Operations Manager のファイアウォールを構成する
このセクションでは、ネットワーク上のさまざまな Operations Manager 機能間の通信を許可するようにファイアウォールを構成する方法について説明します。
Note
現時点では、Operations Manager では SSL 経由の LDAP (LDAPS) はサポートされていません。
ポートの割り当て
次の表は、ファイアウォール間の Operations Manager 機能の相互作用を示しています。これには、機能間の通信に使用されるポート、受信ポートを開く方向、ポート番号を変更できるかどうかに関する情報が含まれます。
| Operations Manager 機能 A | ポート番号と通信方向 | Operations Manager 機能 B | 構成可能 | Note |
|---|---|---|---|---|
| 管理サーバー | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager データベース | 可能 (セットアップ) | 初期接続用の WMI ポート 135 (DCOM/RPC) と、1024 より上の動的に割り当てられたポート。 詳細については、「 ポート 135 に関する特別な考慮事項」を参照してください。 ポート 135,137,445,49152-65535 は、セットアップ プロセスがターゲット コンピューター上の SQL サービスの状態を検証できるようにするために、初期管理サーバーのインストール中にのみ開く必要があります。 2 |
| 管理サーバー | 5723/TCP、5724/TCP ---> | 管理サーバー | いいえ | この機能をインストールするには、ポート 5724/TCP を開く必要があり、インストール後に閉じることができます。 |
| 管理サーバー、ゲートウェイ サーバー | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
ドメイン コントローラー | いいえ | ポート 88 は Kerberos 認証に使用され、証明書認証のみを使用する場合は必要ありません。3 |
| 管理サーバー | 161、162 <---> | ネットワーク デバイス | いいえ | 管理サーバーとネットワーク デバイス間のすべてのファイアウォールでは、SNMP (UDP) と ICMP の双方向を許可する必要があります。 |
| ゲートウェイ サーバー | 5723/TCP ---> | 管理サーバー | いいえ | |
| 管理サーバー | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
レポート データ ウェアハウス | いいえ | ポート 135,137,445,49152-65535 は、セットアップ プロセスがターゲット コンピューター上の SQL サービスの状態を検証できるようにするために、初期管理サーバーのインストール中にのみ開く必要があります。 2 |
| レポート サーバー | 5723/TCP、5724/TCP ---> | 管理サーバー | いいえ | この機能をインストールするには、ポート 5724/TCP を開く必要があり、インストール後に閉じることができます。 |
| オペレーション コンソール | 5724/TCP ---> | 管理サーバー | いいえ | |
| オペレーション コンソール | 80, 443 ---> 49152-65535 TCP <---> |
管理パック カタログ Web サービス | いいえ | catalog. からコンソールで管理パックを直接ダウンロードできます。1 |
| コネクタ フレームワーク ソース | 51905 ---> | 管理サーバー | いいえ | |
| Web コンソール サーバー | 5724/TCP ---> | 管理サーバー | いいえ | |
| Web コンソールのブラウザー | 80, 443 ---> | Web コンソール サーバー | 可能 (IIS 管理) | HTTP または SSL の既定のポートが有効になっています。 |
| アプリケーション診断用の Web コンソール | 1433/TCP >--- 1434 ---> |
Operations Manager データベース | はい (セットアップ) 2 | |
| Application Advisor 用 Web コンソール | 1433/TCP >--- 1434 ---> |
レポート データ ウェアハウス | はい (セットアップ) 2 | |
| 接続された管理サーバー (ローカル) | 5724/TCP ---> | 接続された管理サーバー (接続済み) | いいえ | |
| MOMAgent.msiを使用してインストールされた Windows エージェント | 5723/TCP ---> | 管理サーバー | 可能 (セットアップ) | |
| MOMAgent.msiを使用してインストールされた Windows エージェント | 5723/TCP ---> | ゲートウェイ サーバー | 可能 (セットアップ) | |
| Windows エージェントプッシュインストール、保留中の修復、保留中の更新 | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High ポート (2008 OS 以降) ポート 49152 - 65535 TCP |
いいえ | MS/GW から Active Directory ドメイン コントローラーとターゲット コンピューターへの通信が開始されます。 | |
| UNIX/Linux エージェントの検出とエージェントの監視 | TCP 1270 <--- | 管理サーバーまたはゲートウェイ サーバー | いいえ | |
| SSH を使用してエージェントをインストール、アップグレード、および削除するための UNIX/Linux エージェント | TCP 22 <--- | 管理サーバーまたはゲートウェイ サーバー | はい | |
| OMED サービス | TCP 8886 <--- | 管理サーバーまたはゲートウェイ サーバー | はい | |
| ゲートウェイ サーバー | 5723/TCP ---> | 管理サーバー | 可能 (セットアップ) | |
| エージェント (監査コレクション サービス フォワーダー) | 51909 ---> | 管理サーバー監査コレクション サービス コレクター | 可能 (レジストリ) | |
| クライアントからのエージェントレスの例外監視データ | 51906 ---> | 管理サーバー エージェントレス例外監視ファイル共有 | 可能 (クライアント監視の構成ウィザード) | |
| クライアントからのカスタマー エクスペリエンス向上プログラムのデータ | 51907 ---> | 管理サーバー (カスタマー エクスペリエンス向上プログラムの終了) ポイント | 可能 (クライアント監視の構成ウィザード) | |
| オペレーション コンソール (レポート) | 80 ---> | SQL Reporting Services | いいえ | オペレーション コンソールは、ポート 80 を使用して SQL Reporting Services の Web サイトに接続します。 |
| レポート サーバー | 1433/TCP >--- 1434/UDP >--- |
レポート データ ウェアハウス | はい 2 | |
| 管理サーバー (Audit Collection Services コレクター) | 1433/TCP <--- 1434/UDP <--- |
監査コレクション サービス データベース | はい 2 |
管理パック カタログ Web サービス 1
管理パック カタログ Web サービスにアクセスするには、ファイアウォールまたはプロキシ サーバーで次の URL とワイルドカード (*) を許可する必要があります。
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
SQL ポート 2 を識別する
既定の SQL ポートは 1433 ですが、このポート番号は組織の要件に基づいてカスタマイズできます。 構成されているポートを識別するには、次の手順に従います。
- SQL Server Configuration Manager のコンソール ペインで、[SQL Server ネットワークの構成]、<インスタンス名>の [プロトコル] の順に展開し、[TCP/IP] をダブルクリックします。
- [ TCP/IP プロパティ ] ダイアログの [ IP アドレス タブで、 IPAll のポート値をメモします。
Always On 可用性グループで構成された SQL Server を使用する場合、またはインストールの移行後に、次の手順を実行してポートを特定します。
- オブジェクト エクスプローラーで、リスナーを表示する可用性グループの任意の可用性レプリカをホストするサーバー インスタンスに接続します。 サーバー名を選択して、サーバー ツリーを展開します。
- [AlwaysOn 高可用性] ノードと [可用性グループ] ノードを展開します。
- 可用性グループのノード、 [可用性グループ リスナー] ノードの順に展開します。
- 表示するリスナーを右クリックし、 Properties コマンドを選択し、 Availability Group Listener Properties ダイアログ ウィンドウを開きます。ここで、構成済みのポートを使用できます。
Kerberos 認証 3
Kerberos 認証を使用する Windows クライアントの場合、管理サーバーが配置されているドメインとは異なるドメインに存在する場合は、次の要件を満たす必要があります。
- ドメイン間で 双方向の推移的信頼 を確立する必要があります。
- ドメイン間で次のポートを開く必要があります。
- LDAP の TCP/UDP ポート 389。
- Kerberos の TCP/UDP ポート 88。
- ドメイン ネーム サービス (DNS) の TCP/UDP ポート 53。