Delen via


Een firewall configureren voor Operations Manager

In deze sectie wordt beschreven hoe u uw firewall configureert voor communicatie tussen de verschillende Operations Manager-functies in uw netwerk.

Opmerking

Operations Manager biedt momenteel geen ondersteuning voor LDAP via SSL (LDAPS).

Poorttoewijzingen

In de volgende tabel ziet u de interactie van Operations Manager-functies in een firewall, inclusief informatie over de poorten die worden gebruikt voor communicatie tussen de functies, in welke richting de binnenkomende poort moet worden geopend en of het poortnummer kan worden gewijzigd.

Operations manager functie A Poortnummer en richting Operations Manager-functie B Configureerbaar Opmerking
Beheerserver 1433/TCP----> 
1434/UDP----> 
135/TCP (DCOM/RPC) ---> 
137/UDP----> 
445/TCP----> 
49152-65535 --->
Operations Manager-database Ja (installatie) WMI-poort 135 (DCOM/RPC) voor de eerste verbinding en vervolgens een dynamisch toegewezen poort boven 1024. Zie Speciale overwegingen voor poort 135 voor meer informatie

Poorten 135.137.445.49152-65535 zijn alleen geopend tijdens de eerste installatie van de beheerserver, zodat het installatieproces de status van de SQL-services op de doelcomputer kan valideren. 2
Beheerserver 5723/TCP, 5724/TCP ---> Beheerserver Nee. Poort 5724/TCP moet zijn geopend om deze functie te installeren en kan na de installatie worden gesloten.
Beheerserver, Gatewayserver 53 (DNS) --->
88 (Kerberos) --->
389 (LDAP) --->
Domeincontrollers Nee. Poort 88 wordt gebruikt voor Kerberos-verificatie en is niet vereist als alleen certificaatverificatie wordt gebruikt. 3
Beheerserver 161.162 <---> Netwerkapparaat Nee. Alle firewalls tussen de beheerserver en de netwerkapparaten moeten SNMP (UDP) en ICMP bidirectioneel toestaan.
Gatewayserver 5723/TCP----> Beheerserver Nee.
Beheerserver 1433/TCP---->
1434/UDP----> 
135/TCP (DCOM/RPC) ---> 
137/UDP----> 
445/TCP----> 
49152-65535 --->
Datawarehouse voor rapportage Nee. Poorten 135.137.445.49152-65535 zijn alleen geopend tijdens de eerste installatie van de beheerserver, zodat het installatieproces de status van de SQL-services op de doelcomputer kan valideren. 2
Rapportageserver 5723/TCP, 5724/TCP ---> Beheerserver Nee. Poort 5724/TCP moet zijn geopend om deze functie te installeren en kan na de installatie worden gesloten.
Bedieningsconsole 5724/TCP----> Beheerserver Nee.
Bedieningsconsole 80, 443 --->
49152-65535 TCP <---->
Management Pack Catalog-webservice Nee. Ondersteunt het rechtstreeks downloaden van management packs in de console vanuit de catalogus. 1
Bron van connectorframework 51905 ---> Beheerserver Nee.
Webconsole-server 5724/TCP----> Beheerserver Nee.
Browser voor webconsole 80, 443 ---> Webconsole-server Ja (IIS-beheerder) Standaardpoorten voor HTTP of SSL ingeschakeld.
Webconsole voor Diagnostiek van Applicaties 1433/TCP---->
 1434 --->
Operations Manager-databank Ja (Setup) 2
Webconsole voor Application Advisor 1433/TCP---->
 1434 --->
Rapportagegegevensmagazijn Ja (Setup) 2
Verbonden beheerserver (lokaal) 5724/TCP----> Verbonden beheerserver (verbonden) Nee.
Windows-agent geïnstalleerd met behulp van MOMAgent.msi 5723/TCP----> Beheerserver Ja (Configuratie)
Windows-agent geïnstalleerd met behulp van MOMAgent.msi 5723/TCP----> Gatewayserver Ja (Setup)
Push-installatie van Windows-agent, in afwachting van herstel, in afwachting van update 5723/TCP
135/TCP
137/UDP
138/UDP
139/TCP
445/TCP

*RPC/DCOM High-poorten (2008 OS en hoger)
Poorten 49152-65535 TCP
Nee. Communicatie wordt gestart van MS/GW naar een Active Directory-domeincontroller en de doelcomputer.
Unix/Linux-agentdetectie en -bewaking van agent TCP 1270 <---- Beheerserver of gatewayserver Nee.
UNIX/Linux-agent voor het installeren, upgraden en verwijderen van agent met behulp van SSH TCP 22 <---- Beheerserver of Gatewayserver Ja
OMED-service TCP 8886 <---- Beheerserver of Gateway-server Ja
Gatewayserver 5723/TCP----> Beheerserver Ja (Installatie)
Agent (verzender voor Audit Collection Services) 51909 ---> Beheerserver collector voor Audit Collection Services Ja (register)
Uitzonderingsbewakingsgegevens van client zonder agent 51906 ---> Beheerserver: bestandsshare voor uitzonderingsbewaking zonder agent Ja (Client Monitoring Wizard)
Gegevens van het klanttevredenheidsverbeteringsprogramma van de client 51907 ---> Eindpunt van beheerserver (eindpunt van programma voor kwaliteitsverbetering) Ja (Clientbewakingwizard)
Operations-console (rapporten) 80 ---> SQL Reporting Services Nee. In de Operations-console wordt poort 80 gebruikt om verbinding te maken met de SQL Reporting Services-website.
Rapportageserver 1433/TCP---->
1434/UDP---->
Rapportagegegevensmagazijn Ja 2
Beheerserver (Audit Collection Services-collector) 1433/TCP <----
1434/UDP <----
Auditverzameldiensten-database Ja 2

Management Pack Catalog-webservice 1

Voor toegang tot de Management Pack Catalog-webservice moet uw firewall en/of proxyserver de volgende URL en jokerteken (*) toestaan:

  • https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
  • http://go.microsoft.com/fwlink/*

SQL-poort 2 identificeren

  • De standaard-SQL-poort is 1433, maar dit poortnummer kan worden aangepast op basis van de vereisten van de organisatie. Volg deze stappen om de geconfigureerde poort te identificeren:

    1. In SQL Server Configuration Manager, in het configuratiescherm, vouw SQL Server-netwerkconfiguratie uit en vervolgens protocollen voor de <instantie-naam>, en dubbelklik dan op TCP/IP.
    2. Noteer in het dialoogvenster TCP/IP-eigenschappen op het tabblad IP-adressen de poortwaarde voor IPAll.
  • Als u een SQL Server gebruikt die is geconfigureerd met een AlwaysOn-beschikbaarheidsgroep of nadat u een installatie hebt gemigreerd, gaat u als volgt te werk om de poort te identificeren:

    1. Maak in Objectverkenner verbinding met een serverexemplaar waarop een beschikbaarheidsreplica van de beschikbaarheidsgroep gehost wordt waarvan u de listener wilt weergeven. Selecteer de servernaam om de serverstructuur uit te vouwen.
    2. Vouw het knooppunt Always On High Availability en het knooppunt Beschikbaarheidsgroepen uit.
    3. Vouw het knooppunt van de beschikbaarheidsgroep uit en vouw het knooppunt Beschikbaarheidsgroepen Luisteraars uit.
    4. Klik met de rechtermuisknop op de listener die u wilt weergeven en selecteer de opdracht Eigenschappen , het dialoogvenster Eigenschappen van de beschikbaarheidsgroepslistener openen, waar de geconfigureerde poort beschikbaar moet zijn.

Kerberos-verificatie 3

Voor Windows-clients die Gebruikmaken van Kerberos-verificatie en zich in een ander domein bevinden dan waar de beheerservers zich bevinden, zijn er extra vereisten waaraan moet worden voldaan:

  1. Er moet een transitieve tweerichtingsvertrouwensrelatie tussen domeinen tot stand worden gebracht.
  2. De volgende poorten moeten zijn geopend tussen de domeinen:
    1. TCP/UDP-poort 389 voor LDAP.
    2. TCP/UDP-poort 88 voor Kerberos.
    3. TCP/UDP-poort 53 voor Domain Name Service (DNS).

Zie ook