Konfigurace brány firewall pro Operations Manager
Tato část popisuje, jak nakonfigurovat bránu firewall tak, aby umožňovala komunikaci mezi různými funkcemi nástroje Operations Manager ve vaší síti.
Poznámka:
Operations Manager v tuto chvíli nepodporuje protokol LDAP přes PROTOKOL SSL (LDAPS).
Přiřazení portů
Následující tabulka ukazuje interakci funkcí Operations Manageru přes bránu firewall, včetně informací o portech používaných pro komunikaci mezi funkcemi, kterým směrem se má otevřít příchozí port a zda je možné změnit číslo portu.
| Funkce nástroje Operations Manager A | Číslo portu a směr | Funkce nástroje Operations Manager B | Konfigurovatelné | Poznámka: |
|---|---|---|---|---|
| Server pro správu | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Databáze nástroje Operations Manager | Ano (nastavení) | Port WMI 135 (DCOM/RPC) pro počáteční připojení a potom dynamicky přiřazený port vyšší než 1024. Další informace najdete v tématu Zvláštní aspekty portu 135. Porty 135 137 445 49152-65535 se musí otevřít jenom během počáteční instalace serveru pro správu, aby proces instalace mohl ověřit stav služeb SQL na cílovém počítači. 2 |
| Server pro správu | 5723/TCP, 5724/TCP ---> | Server pro správu | No | Aby bylo možné nainstalovat tuto funkci, musí být otevřený port 5724/TCP a po instalaci je možné ji zavřít. |
| Server pro správu, server brány | 53 (DNS) ---> 88 (Kerberos) ---> --- 389 (LDAP)> |
Domain Controllers | No | Port 88 se používá pro ověřování protokolem Kerberos a nevyžaduje se, pokud používáte jenom ověřování pomocí certifikátu.3 |
| Server pro správu | 161 162 <---> | Síťové zařízení | No | Všechny brány firewall mezi serverem pro správu a síťovými zařízeními musí povolit protokol SNMP (UDP) a ICMP obousměrně. |
| Server brány | 5723/TCP ---> | Server pro správu | No | |
| Server pro správu | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Datový sklad vykazování | No | Porty 135 137 445 49152-65535 se musí otevřít jenom během počáteční instalace serveru pro správu, aby proces instalace mohl ověřit stav služeb SQL na cílovém počítači. 2 |
| Server pro sestavy | 5723/TCP, 5724/TCP ---> | Server pro správu | No | Aby bylo možné nainstalovat tuto funkci, musí být otevřený port 5724/TCP a po instalaci je možné ji zavřít. |
| Konzola Operations Console | 5724/TCP ---> | Server pro správu | No | |
| Konzola Operations Console | 80, 443 ---> 49152-65535 TCP <---> |
Webová služba Katalogu sad Management Pack | No | Podporuje stahování sad Management Pack přímo v konzole z katalogu.1 |
| Zdroj architektury konektoru | 51905 ---> | Server pro správu | No | |
| Server webové konzoly | 5724/TCP ---> | Server pro správu | No | |
| Prohlížeč webové konzoly | 80, 443 ---> | Server webové konzoly | Ano (správce služby IIS) | Výchozí porty pro protokol HTTP nebo SSL jsou povolené. |
| Webová konzola pro diagnostiku aplikací | 1433/TCP ---> 1434 ---> |
Databáze nástroje Operations Manager | Ano (nastavení) 2 | |
| Webová konzola pro Application Advisor | 1433/TCP ---> 1434 ---> |
Datový sklad vykazování | Ano (nastavení) 2 | |
| Připojený server pro správu (místní) | 5724/TCP ---> | Připojený server pro správu (připojeno) | No | |
| Agent pro Windows nainstalovaný pomocí MOMAgent.msi | 5723/TCP ---> | Server pro správu | Ano (nastavení) | |
| Agent pro Windows nainstalovaný pomocí MOMAgent.msi | 5723/TCP ---> | Server brány | Ano (nastavení) | |
| Nabízená instalace agenta Windows, čekající oprava, čekající aktualizace | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *PORTY RPC/DCOM High (operační systém 2008 a novější) Porty 49152-65535 TCP |
No | Komunikace je inicializována z MS/GW do řadiče domény služby Active Directory a cílového počítače. | |
| Zjišťování a monitorování agenta systému UNIX/Linux | --- TCP 1270 < | Server pro správu nebo server brány | No | |
| Agent systému UNIX/Linux pro instalaci, upgrade a odebrání agenta pomocí SSH | --- TCP 22 < | Server pro správu nebo server brány | Ano | |
| Služba OMED | TCP 8886 <--- | Server pro správu nebo server brány | Ano | |
| Server brány | 5723/TCP ---> | Server pro správu | Ano (nastavení) | |
| Agent (služba předávání Audit Collection Services) | 51909 ---> | Kolekce služby Audit Collection Services serveru pro správu | Ano (registr) | |
| Data monitorování výjimek bez agentů z klienta | 51906 ---> | Sdílená složka monitorování výjimek bez agenta pro správu serveru | Ano (Průvodce monitorováním klientů) | |
| Data programu Zlepšování softwaru a služeb na uživatelském prostředí z klienta | 51907 ---> | Koncový bod serveru pro správu (program Zlepšování softwaru a služeb na straně zákazníků) | Ano (Průvodce monitorováním klientů) | |
| Konzola Operations Console (sestavy) | 80 ---> | SQL Reporting Services | No | Konzola Operations Console používá port 80 pro připojení k webu služby SQL Reporting Services. |
| Server pro sestavy | 1433/TCP ---> 1434/UDP ---> |
Datový sklad vykazování | Ano 2 | |
| Server pro správu (kolekce služby Audit Collection Services) | 1433/TCP <--- 1434/UDP <--- |
Databáze služby Audit Collection Services | Ano 2 |
Webová služba Katalogu sad Management Pack 1
Pro přístup k webové službě Katalogu sad Management Pack musí brána firewall nebo proxy server povolit následující adresu URL a zástupný znak (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identifikace portu SQL 2
Výchozí port SQL je 1433, ale toto číslo portu je možné přizpůsobit na základě požadavků organizace. Pokud chcete identifikovat nakonfigurovaný port, postupujte takto:
- V nástroji SQL Server Configuration Manager v podokně konzoly rozbalte položku Konfigurace sítě SYSTÉMU SQL Server, rozbalte položku Protokoly pro <název> instance a potom poklikejte na TCP/IP.
- V dialogovém okně Vlastnosti protokolu TCP/IP na kartě IP Adresy si poznamenejte hodnotu portu IPAll.
Pokud používáte SQL Server nakonfigurovaný se skupinou dostupnosti AlwaysOn nebo po migraci instalace, identifikujte port následujícím postupem:
- V Průzkumník objektů se připojte k instanci serveru, která je hostitelem jakékoli repliky dostupnosti skupiny dostupnosti, jejíž naslouchací proces chcete zobrazit. Výběrem názvu serveru rozbalte strom serveru.
- Rozbalte uzel Vysoké dostupnosti AlwaysOn a uzel Skupiny dostupnosti.
- Rozbalte uzel skupiny dostupnosti a rozbalte uzel Naslouchací procesy skupin dostupnosti.
- Klikněte pravým tlačítkem myši na naslouchací proces, který chcete zobrazit, a vyberte příkaz Vlastnosti . Otevře se dialogové okno Vlastnosti naslouchacího procesu skupiny dostupnosti, kde má být dostupný nakonfigurovaný port.
Ověřování protokolem Kerberos 3
Pro klienty Systému Windows používající ověřování protokolem Kerberos a nacházejí se v jiné doméně než servery pro správu, existují další požadavky, které musí být splněny:
- Mezi doménami musí být vytvořen obousměrný tranzitivní vztah důvěryhodnosti .
- Mezi doménami musí být otevřené následující porty:
- Port TCP/UDP 389 pro LDAP
- Port TCP/UDP 88 pro Kerberos
- Port TCP/UDP 53 pro službu DNS (Domain Name Service).