Konfigurowanie zapory dla programu Operations Manager
W tej sekcji opisano sposób konfigurowania zapory w celu umożliwienia komunikacji między różnymi funkcjami programu Operations Manager w sieci.
Uwaga
Program Operations Manager nie obsługuje obecnie protokołu LDAP za pośrednictwem protokołu SSL (LDAPS).
Przypisania portów
W poniższej tabeli przedstawiono interakcję funkcji programu Operations Manager między zaporą, w tym informacje o portach używanych do komunikacji między funkcjami, które kierunku otwierania portu przychodzącego i czy można zmienić numer portu.
| Funkcja programu Operations Manager A | Numer portu i kierunek | Funkcja B programu Operations Manager | Konfigurowalny | Uwaga |
|---|---|---|---|---|
| Serwer zarządzania | 1433/--- TCP> 1434/--- UDP> 135/TCP (DCOM/RPC) ---> 137/--- UDP> 445/--- TCP> 49152-65535 ---> |
Baza danych programu Operations Manager | Tak (Instalator) | Port WMI 135 (DCOM/RPC) dla połączenia początkowego, a następnie dynamicznie przypisany port powyżej 1024. Aby uzyskać więcej informacji, zobacz Specjalne zagadnienia dotyczące portu 135 Porty 135,137,445,49152-65535 są wymagane tylko do otwarcia podczas początkowej instalacji serwera zarządzania, aby umożliwić procesowi instalacji weryfikowanie stanu usług SQL na maszynie docelowej. 2 |
| Serwer zarządzania | 5723/TCP, 5724/TCP ---> | Serwer zarządzania | Nie. | Port 5724/TCP musi być otwarty, aby zainstalować tę funkcję i można ją zamknąć po instalacji. |
| Serwer zarządzania, serwer bramy | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Kontrolery domeny | Nie. | Port 88 jest używany do uwierzytelniania kerberos i nie jest wymagany tylko w przypadku korzystania z uwierzytelniania certyfikatu.3 |
| Serwer zarządzania | 161 162 <---> | Urządzenie sieciowe | Nie. | Wszystkie zapory między serwerem zarządzania i urządzeniami sieciowymi muszą zezwalać na dwukierunkowe protokoły SNMP (UDP) i ICMP. |
| Serwer bramy | 5723/--- TCP> | Serwer zarządzania | Nie. | |
| Serwer zarządzania | 1433/--- TCP> 1434/--- UDP> 135/TCP (DCOM/RPC) ---> 137/--- UDP> 445/--- TCP> 49152-65535 ---> |
Magazyn danych raportowania | Nie. | Porty 135,137,445,49152-65535 są wymagane tylko do otwarcia podczas początkowej instalacji serwera zarządzania, aby umożliwić procesowi instalacji weryfikowanie stanu usług SQL na maszynie docelowej. 2 |
| Serwer raportowania | 5723/TCP, 5724/TCP ---> | Serwer zarządzania | Nie. | Port 5724/TCP musi być otwarty, aby zainstalować tę funkcję i można ją zamknąć po instalacji. |
| Konsola Operacje | 5724/--- TCP> | Serwer zarządzania | Nie. | |
| Konsola Operacje | 80, 443 ---> 49152-65535 TCP <---> |
Usługa sieci Web wykazu pakietów administracyjnych | Nie. | Obsługuje pobieranie pakietów administracyjnych bezpośrednio w konsoli z katalogu.1 |
| Źródło struktury łącznika | 51905 ---> | Serwer zarządzania | Nie. | |
| Serwer konsoli sieci Web | 5724/--- TCP> | Serwer zarządzania | Nie. | |
| Przeglądarka konsoli sieci Web | 80, 443 ---> | Serwer konsoli sieci Web | Tak (administrator usług IIS) | Domyślne porty dla protokołu HTTP lub SSL włączone. |
| Konsola sieci Web na potrzeby diagnostyki aplikacji | 1433/--- TCP> 1434 ---> |
Baza danych programu Operations Manager | Tak (Konfiguracja) 2 | |
| Konsola sieci Web dla usługi Application Advisor | 1433/--- TCP> 1434 ---> |
Magazyn danych raportowania | Tak (Konfiguracja) 2 | |
| Połączony serwer zarządzania (lokalny) | 5724/--- TCP> | Połączony serwer zarządzania (połączony) | Nie. | |
| Agent systemu Windows zainstalowany przy użyciu MOMAgent.msi | 5723/--- TCP> | Serwer zarządzania | Tak (Instalator) | |
| Agent systemu Windows zainstalowany przy użyciu MOMAgent.msi | 5723/--- TCP> | Serwer bramy | Tak (Instalator) | |
| Instalacja wypychana agenta systemu Windows, oczekiwanie na naprawę, oczekiwanie na aktualizację | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Porty RPC/DCOM High (system operacyjny 2008 i nowsze) Porty 49152-65535 TCP |
Nie. | Komunikacja jest inicjowana z usługi MS/GW do kontrolera domeny usługi Active Directory i komputera docelowego. | |
| Odnajdywanie i monitorowanie agenta systemu UNIX/Linux | TCP 1270 <--- | Serwer zarządzania lub serwer bramy | Nie. | |
| Agent systemu UNIX/Linux do instalowania, uaktualniania i usuwania agenta przy użyciu protokołu SSH | TCP 22 <--- | Serwer zarządzania lub serwer bramy | Tak | |
| Usługa OMED | --- TCP 8886 < | Serwer zarządzania lub serwer bramy | Tak | |
| Serwer bramy | 5723/--- TCP> | Serwer zarządzania | Tak (Instalator) | |
| Agent (usługa przesyłania dalej audit Collection Services) | 51909 ---> | Moduł zbierający usług Audit Collection Services serwera zarządzania | Tak (rejestr) | |
| Dane monitorowania wyjątku bez agenta odebrane od klienta | 51906 ---> | Udział plików monitorowania wyjątków bez agenta serwera zarządzania | Tak (Kreator monitorowania klienta) | |
| Dane do programu poprawy jakości obsługi klienta odebrane od klienta | 51907 ---> | Punkt końcowy programu poprawy jakości obsługi klienta (serwer zarządzania) | Tak (Kreator monitorowania klienta) | |
| Konsola Operacje (raporty) | 80 ---> | SQL Reporting Services | Nie. | Konsola Operacje używa portu 80 do nawiązania połączenia z witryną sieci Web usług SQL Reporting Services. |
| Serwer raportowania | 1433/--- TCP> 1434/--- UDP> |
Magazyn danych raportowania | Tak 2 | |
| Serwer zarządzania (moduł zbierający usług Audit Collection Services) | 1433/--- TCP < 1434/--- UDP < |
Baza danych usług Audit Collection Services | Tak 2 |
Usługa sieci Web wykazu pakietów administracyjnych 1
Aby uzyskać dostęp do usługi sieci Web katalogu pakietów administracyjnych, zapora i/lub serwer proxy muszą zezwalać na następujący adres URL i symbol wieloznaczny (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identyfikowanie portu SQL 2
Domyślny port SQL to 1433, jednak ten numer portu można dostosować na podstawie wymagań organizacji. Aby zidentyfikować skonfigurowany port, wykonaj następujące kroki:
- W menedżerze konfiguracji programu SQL Server w okienku konsoli rozwiń węzeł Konfiguracja sieci programu SQL Server, rozwiń węzeł Protokoły dla <nazwy> wystąpienia, a następnie kliknij dwukrotnie tcp/IP.
- W oknie dialogowym Właściwości protokołu TCP/IP na karcie Adresy IP zanotuj wartość portu IPAll.
Jeśli używasz programu SQL Server skonfigurowanego z zawsze włączoną grupą dostępności lub po migracji instalacji, wykonaj następujące czynności, aby zidentyfikować port:
- W Eksplorator obiektów nawiąż połączenie z wystąpieniem serwera hostujące dowolną replikę dostępności grupy dostępności, której odbiornik ma być wyświetlany. Wybierz nazwę serwera, aby rozwinąć drzewo serwerów.
- Rozwiń węzeł Zawsze włączona wysoka dostępność i węzeł Grupy dostępności.
- Rozwiń węzeł grupy dostępności i rozwiń węzeł Odbiorniki grup dostępności.
- Kliknij prawym przyciskiem myszy odbiornik, który chcesz wyświetlić, a następnie wybierz polecenie Właściwości , otwierając okno dialogowe Właściwości odbiornika grupy dostępności, gdzie skonfigurowany port powinien być dostępny.
Uwierzytelnianie Kerberos 3
W przypadku klientów z systemem Windows korzystających z uwierzytelniania Kerberos i znajdujących się w innej domenie, od której znajdują się serwery zarządzania, należy spełnić dodatkowe wymagania:
- Należy ustanowić dwukierunkowe zaufanie między domenami.
- Między domenami muszą być otwarte następujące porty:
- Port TCP/UDP 389 dla protokołu LDAP.
- Port TCP/UDP 88 dla protokołu Kerberos.
- Port TCP/UDP 53 dla usługi nazw domen (DNS).