Configurando um firewall para o Operations Manager
Esta seção descreve como configurar seu firewall para permitir a comunicação entre os diferentes recursos do Operations Manager em sua rede.
Observação
No momento, o Operations Manager não dá suporte a LDAP sobre SSL (LDAPS).
Atribuições de porta
A tabela a seguir mostra a interação de recursos do Operations Manager em um firewall, incluindo informações sobre as portas usadas para comunicação entre os recursos, em qual direção abrir a porta de entrada e se o número da porta pode ser alterado.
| Recurso A do Operations Manager | Direção e número da porta | Recurso B do Operations Manager | Configurável | Observação |
|---|---|---|---|---|
| Servidor de gerenciamento | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Banco de dados do Operations Manager | Sim (Instalação) | Porta WMI 135 (DCOM/RPC) para a conexão inicial e, em seguida, uma porta atribuída dinamicamente acima de 1024. Para obter mais informações, consulte Considerações especiais para a porta 135 As portas 135,137,445,49152-65535 só precisam estar abertas durante a instalação inicial do Servidor de Gerenciamento para permitir que o processo de instalação valide o estado dos serviços SQL no computador de destino. 2 |
| Servidor de gerenciamento | 5723/TCP, 5724/TCP ---> | Servidor de gerenciamento | Não | A porta 5724/TCP deve estar aberta para instalar esse recurso e pode ser fechada após a instalação. |
| Servidor de gerenciamento, servidor de gateway | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Controladores de Domínio | Não | A porta 88 é usada para autenticação Kerberos e não é necessária se estiver usando apenas a autenticação de certificado.3 |
| Servidor de gerenciamento | 161,162 <---> | Dispositivo de rede | Não | Todos os firewalls entre o servidor de gerenciamento e os dispositivos de rede precisam permitir SNMP (UDP) e ICMP bidirecionalmente. |
| Servidor Gateway | 5723/TCP ---> | Servidor de gerenciamento | Não | |
| Servidor de gerenciamento | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Data warehouse de relatórios | Não | As portas 135,137,445,49152-65535 só precisam estar abertas durante a instalação inicial do Servidor de Gerenciamento para permitir que o processo de instalação valide o estado dos serviços SQL no computador de destino. 2 |
| Servidor de relatório | 5723/TCP, 5724/TCP ---> | Servidor de gerenciamento | Não | A porta 5724/TCP deve estar aberta para instalar esse recurso e pode ser fechada após a instalação. |
| Console de operações | 5724/TCP ---> | Servidor de gerenciamento | Não | |
| Console de operações | 80, 443 ---> 49152-65535 --- TCP <> |
Serviço Web do Catálogo de Pacotes de Gerenciamento | Não | Dá suporte ao download de pacotes de gerenciamento diretamente no console do catálogo.1 |
| Fonte do Connector Framework | 51905 ---> | Servidor de gerenciamento | Não | |
| Servidor do console Web | 5724/TCP ---> | Servidor de gerenciamento | Não | |
| Navegador do console Web | 80, 443 ---> | Servidor do console Web | Sim (Admin IIS) | Portas padrão para HTTP ou SSL habilitadas. |
| Console Web para Application Diagnostics | 1433/TCP >--- 1434 ---> |
Banco de dados do Operations Manager | Sim (Configuração) 2 | |
| Console da Web para o Application Advisor | 1433/TCP >--- 1434 ---> |
Data warehouse de relatórios | Sim (Configuração) 2 | |
| Servidor de gerenciamento conectado (local) | 5724/TCP ---> | Servidor de gerenciamento conectado (conectado) | Não | |
| Agente do Windows instalado usando MOMAgent.msi | 5723/TCP ---> | Servidor de gerenciamento | Sim (Instalação) | |
| Agente do Windows instalado usando MOMAgent.msi | 5723/TCP ---> | Servidor Gateway | Sim (Instalação) | |
| Instalação push do agente do Windows, reparo pendente, atualização pendente | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Portas RPC/DCOM High (2008 OS e posterior) Portas 49152-65535 TCP |
Não | A comunicação é iniciada do MS/GW para um controlador de domínio do Active Directory e o computador de destino. | |
| Descoberta de agente UNIX/Linux e monitoramento do agente | TCP 1270 <--- | Servidor de gerenciamento ou servidor de gateway | Não | |
| Agente UNIX/Linux para instalação, atualização e remoção do agente usando SSH | TCP 22 <--- | Servidor de gerenciamento ou servidor de gateway | Sim | |
| Serviço OMED | TCP 8886 <--- | Servidor de gerenciamento ou servidor de gateway | Sim | |
| Servidor Gateway | 5723/TCP ---> | Servidor de gerenciamento | Sim (Instalação) | |
| Agente (Encaminhador ACS (Serviço de Coleta de Auditoria)) | 51909 ---> | Coletor de Serviços de Coleta de Auditoria do servidor de gerenciamento | Sim (Registro) | |
| Dados de Monitoramento de Exceções sem Agente do cliente | 51906 ---> | Compartilhamento de arquivos de monitoramento de exceção sem agente do servidor de gerenciamento | Sim (Assistente para Monitoramento de Cliente) | |
| Dados do Programa de Aperfeiçoamento da Experiência do Usuário do cliente | 51907 ---> | Servidor de gerenciamento (Fim do Programa de Aperfeiçoamento da Experiência do Usuário) Ponto | Sim (Assistente para Monitoramento de Cliente) | |
| Console de Operações (relatórios) | 80 ---> | SQL Reporting Services | Não | O console de Operações usa a porta 80 para conectar-se ao site da Web do SQL Reporting Services. |
| Servidor de relatório | 1433/TCP >--- 1434/UDP >--- |
Data warehouse de relatórios | Sim 2 | |
| Servidor de gerenciamento (coletor dos Serviços de Coleta de Auditoria) | 1433/TCP <--- 1434/UDP <--- |
Banco de dados do Serviço de Coleta de Auditoria (ACS) | Sim 2 |
Serviço Web do Catálogo do Pacote de Gerenciamento 1
Para acessar o serviço Web do Catálogo de Pacotes de Gerenciamento, o firewall e/ou o servidor proxy devem permitir a seguinte URL e curinga (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identificar a porta SQL 2
A porta SQL padrão é 1433, no entanto, esse número de porta pode ser personalizado com base nos requisitos organizacionais. Para identificar a porta configurada, siga estas etapas:
- No SQL Server Configuration Manager, no painel do console, expanda a Configuração de Rede do SQL Server, expanda Protocolos para <nome da instância> e clique duas vezes em TCP/IP.
- Na caixa de diálogo Propriedades TCP/IP, na guia Endereços IP, anote o valor da porta para IPAll.
Se estiver usando um SQL Server configurado com um Grupo de Disponibilidade Always On ou depois de migrar uma instalação, faça o seguinte para identificar a porta:
- No Pesquisador de Objetos, conecte-se a uma instância de servidor que hospeda qualquer réplica de disponibilidade do grupo de disponibilidade cujo ouvinte você deseja exibir. Selecione o nome do servidor para expandir a árvore de servidores.
- Expanda os nós Alta Disponibilidade AlwaysOn e Grupos de Disponibilidade.
- Expanda o nó do grupo de disponibilidade e expanda o nó Ouvintes de Grupos de Disponibilidade .
- Clique com o botão direito do mouse no ouvinte que você deseja exibir e selecione o comando Propriedades , abrindo a janela de diálogo Propriedades do Ouvinte do Grupo de Disponibilidade , onde a porta configurada deve estar disponível.
Autenticação Kerberos 3
Para clientes Windows que usam a autenticação Kerberos e residem em um domínio diferente de onde os servidores de gerenciamento estão localizados, há requisitos extras que devem ser atendidos:
- Uma relação de confiança transitiva bidirecional deve ser estabelecida entre domínios.
- As seguintes portas devem estar abertas entre os domínios:
- Porta TCP/UDP 389 para LDAP.
- Porta TCP/UDP 88 para Kerberos.
- Porta TCP/UDP 53 para DNS (Serviço de Nomes de Domínio).