Konfigurera en brandvägg för Operations Manager
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.
Det här avsnittet beskriver hur du konfigurerar brandväggen så att den tillåter kommunikation mellan de olika Operations Manager-funktionerna i ditt nätverk.
Anteckning
Operations Manager stöder för närvarande inte LDAP över SSL (LDAPS).
Porttilldelningar
Följande tabell visar Operations Manager-funktionernas interaktion genom en brandvägg, inklusive information om vilka portar som används för kommunikation mellan funktionerna, i vilken riktning den inkommande porten ska öppnas, samt huruvida portnumret kan ändras.
| Operations Manager-funktion A | Portnummer och riktning | Operations Manager-funktion B | Konfigurerbar | Anteckning |
|---|---|---|---|---|
| Hanteringsserver | 1433/TCP----> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP----> 445/TCP ---> 49152-65535 ---> |
Operations Manager-databas | Ja (installation) | WMI Port 135 (DCOM/RPC) för den första anslutningen och sedan en dynamiskt tilldelad port över 1024. Mer information finns i Särskilda överväganden för port 135 Portarna 135,137,445,49152-65535 krävs endast för att vara öppna under den inledande installationen av Hanteringsservern så att installationsprocessen kan verifiera tillståndet för SQL-tjänsterna på måldatorn. 2 |
| Hanteringsserver | 5723/TCP, 5724/TCP ---> | Hanteringsserver | No | Port 5724/TCP måste vara öppen för att installera den här funktionen och kan stängas efter installationen. |
| Hanteringsserver, gatewayserver | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Domänkontrollanter | No | Port 88 används för Kerberos-autentisering och krävs inte om du bara använder certifikatautentisering. 3 |
| Hanteringsserver | 161 162 <---> | Nätverksenhet | No | Alla brandväggar mellan hanteringsservern och nätverksenheterna måste tillåta SNMP (UDP) och ICMP i båda riktningarna. |
| Gateway-server | 5723/TCP----> | Hanteringsserver | No | |
| Hanteringsserver | 1433/TCP----> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP----> 445/TCP ---> 49152-65535 ---> |
Rapportinformationslager | No | Portarna 135,137,445,49152-65535 krävs endast för att vara öppna under den inledande installationen av Hanteringsservern så att installationsprocessen kan verifiera tillståndet för SQL-tjänsterna på måldatorn. 2 |
| Rapportserver | 5723/TCP, 5724/TCP ---> | Hanteringsserver | No | Port 5724/TCP måste vara öppen för att installera den här funktionen och kan stängas efter installationen. |
| Driftkonsol | 5724/TCP----> | Hanteringsserver | No | |
| Driftkonsol | 80, 443 ---> 49152-65535 TCP <---> |
Webbtjänst för hanteringspaketkatalog | No | Stöder nedladdning av hanteringspaket direkt i konsolen från katalogen. 1 |
| Källa till anslutningsramverk | 51905 ---> | Hanteringsserver | No | |
| Webbkonsolserver | 5724/TCP----> | Hanteringsserver | No | |
| Webbkonsolläsare | 80, 443 ---> | Webbkonsolserver | Ja (IIS Admin) | Standardportar för HTTP eller SSL aktiverat. |
| Webbkonsol för programdiagnostik | 1433/TCP----> 1434 ---> |
Operations Manager-databas | Ja (installation) 2 | |
| Webbkonsol för Application Advisor | 1433/TCP----> 1434 ---> |
Rapportinformationslager | Ja (installation) 2 | |
| Ansluten hanteringsserver (lokal) | 5724/TCP----> | Ansluten hanteringsserver (ansluten) | No | |
| Windows-agent som har installerats med MOMAgent.msi | 5723/TCP----> | Hanteringsserver | Ja (installation) | |
| Windows-agent som har installerats med MOMAgent.msi | 5723/TCP----> | Gateway-server | Ja (installation) | |
| Push-installation av Windows-agent, väntar på reparation, väntar på uppdatering | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High-portar (2008 OS och senare) Portar 49152-65535 TCP |
No | Kommunikation initieras från MS/GW till en Active Directory-domänkontrollant och måldatorn. | |
| UNIX/Linux-agentidentifiering och övervakning av agent | TCP 1270 <--- | Hanteringsserver eller gatewayserver | No | |
| UNIX/Linux-agent för installation, uppgradering och borttagning av agenter med SSH | TCP 22 <--- | Hanteringsserver eller gatewayserver | Yes | |
| OMED-tjänst | TCP 8886 <--- | Hanteringsserver eller gatewayserver | Yes | |
| Gateway-server | 5723/TCP----> | Hanteringsserver | Ja (installation) | |
| Agent (vidarebefordrare för gransknings- och insamlingstjänst) | 51909 ---> | Insamlingstjänstinsamlare för granskningsserver för hanteringsserver | Ja (Register) | |
| Undantagsövervakning av data utan agent från klient | 51906 ---> | Hanteringsservern Agentlös filresurs för undantagsövervakning | Ja (klientövervakningsguiden) | |
| CEIP-data från klient | 51907 ---> | Hanteringsserver (Slut på customer experience improvement-program) | Ja (klientövervakningsguiden) | |
| Driftkonsol (rapporter) | 80 ---> | SQL Reporting Services | No | Driftkonsolen använder Port 80 för att ansluta till webbplatsen för SQL Reporting Services. |
| Rapportserver | 1433/TCP----> 1434/UDP ---> |
Rapportinformationslager | Ja 2 | |
| Hanteringsserver (Insamlare för granskningsinsamlingstjänster) | 1433/TCP <---- 1434/UDP <---- |
Databas för gransknings- och insamlingstjänst | Ja 2 |
Webbtjänst för hanteringspaketkatalog 1
För att få åtkomst till webbtjänsten För hanteringspaketkatalogen måste brandväggen och/eller proxyservern tillåta följande URL och jokertecken (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifiera SQL-port 2
Sql-standardporten är 1433, men det här portnumret kan anpassas baserat på organisationens krav. Följ dessa steg för att identifiera den konfigurerade porten:
- I Konfigurationshanteraren för SQL Server i konsolfönstret expanderar du SQL Server Nätverkskonfiguration, expanderar Protokoll för <instansnamn> och dubbelklickar sedan på TCP/IP.
- I dialogrutan TCP/IP-egenskaper på fliken IP-adresser noterar du portvärdet för IPAll.
Om du använder en SQL Server som konfigurerats med en AlwaysOn-tillgänglighetsgrupp eller när du har migrerat en installation gör du följande för att identifiera porten:
- I Object Explorer ansluter du till en serverinstans som är värd för en tillgänglighetsreplik i tillgänglighetsgruppen vars lyssnare du vill visa. Välj servernamnet för att expandera serverträdet.
- Expandera noden Always On High Availability (Always On för hög tillgänglighet) och noden Tillgänglighetsgrupper.
- Expandera noden för tillgänglighetsgruppen och expandera noden Availability Groups Listeners (Lyssnare för tillgänglighetsgrupper).
- Högerklicka på lyssnaren som du vill visa och välj kommandot Egenskaper , öppna dialogrutan Egenskaper för tillgänglighetsgrupplyssnare , där den konfigurerade porten ska vara tillgänglig.
Kerberos-autentisering 3
För Windows-klienter som använder Kerberos-autentisering och finns i en annan domän än där hanteringsservrarna finns, finns det extra krav som måste uppfyllas:
- Ett dubbelriktad transitivt förtroende måste upprättas mellan domäner.
- Följande portar måste vara öppna mellan domänerna:
- TCP/UDP-port 389 för LDAP.
- TCP/UDP-port 88 för Kerberos.
- TCP/UDP-port 53 för DNS (Domain Name Service).