Поделиться через

  • Статья

Использование брандмауэра Windows с Orchestrator

 

Опубликовано: Март 2016

Применимо к: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator

По умолчанию брандмауэр Windows в режиме повышенной безопасности включен на всех компьютерах Windows Server 2008 R2 и блокирует весь входящий трафик, кроме ответов на запросы узла и трафика, определенно разрешенного правилом брандмауэра. Можно явно разрешить трафик, указав номер порта, имя приложения, имя службы или другие критерии в настройках дополнительных параметров безопасности брандмауэра Windows.

При настройке Runbook Designer или сервера Runbook за пределами брандмауэра на компьютере сервера Management должны быть включены определенные правила, которые бы разрешали Runbook Designer и серверу Runbook взаимодействовать с Management. Кроме того, если конечный компьютер находится за пределами брандмауэра, для некоторых действий, например действий наблюдения, необходимо включать определенные правила брандмауэра, чтобы разрешить связи WMI.

Настройка компьютеров Orchestrator

Если Runbook Designer или сервер Runbook защищены брандмауэром, определенные правила брандмауэра должны быть включены между сервером Management и удаленными компьютерами.

Включите следующие правила, применяемые к конфигурации.

Разрешение доступа к серверу SQL

  1. На удаленном компьютере с установленным Runbook Designer или сервером Runbook, откройте порт для подключения к серверу SQL. Порт SQL по умолчанию — TCP:1433.

Включение доступа между Runbook Designer и сервером Management

  1. На компьютере, на котором работает служба Management Server, добавьте правило брандмауэра, чтобы разрешить Runbook Designer или серверу Runbook доступ к ManagementService.exe.

    Расположение Orchestrator Management Service

    Операционная система Правило брандмауэра
    64-разрядная система %ProgramFiles(x86)%\Microsoft System Center 2012\Orchestrator\Management Server\ManagementService.exe

Предоставление прав учетной записи службы Runbook Server

  1. На удаленном компьютере сервера Runbook подтвердите, что учетная запись службы Runbook Server имеет привилегию Logon as service.

Разрешение удаленных развертываний с помощью Deployment Manager

  1. На удаленном компьютере, на котором развернут сервер Runbook или Runbook Designer, добавьте правило, разрешающее Deployment Manager доступ к службе Orchestrator Remoting Service.

    Расположение Orchestrator Remoting Service

    Операционная система Расположение файла
    64-разрядная система %SystemRoot%\SysWOW64\OrchestratorRemotingService.exe
    32-разрядная система %SystemRoot%\System32\OrchestratorRemotingService.exe

Дополнительные сведения о добавлении правил брандмауэра см. в статье Добавление и изменение правила брандмауэра.

Правила брандмауэра для действий

Для правильного функционирования любых действий, которые используют связь WMI, например любых действий наблюдения, требуются определенные правила брандмауэра Windows.

Для Windows Server 2008 R2 включите следующие правила, чтобы обеспечить правильное функционирование любого действия, которое использует WMI:

  • Инструментарий управления Windows (Async-In)

  • Инструментарий управления Windows (DCOM-In)

  • Инструментарий управления Windows (WMI-In)