Konfigurieren einer Firewall für Operations Manager
In diesem Abschnitt wird beschrieben, wie Sie Ihre Firewall konfigurieren, um die Kommunikation zwischen den verschiedenen Operations Manager-Features in Ihrem Netzwerk zu ermöglichen.
Hinweis
Operations Manager unterstützt derzeit kein LDAP über SSL (LDAPS).
Port-Zuweisungen
Die folgende Tabelle zeigt die Interaktion von Operations Manager-Features in einer Firewall, einschließlich Informationen zu den Ports, die für die Kommunikation zwischen den Features verwendet werden, welche Richtung zum Öffnen des eingehenden Ports und ob die Portnummer geändert werden kann.
| Operations Manager-Feature A | Portnummer und Richtung | Operations Manager-Feature B | Variantenkonfigurator verwenden | Hinweis |
|---|---|---|---|---|
| Verwaltungsserver | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager-Datenbank | Ja (Setup) | WMI-Port 135 (DCOM/RPC) für die erste Verbindung und dann ein dynamisch zugewiesener Port über 1024. Weitere Informationen finden Sie unter "Besondere Überlegungen" für Port 135 Ports 135.137.445.49152-65535 müssen nur während der anfänglichen Verwaltungsserverinstallation geöffnet werden, damit der Setupprozess den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
| Verwaltungsserver | 5723/TCP, 5724/TCP ---> | Verwaltungsserver | No | Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren und kann nach der Installation geschlossen werden. |
| Verwaltungsserver, Gatewayserver | 53 (DNS)----> 88 (Kerberos)----> 389 (LDAP)----> |
Domänencontroller | No | Port 88 wird für die Kerberos-Authentifizierung verwendet und ist nicht erforderlich, wenn nur die Zertifikatauthentifizierung verwendet wird.3 |
| Verwaltungsserver | 161,162 <---> | Netzwerkgerät | No | Alle Firewalls zwischen dem Verwaltungsserver und den Netzwerkgeräten müssen SNMP (UDP) und ICMP bidirektional zulassen. |
| Gatewayserver | 5723/TCP----> | Verwaltungsserver | No | |
| Verwaltungsserver | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Reporting Data Warehouse | No | Ports 135.137.445.49152-65535 müssen nur während der anfänglichen Verwaltungsserverinstallation geöffnet werden, damit der Setupprozess den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
| Berichtsserver | 5723/TCP, 5724/TCP ---> | Verwaltungsserver | No | Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren und kann nach der Installation geschlossen werden. |
| Operations-Konsole | 5724/TCP----> | Verwaltungsserver | No | |
| Operations-Konsole | 80, 443 ---> 49152-65535 TCP <---> |
Management Pack-Katalogwebdienst | No | Unterstützt das Herunterladen von Management Packs direkt in der Konsole aus dem Katalog.1 |
| Connector Framework-Quelle | 51905 ---> | Verwaltungsserver | No | |
| Webkonsolenserver | 5724/TCP----> | Verwaltungsserver | No | |
| Webbrowser | 80, 443 ---> | Webkonsolenserver | Ja (IIS-Administrator) | Standardports für HTTP oder SSL aktiviert. |
| Webkonsole für Anwendungsdiagnose | 1433/TCP >--- 1434 ---> |
Operations Manager-Datenbank | Ja (Setup) 2 | |
| Webkonsole für Anwendungsratgeber | 1433/TCP >--- 1434 ---> |
Reporting Data Warehouse | Ja (Setup) 2 | |
| Verbundener Verwaltungsserver (lokal) | 5724/TCP----> | Verbundener Verwaltungsserver (verbunden) | No | |
| Mit MOMAgent.msi installierter Windows-Agent | 5723/TCP----> | Verwaltungsserver | Ja (Setup) | |
| Mit MOMAgent.msi installierter Windows-Agent | 5723/TCP----> | Gatewayserver | Ja (Setup) | |
| Windows-Agent-Pushinstallation, ausstehende Reparatur, ausstehendes Update | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High Ports (Betriebssystem 2008 und höher) Ports 49152-65535 TCP |
No | Die Kommunikation wird von MS/GW an einen Active Directory-Domänencontroller und den Zielcomputer initiiert. | |
| UNIX/Linux Agent Discovery und Überwachung des Agents | TCP 1270 <--- | Verwaltungsserver oder Gatewayserver | No | |
| UNIX/Linux-Agent zum Installieren, Aktualisieren und Entfernen des Agents mithilfe von SSH | TCP 22 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
| OMED-Dienst | TCP 8886 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
| Gatewayserver | 5723/TCP----> | Verwaltungsserver | Ja (Setup) | |
| Agent (Weiterleitung von Überwachungssammlungsdiensten) | 51909 ---> | Verwaltungsserver-Sammlungsdienstesammler | Ja (Registrierung) | |
| Agentlose Ausnahmeüberwachungsdaten vom Client | 51906 ---> | Dateifreigabe der Verwaltungsserver-Agentless-Ausnahmeüberwachung | Ja (Clientüberwachungs-Assistent) | |
| Daten zum Programm zur Verbesserung der Benutzerfreundlichkeit vom Client | 51907 ---> | Verwaltungsserver (Endpunkt des Programms zur Verbesserung der Benutzerfreundlichkeit) | Ja (Clientüberwachungs-Assistent) | |
| Operations Console (Berichte) | 80 ---> | SQL Reporting Services | No | Die Operations-Konsole verwendet Port 80, um eine Verbindung mit der SQL Reporting Services-Website herzustellen. |
| Berichtsserver | 1433/TCP >--- 1434/UDP >--- |
Reporting Data Warehouse | Ja 2 | |
| Verwaltungsserver (Sammlungsdienstesammler überwachen) | 1433/TCP <--- 1434/UDP <--- |
Datenbank für Überwachungssammlungsdienste | Ja 2 |
Management Pack-Katalogwebdienst 1
Um auf den Management Pack-Katalogwebdienst zuzugreifen, muss Ihre Firewall und/oder Der Proxyserver die folgende URL und platzhalter (*) zulassen:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifizieren von SQL-Port 2
Der STANDARD-SQL-Port ist 1433, diese Portnummer kann jedoch basierend auf den Organisationsanforderungen angepasst werden. Führen Sie die folgenden Schritte aus, um den konfigurierten Port zu identifizieren:
- Erweitern Sie in der Konsolenstruktur des SQL Server Configuration Manager SQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie dann auf TCP/IP.
- Notieren Sie sich im Dialogfeld "TCP/IP-Eigenschaften " auf der Registerkarte "IP-Adressen " den Portwert für "IPAll".
Wenn Sie einen SQL Server verwenden, der mit einer AlwaysOn-Verfügbarkeitsgruppe oder nach der Migration einer Installation konfiguriert ist, führen Sie die folgenden Schritte aus, um den Port zu identifizieren:
- Stellen Sie im Objekt-Explorer eine Verbindung mit einer Serverinstanz her, die die Verfügbarkeitsreplikate der Verfügbarkeitsgruppe hostet, deren Listener Sie anzeigen möchten. Wählen Sie den Servernamen aus, um die Serverstruktur zu erweitern.
- Erweitern Sie den Knoten Hohe Verfügbarkeit (immer aktiviert) und den Knoten Verfügbarkeitsgruppen .
- Erweitern Sie den Knoten der Verfügbarkeitsgruppe, und erweitern Sie den Knoten Verfügbarkeitsgruppenlistener .
- Klicken Sie mit der rechten Maustaste auf den Listener, den Sie anzeigen möchten, und wählen Sie den Befehl "Eigenschaften" aus, und öffnen Sie das Dialogfeld "Listenereigenschaften der Verfügbarkeitsgruppe", in dem der konfigurierte Port verfügbar sein soll.
Kerberos-Authentifizierung 3
Für Windows-Clients, die kerberos-Authentifizierung verwenden und sich in einer anderen Domäne befinden, in der sich die Verwaltungsserver befinden, gibt es zusätzliche Anforderungen, die erfüllt werden müssen:
- Zwischen Domänen muss eine bidirektionale transitive Vertrauensstellung eingerichtet werden.
- Die folgenden Ports müssen zwischen den Domänen geöffnet sein:
- TCP/UDP-Port 389 für LDAP.
- TCP/UDP-Port 88 für Kerberos.
- TCP/UDP-Port 53 für Domain Name Service (DNS).