Konfigurieren einer Firewall für Operations Manager
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
Dieser Abschnitt beschreibt, wie Sie Ihre Firewall so konfigurieren, dass die Kommunikation zwischen den verschiedenen Operations Manager-Funktionen in Ihrem Netzwerk zugelassen wird.
Hinweis
Operations Manager unterstützt ldap über SSL (LDAPS) derzeit nicht.
Port-Zuweisungen
Die folgende Tabelle zeigt die Interaktion von Operations Manager-Funktionen über eine Firewall. Zudem enthält die Tabelle Informationen zu den Ports für die Kommunikation zwischen den Funktionen, zur Richtung, in die der eingehende Port zu öffnen ist, und dazu, ob die Portnummer geändert werden kann.
Operations Manager-Funktion A | Portnummer und -richtung | Operations Manager-Funktion B | Konfigurierbar | Hinweis |
---|---|---|---|---|
Verwaltungsserver | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager-Datenbank | Ja (Setup) | WMI-Port 135 (DCOM/RPC) für die anfängliche Verbindung, dann ein dynamisch zugewiesener Port über 1024. Weitere Informationen finden Sie unter Besondere Überlegungen zu Port 135. Die Ports 135, 137, 445 und 49152-65535 müssen nur während der ersten Management Server-Installation offen sein, damit der Setupprozess den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
Verwaltungsserver | 5723, 5724 ---> | Verwaltungsserver | No | Port 5724 muss geöffnet sein, um dieses Feature zu installieren und kann nach der Installation geschlossen werden. |
Verwaltungsserver, Gatewayserver | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Domänencontroller | No | Port 88 wird für die Kerberos-Authentifizierung verwendet und ist nicht erforderlich, wenn nur die Zertifikatauthentifizierung verwendet wird. 3 |
Verwaltungsserver | 161,162 <---> | Netzwerkgerät | Nein | Von allen Firewalls zwischen dem Verwaltungsserver und den Netzwerkgeräten müssen SNMP (UDP) und ICMP bidirektional geöffnet sein. |
Gatewayserver | 5723 ---> | Verwaltungsserver | Nein | |
Verwaltungsserver | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Reporting-Data Warehouse | Nein | Die Ports 135, 137, 445 und 49152-65535 müssen nur während der ersten Management Server-Installation offen sein, damit der Setupprozess den Status der SQL-Dienste auf dem Zielcomputer überprüfen kann. 2 |
Berichtsserver | 5723, 5724 ---> | Verwaltungsserver | No | Port 5724 muss geöffnet sein, um dieses Feature zu installieren und kann nach der Installation geschlossen werden. |
Betriebskonsole | 5724 ---> | Verwaltungsserver | Nein | |
Betriebskonsole | 80, 443 ---> 49152-65535 TCP <---> |
Management Pack-Katalogwebdienst | Nein | Unterstützt das Herunterladen von Management Packs direkt in der Konsole aus dem Katalog. 1 |
Connector Framework-Quelle | 51905 ---> | Verwaltungsserver | Nein | |
Webkonsolenserver | 5724 ---> | Verwaltungsserver | Nein | |
Webkonsolenbrowser | 80, 443 ---> | Webkonsolenserver | Ja (IIS-Verwaltung) | Standardports für HTTP oder SSL aktiviert. |
Webkonsole für die Anwendungsdiagnose | 1433/TCP ---> 1434 ---> |
Operations Manager-Datenbank | Ja (Setup) 2 | |
Webkonsole für den Application Advisor | 1433/TCP ---> 1434 ---> |
Reporting-Data Warehouse | Ja (Setup) 2 | |
Verbundener Verwaltungsserver (lokal) | 5724 ---> | Verbundener Verwaltungsserver (Verbunden) | Nein | |
Windows-Agent mit MOMAgent.msi installiert | 5723 ---> | Verwaltungsserver | Ja (Setup) | |
Windows-Agent mit MOMAgent.msi installiert | 5723 ---> | Gatewayserver | Ja (Setup) | |
Pushinstallation von Windows-Agent, Reparatur und Update ausstehend | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High-Ports (Betriebssystem 2008 und höher) Ports 49152-65535 TCP |
No | Die Kommunikation von MS/GW mit einem Active Directory-Domänencontroller und dem Zielcomputer wird gestartet. | |
UNIX/Linux-Agent-Ermittlung und -Überwachung | TCP 1270 <--- | Verwaltungsserver oder Gatewayserver | Nein | |
UNIX/Linux-Agent zum Installieren, Aktualisieren und Entfernen von Agent mithilfe von SSH | TCP 22 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
OMED-Dienst | TCP 8886 <--- | Verwaltungsserver oder Gatewayserver | Ja | |
Gatewayserver | 5723 ---> | Verwaltungsserver | Ja (Setup) | |
Agent (Weiterleitung der Überwachungssammeldienste) | 51909 ---> | Verwaltungsserver-Überwachungssammeldienste | Ja (Registrierung) | |
Clientdaten der Ausnahmenüberwachung ohne Agents | 51906 ---> | Verwaltungsserver mit Dateifreigabe zur Ausnahmeüberwachung ohne Agents | Ja (Assistent für Clientüberwachung) | |
Clientdaten des Programms zur Verbesserung der Benutzerfreundlichkeit | 51907 ---> | Verwaltungsserver (Endpunkt des Programms zur Verbesserung der Bedienfreundlichkeit) | Ja (Assistent für Clientüberwachung) | |
Betriebskonsole (Berichte) | 80 ---> | SQL Reporting Services | Nein | Von der Betriebskonsole wird Port 80 verwendet, um eine Verbindung zur SQL Reporting Services-Website herzustellen. |
Berichtsserver | 1433/TCP ---> 1434/UDP ---> |
Reporting-Data Warehouse | Ja 2 | |
Verwaltungsserver (Überwachungssammeldienste) | 1433/TCP <--- 1434/UDP <--- |
Datenbank der Überwachungssammeldienste | Ja 2 |
Management Pack-Katalogwebdienst 1
Für den Zugriff auf den Management Pack-Katalog-Webdienst muss Ihre Firewall und/oder Der Proxyserver die folgende URL und platzhalter (*) zulassen:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
http://go.microsoft.com/fwlink/*
Identifizieren von SQL-Port 2
Der STANDARD-SQL-Port ist 1433. Diese Portnummer kann jedoch basierend auf organisatorischen Anforderungen angepasst werden. Führen Sie die folgenden Schritte aus, um den konfigurierten Port zu identifizieren:
- Erweitern Sie in der Konsolenstruktur des SQL Server Configuration Manager SQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie dann auf TCP/IP.
- Notieren Sie sich im Dialogfeld TCP/IP-Eigenschaften auf der Registerkarte IP-Adressen den Portwert für IPAall.
Wenn Sie eine SQL Server verwenden, die mit einer Always On-Verfügbarkeitsgruppe konfiguriert ist, oder nach der Migration einer Installation führen Sie die folgenden Schritte aus, um den Port zu identifizieren:
- Stellen Sie im Objekt-Explorer eine Verbindung mit einer Serverinstanz her, die die Verfügbarkeitsreplikate der Verfügbarkeitsgruppe hostet, deren Listener Sie anzeigen möchten. Wählen Sie den Servernamen aus, um die Serverstruktur zu erweitern.
- Erweitern Sie den Knoten Hohe Verfügbarkeit (immer aktiviert) und den Knoten Verfügbarkeitsgruppen .
- Erweitern Sie den Knoten der Verfügbarkeitsgruppe, und erweitern Sie den Knoten Verfügbarkeitsgruppenlistener .
- Klicken Sie mit der rechten Maustaste auf den Listener, den Sie anzeigen möchten, und wählen Sie den Befehl Eigenschaften aus, und öffnen Sie das Dialogfeld Eigenschaften der Verfügbarkeitsgruppe , in dem der konfigurierte Port verfügbar sein soll.
Kerberos-Authentifizierung 3
Für Windows-Clients, die Kerberos-Authentifizierung verwenden und sich in einer anderen Domäne befinden als in der sich die Verwaltungsserver befinden, müssen zusätzliche Anforderungen erfüllt werden:
- Zwischen Domänen muss eine bidirektionale transitive Vertrauensstellung eingerichtet werden.
- Die folgenden Ports müssen zwischen den Domänen geöffnet sein:
- TCP/UDP-Port 389 für LDAP.
- TCP/UDP-Port 88 für Kerberos.
- TCP/UDP-Port 53 für Domain Name Service (DNS).
Weitere Informationen
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für