Вторичный сервер DPM и доступ к агентам защиты на основном сервере

Отказ от ответственности: это не идеальная настройка. В идеальном мире у нас был бы прямой двусторонний VPN между нашим сайтом и удаленным сайтом. Моя задача - прояснить последствия запуска установки System Center на удаленном сайте с помощью управления и резервного копирования с нашего локального сайта без использования VPN-канала между ними.

С помощью System Center 2012 R2 Data Protection Manager мне нужна эта настройка:

| * 1-* Servers protected by DPM_1
| * A Primary DPM server, DPM_1, protecting the servers above
|
|--- Remote firewall, all Inbound and Outbound traffic must be explicitly set
|
| The Internet
|
|--- Our firewall. (Almost) all outbound traffic is allowed, inbound must be configured
|
| * A Secondary DPM Server, DPM_2, protecting DPM_1 and it's replicas.

Теперь DPM_2 предназначен для аварийного восстановления, поскольку автономное резервное копирование Azure на этом сайте недоступно. Мне нужно выяснить, как должен быть настроен брандмауэр.

Теперь я знаю, что из DPM_2 я установлю удаленного агента на DPM_1, таким образом наследуя требования брандмауэра для защиты Windows Server.

Для каких сценариев брандмауэр нуждается в дополнительной настройке, чтобы DPM_2 мог работать как задумано?

Сценарий 1: DPM_1 работает как обычно. DPM_2 защищает DPM_1 и реплики на DPM_1

Сценарий 2: У системного администратора на удаленном сайте плохой день, и он выплескивает кофе на DPM_1, что временно лишает его возможности работать. Мы используем "Защита коммутатора", чтобы DPM_2 был основным сервером DPM для защищенных компьютеров на удаленном сайте.

Сценарий 3. Один из защищенных компьютеров выходит из строя на удаленном сайте, когда DPM_1 не работает, поэтому нам необходимо выполнить восстановление из DPM_2

Сценарий 4: О, вы, системный администратор.... во время очистки разлива кофе от DPM_1 что-то пошло не так, и теперь DPM_1 окончательно не работает. Нам нужно выполнить чистое восстановление металла DPM_1 из DPM_2.