Tűzfal beállítása az Operations Managerhez
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Ebben a fejezetben leírjuk, hogyan konfigurálhatja tűzfalát úgy, hogy az lehetővé tegye a kommunikációt az Operations Manager különböző hálózati funkciói között.
Megjegyzés
Az Operations Manager jelenleg nem támogatja az SSL-en (LDAPS) keresztüli LDAP-t.
Porthozzárendelések
Az alábbi táblázat az Operations Manager különböző szolgáltatásai között a tűzfalakon keresztül folyó párbeszédeket foglalja össze. A táblázatban szerepel, hogy mely portokon folyik a szolgáltatások közötti kommunikáció, melyik irányba kell megnyitni a bejövő portot, valamint, hogy van-e lehetőség a portszám megváltoztatására.
Az Operations Manager A szolgáltatása | Portszám és irány | Az Operations Manager B szolgáltatása | Konfigurálható | Megjegyzés |
---|---|---|---|---|
Felügyeleti kiszolgáló | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP----> 445/TCP ---> 49152-65535 ---> |
Operations Manager-adatbázis | Igen (telepítéskor) | WMI-port 135 (DCOM/RPC) a kezdeti kapcsolathoz, majd egy dinamikusan hozzárendelt port 1024 felett. További információ: A 135-ös port speciális szempontjai A 135.137.445.49152-65535 portnak csak a felügyeleti kiszolgáló kezdeti telepítése során kell nyitva lennie, hogy a beállítási folyamat ellenőrizze a célgépEN lévő SQL-szolgáltatások állapotát. 2 |
Felügyeleti kiszolgáló | 5723/TCP, 5724/TCP ---> | Felügyeleti kiszolgáló | No | A szolgáltatás telepítéséhez nyitva kell lennie az 5724/TCP-portnak, és a telepítés után bezárható. |
Felügyeleti kiszolgáló, átjárókiszolgáló | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Tartományvezérlők | No | A Kerberos-hitelesítéshez a 88-as port használható, és nem szükséges, ha csak tanúsítványhitelesítést használ. 3 |
Felügyeleti kiszolgáló | 161 162 <---> | Hálózati eszköz | No | A felügyeleti kiszolgáló és a hálózati eszközök közötti összes tűzfalnak engedélyezni kell az SNMP (UDP) és a kétirányú ICMP használatát. |
Átjárókiszolgáló | 5723/TCP ---> | Felügyeleti kiszolgáló | No | |
Felügyeleti kiszolgáló | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP----> 445/TCP ---> 49152-65535 ---> |
Jelentéskészítési adatraktár | No | A 135.137.445.49152-65535 portnak csak a felügyeleti kiszolgáló kezdeti telepítése során kell nyitva lennie, hogy a beállítási folyamat ellenőrizze a célgépEN lévő SQL-szolgáltatások állapotát. 2 |
Jelentéskészítő kiszolgáló | 5723/TCP, 5724/TCP ---> | Felügyeleti kiszolgáló | No | A szolgáltatás telepítéséhez nyitva kell lennie az 5724/TCP-portnak, és a telepítés után bezárható. |
Operatív konzol | 5724/TCP ---> | Felügyeleti kiszolgáló | No | |
Operatív konzol | 80, 443 ---> 49152-65535 TCP <----> |
Felügyeleti csomagkatalógus webszolgáltatása | No | Támogatja a felügyeleti csomagok letöltését közvetlenül a konzolról a katalógusból. 1 |
Összekötő-keretrendszer forrása | 51905 ---> | Felügyeleti kiszolgáló | No | |
Webkonzol-kiszolgáló | 5724/TCP ---> | Felügyeleti kiszolgáló | No | |
Webkonzol elérésére használt böngésző | 80, 443 ---> | Webkonzol-kiszolgáló | Igen (IIS Admin) | A HTTP- vagy SSL-kapcsolatok alapértelmezett portja engedélyezve van. |
Webkonzol az alkalmazásdiagnosztikahoz | 1433/TCP ---> 1434 ---> |
Operations Manager-adatbázis | Igen (beállítás) 2 | |
Webkonzol az Application Advisorhoz | 1433/TCP ---> 1434 ---> |
Jelentéskészítési adatraktár | Igen (beállítás) 2 | |
Csatlakoztatott felügyeleti kiszolgáló (helyi) | 5724/TCP ---> | Csatlakoztatott felügyeleti kiszolgáló (Csatlakoztatva) | No | |
A MOMAgent.msi segítségével telepített Windows-ügynök | 5723/TCP ---> | Felügyeleti kiszolgáló | Igen (telepítéskor) | |
A MOMAgent.msi segítségével telepített Windows-ügynök | 5723/TCP ---> | Átjárókiszolgáló | Igen (telepítéskor) | |
Windows-ügynök leküldéses telepítése, javításra várakozik, frissítésre várakozik | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High portok (2008-os és újabb operációs rendszer) 49152-65535-ös TCP-port |
No | Az MS/GW kommunikációt kezdeményez egy Active Directory-tartományvezérlővel és a célszámítógéppel. | |
UNIX/Linux-ügynök felderítése és az ügynök figyelése | TCP 1270 <--- | Felügyeleti kiszolgáló vagy átjárókiszolgáló | No | |
Az ügynök az SSH használatával való telepítésére, frissítésére és eltávolítására használatos UNIX/Linux-ügynök | TCP 22 <--- | Felügyeleti kiszolgáló vagy átjárókiszolgáló | Yes | |
OMED szolgáltatás | TCP 8886 <--- | Felügyeleti kiszolgáló vagy átjárókiszolgáló | Yes | |
Átjárókiszolgáló | 5723/TCP ---> | Felügyeleti kiszolgáló | Igen (telepítéskor) | |
Ügynök (naplózási szolgáltatások továbbítója) | 51909 ---> | Felügyeleti kiszolgáló naplózási szolgáltatások gyűjtője | Igen (beállításjegyzék) | |
Ügynök nélküli kivételfigyelés által az ügyfélről végzett adatküldés | 51906 ---> | Felügyeleti kiszolgáló ügynök nélküli kivételfigyelési fájlmegosztása | Igen (Ügyfélfigyelés konfigurálása varázsló) | |
Felhasználói élmény fokozása program által az ügyfélről végzett adatküldés | 51907 ---> | Felügyeleti kiszolgáló (Ügyfélélmény-javító program vége) pont | Igen (Ügyfélfigyelés konfigurálása varázsló) | |
Operatív konzol (jelentések) | 80 ---> | SQL Reporting Services | No | Az operatív konzol a 80-as porton csatlakozik az SQL Reporting Services webhelyéhez. |
Jelentéskészítő kiszolgáló | 1433/TCP ---> 1434/UDP ---> |
Jelentéskészítési adatraktár | Igen 2 | |
Felügyeleti kiszolgáló (Naplózási szolgáltatások gyűjtője) | 1433/TCP <--- 1434/UDP <--- |
Naplózási szolgáltatások adatbázisa | Igen 2 |
Felügyeleti csomagkatalógus webszolgáltatás 1
A Felügyeleti csomagkatalógus webszolgáltatás eléréséhez a tűzfalnak és/vagy a proxykiszolgálónak engedélyeznie kell a következő URL-címet és helyettesítő karaktert (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
http://go.microsoft.com/fwlink/*
A 2-s SQL-port azonosítása
Az alapértelmezett SQL-port a 1433, de ez a portszám testre szabható a szervezeti követelmények alapján. A konfigurált port azonosításához kövesse az alábbi lépéseket:
- A SQL Server Konfigurációkezelő konzolpaneljén bontsa ki a SQL Server Hálózati konfiguráció elemet, bontsa ki a Példánynév> protokolljai <elemet, majd kattintson duplán a TCP/IP elemre.
- A TCP/IP-tulajdonságok párbeszédpanel IP-címek lapján jegyezze fel az IPAll portértékét.
Ha Always On rendelkezésre állási csoporttal konfigurált SQL Server használ, vagy egy telepítés áttelepítése után, a port azonosításához tegye a következőket:
- Az Object Explorerben csatlakozzon ahhoz a kiszolgálópéldányhoz, amely a megtekinteni kívánt figyelőhöz tartozó rendelkezésre állási csoportjának rendelkezésre állási replikáit futtatja. Válassza ki a kiszolgáló nevét a kiszolgálófa kibontásához.
- Bontsa ki az Always On High Availability (AlwaysOn magas rendelkezésre állás) csomópontot, és az Availability Groups (Rendelkezésre állási csoportok) csomópontot.
- Bontsa ki a rendelkezésre állási csoport csomópontját, majd az Availability Groups Listeners (Rendelkezésre állási csoportok figyelői) csomópontot.
- Kattintson a jobb gombbal a megtekinteni kívánt figyelőre, és válassza a Tulajdonságok parancsot, és nyissa meg a Rendelkezésre állási csoport figyelőjének tulajdonságai párbeszédpanelt, ahol a konfigurált portnak elérhetőnek kell lennie.
Kerberos-hitelesítés 3
Kerberos-hitelesítést használó Windows-ügyfelek esetén, amelyek a felügyeleti kiszolgálók helyétől eltérő tartományban találhatók, további követelményeknek kell teljesülniük:
- A tartományok között kétirányú tranzitív megbízhatósági kapcsolatot kell létesíteni.
- A következő portoknak nyitva kell lenniük a tartományok között:
- 389-ös TCP/UDP-port LDAP-hoz.
- Kerberos tcp/UDP 88-ai portja.
- A tartománynév-szolgáltatás (DNS) 53-ás TCP/UDP-portja.