Configurer un pare-feu pour Operations Manager
Cette section explique comment configurer votre pare-feu pour permettre la communication entre les différentes fonctionnalités Operations Manager sur votre réseau.
Remarque
Operations Manager ne prend pas en charge LDAP via SSL (LDAPS) pour l’instant.
Affectations de ports
Le tableau suivant montre l’interaction des fonctionnalités Operations Manager sur un pare-feu, y compris des informations sur les ports utilisés pour la communication entre les fonctionnalités, la direction d’ouverture du port entrant et la modification du numéro de port.
| Operations Manager fonctionnalité A | Numéro et direction du port | Fonctionnalité Operations Manager B | Configurable | Remarque |
|---|---|---|---|---|
| Serveur d'administration | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
base de données OperationsManager ; | Oui (installation) | Port WMI 135 (DCOM/RPC) pour la connexion initiale, puis un port attribué dynamiquement au-dessus de 1024. Pour plus d’informations, consultez Considérations spéciales relatives au port 135 Les ports 135 137 445 49152-65535 ne doivent être ouverts que pendant l’installation initiale du serveur d’administration pour permettre au processus d’installation de valider l’état des services SQL sur l’ordinateur cible. 2 |
| Serveur d'administration | 5723/TCP, 5724/TCP ---> | Serveur d'administration | Non | Le port 5724/TCP doit être ouvert pour installer cette fonctionnalité et peut être fermé après l’installation. |
| Serveur d’administration, serveur de passerelle | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Contrôleurs de domaine | Non | Le port 88 est utilisé pour l’authentification Kerberos et n’est pas obligatoire si vous utilisez uniquement l’authentification par certificat.3 |
| Serveur d'administration | 161,162 <---> | Appareil réseau | Non | Tous les pare-feu entre le serveur d’administration et les périphériques réseau doivent autoriser SNMP (UDP) et ICMP bidirectionnellement. |
| Serveur de passerelle | 5723/TCP ---> | Serveur d'administration | Non | |
| Serveur d'administration | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Entrepôt de données de rapports | Non | Les ports 135 137 445 49152-65535 ne doivent être ouverts que pendant l’installation initiale du serveur d’administration pour permettre au processus d’installation de valider l’état des services SQL sur l’ordinateur cible. 2 |
| Serveur de reporting | 5723/TCP, 5724/TCP ---> | Serveur d'administration | Non | Le port 5724/TCP doit être ouvert pour installer cette fonctionnalité et peut être fermé après l’installation. |
| Console Opérateur | 5724/TCP ---> | Serveur d'administration | Non | |
| Console Opérateur | 80, 443 ---> 49152-65535 TCP <---> |
Service web du catalogue de packs d’administration | Non | Prend en charge le téléchargement des packs d’administration directement dans la console à partir du catalogue.1 |
| Source de la structure de connecteurs | 51905 ---> | Serveur d'administration | Non | |
| Serveur de console Web | 5724/TCP ---> | Serveur d'administration | Non | |
| Navigateur de console Web | 80, 443 ---> | Serveur de console Web | Oui (Administration IIS) | Ports par défaut pour HTTP ou SSL activés. |
| Console web pour diagnostics d’application | 1433/TCP >--- 1434 ---> |
base de données OperationsManager ; | Oui (installation) 2 | |
| Console web pour Application Advisor | 1433/TCP >--- 1434 ---> |
Entrepôt de données de rapports | Oui (installation) 2 | |
| Serveur d’administration connecté (local) | 5724/TCP ---> | Serveur d’administration connecté (connecté) | Non | |
| Agent Windows installé à l’aide de MOMAgent.msi | 5723/TCP ---> | Serveur d'administration | Oui (installation) | |
| Agent Windows installé à l’aide de MOMAgent.msi | 5723/TCP ---> | Serveur de passerelle | Oui (installation) | |
| Installation push de l’agent Windows, réparation en attente, mise à jour en attente | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Ports RPC/DCOM élevés (système d’exploitation 2008 et versions ultérieures) Ports 49152-65535 TCP |
Non | La communication est lancée de MS/GW vers un contrôleur de domaine Active Directory et l’ordinateur cible. | |
| Détection et surveillance de l’agent UNIX/Linux | TCP 1270 <--- | Serveur d’administration ou serveur de passerelle | Non | |
| Agent UNIX/Linux pour l’installation, la mise à niveau et la suppression de l’agent à l’aide de SSH | TCP 22 <--- | Serveur d’administration ou serveur de passerelle | Oui | |
| OMED Service | TCP 8886 <--- | Serveur d’administration ou serveur de passerelle | Oui | |
| Serveur de passerelle | 5723/TCP ---> | Serveur d'administration | Oui (installation) | |
| Agent (redirecteur ACS) | 51909 ---> | Collecteur des services de collecte d’audit du serveur d’administration | Oui (Registre) | |
| Données Analyse des exceptions sans agent du client | 51906 ---> | Partage de fichiers analyse des exceptions sans agent du serveur d’administration | Oui (Assistant Analyse client) | |
| Données Programme d'amélioration de l'expérience utilisateur provenant du client | 51907 ---> | Serveur d’administration (fin du programme d’amélioration de l’expérience client) Point | Oui (Assistant Analyse client) | |
| Console Opérateur (rapports) | 80 ---> | SQL Reporting Services | Non | La console Opérateur se connecte au site Web SQL Reporting Services via le port 80. |
| Serveur de reporting | 1433/TCP >--- 1434/UDP >--- |
Entrepôt de données de rapports | Oui 2 | |
| Serveur d’administration (collecteur Audit Collection Services) | 1433/TCP <--- 1434/UDP <--- |
Base de données des services ACS | Oui 2 |
Service web du catalogue de packs d’administration 1
Pour accéder au service web catalogue du pack d’administration, votre pare-feu et/ou votre serveur proxy doivent autoriser l’URL et le caractère générique suivants (*) :
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifier le port SQL 2
Le port SQL par défaut est 1433, mais ce numéro de port peut être personnalisé en fonction des besoins de l’organisation. Pour identifier le port configuré, procédez comme suit :
- Dans le Gestionnaire de configuration SQL Server, dans le volet de la console, développez Configuration du réseau SQL Server, Protocoles pour <nom_instance>, puis double-cliquez sur TCP/IP.
- Dans la boîte de dialogue Propriétés TCP/IP, sous l’onglet Adresses IP, notez la valeur de port pour IPAll.
Si vous utilisez un serveur SQL Server configuré avec un groupe de disponibilité Always On ou après la migration d’une installation, procédez comme suit pour identifier le port :
- Dans l'Explorateur d'objets, connectez-vous à une instance de serveur qui héberge un réplica de disponibilité du groupe de disponibilité dont vous souhaitez afficher l'écouteur. Sélectionnez le nom du serveur pour développer l’arborescence du serveur.
- Développez le nœud Haute disponibilité AlwaysOn et le nœud Groupes de disponibilité .
- Développez le nœud du groupe de disponibilité, puis développez le nœud Écouteurs de groupe de disponibilité .
- Cliquez avec le bouton droit sur l’écouteur que vous souhaitez afficher, puis sélectionnez la commande Propriétés, en ouvrant la fenêtre Propriétés de l’écouteur du groupe de disponibilité, où le port configuré doit être disponible.
Authentification Kerberos 3
Pour les clients Windows utilisant l’authentification Kerberos et résider dans un domaine différent de celui où se trouvent les serveurs d’administration, il existe des exigences supplémentaires qui doivent être remplies :
- Une approbation transitive bidirectionnelle doit être établie entre les domaines.
- Les ports suivants doivent être ouverts entre les domaines :
- Port TCP/UDP 389 pour LDAP.
- Port TCP/UDP 88 pour Kerberos.
- Port TCP/UDP 53 pour le service DNS (Domain Name Service).