Konfigurieren einer Firewall für Operations Manager
In diesem Abschnitt wird beschrieben, wie Sie Ihre Firewall so konfigurieren, dass die Kommunikation zwischen den verschiedenen Operations Manager-Features in Ihrem Netzwerk möglich ist.
Hinweis
Operations Manager unterstützt derzeit kein LDAP über SSL (LDAPS).
Port-Zuweisungen
Die folgende Tabelle zeigt die Interaktion des Operations Manager-Features über eine Firewall hinweg, einschließlich Informationen über die für die Kommunikation zwischen den Funktionen verwendeten Ports, die Richtung, in die der eingehende Port geöffnet werden soll, und ob die Portnummer geändert werden kann.
Operations Manager-Feature A | Portnummer und Richtung | Operations Manager-Feature B | Konfigurierbar | Hinweis |
---|---|---|---|---|
Verwaltungsserver | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager-Datenbank | Ja (Setup) | WMI-Port 135 (DCOM/RPC) für die erste Verbindung und dann ein dynamisch zugewiesener Port über 1024. Weitere Informationen finden Sie unter Spezielle Überlegungen zu Port 135. Die Ports 135,137,445,49152-65535 müssen nur während der ersten Installation des Verwaltungsservers geöffnet sein, damit der Einrichtungsvorgang den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
Verwaltungsserver | 5723/TCP, 5724/TCP ---> | Verwaltungsserver | No | Der Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren. Er kann nach der Installation geschlossen werden. |
Verwaltungsserver, Gatewayserver | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Domänencontroller | No | Port 88 wird für die Kerberos-Authentifizierung verwendet und ist nicht erforderlich, wenn nur die Zertifikatauthentifizierung verwendet wird.3 |
Verwaltungsserver | 161,162 <---> | Netzwerkgerät | No | Alle Firewalls zwischen dem Verwaltungsserver und den Netzwerkgeräten müssen SNMP (UDP) und ICMP bidirektional zulassen. |
Gatewayserver | 5723/TCP ---> | Verwaltungsserver | No | |
Verwaltungsserver | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Reporting-Data Warehouse | No | Die Ports 135,137,445,49152-65535 müssen nur während der ersten Installation des Verwaltungsservers geöffnet sein, damit der Einrichtungsvorgang den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
Berichtsserver | 5723/TCP, 5724/TCP ---> | Verwaltungsserver | No | Der Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren. Er kann nach der Installation geschlossen werden. |
Operations-Konsole | 5724/TCP ---> | Verwaltungsserver | No | |
Operations-Konsole | 80, 443 ---> 49152-65535 TCP <---> |
Management Pack-Katalogwebdienst | No | Unterstützt das Herunterladen von Management Packs direkt in der Konsole aus dem Katalog.1 |
Konnektorframework-Quelle | 51905 ---> | Verwaltungsserver | No | |
Webkonsolenserver | 5724/TCP ---> | Verwaltungsserver | No | |
Webkonsolebrowser | 80, 443 ---> | Webkonsolenserver | Ja (IIS-Admin) | Standardports für HTTP oder SSL aktiviert. |
Webkonsole für Anwendungsdiagnose | 1433/TCP >--- 1434 ---> |
Operations Manager-Datenbank | Ja (Setup) 2 | |
Webkonsole für Application Advisor | 1433/TCP >--- 1434 ---> |
Reporting-Data Warehouse | Ja (Setup) 2 | |
Verbundener Verwaltungsserver (lokal) | 5724/TCP ---> | Verbundener Verwaltungsserver (verbunden) | No | |
Windows-Agent installiert mit „MOMAgent.msi“ | 5723/TCP ---> | Verwaltungsserver | Ja (Setup) | |
Windows-Agent installiert mit „MOMAgent.msi“ | 5723/TCP ---> | Gatewayserver | Ja (Setup) | |
Windows-Agent-Pushinstallation, ausstehende Reparatur, ausstehendes Update | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High Ports (Betriebssystem 2008 und höher) Ports 49152-65535 TCP |
No | Die Kommunikation wird von MS/GW an einen Active Directory-Domänencontroller und den Zielcomputer initiiert. | |
UNIX/Linux-Agent-Ermittlung und Überwachung des Agents | TCP 1270 <--- | Verwaltungsserver oder Gatewayserver | No | |
UNIX/Linux-Agent zum Installieren, Aktualisieren und Entfernen des Agents mithilfe von SSH | TCP 22 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
OMED-Dienst | TCP 8886 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
Gatewayserver | 5723/TCP ---> | Verwaltungsserver | Ja (Setup) | |
Agent (Weiterleitung von Überwachungssammeldiensten) | 51909 ---> | Verwaltungsserver – Überwachungssammeldienste-Collector | Ja (Registrierung) | |
Daten zur Ausnahmeüberwachung vom Client ohne Agents | 51906 ---> | Verwaltungsserver – Ausnahmeüberwachungs-Dateifreigabe ohne Agents | Ja (Clientüberwachungs-Assistent) | |
Daten zum Programm zur Verbesserung der Benutzerfreundlichkeit vom Client | 51907 ---> | Verwaltungsserver-Punkt (Ende des Programms zur Verbesserung der Benutzerfreundlichkeit) | Ja (Clientüberwachungs-Assistent) | |
Betriebskonsole (Berichte) | 80 ---> | SQL Reporting Services | No | Die Betriebskonsole verwendet Port 80, um eine Verbindung mit der SQL Reporting Services-Website herzustellen. |
Berichtsserver | 1433/TCP >--- 1434/UDP >--- |
Reporting-Data Warehouse | Ja 2 | |
Verwaltungsserver (Collector von Überwachungssammeldiensten) | 1433/TCP <--- 1434/UDP <--- |
Datenbank für Überwachungssammlungsdienste | Ja 2 |
Management Pack-Katalogwebdienst 1
Um auf den Management Pack-Katalogwebdienst zuzugreifen, muss Ihre Firewall und/oder der Proxyserver die folgende URL und den Platzhalter (*) zulassen:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
http://go.microsoft.com/fwlink/*
Identifizieren von SQL-Port 2
Der Standard-SQL-Port ist „1433“, diese Portnummer kann jedoch basierend auf den Organisationsanforderungen angepasst werden. Führen Sie die folgenden Schritte aus, um den konfigurierten Port zu identifizieren:
- Erweitern Sie in der Konsolenstruktur des SQL Server Configuration Manager SQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie dann auf TCP/IP.
- Notieren Sie sich im Dialogfeld TCP/IP-Eigenschaften auf der Registerkarte IP-Adressen den Portwert für IPAll.
Wenn Sie einen SQL Server verwenden, der mit einer AlwaysOn-Verfügbarkeitsgruppe oder nach der Migration einer Installation konfiguriert ist, gehen Sie folgendermaßen vor, um den Port zu identifizieren:
- Stellen Sie im Objekt-Explorer eine Verbindung mit einer Serverinstanz her, die die Verfügbarkeitsreplikate der Verfügbarkeitsgruppe hostet, deren Listener Sie anzeigen möchten. Klicken Sie auf den Servernamen, um die Serverstruktur zu erweitern.
- Erweitern Sie den Knoten Hohe Verfügbarkeit (immer aktiviert) und den Knoten Verfügbarkeitsgruppen .
- Erweitern Sie den Knoten der Verfügbarkeitsgruppe, und erweitern Sie den Knoten Verfügbarkeitsgruppenlistener .
- Klicken Sie mit der rechten Maustaste auf den Listener, den Sie anzeigen möchten, und wählen Sie den Befehl Eigenschaften aus. Das Dialogfeld Verfügbarkeitsgruppenlistener-Eigenschaften wird geöffnet, in dem der konfigurierte Port verfügbar sein sollte.
Kerberos-Authentifizierung 3
Für Windows-Clients, die die Kerberos-Authentifizierung verwenden und sich in einer anderen Domäne als die Verwaltungsserver befinden, gibt es zusätzliche Anforderungen, die erfüllt werden müssen:
- Zwischen Domänen muss eine bidirektionale transitive Vertrauensstellung eingerichtet werden.
- Die folgenden Ports müssen zwischen den Domänen geöffnet sein:
- TCP/UDP-Port 389 für LDAP.
- TCP/UDP-Port 88 für Kerberos.
- TCP/UDP-Port 53 für Domain Name Service (DNS).