Configurare un firewall per Operations Manager
Questa sezione descrive come configurare il firewall per consentire la comunicazione tra le diverse funzionalità di Operations Manager nella rete.
Nota
Operations Manager non supporta LDAP su SSL (LDAPS) al momento.
Assegnazioni delle porte
La tabella seguente illustra l'interazione delle funzionalità di Operations Manager in un firewall, incluse le informazioni sulle porte usate per la comunicazione tra le funzionalità, la direzione in cui aprire la porta in ingresso e se il numero di porta può essere modificato.
Funzionalità A di Operations Manager | Numero di porta e direzione | Funzionalità B di Operations Manager | Configurabile | Nota |
---|---|---|---|---|
Server di gestione | 1433/--- TCP> --- 1434/UDP> 135/TCP (DCOM/RPC) ---> --- 137/UDP> --- TCP 445/TCP> 49152-65535 ---> |
Database di Operations Manager | Sì (Installazione) | Porta WMI 135 (DCOM/RPC) per la connessione iniziale e quindi una porta assegnata dinamicamente sopra la 1024. Per altre informazioni, vedere Considerazioni speciali sulla porta 135 Le porte 135.137.445.49152-65535 devono essere aperte solo durante l'installazione iniziale del server di gestione per consentire al processo di installazione di convalidare lo stato dei servizi SQL nel computer di destinazione. 2 |
Server di gestione | 5723/TCP, 5724/TCP ---> | Server di gestione | No | La porta 5724/TCP deve essere aperta per installare questa funzionalità e può essere chiusa dopo l'installazione. |
Server di gestione, server gateway | 53 (DNS) ---> 88 (Kerberos) ---> --- 389 (LDAP)> |
Controller di dominio | No | La porta 88 viene usata per l'autenticazione Kerberos e non è necessaria se si usa solo l'autenticazione del certificato.3 |
Server di gestione | 161.162 <---> | Dispositivo di rete | No | Tutti i firewall tra il server di gestione e i dispositivi di rete devono consentire in modo bidirezionale SNMP (UDP) e ICMP. |
Server gateway | 5723/TCP ---> | Server di gestione | No | |
Server di gestione | 1433/--- TCP> --- 1434/UDP> 135/TCP (DCOM/RPC) ---> --- 137/UDP> --- TCP 445/TCP> 49152-65535 ---> |
Data warehouse per reporting | No | Le porte 135.137.445.49152-65535 devono essere aperte solo durante l'installazione iniziale del server di gestione per consentire al processo di installazione di convalidare lo stato dei servizi SQL nel computer di destinazione. 2 |
Server di report | 5723/TCP, 5724/TCP ---> | Server di gestione | No | La porta 5724/TCP deve essere aperta per installare questa funzionalità e può essere chiusa dopo l'installazione. |
Console operatore | 5724/TCP ---> | Server di gestione | No | |
Console operatore | 80, 443 ---> 49152-65535 TCP <---> |
Servizio Web catalogo Management Pack | No | Supporta il download dei Management Pack direttamente nella console dal catalogo.1 |
Origine Connector Framework | 51905 ---> | Server di gestione | No | |
Server della console Web | 5724/TCP ---> | Server di gestione | No | |
Browser della console Web | 80, 443 ---> | Server della console Web | Sì (Amministrazione di IIS) | Porte predefinite per HTTP o SSL abilitato. |
Console Web per Application Diagnostics | 1433/--- TCP> 1434 ---> |
Database di Operations Manager | Sì (programma di installazione) 2 | |
Console Web per Application Advisor | 1433/--- TCP> 1434 ---> |
Data warehouse per reporting | Sì (programma di installazione) 2 | |
Server di gestione connesso (locale) | 5724/TCP ---> | Server di gestione connesso (connesso) | No | |
Agente Windows installato con MOMAgent.msi | 5723/TCP ---> | Server di gestione | Sì (Installazione) | |
Agente Windows installato con MOMAgent.msi | 5723/TCP ---> | Server gateway | Sì (Installazione) | |
Installazione push dell'agente Windows, ripristino in sospeso, aggiornamento in sospeso | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Porte RPC/DCOM High (sistema operativo 2008 e versioni successive) Porte 49152-65535 TCP |
No | La comunicazione viene avviata da MS/GW a un controller di dominio Di Active Directory e al computer di destinazione. | |
Individuazione e monitoraggio dell'agente UNIX/Linux dell'agente | TCP 1270 <--- | Server di gestione o server gateway | No | |
Agente UNIX/Linux per l'installazione, l'aggiornamento e la rimozione dell'agente tramite SSH | TCP 22 <--- | Server di gestione o server gateway | Sì | |
Servizio OMED | TCP 8886 <--- | Server di gestione o server gateway | Sì | |
Server gateway | 5723/TCP ---> | Server di gestione | Sì (Installazione) | |
Agente (server di inoltro ACS) | 51909 ---> | Agente di raccolta audit del server di gestione | Sì (Registro) | |
Dati di monitoraggio eccezioni senza agente dal client | 51906 ---> | Condivisione file monitoraggio eccezioni senza agente del server di gestione | Sì (Procedura guidata Monitoraggio client) | |
Dati del programma Analisi utilizzo software dal client | 51907 ---> | Server di gestione (fine del programma Analisi utilizzo software) | Sì (Procedura guidata Monitoraggio client) | |
Console operatore (report) | 80 ---> | SQL Reporting Services | No | La Console operatore utilizza la porta 80 per la connessione al sito Web di SQL Reporting Services. |
Server di report | 1433/--- TCP> --- 1434/UDP> |
Data warehouse per reporting | Sì 2 | |
Server di gestione (agente di raccolta audit collection services) | 1433/--- TCP < --- 1434/UDP < |
Database dati ACS | Sì 2 |
Servizio Web catalogo Management Pack 1
Per accedere al servizio Web Catalogo Management Pack, il firewall e/o il server proxy devono consentire l'URL e il carattere jolly seguenti (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
http://go.microsoft.com/fwlink/*
Identificare la porta SQL 2
La porta SQL predefinita è 1433, ma questo numero di porta può essere personalizzato in base ai requisiti dell'organizzazione. Per identificare la porta configurata, seguire questa procedura:
- Nel riquadro della console di Gestione configurazione SQL Server espandere Configurazione di rete di SQL Server, espandere Protocolli per <il nome> dell'istanza e quindi fare doppio clic su TCP/IP.
- Nella finestra di dialogo Proprietà TCP/IP, nella scheda Indirizzi IP prendere nota del valore della porta per IPAll.
Se si usa un'istanza di SQL Server configurata con un gruppo di disponibilità AlwaysOn o dopo la migrazione di un'installazione, eseguire le operazioni seguenti per identificare la porta:
- In Esplora oggetti connettersi a un'istanza del server che ospita una replica di disponibilità del gruppo di disponibilità di cui si desidera visualizzare il listener. Selezionare il nome del server per espandere l'albero del server.
- Espandere il nodo Disponibilità elevata AlwaysOn e il nodo Gruppi di disponibilità.
- Espandere il nodo del gruppo di disponibilità ed espandere il nodo Listener gruppo di disponibilità .
- Fare clic con il pulsante destro del mouse sul listener che si desidera visualizzare e selezionare il comando Proprietà , aprendo la finestra di dialogo Proprietà listener del gruppo di disponibilità, in cui deve essere disponibile la porta configurata.
Autenticazione Kerberos 3
Per i client Windows che usano l'autenticazione Kerberos e risiedono in un dominio diverso da quello in cui si trovano i server di gestione, è necessario soddisfare requisiti aggiuntivi:
- È necessario stabilire un trust transitivo bidirezionale tra domini.
- Le porte seguenti devono essere aperte tra i domini:
- Porta TCP/UDP 389 per LDAP.
- Porta TCP/UDP 88 per Kerberos.
- Porta TCP/UDP 53 per Dns (Domain Name Service).