Freigeben über


Konfigurieren einer Firewall für Operations Manager

In diesem Abschnitt wird beschrieben, wie Sie Ihre Firewall so konfigurieren, dass die Kommunikation zwischen den verschiedenen Operations Manager-Features in Ihrem Netzwerk möglich ist.

Hinweis

Operations Manager unterstützt derzeit kein LDAP über SSL (LDAPS).

Port-Zuweisungen

Die folgende Tabelle zeigt die Interaktion des Operations Manager-Features über eine Firewall hinweg, einschließlich Informationen über die für die Kommunikation zwischen den Funktionen verwendeten Ports, die Richtung, in die der eingehende Port geöffnet werden soll, und ob die Portnummer geändert werden kann.

Operations Manager-Feature A Portnummer und Richtung Operations Manager-Feature B Konfigurierbar Hinweis
Verwaltungsserver 1433/TCP >--- 
1434/UDP >--- 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->
Operations Manager-Datenbank Ja (Setup) WMI-Port 135 (DCOM/RPC) für die erste Verbindung und dann ein dynamisch zugewiesener Port über 1024. Weitere Informationen finden Sie unter Spezielle Überlegungen zu Port 135.

Die Ports 135,137,445,49152-65535 müssen nur während der ersten Installation des Verwaltungsservers geöffnet sein, damit der Einrichtungsvorgang den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2
Verwaltungsserver 5723/TCP, 5724/TCP ---> Verwaltungsserver No Der Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren. Er kann nach der Installation geschlossen werden.
Verwaltungsserver, Gatewayserver 53 (DNS) --->
88 (Kerberos) --->
389 (LDAP) --->
Domänencontroller No Port 88 wird für die Kerberos-Authentifizierung verwendet und ist nicht erforderlich, wenn nur die Zertifikatauthentifizierung verwendet wird.3
Verwaltungsserver 161,162 <---> Netzwerkgerät No Alle Firewalls zwischen dem Verwaltungsserver und den Netzwerkgeräten müssen SNMP (UDP) und ICMP bidirektional zulassen.
Gatewayserver 5723/TCP ---> Verwaltungsserver No
Verwaltungsserver 1433/TCP >---
1434/UDP >--- 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->
Reporting-Data Warehouse No Die Ports 135,137,445,49152-65535 müssen nur während der ersten Installation des Verwaltungsservers geöffnet sein, damit der Einrichtungsvorgang den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2
Berichtsserver 5723/TCP, 5724/TCP ---> Verwaltungsserver No Der Port 5724/TCP muss geöffnet sein, um dieses Feature zu installieren. Er kann nach der Installation geschlossen werden.
Operations-Konsole 5724/TCP ---> Verwaltungsserver No
Operations-Konsole 80, 443 --->
49152-65535 TCP <--->
Management Pack-Katalogwebdienst No Unterstützt das Herunterladen von Management Packs direkt in der Konsole aus dem Katalog.1
Konnektorframework-Quelle 51905 ---> Verwaltungsserver No
Webkonsolenserver 5724/TCP ---> Verwaltungsserver No
Webkonsolebrowser 80, 443 ---> Webkonsolenserver Ja (IIS-Admin) Standardports für HTTP oder SSL aktiviert.
Webkonsole für Anwendungsdiagnose 1433/TCP >---
 1434 --->
Operations Manager-Datenbank Ja (Setup) 2
Webkonsole für Application Advisor 1433/TCP >---
 1434 --->
Reporting-Data Warehouse Ja (Setup) 2
Verbundener Verwaltungsserver (lokal) 5724/TCP ---> Verbundener Verwaltungsserver (verbunden) No
Windows-Agent installiert mit „MOMAgent.msi“ 5723/TCP ---> Verwaltungsserver Ja (Setup)
Windows-Agent installiert mit „MOMAgent.msi“ 5723/TCP ---> Gatewayserver Ja (Setup)
Windows-Agent-Pushinstallation, ausstehende Reparatur, ausstehendes Update 5723/TCP
135/TCP
137/UDP
138/UDP
139/TCP
445/TCP

*RPC/DCOM High Ports (Betriebssystem 2008 und höher)
Ports 49152-65535 TCP
No Die Kommunikation wird von MS/GW an einen Active Directory-Domänencontroller und den Zielcomputer initiiert.
UNIX/Linux-Agent-Ermittlung und Überwachung des Agents TCP 1270 <--- Verwaltungsserver oder Gatewayserver No
UNIX/Linux-Agent zum Installieren, Aktualisieren und Entfernen des Agents mithilfe von SSH TCP 22 <--- Verwaltungsserver oder Gatewayserver Ja
OMED-Dienst TCP 8886 <--- Verwaltungsserver oder Gatewayserver Ja
Gatewayserver 5723/TCP ---> Verwaltungsserver Ja (Setup)
Agent (Weiterleitung von Überwachungssammeldiensten) 51909 ---> Verwaltungsserver – Überwachungssammeldienste-Collector Ja (Registrierung)
Daten zur Ausnahmeüberwachung vom Client ohne Agents 51906 ---> Verwaltungsserver – Ausnahmeüberwachungs-Dateifreigabe ohne Agents Ja (Clientüberwachungs-Assistent)
Daten zum Programm zur Verbesserung der Benutzerfreundlichkeit vom Client 51907 ---> Verwaltungsserver-Punkt (Ende des Programms zur Verbesserung der Benutzerfreundlichkeit) Ja (Clientüberwachungs-Assistent)
Betriebskonsole (Berichte) 80 ---> SQL Reporting Services No Die Betriebskonsole verwendet Port 80, um eine Verbindung mit der SQL Reporting Services-Website herzustellen.
Berichtsserver 1433/TCP >---
1434/UDP >---
Reporting-Data Warehouse Ja 2
Verwaltungsserver (Collector von Überwachungssammeldiensten) 1433/TCP <---
1434/UDP <---
Datenbank für Überwachungssammlungsdienste Ja 2

Management Pack-Katalogwebdienst 1

Um auf den Management Pack-Katalogwebdienst zuzugreifen, muss Ihre Firewall und/oder der Proxyserver die folgende URL und den Platzhalter (*) zulassen:

  • https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
  • http://go.microsoft.com/fwlink/*

Identifizieren von SQL-Port 2

  • Der Standard-SQL-Port ist „1433“, diese Portnummer kann jedoch basierend auf den Organisationsanforderungen angepasst werden. Führen Sie die folgenden Schritte aus, um den konfigurierten Port zu identifizieren:

    1. Erweitern Sie in der Konsolenstruktur des SQL Server Configuration Manager SQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie dann auf TCP/IP.
    2. Notieren Sie sich im Dialogfeld TCP/IP-Eigenschaften auf der Registerkarte IP-Adressen den Portwert für IPAll.
  • Wenn Sie einen SQL Server verwenden, der mit einer AlwaysOn-Verfügbarkeitsgruppe oder nach der Migration einer Installation konfiguriert ist, gehen Sie folgendermaßen vor, um den Port zu identifizieren:

    1. Stellen Sie im Objekt-Explorer eine Verbindung mit einer Serverinstanz her, die die Verfügbarkeitsreplikate der Verfügbarkeitsgruppe hostet, deren Listener Sie anzeigen möchten. Klicken Sie auf den Servernamen, um die Serverstruktur zu erweitern.
    2. Erweitern Sie den Knoten Hohe Verfügbarkeit (immer aktiviert) und den Knoten Verfügbarkeitsgruppen .
    3. Erweitern Sie den Knoten der Verfügbarkeitsgruppe, und erweitern Sie den Knoten Verfügbarkeitsgruppenlistener .
    4. Klicken Sie mit der rechten Maustaste auf den Listener, den Sie anzeigen möchten, und wählen Sie den Befehl Eigenschaften aus. Das Dialogfeld Verfügbarkeitsgruppenlistener-Eigenschaften wird geöffnet, in dem der konfigurierte Port verfügbar sein sollte.

Kerberos-Authentifizierung 3

Für Windows-Clients, die die Kerberos-Authentifizierung verwenden und sich in einer anderen Domäne als die Verwaltungsserver befinden, gibt es zusätzliche Anforderungen, die erfüllt werden müssen:

  1. Zwischen Domänen muss eine bidirektionale transitive Vertrauensstellung eingerichtet werden.
  2. Die folgenden Ports müssen zwischen den Domänen geöffnet sein:
    1. TCP/UDP-Port 389 für LDAP.
    2. TCP/UDP-Port 88 für Kerberos.
    3. TCP/UDP-Port 53 für Domain Name Service (DNS).

Siehe auch