Operations Manager için Güvenlik Duvarı Yapılandırma
Bu bölümde, ağınızdaki farklı Operations Manager özellikleri arasında iletişime izin vermek için güvenlik duvarınızın nasıl yapılandırıldığı açıklanmaktadır.
Not
Operations Manager şu anda SSL üzerinden LDAP'i (LDAPS) desteklemez.
Bağlantı noktası atamaları
Aşağıdaki tabloda, özellikler arasındaki iletişim için kullanılan bağlantı noktaları, gelen bağlantı noktasının hangi yönde açılacağı ve bağlantı noktası numarasının değiştirilip değiştirilemeyeceği gibi bir güvenlik duvarında Operations Manager özellik etkileşimi gösterilmektedir.
| Operations Manager Özelliği A | Bağlantı Noktası Numarası ve Yönü | Operations Manager Özelliği B | Konfigüre edilebilir | Not |
|---|---|---|---|---|
| Yönetim sunucusu | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager veritabanı | Evet (Kurulum) | İlk bağlantı için WMI Bağlantı Noktası 135 (DCOM/RPC) ve ardından dinamik olarak 1024'ü aşan bir bağlantı noktası. Daha fazla bilgi için bkz . Bağlantı noktası 135 için dikkat edilmesi gereken özel noktalar 135.137.445.49152-65535 bağlantı noktalarının, kurulum işleminin hedef makinedeki SQL hizmetlerinin durumunu doğrulamasını sağlamak için yalnızca ilk Yönetim Sunucusu yüklemesi sırasında açık olması gerekir. 2 |
| Yönetim sunucusu | 5723/TCP, 5724/TCP ---> | Yönetim sunucusu | Hayır | Bu özelliği yüklemek için 5724/TCP bağlantı noktası açık olmalıdır ve yüklemeden sonra kapatılabilir. |
| Yönetim sunucusu, Ağ Geçidi Sunucusu | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Domain Controllers | Hayır | 88 numaralı bağlantı noktası Kerberos kimlik doğrulaması için kullanılır ve yalnızca sertifika kimlik doğrulaması kullanılıyorsa gerekli değildir.3 |
| Yönetim sunucusu | 161.162 <---> | Ağ cihazı | Hayır | Yönetim sunucusu ile ağ cihazları arasındaki tüm güvenlik duvarlarının SNMP (UDP) ve ICMP'ye çift yönlü olarak izin vermeleri gerekir. |
| Ağ geçidi sunucusu | 5723/TCP ---> | Yönetim sunucusu | Hayır | |
| Yönetim sunucusu | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Raporlama veri ambarı | Hayır | 135.137.445.49152-65535 bağlantı noktalarının, kurulum işleminin hedef makinedeki SQL hizmetlerinin durumunu doğrulamasını sağlamak için yalnızca ilk Yönetim Sunucusu yüklemesi sırasında açık olması gerekir. 2 |
| Raporlama sunucusu | 5723/TCP, 5724/TCP ---> | Yönetim sunucusu | Hayır | Bu özelliği yüklemek için 5724/TCP bağlantı noktası açık olmalıdır ve yüklemeden sonra kapatılabilir. |
| İşletim konsolu | 5724/TCP ---> | Yönetim sunucusu | Hayır | |
| İşletim konsolu | 80, 443 ---> 49152-65535 TCP <---> |
Yönetim Paketi Kataloğu web hizmeti | Hayır | Yönetim paketlerini doğrudan katalogdan konsola indirmeyi destekler.1 |
| Bağlayıcı çatısı kaynağı | 51905 ---> | Yönetim sunucusu | Hayır | |
| Web konsolu sunucusu | 5724/TCP ---> | Yönetim sunucusu | Hayır | |
| Web konsolu tarayıcısı | 80, 443 ---> | Web konsolu sunucusu | Evet (IIS Yönetim) | HTTP veya SSL için varsayılan bağlantı noktaları etkin. |
| Uygulama Tanılama için web konsolu | 1433/TCP ---> 1434 ---> |
Operations Manager veritabanı | Evet (Kurulum) 2 | |
| Uygulama Danışmanı için web konsolu | 1433/TCP ---> 1434 ---> |
Raporlama veri ambarı | Evet (Kurulum) 2 | |
| Bağlı yönetim sunucusu (Yerel) | 5724/TCP ---> | Bağlı yönetim sunucusu (Bağlı) | Hayır | |
| MOMAgent.msi kullanılarak yüklenen Windows aracısı | 5723/TCP ---> | Yönetim sunucusu | Evet (Kurulum) | |
| MOMAgent.msi kullanılarak yüklenen Windows aracısı | 5723/TCP ---> | Ağ geçidi sunucusu | Evet (Kurulum) | |
| Windows aracısı anında yükleme, bekleyen onarım, bekleyen güncelleştirme | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM Yüksek bağlantı noktaları (2008 işletim sistemi ve üzeri) Bağlantı noktaları 49152-65535 TCP |
Hayır | MS/GW'den Active Directory etki alanı denetleyicisine ve hedef bilgisayara iletişim başlatılır. | |
| UNIX/Linux aracı bulma ve aracı izleme | TCP 1270 <--- | Yönetim sunucusu veya Ağ Geçidi sunucusu | Hayır | |
| SSH kullanarak aracıyı yüklemek, yükseltmek ve kaldırmak için UNIX/Linux aracısı | TCP 22 <--- | Yönetim sunucusu veya Ağ Geçidi sunucusu | Yes | |
| OMED Hizmeti | TCP 8886 <--- | Yönetim sunucusu veya Ağ Geçidi sunucusu | Yes | |
| Ağ geçidi sunucusu | 5723/TCP ---> | Yönetim sunucusu | Evet (Kurulum) | |
| Aracı (Denetim Toplama Hizmetleri ileticisi) | 51909 ---> | Yönetim sunucusu Denetim Toplama Hizmetleri toplayıcısı | Evet (Kayıt) | |
| İstemciden Aracısız Özel Durum İzleme verisi | 51906 ---> | Yönetim sunucusu Aracısız Özel Durum İzleme dosya paylaşımı | Evet (İstemci İzleme Sihirbazı) | |
| İstemciden Müşteri Deneyimini Geliştirme Programı | 51907 ---> | Yönetim sunucusu (Müşteri Deneyimini Geliştirme Programı Bitiş Noktası) | Evet (İstemci İzleme Sihirbazı) | |
| İşletim konsolu (raporlar) | 80 ---> | SQL Raporlama Hizmetleri | Hayır | İşletim konsolu SQL Raporlama Hizmetleri web sitesine bağlanmak için Bağlantı Noktası 80'i kullanır. |
| Raporlama sunucusu | 1433/TCP ---> 1434/UDP ---> |
Raporlama veri ambarı | Evet 2 | |
| Yönetim sunucusu (Denetim Toplama Hizmetleri toplayıcısı) | 1433/TCP <--- 1434/UDP <--- |
Denetim Toplama Hizmetleri veritabanı | Evet 2 |
Yönetim Paketi Kataloğu web hizmeti 1
Yönetim Paketi Kataloğu web hizmetine erişmek için güvenlik duvarınızın ve/veya ara sunucunuzun aşağıdaki URL'ye ve joker karaktere (*) izin vermesi gerekir:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
SQL bağlantı noktası 2'i tanımlama
Varsayılan SQL bağlantı noktası 1433'dür, ancak bu bağlantı noktası numarası kuruluş gereksinimlerine göre özelleştirilebilir. Yapılandırılan bağlantı noktasını tanımlamak için şu adımları izleyin:
- SQL Server Yapılandırma Yöneticisi konsol bölmesinde SQL Server Ağ Yapılandırması'nı genişletin, Örnek adı> için <protokoller'i genişletin ve ardından TCP/IP'ye çift tıklayın.
- TCP/IP Özellikleri iletişim kutusundaki IP Adresleri sekmesinde IPAll için bağlantı noktası değerini not edin.
Always On Kullanılabilirlik Grubu ile yapılandırılmış bir SQL Server kullanıyorsanız veya yükleme geçirildikten sonra bağlantı noktasını belirlemek için aşağıdakileri yapın:
- Nesne Gezgini dinleyicisini görüntülemek istediğiniz kullanılabilirlik grubunun kullanılabilirlik çoğaltmasını barındıran bir sunucu örneğine bağlanın. Sunucu ağacını genişletmek için sunucu adını seçin.
- Always On Yüksek Kullanılabilirlik düğümünü ve Kullanılabilirlik Grupları düğümünü genişletin.
- Kullanılabilirlik grubunun düğümünü genişletin ve Kullanılabilirlik Grupları Dinleyicileri düğümünü genişletin.
- Görüntülemek istediğiniz dinleyiciye sağ tıklayın ve Özellikler komutunu seçerek yapılandırılan bağlantı noktasının kullanılabilir olması gereken Kullanılabilirlik Grubu Dinleyici Özellikleri iletişim kutusunu açın.
Kerberos kimlik doğrulaması 3
Kerberos kimlik doğrulamasını kullanan ve yönetim sunucularının bulunduğu yerden farklı bir etki alanında bulunan Windows istemcileri için karşılanması gereken ek gereksinimler vardır:
- Etki alanları arasında iki yönlü geçişli güven oluşturulmalıdır.
- Etki alanları arasında aşağıdaki bağlantı noktalarının açık olması gerekir:
- LDAP için TCP/UDP bağlantı noktası 389.
- Kerberos için TCP/UDP bağlantı noktası 88.
- Etki Alanı Adı Hizmeti (DNS) için TCP/UDP bağlantı noktası 53.