Mengonfigurasi Firewall untuk Manajer Operasi
Penting
Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.
Bagian ini menjelaskan cara mengonfigurasi firewall Anda untuk memungkinkan komunikasi antara berbagai fitur Manajer Operasi di jaringan Anda.
Catatan
Manajer Operasi tidak mendukung LDAP melalui SSL (LDAPS) saat ini.
Penetapan port
Tabel berikut menunjukkan interaksi fitur Operations Manager di seluruh firewall, termasuk informasi tentang port yang digunakan untuk komunikasi antara fitur, arah mana untuk membuka port masuk, dan apakah nomor port dapat diubah.
| Fitur Manajer Operasi A | Nomor port dan Arah | Fitur Manajer Operasi B | Bisa dikonfigurasi | Catatan |
|---|---|---|---|---|
| Server manajemen | --- 1433/TCP> --- UDP 1434/UDP> --- 135/TCP (DCOM/RPC)> --- UDP 137/UDP> --- 445/TCP> 49152-65535 ---> |
Database Manajer Operasi | Ya (Penyetelan) | Port WMI 135 (DCOM/RPC) untuk koneksi awal dan kemudian port yang ditetapkan secara dinamis di atas 1024. Untuk informasi selengkapnya, lihat Pertimbangan khusus untuk Port 135 Port 135,137,445,49152-65535 hanya diperlukan untuk dibuka selama penginstalan Server Manajemen awal untuk memungkinkan proses penyiapan memvalidasi status layanan SQL pada komputer target. 2 |
| Server manajemen | 5723/TCP, 5724/TCP ---> | Server manajemen | Tidak | Port 5724/TCP harus terbuka untuk menginstal fitur ini dan dapat ditutup setelah penginstalan. |
| Server manajemen, Server Gateway | 53 (DNS) ---> 88 (Kerberos) ---> --- 389 (LDAP)> |
Pengendali domain | Tidak | Port 88 digunakan untuk autentikasi Kerberos, dan tidak diperlukan jika hanya menggunakan autentikasi sertifikat. 3 |
| Server manajemen | 161.162 <---> | Perangkat jaringan | Tidak | Semua firewall antara server manajemen dan perangkat jaringan perlu mengizinkan SNMP (UDP) dan ICMP dua arah. |
| Server gateway | --- 5723/TCP> | Server manajemen | Tidak | |
| Server manajemen | --- 1433/TCP> --- UDP 1434/UDP> --- 135/TCP (DCOM/RPC)> --- UDP 137/UDP> --- 445/TCP> 49152-65535 ---> |
Melaporkan gudang data | Tidak | Port 135,137,445,49152-65535 hanya diperlukan untuk dibuka selama penginstalan Server Manajemen awal untuk memungkinkan proses penyiapan memvalidasi status layanan SQL pada komputer target. 2 |
| Server pelaporan | 5723/TCP, 5724/TCP ---> | Server manajemen | Tidak | Port 5724/TCP harus terbuka untuk menginstal fitur ini dan dapat ditutup setelah penginstalan. |
| Konsol operasi | --- 5724/TCP> | Server manajemen | Tidak | |
| Konsol operasi | 80, 443 ---> 49152-65535 TCP <---> |
Layanan web Katalog Paket Manajemen | Tidak | Mendukung pengunduhan paket manajemen langsung di konsol dari katalog. 1 |
| Sumber kerangka kerja konektor | 51905 ---> | Server manajemen | Tidak | |
| Server konsol web | --- 5724/TCP> | Server manajemen | Tidak | |
| Browser konsol web | 80, 443 ---> | Server konsol web | Ya (Admin IIS) | Port default untuk HTTP atau SSL diaktifkan. |
| Konsol web untuk Diagnostik Aplikasi | --- 1433/TCP> 1434 ---> |
Database Manajer Operasi | Ya (Penyetelan) 2 | |
| Konsol web untuk Application Advisor | --- 1433/TCP> 1434 ---> |
Melaporkan gudang data | Ya (Penyetelan) 2 | |
| Server manajemen tersambung (Lokal) | --- 5724/TCP> | Server manajemen tersambung (Tersambung) | Tidak | |
| Agen Windows terinstal menggunakan MOMAgent.msi | --- 5723/TCP> | Server manajemen | Ya (Penyetelan) | |
| Agen Windows terinstal menggunakan MOMAgent.msi | --- 5723/TCP> | Server gateway | Ya (Penyetelan) | |
| Penginstalan push agen Windows, perbaikan tertunda, pembaruan tertunda | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Port RPC/DCOM High (OS 2008 dan yang lebih baru) Port 49152-65535 TCP |
Tidak | Komunikasi dimulai dari MS/GW ke pengendali domain Active Directory dan komputer target. | |
| Penemuan agen UNIX/Linux dan pemantauan agen | --- TCP 1270 < | Server manajemen atau server Gateway | Tidak | |
| Agen UNIX/Linux untuk menginstal, meningkatkan, dan menghapus agen menggunakan SSH | --- TCP 22 < | Server manajemen atau server Gateway | Ya | |
| Layanan OMED | --- TCP 8886 < | Server manajemen atau server Gateway | Ya | |
| Server gateway | --- 5723/TCP> | Server manajemen | Ya (Penyetelan) | |
| Agen (penerus Layanan Pengumpulan Audit) | 51909 ---> | Pengumpul Layanan Pengumpulan Audit server manajemen | Ya (Registri) | |
| Data Pemantauan Pengecualian Tanpa Agen dari klien | 51906 ---> | Server manajemen Berbagi file Pemantauan Pengecualian Tanpa Agen | Ya (Panduan Pemantauan Klien) | |
| Data Program Peningkatan Pengalaman Pelanggan dari klien | 51907 ---> | Titik Server Manajemen (Program Peningkatan Pengalaman Pelanggan Berakhir) | Ya (Panduan Pemantauan Klien) | |
| Konsol operasi (laporan) | 80 ---> | Layanan Pelaporan SQL | Tidak | Konsol Operasi menggunakan Port 80 untuk menyambungkan ke situs web SQL Reporting Services. |
| Server pelaporan | --- 1433/TCP> --- UDP 1434/UDP> |
Melaporkan gudang data | Ya 2 | |
| Server manajemen (pengumpul Layanan Pengumpulan Audit) | --- 1433/TCP < --- UDP 1434/UDP < |
Database Layanan Pengumpulan Audit | Ya 2 |
Layanan web Katalog Paket Manajemen 1
Untuk mengakses layanan web Katalog Paket Manajemen, firewall dan/atau server proksi Anda harus mengizinkan URL dan wildcard berikut (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifikasi port SQL 2
Port SQL default adalah 1433, namun nomor port ini dapat disesuaikan berdasarkan persyaratan organisasi. Untuk mengidentifikasi port yang dikonfigurasi, ikuti langkah-langkah berikut:
- Di Pengelola Konfigurasi SQL Server, di panel konsol, perluas SQL Server Konfigurasi Jaringan, perluas Protokol untuk <nama>instans, lalu klik dua kali TCP/IP.
- Dalam dialog Properti TCP/IP , pada tab Alamat IP , perhatikan nilai port untuk IPAll.
Jika menggunakan SQL Server yang dikonfigurasi dengan Grup Ketersediaan AlwaysOn atau setelah memigrasikan penginstalan, lakukan hal berikut untuk mengidentifikasi port:
- Di Object Explorer, sambungkan ke instans server yang menghosting replika ketersediaan grup ketersediaan yang pendengarnya ingin Anda lihat. Pilih nama server untuk memperluas pohon server.
- Perluas node Ketersediaan Tinggi AlwaysOn dan node Grup Ketersediaan.
- Perluas simpul grup ketersediaan, dan perluas node Availability Grup Listeners.
- Klik kanan pendengar yang ingin Anda lihat, dan pilih perintah Properti , membuka jendela dialog Properti Pendengar Grup Ketersediaan , tempat port yang dikonfigurasi harus tersedia.
Autentikasi Kerberos 3
Untuk klien Windows yang menggunakan autentikasi Kerberos, dan berada di domain yang berbeda dari tempat server manajemen berada, ada persyaratan tambahan yang harus dipenuhi:
- Kepercayaan transitif dua arah harus ditetapkan di antara domain.
- Port berikut harus terbuka di antara domain:
- Port TCP/UDP 389 untuk LDAP.
- Port TCP/UDP 88 untuk Kerberos.
- Port TCP/UDP 53 untuk Layanan Nama Domain (DNS).