druckerfreigabe (Echoanforderung - ICMPv6In)

    • Datei- und Druckerfreigabe (NB-Datagramm eingehend)

    • Datei- und Druckerfreigabe (NB-Name eingehend)

    • Datei- und Druckerfreigabe (NB-Sitzung eingehend)

    • Datei- und Druckerfreigabe (SMB eingehend)

    • Datei- und Druckerfreigabe (Spoolerdienst - RPC)

    • Datei- und Druckerfreigabe (Spoolerdienst - RPC-EPMAP)

Diese Firewall-Einstellungen werden mithilfe der Windows-Firewall mit dem Dienstprogramm „Erweiterte Sicherheit“ (wf.msc) konfiguriert. Sie können dasselbe Ergebnis erzielen, indem Sie das grundlegende Windows-Firewall-Dienstprogramm (firewall.cpl) verwenden. Wählen Sie in der Liste der Ausnahmen das Element Datei- und Druckerfreigabe aus.

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139, 445 und UDP 137, 138)

TCP 135/445

Windows Server 2000;

Windows XP;

Windows NT 4

  • Installierte Windows Management Instrumentation (WMI)

Bei Windows NT Server gehört WMI nicht zur Standardinstallation. Sie können den WMI Core von der Microsoft-Website beziehen. Wenn WMI nicht installiert ist, schlägt die Ermittlung des Workloads fehl.

WMI (RPC/DCOM) kann die TCP-Ports 135 und 445 sowie zufällig oder dynamisch zugewiesene Ports oberhalb von 1024 verwenden. Falls während des Ermittlungsvorgangs Probleme auftreten, sollten Sie den Workload vorübergehend in eine DMZ platzieren oder die durch eine Firewall geschützten Ports vorübergehend für die Ermittlung öffnen.

Weitere Informationen, z. B. eine Anleitung für das Beschränken des Portbereichs für DCOM und RPC, finden Sie in den folgenden technischen Artikeln von Microsoft.

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139, 445 und UDP 137, 138)

TCP 135/445

Alle Linux-Workloads

Secure Shell (SSH)-Server

TCP 22, 3725

2.3.2 Schutz über öffentliche und private Netzwerke durch NAT

In einigen Fällen kann sich ein Ursprung, ein Ziel oder PlateSpin Forge selbst in einem internen (privaten) Netzwerk hinter einem NAT-Gerät (Network Address Translator) befinden, wodurch eine Kommunikation mit dem Gegenstück während des Schutzes nicht möglich ist.

PlateSpin Forge ermöglicht Ihnen, dieses Problem zu umgehen, je nachdem, welcher der folgenden Hosts sich hinter dem NAT-Gerät befindet:

  • PlateSpin Forge-Server: Fügen Sie die diesem Host zugewiesenen zusätzlichen IP-Adressen zur Konfigurationsdatei web.config Ihres Servers hinzu. Weitere Informationen hierzu finden Sie in Parameter für zusätzliche IP-Adressen des PlateSpin Forge-Servers (NAT-Einstellungen).

  • Quell-Workload: Wird nur für Failback unterstützt, wo Sie eine alternative IP-Adresse für den Wiederherstellungs-Workload in Failback-Details (Workload an VM) angeben können.

  • Failback-Ziel: Wenn Sie versuchen, ein Failback-Ziel zu registrieren, geben Sie die öffentliche (oder externe) IP-Adresse in den Parametern für die Ermittlung/Registrierung an.