Настройка брандмауэра для Operations Manager
В этом разделе описывается, как настроить брандмауэр, чтобы разрешить обмен данными между разными функциями Operations Manager в сети.
Примечание.
Operations Manager в настоящее время не поддерживает ПРОТОКОЛ LDAP по протоколу SSL (LDAPS).
Назначения портов
В следующей таблице показано взаимодействие функций Operations Manager между брандмауэром, включая сведения о портах, используемых для обмена данными между функциями, в направлении открытия входящего порта, а также о том, можно ли изменить номер порта.
| Компонент А Operations Manager | Номер и направление порта | Компонент Operations Manager B | Конфигурируемый | Примечание. |
|---|---|---|---|---|
| Сервер управления | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
база данных Operations Manager | Да (настройка) | Порт WMI 135 (DCOM/RPC) для начального подключения, а затем динамически назначенный порт выше 1024. Дополнительные сведения см . в разделе "Специальные рекомендации по порту 135" Порты 135 137 445 49152-65535 должны быть открыты только во время начальной установки сервера управления, чтобы разрешить процесс установки проверить состояние служб SQL на целевом компьютере. 2 |
| Сервер управления | 5723/TCP, 5724/TCP ---> | Сервер управления | No | Порт 5724/TCP должен быть открыт для установки этой функции и может быть закрыт после установки. |
| Сервер управления, сервер шлюза | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Контроллеры доменов | No | Порт 88 используется для проверки подлинности Kerberos и не требуется, если используется только проверка подлинности сертификата.3 |
| Сервер управления | 161,162 <---> | Сетевое устройство | No | Все брандмауэры между сервером управления и сетевыми устройствами должны разрешать SNMP (UDP) и ICMP двунаправленно. |
| Сервер шлюза | 5723/TCP ---> | Сервер управления | No | |
| Сервер управления | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Хранилище данных отчетов | No | Порты 135 137 445 49152-65535 должны быть открыты только во время начальной установки сервера управления, чтобы разрешить процесс установки проверить состояние служб SQL на целевом компьютере. 2 |
| Сервер отчетов | 5723/TCP, 5724/TCP ---> | Сервер управления | No | Порт 5724/TCP должен быть открыт для установки этой функции и может быть закрыт после установки. |
| Консоль управления | 5724/TCP ---> | Сервер управления | No | |
| Консоль управления | 80, 443 ---> 49152-65535 TCP <---> |
Веб-служба каталога пакетов управления | No | Поддерживает скачивание пакетов управления непосредственно в консоли из каталога.1 |
| Источник Connector Framework | 51905 ---> | Сервер управления | No | |
| Сервер веб-консоли | 5724/TCP ---> | Сервер управления | No | |
| Браузер веб-консоли | 80, 443 ---> | Сервер веб-консоли | Да (IIS Admin) | Порты по умолчанию для http или SSL включено. |
| Веб-консоль для диагностики приложений | 1433/TCP >--- 1434 ---> |
база данных Operations Manager | Да (настройка) 2 | |
| Веб-консоль для помощника по приложениям | 1433/TCP >--- 1434 ---> |
Хранилище данных отчетов | Да (настройка) 2 | |
| Подключенный сервер управления (локальный) | 5724/TCP ---> | Подключенный сервер управления (подключено) | No | |
| Агент Windows, установленный с помощью MOMAgent.msi | 5723/TCP ---> | Сервер управления | Да (настройка) | |
| Агент Windows, установленный с помощью MOMAgent.msi | 5723/TCP ---> | Сервер шлюза | Да (настройка) | |
| Push-установка агента Windows, ожидание восстановления, ожидающего обновления | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High порты (ОС 2008 и более поздних версий) Порты 49152-65535 TCP |
No | Связь инициируется из MS/GW к контроллеру домена Active Directory и целевому компьютеру. | |
| Обнаружение и мониторинг агента UNIX/Linux | TCP 1270 <--- | Сервер управления или сервер шлюза | No | |
| Агент UNIX/Linux для установки, обновления и удаления агента с помощью SSH | TCP 22 <--- | Сервер управления или сервер шлюза | Да | |
| Служба OMED | TCP 8886 <--- | Сервер управления или сервер шлюза | Да | |
| Сервер шлюза | 5723/TCP ---> | Сервер управления | Да (настройка) | |
| Агент (сервер пересылки ACS) | 51909 ---> | Сборщик служб аудита сервера управления | Да (реестр) | |
| Данные безагентного отслеживания исключений от клиента | 51906 ---> | Общий файл мониторинга исключений без агента управления | Да (мастер наблюдения за клиентами) | |
| Данные программы улучшения качества ПО от клиента | 51907 ---> | Сервер управления (конечная точка программы улучшения качества клиента) | Да (мастер наблюдения за клиентами) | |
| Консоль управления (отчеты) | 80 ---> | Службы отчетов SQL | No | Консоль управления использует порт 80 для подключения к веб-сайту служб отчетов SQL Server. |
| Сервер отчетов | 1433/TCP >--- 1434/UDP >--- |
Хранилище данных отчетов | Да 2 | |
| Сервер управления (сборщик служб аудита) | 1433/TCP <--- 1434/UDP <--- |
База данных службы ACS | Да 2 |
Веб-служба каталога пакетов управления 1
Чтобы получить доступ к веб-службе каталога пакетов управления, брандмауэр и(или) прокси-сервер должны разрешить следующий URL-адрес и подстановочный знак (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Определение порта SQL 2
Порт SQL по умолчанию — 1433, однако этот номер порта можно настроить на основе требований организации. Чтобы определить настроенный порт, выполните следующие действия.
- В области консоли диспетчера конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server и Протоколы для <имя экземпляра>, а затем дважды щелкните TCP/IP.
- В диалоговом окне свойств TCP/IP на вкладке IP-адресов запишите значение порта для IPAll.
При использовании SQL Server, настроенного с группой доступности AlwaysOn или после миграции установки, выполните следующие действия, чтобы определить порт:
- В обозревателе объектов подключитесь к экземпляру сервера, на котором размещена любая реплика группы доступности, свойства прослушивателя которой необходимо просмотреть. Выберите имя сервера, чтобы развернуть дерево сервера.
- Разверните узел Высокий уровень доступности AlwaysOn и узел Группы доступности .
- Разверните узел группы доступности и разверните узел Прослушиватели группы доступности .
- Щелкните правой кнопкой мыши прослушиватель, который вы хотите просмотреть, и выберите команду "Свойства ", открыв диалоговое окно "Свойства прослушивателя группы доступности", где должен быть доступен настроенный порт.
Проверка подлинности Kerberos 3
Для клиентов Windows, использующих проверку подлинности Kerberos, и они находятся в другом домене, где находятся серверы управления, существуют дополнительные требования, которые необходимо выполнить:
- Необходимо установить двустороннее транзитивное доверие между доменами.
- Между доменами должны быть открыты следующие порты:
- TCP/UDP-порт 389 для LDAP.
- TCP/UDP-порт 88 для Kerberos.
- TCP/UDP-порт 53 для службы доменных имен (DNS).