Configuration d’un pare-feu pour Operations Manager
Important
Cette version d’Operations Manager a atteint la fin du support. Nous vous recommandons de mettre à niveau vers Operations Manager 2022.
Cette section explique comment configurer votre pare-feu pour permettre la communication entre les différentes fonctionnalités Operations Manager sur votre réseau.
Notes
Operations Manager ne prend pas en charge LDAP sur SSL (LDAPS) pour le moment.
Affectations de ports
Le tableau suivant illustre l’interaction des fonctionnalités Operations Manager derrière un pare-feu, notamment des informations sur les ports utilisés pour la communication entre les fonctionnalités et sur la direction à utiliser pour ouvrir le port entrant. Il indique également si le numéro de port peut être modifié.
| Operations Manager fonctionnalité A | Numéro et direction du port | Fonctionnalité B Operations Manager | Configurable | Notes |
|---|---|---|---|---|
| Serveur d’administration | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Base de données OperationsManager | Oui (installation) | WMI Port 135 (DCOM/RPC) pour la connexion initiale, puis un port affecté dynamiquement, supérieur à 1024. Pour plus d’informations, consultez Considérations spéciales pour le port 135 Les ports 135,137,445,49152-65535 doivent être ouverts seulement pendant l’installation initiale du serveur d’administration pour autoriser le processus d’installation à valider l’état des services SQL sur l’ordinateur cible. 2 |
| Serveur d’administration | 5723/TCP, 5724/TCP ---> | Serveur d’administration | No | Le port 5724/TCP doit être ouvert pour installer cette fonctionnalité et peut être fermé après l’installation. |
| Serveur d’administration, serveur de passerelle | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Contrôleurs de domaine | No | Le port 88 est utilisé pour l’authentification Kerberos et n’est pas obligatoire si vous utilisez uniquement l’authentification par certificat. 3 |
| Serveur d’administration | 161,162 <---> | Appareil réseau | Non | Tous les pare-feu entre le serveur d’administration et les appareils réseau doivent autoriser SNMP (UDP) et ICMP de manière bidirectionnelle. |
| Serveur de passerelle | 5723/TCP ---> | Serveur d’administration | Non | |
| Serveur d’administration | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Entrepôt de données de rapports | Non | Les ports 135,137,445,49152-65535 doivent être ouverts seulement pendant l’installation initiale du serveur d’administration pour autoriser le processus d’installation à valider l’état des services SQL sur l’ordinateur cible. 2 |
| Serveur de rapports | 5723/TCP, 5724/TCP ---> | Serveur d’administration | No | Le port 5724/TCP doit être ouvert pour installer cette fonctionnalité et peut être fermé après l’installation. |
| Console Opérateur | 5724/TCP ---> | Serveur d’administration | Non | |
| Console Opérateur | 80, 443 ---> 49152-65535 TCP <---> |
Service Web Catalogue des packs d'administration | Non | Prend en charge le téléchargement de packs d’administration directement dans la console à partir du catalogue. 1 |
| Source de la structure de connecteurs | 51905 ---> | Serveur d’administration | Non | |
| Serveur de console Web | 5724/TCP ---> | Serveur d’administration | Non | |
| Navigateur de console Web | 80, 443 ---> | Serveur de console Web | Oui (Administration IIS) | Les ports HTTP ou SSL par défaut sont activés. |
| Console web pour Diagnostic d’application | 1433/TCP ---> 1434 ---> |
Base de données OperationsManager | Oui (configuration) 2 | |
| Console web pour Application Advisor | 1433/TCP ---> 1434 ---> |
Entrepôt de données de rapports | Oui (configuration) 2 | |
| Serveur d’administration connecté (local) | 5724/TCP ---> | Serveur d’administration connecté (connecté) | Non | |
| Agent Windows installé via le fichier MOMAgent.msi | 5723/TCP ---> | Serveur d’administration | Oui (installation) | |
| Agent Windows installé via le fichier MOMAgent.msi | 5723/TCP ---> | Serveur de passerelle | Oui (installation) | |
| Installation push de l’agent Windows, réparation en attente, mise à jour en attente | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Ports RPC/DCOM High (système d’exploitation 2008 et versions ultérieures) Ports 49152-65535 TCP |
No | La communication est établie à partir de MS/GW vers un contrôleur de domaine Active Directory et l’ordinateur cible. | |
| Détection de l’agent UNIX/Linux et surveillance de l’agent | TCP 1270 <--- | Serveur d’administration ou serveur de passerelle | Non | |
| Agent UNIX/Linux pour l’installation, la mise à niveau et la suppression de l’agent via SSH | TCP 22 <--- | Serveur d’administration ou serveur de passerelle | Oui | |
| Service OMED | TCP 8886 <--- | Serveur d’administration ou serveur de passerelle | Oui | |
| Serveur de passerelle | 5723/TCP ---> | Serveur d’administration | Oui (installation) | |
| Agent (redirecteur ACS) | 51909 ---> | Collecteur des services ACS du serveur d'administration | Oui (Registre) | |
| Données Analyse des exceptions sans agent du client | 51906 ---> | Serveur d'administration avec partage de fichiers d'analyse des erreurs d'application | Oui (Assistant Analyse client) | |
| Données Programme d'amélioration de l'expérience utilisateur provenant du client | 51907 ---> | Point d'arrivée du serveur d'administration (Programme d'amélioration de l'expérience utilisateur) | Oui (Assistant Analyse client) | |
| Console Opérateur (rapports) | 80 ---> | SQL Reporting Services | Non | La console Opérateur se connecte au site Web SQL Reporting Services via le port 80. |
| Serveur de rapports | 1433/TCP ---> 1434/UDP ---> |
Entrepôt de données de rapports | Oui 2 | |
| Serveur d'administration (collecteur des services ACS) | 1433/TCP <--- 1434/UDP <--- |
Base de données des services ACS | Oui 2 |
Service web 1 du catalogue de packs d’administration
Pour accéder au service web catalogue de packs d’administration, votre pare-feu et/ou votre serveur proxy doivent autoriser l’URL et le caractère générique suivants (*) :
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifier le port SQL 2
Le port SQL par défaut est 1433, mais ce numéro de port peut être personnalisé en fonction des exigences de l’organisation. Pour identifier le port configuré, procédez comme suit :
- Dans le Gestionnaire de configuration SQL Server, dans le volet de la console, développez Configuration du réseau SQL Server, Protocoles pour <nom_instance>, puis double-cliquez sur TCP/IP.
- Dans la boîte de dialogue Propriétés TCP/IP , sous l’onglet Adresses IP , notez la valeur de port pour IPAll.
Si vous utilisez un SQL Server configuré avec un groupe de disponibilité Always On ou après la migration d’une installation, procédez comme suit pour identifier le port :
- Dans l'Explorateur d'objets, connectez-vous à une instance de serveur qui héberge un réplica de disponibilité du groupe de disponibilité dont vous souhaitez afficher l'écouteur. Sélectionnez le nom du serveur pour développer l’arborescence du serveur.
- Développez le nœud Haute disponibilité AlwaysOn et le nœud Groupes de disponibilité .
- Développez le nœud du groupe de disponibilité, puis développez le nœud Écouteurs de groupe de disponibilité .
- Cliquez avec le bouton droit sur l’écouteur que vous souhaitez afficher, puis sélectionnez la commande Propriétés , en ouvrant la boîte de dialogue Propriétés de l’écouteur de groupe de disponibilité, où le port configuré doit être disponible.
Authentification Kerberos 3
Pour les clients Windows qui utilisent l’authentification Kerberos et qui résident dans un domaine différent de celui où se trouvent les serveurs d’administration, il existe des exigences supplémentaires qui doivent être remplies :
- Une approbation transitive bidirectionnelle doit être établie entre les domaines.
- Les ports suivants doivent être ouverts entre les domaines :
- Port TCP/UDP 389 pour LDAP.
- Port TCP/UDP 88 pour Kerberos.
- Port TCP/UDP 53 pour le service DNS (Domain Name Service).
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour