Operations Manager에 대한 방화벽 구성

이 섹션에서는 네트워크의 다양한 Operations Manager 기능 간의 통신을 허용하도록 방화벽을 구성하는 방법을 설명합니다.

참고 항목

Operations Manager는 현재 SSL(SSL)을 통해 LDAP를 지원하지 않습니다.

포트 할당

다음 표에서는 기능 간 통신에 사용되는 포트, 인바운드 포트를 여는 방향 및 포트 번호를 변경할 수 있는지 여부를 포함하여 방화벽 간 Operations Manager 기능 상호 작용을 보여 줍니다.

Operations Manager 기능 A	포트 번호 및 방향	Operations Manager 기능 B	구성 가능 여부	참고 항목
관리 서버	1433/TCP >---  1434/UDP >---  135/TCP(DCOM/RPC) --->  137/UDP --->  445/TCP --->  49152~65535 --->	Operations Manager 데이터베이스	예(설치)	초기 연결에 대한 WMI 포트 135(DCOM/RPC) 및 1024를 초과하는 동적으로 할당된 포트 자세한 내용은 포트 135에 대한 특별 고려 사항을 참조하세요 . 포트 135,137,445,49152-65535는 설치 프로세스가 대상 컴퓨터의 SQL 서비스 상태를 확인할 수 있도록 초기 관리 서버 설치 중에만 열어야 합니다. 2
관리 서버	5723/TCP, 5724/TCP --->	관리 서버	아니요	이 기능을 설치하려면 포트 5724/TCP가 열려 있어야 하며 설치 후 닫을 수 있습니다.
관리 서버, 게이트웨이 서버	53(DNS) ---> 88(Kerberos) ---> 389(LDAP) --->	도메인 컨트롤러 하나 이상	아니요	포트 88은 Kerberos 인증에 사용되며 인증서 인증만 사용하는 경우에는 필요하지 않습니다.3
관리 서버	161,162 <--->	네트워크 디바이스	아니요	관리 서버와 네트워크 디바이스 간의 모든 방화벽은 SNMP(UDP) 및 ICMP 양방향을 허용해야 합니다.
게이트웨이 서버	5723/TCP --->	관리 서버	아니요
관리 서버	1433/TCP >--- 1434/UDP >---  135/TCP(DCOM/RPC) --->  137/UDP --->  445/TCP --->  49152~65535 --->	보고 데이터 웨어하우스	아니요	포트 135,137,445,49152-65535는 설치 프로세스가 대상 컴퓨터의 SQL 서비스 상태를 확인할 수 있도록 초기 관리 서버 설치 중에만 열어야 합니다. 2
보고 서버	5723/TCP, 5724/TCP --->	관리 서버	아니요	이 기능을 설치하려면 포트 5724/TCP가 열려 있어야 하며 설치 후 닫을 수 있습니다.
운영 콘솔	5724/TCP --->	관리 서버	아니요
운영 콘솔	80, 443 ---> 49152-65535 TCP <--->	관리 팩 카탈로그 웹 서비스	아니요	카탈로그에서 콘솔에서 직접 관리 팩 다운로드를 지원합니다.1
커넥터 프레임워크 원본	51905 --->	관리 서버	아니요
웹 콘솔 서버	5724/TCP --->	관리 서버	아니요
웹 콘솔 브라우저	80, 443 --->	웹 콘솔 서버	예(IIS 관리)	HTTP 또는 SSL을 사용하도록 설정된 기본 포트입니다.
Application Diagnostics용 웹 콘솔	1433/TCP >---  1434 --->	Operations Manager 데이터베이스	예(설정) 2
Application Advisor용 웹 콘솔	1433/TCP >---  1434 --->	보고 데이터 웨어하우스	예(설정) 2
연결된 관리 서버(로컬)	5724/TCP --->	연결된 관리 서버(연결됨)	아니요
MOMAgent.msi 사용하여 설치된 Windows 에이전트	5723/TCP --->	관리 서버	예(설치)
MOMAgent.msi 사용하여 설치된 Windows 에이전트	5723/TCP --->	게이트웨이 서버	예(설치)
Windows 에이전트 강제 설치, 복구 보류 중, 업데이트 보류 중	5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High 포트(2008 OS 이상) 포트 49152-65535 TCP		아니요	통신은 MS/GW에서 Active Directory 도메인 컨트롤러 및 대상 컴퓨터로 시작됩니다.
에이전트의 UNIX/Linux 에이전트 검색 및 모니터링	TCP 1270 <---	관리 서버 또는 게이트웨이 서버	아니요
SSH를 사용하여 에이전트 설치, 업그레이드 및 제거를 위한 UNIX/Linux 에이전트	TCP 22 <---	관리 서버 또는 게이트웨이 서버	예
OMED 서비스	TCP 8886 <---	관리 서버 또는 게이트웨이 서버	예
게이트웨이 서버	5723/TCP --->	관리 서버	예(설치)
에이전트(Audit Collection Services 전달자)	51909 --->	관리 서버 Audit Collection Services 수집기	예(레지스트리)
클라이언트의 에이전트 없이 예외 감시 데이터	51906 --->	관리 서버 에이전트 없는 예외 모니터링 파일 공유	예(클라이언트 모니터링 마법사)
클라이언트의 사용자 환경 개선 프로그램 데이터	51907 --->	관리 서버(고객 환경 개선 프로그램 종료) 지점	예(클라이언트 모니터링 마법사)
운영 콘솔(보고서)	80 --->	SQL Reporting Services	아니요	운영 콘솔은 포트 80을 통해 SQL Reporting Services 웹 사이트에 연결합니다.
보고 서버	1433/TCP >--- 1434/UDP >---	보고 데이터 웨어하우스	예 2
관리 서버(Audit Collection Services 수집기)	1433/TCP <--- 1434/UDP <---	Audit Collection Services 데이터베이스	예 2

관리 팩 카탈로그 웹 서비스 ¹

관리 팩 카탈로그 웹 서비스에 액세스하려면 방화벽 및/또는 프록시 서버에서 다음 URL 및 와일드카드(*)를 허용해야 합니다.

• https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
• http://go.microsoft.com/fwlink/*

SQL 포트 ^{2 식별}

• 기본 SQL 포트는 1433이지만 조직의 요구 사항에 따라 이 포트 번호를 사용자 지정할 수 있습니다. 구성된 포트를 식별하려면 다음 단계를 수행합니다.

  1. SQL Server 구성 관리자의 콘솔 창에서 SQL Server 네트워크 구성, <인스턴스 이름>에 대한 프로토콜을 차례로 확장한 다음 TCP/IP를 두 번 클릭합니다.
  2. TCP/IP 속성 대화 상자의 IP 주소 탭에서 IPAll의 포트 값을 확인합니다.

• Always On 가용성 그룹으로 구성된 SQL Server를 사용하거나 설치를 마이그레이션한 후 다음을 수행하여 포트를 식별합니다.

  1. 개체 탐색기 수신기를 보려는 가용성 그룹의 가용성 복제본을 호스팅하는 서버 인스턴스에 연결합니다. 서버 이름을 선택하여 서버 트리를 확장합니다.
  2. Always On 고가용성 노드 및 가용성 그룹 노드를 확장합니다.
  3. 가용성 그룹의 노드를 확장하고 가용성 그룹 수신기 노드를 확장합니다.
  4. 보려는 수신기를 마우스 오른쪽 단추로 클릭하고 속성 명령을 선택하여 구성된 포트를 사용할 수 있는 가용성 그룹 수신기 속성 대화 상자 창을 엽니다.

Kerberos 인증 ³

Kerberos 인증을 사용하는 Windows 클라이언트의 경우 관리 서버가 있는 다른 도메인에 상주하는 경우 충족해야 하는 추가 요구 사항이 있습니다.

1. 도메인 간에 양방향 전이적 트러스트를 설정해야 합니다.
2. 다음 포트는 도메인 간에 열려 있어야 합니다.
   1. LDAP용 TCP/UDP 포트 389
   2. Kerberos용 TCP/UDP 포트 88
   3. DNS(Domain Name Service)용 TCP/UDP 포트 53.

참고 항목

• Kerberos 인증 문제 해결 지침
• Operations Manager의 에이전트 연결 문제 해결