Configuración de un firewall para Operations Manager
En esta sección se describe cómo configurar el firewall para permitir la comunicación entre las distintas características de Operations Manager en la red.
Nota:
Operations Manager no admite LDAP a través de SSL (LDAPS) en este momento.
Asignaciones de puertos
En la tabla siguiente se muestra la interacción de características de Operations Manager en un firewall, incluida la información sobre los puertos usados para la comunicación entre las características, la dirección para abrir el puerto de entrada y si se puede cambiar el número de puerto.
| Característica A de Operations Manager | Número de puerto y dirección | Característica B de Operations Manager | Configurable | Nota: |
|---|---|---|---|---|
| Servidor de administración | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Base de datos de Operations Manager | Sí (configuración) | Puerto WMI 135 (DCOM/RPC) para la conexión inicial y luego un puerto asignado dinámicamente superior a 1024. Para obtener más información consulta Consideraciones especiales para el puerto 135. Los puertos 135, 137, 445, 49152-65535 solo deben estar abiertos durante la instalación inicial del servidor de administración para permitir que el proceso de instalación valide el estado de los servicios SQL en la máquina de destino. 2 |
| Servidor de administración | 5723/TCP, 5724/TCP ---> | Servidor de administración | No | El puerto 5724/TCP debe estar abierto para instalar esta característica y se puede cerrar después de la instalación. |
| Servidor de administración, Servidor de puerta de enlace | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Controladores de dominio | No | El puerto 88 se usa para la autenticación de Kerberos y no es necesario si solo se usa la autenticación de certificados.3 |
| Servidor de administración | 161,162 <---> | Dispositivo de red | No | Todos los firewalls entre el servidor de administración y los dispositivos de red deben permitir SNMP (UDP) e ICMP bidireccionalmente. |
| Servidor de puerta de enlace | 5723/TCP ---> | Servidor de administración | No | |
| Servidor de administración | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Almacenamiento de datos de informes | No | Los puertos 135, 137, 445, 49152-65535 solo deben estar abiertos durante la instalación inicial del servidor de administración para permitir que el proceso de instalación valide el estado de los servicios SQL en la máquina de destino. 2 |
| Servidor de informes | 5723/TCP, 5724/TCP ---> | Servidor de administración | No | El puerto 5724/TCP debe estar abierto para instalar esta característica y se puede cerrar después de la instalación. |
| Consola del operador | 5724/TCP ---> | Servidor de administración | No | |
| Consola del operador | 80, 443 ---> 49152-65535 TCP <---> |
Servicio web del catálogo de módulos de administración | No | Admite la descarga de módulos de administración directamente en la consola desde el catálogo.1 |
| Origen del marco del conector | 51905 ---> | Servidor de administración | No | |
| Servidor de consola web | 5724/TCP ---> | Servidor de administración | No | |
| Explorador de la consola web | 80, 443 ---> | Servidor de consola web | Sí (administrador de IIS) | Puertos predeterminados para HTTP o SSL habilitados. |
| Consola web para Diagnóstico de aplicaciones | 1433/TCP >--- 1434 ---> |
Base de datos de Operations Manager | Sí (configuración) 2 | |
| Consola web para Application Advisor | 1433/TCP >--- 1434 ---> |
Almacenamiento de datos de informes | Sí (configuración) 2 | |
| Servidor de administración conectado (local) | 5724/TCP ---> | Servidor de administración conectado (conectado) | No | |
| Instalación del agente de Windows mediante MOMAgent.msi | 5723/TCP ---> | Servidor de administración | Sí (configuración) | |
| Instalación del agente de Windows mediante MOMAgent.msi | 5723/TCP ---> | Servidor de puerta de enlace | Sí (configuración) | |
| Instalación de inserción del agente de Windows, reparación pendiente, actualización pendiente | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Puertos altos RPC/DCOM (sistema operativo 2008 y versiones posteriores) Puertos 49152-65535 TCP |
No | La comunicación se inicia desde MS/GW a un controlador de dominio de Active Directory y al equipo de destino. | |
| Detección y supervisión del agente UNIX/Linux | TCP 1270 <--- | Servidor de administración o del servidor de la puerta de enlace | No | |
| Agente UNIX/Linux para instalar, actualizar y quitar el agente mediante SSH | TCP 22 <--- | Servidor de administración o del servidor de la puerta de enlace | Sí | |
| Servicio de OMED | TCP 8886 <--- | Servidor de administración o del servidor de la puerta de enlace | Sí | |
| Servidor de puerta de enlace | 5723/TCP ---> | Servidor de administración | Sí (configuración) | |
| Agente (reenviador de servicios de recopilación de auditoría) | 51909 ---> | Recopilador de servicios de recopilación de auditoría del servidor de administración | Sí (Registro) | |
| Datos de supervisión de excepciones sin agente del cliente | 51906 ---> | Recurso compartido de archivos de supervisión de excepciones sin agente del servidor de administración | Sí (Asistente para supervisión de cliente) | |
| Programa para la mejora de la experiencia del usuario desde el cliente | 51907 ---> | Punto del servidor de administración (fin del Programa para la mejora de la experiencia del cliente) | Sí (Asistente para supervisión de cliente) | |
| Consola del operador (informes) | 80 ---> | SQL Reporting Services | No | La consola de Operations usa el puerto 80 para conectarse al sitio web de SQL Reporting Services. |
| Servidor de informes | 1433/TCP >--- 1434/UDP >--- |
Almacenamiento de datos de informes | Sí 2 | |
| Servidor de administración (recopilador de servicios de recopilación de auditorías) | 1433/TCP <--- 1434/UDP <--- |
Base de datos de servicios de recopilación de auditorías | Sí 2 |
Servicio web del catálogo de módulos de administración 1
Para acceder al servicio web del catálogo de módulos de administración, el firewall o el servidor proxy deben permitir la siguiente dirección URL y el carácter comodín (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identificar el puerto SQL 2
El puerto SQL predeterminado es 1433, pero este número de puerto se puede personalizar en función de los requisitos de la organización. Para identificar el puerto configurado, sigue estos pasos:
- En el panel de la consola del Administrador de configuración de SQL Server, expanda Configuración de red de SQL Server y Protocolos de <nombre de instancia>. Después, haga doble clic en TCP/IP.
- En el diálogo Propiedades de TCP/IP, en la pestaña Direcciones IP, anota el valor de puerto para IPAll.
Si usas un SQL Server configurado con un grupo de disponibilidad Always On o después de migrar una instalación, haz lo siguiente para identificar el puerto:
- En el Explorador de objetos, conéctese a una instancia del servidor que hospeda una réplica de disponibilidad del grupo disponibilidad cuyo agente de escucha desea ver. Selecciona el nombre del servidor para expandir el árbol de servidores.
- Expanda los nodos Alta disponibilidad de AlwaysOn y Grupos de disponibilidad .
- Expanda el nodo del grupo de disponibilidad y expanda el nodo Agentes de escucha de grupos de disponibilidad .
- Haz clic con el botón derecho en el cliente de escucha que quieres ver y selecciona el comando Propiedades, abre la ventana del diálogo Propiedades del agente de escucha del grupo de disponibilidad, donde debe estar disponible el puerto configurado.
La autenticación de Kerberos 3
Para los clientes de Windows que usan la autenticación de Kerberos y residen en un dominio diferente de donde se encuentran los servidores de administración, hay requisitos adicionales que deben cumplirse:
- Debe establecerse una confianza transitiva bidireccional entre dominios.
- Los puertos siguientes deben estar abiertos entre los dominios:
- Puerto 389 TCP o UDP para LDAP.
- Puerto 88 TCP o UDP para Kerberos.
- Puerto 53 TCP/UDP para el servicio de nombres de dominio (DNS).