Condividi tramite


Configurare un firewall per Operations Manager

Questa sezione descrive come configurare il firewall per consentire la comunicazione tra le diverse funzionalità di Operations Manager nella rete.

Nota

Operations Manager non supporta LDAP su SSL (LDAPS) al momento.

Assegnazioni delle porte

La tabella seguente illustra l'interazione delle funzionalità di Operations Manager in un firewall, incluse le informazioni sulle porte usate per la comunicazione tra le funzionalità, la direzione in cui aprire la porta in ingresso e se il numero di porta può essere modificato.

Funzionalità A di Operations Manager Numero di porta e direzione Funzionalità B di Operations Manager Configurabile Nota
Server di gestione 1433/--- TCP> 
--- 1434/UDP> 
135/TCP (DCOM/RPC) ---> 
--- 137/UDP> 
--- TCP 445/TCP> 
49152-65535 --->
Database di Operations Manager Sì (Installazione) Porta WMI 135 (DCOM/RPC) per la connessione iniziale e quindi una porta assegnata dinamicamente sopra la 1024. Per altre informazioni, vedere Considerazioni speciali sulla porta 135

Le porte 135.137.445.49152-65535 devono essere aperte solo durante l'installazione iniziale del server di gestione per consentire al processo di installazione di convalidare lo stato dei servizi SQL nel computer di destinazione. 2
Server di gestione 5723/TCP, 5724/TCP ---> Server di gestione No La porta 5724/TCP deve essere aperta per installare questa funzionalità e può essere chiusa dopo l'installazione.
Server di gestione, server gateway 53 (DNS) --->
88 (Kerberos) --->
--- 389 (LDAP)>
Controller di dominio No La porta 88 viene usata per l'autenticazione Kerberos e non è necessaria se si usa solo l'autenticazione del certificato.3
Server di gestione 161.162 <---> Dispositivo di rete No Tutti i firewall tra il server di gestione e i dispositivi di rete devono consentire in modo bidirezionale SNMP (UDP) e ICMP.
Server gateway 5723/TCP ---> Server di gestione No
Server di gestione 1433/--- TCP>
--- 1434/UDP> 
135/TCP (DCOM/RPC) ---> 
--- 137/UDP> 
--- TCP 445/TCP> 
49152-65535 --->
Data warehouse per reporting No Le porte 135.137.445.49152-65535 devono essere aperte solo durante l'installazione iniziale del server di gestione per consentire al processo di installazione di convalidare lo stato dei servizi SQL nel computer di destinazione. 2
Server di report 5723/TCP, 5724/TCP ---> Server di gestione No La porta 5724/TCP deve essere aperta per installare questa funzionalità e può essere chiusa dopo l'installazione.
Console operatore 5724/TCP ---> Server di gestione No
Console operatore 80, 443 --->
49152-65535 TCP <--->
Servizio Web catalogo Management Pack No Supporta il download dei Management Pack direttamente nella console dal catalogo.1
Origine Connector Framework 51905 ---> Server di gestione No
Server della console Web 5724/TCP ---> Server di gestione No
Browser della console Web 80, 443 ---> Server della console Web Sì (Amministrazione di IIS) Porte predefinite per HTTP o SSL abilitato.
Console Web per Application Diagnostics 1433/--- TCP>
 1434 --->
Database di Operations Manager Sì (programma di installazione) 2
Console Web per Application Advisor 1433/--- TCP>
 1434 --->
Data warehouse per reporting Sì (programma di installazione) 2
Server di gestione connesso (locale) 5724/TCP ---> Server di gestione connesso (connesso) No
Agente Windows installato con MOMAgent.msi 5723/TCP ---> Server di gestione Sì (Installazione)
Agente Windows installato con MOMAgent.msi 5723/TCP ---> Server gateway Sì (Installazione)
Installazione push dell'agente Windows, ripristino in sospeso, aggiornamento in sospeso 5723/TCP
135/TCP
137/UDP
138/UDP
139/TCP
445/TCP

*Porte RPC/DCOM High (sistema operativo 2008 e versioni successive)
Porte 49152-65535 TCP
No La comunicazione viene avviata da MS/GW a un controller di dominio Di Active Directory e al computer di destinazione.
Individuazione e monitoraggio dell'agente UNIX/Linux dell'agente TCP 1270 <--- Server di gestione o server gateway No
Agente UNIX/Linux per l'installazione, l'aggiornamento e la rimozione dell'agente tramite SSH TCP 22 <--- Server di gestione o server gateway
Servizio OMED TCP 8886 <--- Server di gestione o server gateway
Server gateway 5723/TCP ---> Server di gestione Sì (Installazione)
Agente (server di inoltro ACS) 51909 ---> Agente di raccolta audit del server di gestione Sì (Registro)
Dati di monitoraggio eccezioni senza agente dal client 51906 ---> Condivisione file monitoraggio eccezioni senza agente del server di gestione Sì (Procedura guidata Monitoraggio client)
Dati del programma Analisi utilizzo software dal client 51907 ---> Server di gestione (fine del programma Analisi utilizzo software) Sì (Procedura guidata Monitoraggio client)
Console operatore (report) 80 ---> SQL Reporting Services No La Console operatore utilizza la porta 80 per la connessione al sito Web di SQL Reporting Services.
Server di report 1433/--- TCP>
--- 1434/UDP>
Data warehouse per reporting 2
Server di gestione (agente di raccolta audit collection services) 1433/--- TCP <
--- 1434/UDP <
Database dati ACS 2

Servizio Web catalogo Management Pack 1

Per accedere al servizio Web Catalogo Management Pack, il firewall e/o il server proxy devono consentire l'URL e il carattere jolly seguenti (*):

  • https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
  • http://go.microsoft.com/fwlink/*

Identificare la porta SQL 2

  • La porta SQL predefinita è 1433, ma questo numero di porta può essere personalizzato in base ai requisiti dell'organizzazione. Per identificare la porta configurata, seguire questa procedura:

    1. Nel riquadro della console di Gestione configurazione SQL Server espandere Configurazione di rete di SQL Server, espandere Protocolli per <il nome> dell'istanza e quindi fare doppio clic su TCP/IP.
    2. Nella finestra di dialogo Proprietà TCP/IP, nella scheda Indirizzi IP prendere nota del valore della porta per IPAll.
  • Se si usa un'istanza di SQL Server configurata con un gruppo di disponibilità AlwaysOn o dopo la migrazione di un'installazione, eseguire le operazioni seguenti per identificare la porta:

    1. In Esplora oggetti connettersi a un'istanza del server che ospita una replica di disponibilità del gruppo di disponibilità di cui si desidera visualizzare il listener. Selezionare il nome del server per espandere l'albero del server.
    2. Espandere il nodo Disponibilità elevata AlwaysOn e il nodo Gruppi di disponibilità.
    3. Espandere il nodo del gruppo di disponibilità ed espandere il nodo Listener gruppo di disponibilità .
    4. Fare clic con il pulsante destro del mouse sul listener che si desidera visualizzare e selezionare il comando Proprietà , aprendo la finestra di dialogo Proprietà listener del gruppo di disponibilità, in cui deve essere disponibile la porta configurata.

Autenticazione Kerberos 3

Per i client Windows che usano l'autenticazione Kerberos e risiedono in un dominio diverso da quello in cui si trovano i server di gestione, è necessario soddisfare requisiti aggiuntivi:

  1. È necessario stabilire un trust transitivo bidirezionale tra domini.
  2. Le porte seguenti devono essere aperte tra i domini:
    1. Porta TCP/UDP 389 per LDAP.
    2. Porta TCP/UDP 88 per Kerberos.
    3. Porta TCP/UDP 53 per Dns (Domain Name Service).

Vedi anche