Remarque : pour vérifier si ce document correspond à l'ordinateur en question, téléchargez et exécutez un contrôle d'intégrité avec SymHelp.

 

Dans un environnement de pare-feu, vérifiez que les paramètres de port sont configurés correctement, sinon Backup Exec risque d'être interrompu lors des actions suivantes :

1. Accès à des ordinateurs distants par l'intermédiaire d'un pare-feu via la liste Sélections de sauvegarde.
2. Sauvegarde et restauration d'ordinateurs par l'intermédiaire d'un pare-feu.

Accès aux systèmes par l'intermédiaire d'un pare-feu :

La plupart des pare-feux ne permettant pas l'affichage d'un système distant dans le voisinage réseau Microsoft, des étapes supplémentaires doivent être suivies pour sélectionner les systèmes distants concernés dans la console d'administration Backup Exec.

Utilisez "Sélections de l'utilisateur" pour afficher les systèmes situés derrière un pare-feu.

1. Dans la barre de navigation, cliquez sur le bouton Sauvegarde de l'interface Backup Exec.
2. Cliquez avec le bouton droit de la souris sur le dossier Sélections de l'utilisateur .
3. Dans le champ "Définir une sélection", après le signe \\, saisissez le nom ou l'adresse IP du système distant, cliquez sur Ajouter, puis sur Fermer.  

Sauvegarde de systèmes dans un environnement avec filtrage de pare-feu/TCP :

Comme les pare-feux ont une incidence sur la communication entre un serveur de médias et des systèmes distants en dehors de l'environnement de pare-feu, un paramétrage de port particulier doit être envisagé lors de la configuration de Backup Exec pour une utilisation avec des pare-feux.  Si vous utilisez Symantec Endpoint Protection comme pare-feu, vous pouvez également libérer 25 ports aléatoires à partir de la console.

PORTS devant être ouverts sur le PARE-FEU.
 

NUMERO DE PORT	TYPE DE CONNEXION
10000	CONTROLE
49152 et suivants (exemple : ports dynamiques)	DONNEES

Remarque :  un PORT DYNAMIQUE est un port qui n'est lié à aucune connexion de façon permanente (une fois la sauvegarde effectuée, le port est libéré).

Il est nécessaire de disposer d'au moins deux ports par travail de sauvegarde par l'intermédiaire d'un pare-feu.  Si les sauvegardes sont exécutées simultanément par l'intermédiaire du pare-feu, davantage de ports devront être ouverts.

Remarque : il est recommandé de laisser plusieurs ports ouverts car un port dynamique peut être occupé par une autre application, ce qui risque d'entraîner des problèmes de connexion de données. Nous vous conseillons de laisser au moins 25 ports ouverts pour le système distant.  Par exemple :
 

NOMBRE DE SAUVEGARDES SIMULTANEES	NOMBRE DE PORTS REQUIS POUR LES DONNEES
5	5

L'exemple ne compte que cinq ports, mais assurez-vous qu'entre10 et 25 ports restent ouverts pour les filtres de pare-feu/TCP du système distant.

Une connexion de contrôle est toujours établie sur le port TCP 10000 entre le serveur de médias et l'ordinateur distant.  Une fois la connexion établie, le port est libre pour écouter une autre connexion à partir du serveur de médias, mais les sauvegardes de données ultérieures nécessiteront un autre port pour la transmission de données (le premier port étant utilisé pour le premier travail de sauvegarde).

Configuration de port recommandée dans un environnement avec filtrage de pare-feu/TCP :

Lors de la réalisation de sauvegardes par l'intermédiaire d'un pare-feu, sélectionnez une plage spécifique dans la boîte de dialogue des paramètres Réseau et pare-feu par défaut dans la console Backup Exec, puis ouvrez la plage exacte du filtrage de pare-feu/TCP, comme illustré dans la figure ci-dessous.

Remarque :Selon l'IANA (INTERNET ASSIGNED NUMBERS AUTHORITY),les ports jugés comme dynamiques et disponibles ne le sont pas.  La liste de ports établie par l'IANA indique que la plupart des ports assignés sont des ports réservés ou enregistrés.  Par conséquent, lors de la sélection des ports dans la console Backup Exec (sous Réseau et pare-feu), la règle n'est pas suivie et la connexion est rejetée/refusée par le serveur distant.
 

Informations IANA :

 https://www.iana.org/assignments/port-numbers

NUMÉROS DE PORT = (dernière mise à jour : 12-10-2012 )

Les numéros de port se divisent en trois plages :

1. Les ports réservés.
2. Les ports enregistrés.
3. Les ports dynamiques et/ou privés.

Les ports réservés sont numérotés de 0 à 1023.

Les ports enregistrés sont numérotés de 1024 à 49151.

Les ports dynamiques et/ou privés sont numérotés de 49152 à 65535 (recherche de ports non assignés)

Tout port dont le numéro est compris entre 1024 et 49151 est enregistré ; par conséquent, même lorsque cette plage est indiquée dans Backup Exec (sous Outils > Options > Réseau et pare-feu) et qu'une plage similaire est indiquée dans le serveur distant, le filtrage de pare-feu/TCP est susceptible de refuser une sauvegarde ou de "refuser de communiquer", comme illustré dans l'erreur de journal SGMON suivante :

Traçage d'erreur dans SGMON :

bengine: [3044] 09/12/05 11:53:47 TF_InitMediaServerReverseConnection: Data Connection: Failed to connect to remote address 170.140.236.128:3189,
system error message: "No connection could be made because the target machine actively refused it".

Il s'agit d'un exemple de ports ayant été bloqués par le filtrage TCP/pare-feu, hormis le port 10000, qui est en général le seul port ouvert par les administrateurs réseau et utilisé pour la connexion de contrôle.

Solution :

Indiquez une plage disponible maximale(NON ASSIGNEE) conforme à la réglementation IANA. Selon cet organisme (plage disponible maximale :5204-5221), cela correspond à 17 ports. Ouvrez l'ensemble des "17" ports ou assignez simplement "10" ports. Reportez-vous au site Web de l'IANA pour l'allocation d'une plage alternative.

Spécifiez la plage, comme indiqué dans la figure ci-dessous :
 

Activez la plage de ports TCP dynamiques de Remote Agent :

5204 - 5221

Si une plage de ports n'est pas spécifiée, Backup Exec essaye d'utiliser l'ensemble de la plage de ports dynamiques disponibles ; en conséquence, les sauvegardes ou restaurations peuvent échouer dans l'environnement de domaine avec filtrage de pare-feu/TCP.