|
Soll Data Protector über eine Firewall betrieben werden, sind einige Punkte zu beachten.
Ich beschreibe hier ein Scenario, bei dem der Disk-Agent in der DMZ, und alle anderen Komponenten des Dataprotector (Cell-Manager, Media-Agent) in internen Netz laufen.
Hierfür sind neben einigen Regeln in der Firewall, auch die Ports, mit denen Data Protector arbeitet anzupassen.
Meine Konfig:
-
Cellmanager: DP 5.5 auf W2K im internen LAN (DNS:backup.xyz.lan)
-
Clients: W2K Server: DP 5.5 in DMZ (installiert ist der DA , DNS:Clientx.xyz.de)
-
Das Backup soll vom internen Zellmanager aus gesteuert werden. In der
DMZ befindet sich keine USER-GUI. Die Backup-Infos (Filenames,
Versionen, Meldungen) werden in die DB auf dem Zellmanager geschrieben.
Die Daten werden auf einer Library im Internen Netz geschrieben. Der
zugehörige Media-Agent (MA.xyz.de) läuft auf dem Zellmanager bzw. einem
separaten Server.
Meine Lösung:
-
Als erstes muß die Namensauflösung funktionieren.
Um dies
Einzurichten und zu Testen, habe ich kurzzeitig das Ping zwischen den
Clients und dem Zellmanager auf der Firewall erlaubt. Der Zellmanager,
sowie jeder Client (DA und MA) muß alle Namen der anderen beteiligten
Server auflösen können:
vom Zellmanager muß gehen:
-
nslookup Clientx.xyz.de
-> Rückgabe der korrekten IP_Adresse_des_Client
-
nslookup IP_Adresse_des_Client
-> Rückgabe des korrekten DNS-Namens: Clientx.xyz.de
-
Ping Clientx.xyz.de
-> IP_Adresse_des_Clients sollte korrekt angezeigt werden
und mit dem erlaubtem Ping auf der FW sollte auch eine Rückantwort
kommen
Dasselbe ist von allen Clients aus zum Zellmanager zu überprüfen.
Erst wenn die Namensauflösung steht ist es sinnvoll mit der
Installation Fortzufahren.
Ein typischer Fehler bei mangelhafter Namensauflösung ist: "Can not
connect Media Agent on system <XXXXXX>, port 2422 (IPC Invalid
Hostname or IP Address, sytem error:[11001] Host not found"
-
Die genutzten Portranges von DataProtector einschränken:
Um das zu schaffende Loch in der Firewall nicht zu groß zu reißen,
müssen nun die von den DataProtector-Prozessen genutzten TCP-Ports
etwas eingeschränkt werden. Dies erfolgt durch die Definition einer
OB2PORTRANGE in der Konfigurationsdatei omnirc.
Die Anzahl der notwendigen Ports richtet sich nach der Anzahl
gleichzeitig laufender Sessions sowie der Anzahl benutzer
Media-Devices.
Folgende Portanzahlen werden benötigt:
Agents
|
Portanzahl / Bereich
|
Bemerkungen
|
| DA -> MA (xMA-NET) |
10 (3 Lib mit 3 Drives + Reserve) /
18000-18009
|
-
Wert wird auf Server mit laufendem MA definiert
-
Es wird 1 Port je laufendem MA benötigt
-
Einige zusätzliche Ports zur Reserve werden empfohlen
|
DA -> xSM
|
100 /
20100-20199
|
-
wird nur benötigt wenn Option "Reconnect broken connections" aktiv ist
-
Je laufendem SessionManager (BSM,RSM,DBSM) wird ein Port benötigt
-
+ 1 Port für Datenbankoperationen
-
Da die Definition auf dem Cellmanager
stattfindet, muss der Portbereich groß genug sein, das er für alle
gleichzeitig laufenden Sessions ausreicht. Hier sind auch nur im
internen LAN laufende Sicherungen einbezogen!
|
Das ergibt folgende Einträge in der omnirc:
Cell-Server:
OB2PORTRANGESPEC=xSM:20100-20199;CRS:18100-18110
Server mit Media-Agent:
OB2PORTRANGESPEC=xMA-NET:18000-18009
Hinweise:
-
Es sollten alle Einträge mit x (also
xSM) vor Einträgen ohne x (also BMA-NET) stehen wenn sie in einer
omnirc vorkommen!
- Mehrere Portranges werden durch Semikolion getrennt
-
Ohne Neustart der Dienste geht natürlich auch nichts!
-
Nun die Firewall-Regeln:
-
der Cellmanager (CM) spricht den DA auf Port 5555 an
-
der DA (und eventuelle Application-Agents) spricht den MA auf einem
dynamischen Port an (OB"PORTRANGESPEC=xMA-NET:18000-18009)
-
der DA spricht den xSM auf einem dynamischen Port an (OB2PORTRANGESPEC=xSM:20100-20199)
Der Session Manager läuft auf dem Cellmanager-Server
xSM steht für:
-
Backup-Session Manager (BSM)
-
Restore-Session Manager (RSM)
-
Database-Session Manager (DBSM)
Sollen in der DMZ auch Application Agents (Datenbank, Exchange) laufen,
sind weitere Regeln notwendig, da diese auch eine Connection zum
Cellmanager benötigen. (Port 5555 und dynamische Ports)
Für mich ergeben sich folgende Regeln:
| Source |
Destination |
TCP-Source-Portrange |
TCP-Destination-Portrange |
| backup.xyz.lan |
Clientx.xyz.de |
5555 |
5555 |
| Clientx.xyz.de |
MA.xyz.de |
1024-65535
|
18000-18009
|
| Clientx.xyz.de |
backup.xyz.lan |
1024-65535 |
20100-20199
|
-
Anschließend die Software-Installation
auf den Clients. Hier habe ich die Installations-CD bemüht und eine
Clientinstallation nur mit Disk-Agent durchgeführt. Den aktuellen
Service-Pack für DP 5.5 auf Windows habe ich gleich nachgeschoben.
-
Nach der Installation gleich wieder ein Test: vom
Zellmanager aus sollte sich mit einem Telnet auf Port 5555 des Clients
der Omniback-Dienst melden.
-
Als letztes habe ich nun noch den Client in die
OmniBack-Zelle importiert (GUI auf Zellmanager) und die Tape-Drives der
Clients konfiguriert.
Sind diese Schritte alle erfolgreich absolviert, kann eine
Sicherungsspezifikation angelegt und getestet werden. Da mit dem
Definieren von OB2PORTRANGESPEC auf dem Cellserver auch alle internen
DA und MA betroffen sind, sollte man auf jeden Fall die Funktion der
Backups in der folgenden Zeit genau beobachten.
Einige Threats im ITRC-Forum zum Thema:
 Zu Favoriten hinzufügen (225) |  Artikel zitieren | Aufgerufen: 8977
Nur registrierte Benutzer können Kommentare schreiben.
Bitte melden Sie sich an oder registrieren Sie sich. Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved |
Hewlett Packard 
Artikel kommentieren
