Een firewall configureren voor Operations Manager
Belangrijk
Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.
In deze sectie wordt beschreven hoe u uw firewall moet configureren om communicatie toe te staan tussen de verschillende functies van Operations Manager op uw netwerk.
Notitie
Operations Manager biedt momenteel geen ondersteuning voor LDAP via SSL (LDAPS).
Poorttoewijzingen
De volgende tabel laat de interactie van Operations Manager-functies via een firewall zien en bevat informatie over de poorten die voor communicatie tussen de functies worden gebruikt, in welke richting de binnenkomende poort moet worden geopend en of het poortnummer kan worden gewijzigd.
| Operations Manager - functie A | Poortnummer en -richting | Operations Manager - functie B | Configureerbaar | Notitie |
|---|---|---|---|---|
| Beheerserver | 1433/TCP----> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP----> 49152-65535 ---> |
Operations Manager-database | Ja (Setup) | WMI-poort 135 (DCOM/RPC) voor de eerste verbinding en vervolgens een dynamisch toegewezen poort boven 1024. Zie Speciale overwegingen voor poort 135 voor meer informatie Poorten 135.137.445.49152-65535 hoeven alleen geopend te zijn tijdens de eerste installatie van de beheerserver, zodat het installatieproces de status van de SQL-services op de doelcomputer kan valideren. 2 |
| Beheerserver | 5723/TCP, 5724/TCP ---> | Beheerserver | No | Poort 5724/TCP moet zijn geopend om deze functie te installeren en kan na de installatie worden gesloten. |
| Beheerserver, gatewayserver | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Domeincontrollers | No | Poort 88 wordt gebruikt voor Kerberos-verificatie en is niet vereist als alleen certificaatverificatie wordt gebruikt. 3 |
| Beheerserver | 161.162 <---> | Netwerkapparaat | No | Alle firewalls tussen de beheerservers en de netwerkapparaten moeten SNMP (UDP) en ICMP in twee richtingen toestaan. |
| Gatewayserver | 5723/TCP----> | Beheerserver | No | |
| Beheerserver | 1433/TCP----> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP----> 49152-65535 ---> |
Rapportagedatawarehouse | No | Poorten 135.137.445.49152-65535 hoeven alleen geopend te zijn tijdens de eerste installatie van de beheerserver, zodat het installatieproces de status van de SQL-services op de doelcomputer kan valideren. 2 |
| Rapportserver | 5723/TCP, 5724/TCP ---> | Beheerserver | No | Poort 5724/TCP moet zijn geopend om deze functie te installeren en kan na de installatie worden gesloten. |
| Operations-console | 5724/TCP----> | Beheerserver | No | |
| Operations-console | 80, 443 ---> 49152-65535 TCP <---> |
Management Pack Catalog-webservice | No | Ondersteunt het rechtstreeks vanuit de catalogus downloaden van management packs in de console. 1 |
| Connector Framework-bron | 51905 ---> | Beheerserver | No | |
| Web Console-server | 5724/TCP----> | Beheerserver | No | |
| Webconsolebrowser | 80, 443 ---> | Web Console-server | Ja (IIS Admin) | Standaardpoorten voor HTTP of SSL ingeschakeld. |
| Webconsole voor Toepassingsdiagnose | 1433/TCP----> 1434 ---> |
Operations Manager-database | Ja (installatie) 2 | |
| Webconsole voor Application Advisor | 1433/TCP----> 1434 ---> |
Rapportagedatawarehouse | Ja (installatie) 2 | |
| Verbonden beheerserver (lokaal) | 5724/TCP----> | Verbonden beheerserver (verbonden) | No | |
| Windows-agent geïnstalleerd via MOMAgent.msi | 5723/TCP----> | Beheerserver | Ja (Setup) | |
| Windows-agent geïnstalleerd via MOMAgent.msi | 5723/TCP----> | Gatewayserver | Ja (Setup) | |
| Windows-agent-push-installatie, wachtend op reparatie, wachtend op update | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High-poorten (2008 OS en hoger) Poorten 49152-65535 TCP |
No | Communicatie wordt gestart van MS/GW naar een Active Directory-domeincontroller en de doelcomputer. | |
| Detectie van UNIX/Linux-agent en bewaking van agent | TCP 1270 <--- | Beheerserver of gatewayserver | No | |
| UNIX/Linux-agent voor het installeren, upgraden en verwijderen van agents via SSH | TCP 22 <--- | Beheerserver of gatewayserver | Yes | |
| OMED-service | TCP 8886 <--- | Beheerserver of gatewayserver | Yes | |
| Gatewayserver | 5723/TCP----> | Beheerserver | Ja (Setup) | |
| Agent (Audit Collection Services-doorstuurserver) | 51909 ---> | Beheerserver Audit Collection Services-collector | Ja (Register) | |
| Gegevens van client voor uitzonderingsbewaking zonder agents | 51906 ---> | Beheerserver: bestandsshare voor bewaking van uitzonderingen zonder agent | Ja (Client Monitoring-wizard) | |
| Gegevens van client voor programma voor kwaliteitsverbetering | 51907 ---> | Beheerserver (eindpunt van het programma voor kwaliteitsverbetering) | Ja (Client Monitoring-wizard) | |
| Operations-console (rapporten) | 80 ---> | SQL Reporting Services | No | De Operations-console gebruikt Poort 80 om een verbinding met de SQL Reporting Services-website te maken. |
| Rapportserver | 1433/TCP----> 1434/UDP ---> |
Rapportagedatawarehouse | Ja 2 | |
| Beheerserver (Audit Collection Services-collector) | 1433/TCP <---- 1434/UDP <--- |
Audit Collection Services-database | Ja 2 |
Management Pack Catalog-webservice 1
Voor toegang tot de webservice Management Pack Catalog moet uw firewall en/of proxyserver de volgende URL en jokerteken (*) toestaan:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
SQL-poort 2 identificeren
De standaard SQL-poort is 1433, maar dit poortnummer kan worden aangepast op basis van de vereisten van de organisatie. Voer de volgende stappen uit om de geconfigureerde poort te identificeren:
- Vouw in SQL Server Configuration Manager in het consolevenster SQL Server Netwerkconfiguratie uit, vouw Protocollen voor <exemplaarnaam> uit en dubbelklik vervolgens op TCP/IP.
- Noteer in het dialoogvenster TCP/IP-eigenschappen op het tabblad IP-adressen de poortwaarde voor IPAll.
Als u een SQL Server gebruikt die is geconfigureerd met een AlwaysOn-beschikbaarheidsgroep of na het migreren van een installatie, doet u het volgende om de poort te identificeren:
- Maak in Object Explorer verbinding met een serverexemplaar dat als host fungeert voor een beschikbaarheidsreplica van de beschikbaarheidsgroep waarvan u de listener wilt bekijken. Selecteer de servernaam om de serverstructuur uit te vouwen.
- Vouw het knooppunt Always on hoge beschikbaarheid en het knooppunt Beschikbaarheidsgroepen uit.
- Vouw het knooppunt van de beschikbaarheidsgroep uit en vouw het knooppunt Beschikbaarheidsgroepenlisteners uit.
- Klik met de rechtermuisknop op de listener die u wilt weergeven en selecteer de opdracht Eigenschappen , waarbij het dialoogvenster Eigenschappen van beschikbaarheidsgroeplistener wordt geopend, waar de geconfigureerde poort beschikbaar moet zijn.
Kerberos-verificatie 3
Voor Windows-clients die gebruikmaken van Kerberos-verificatie en zich in een ander domein bevinden dan waar de beheerservers zich bevinden, zijn er extra vereisten waaraan moet worden voldaan:
- Er moet een tweerichtingsovergangsvertrouwensrelatie tussen domeinen tot stand worden gebracht.
- De volgende poorten moeten tussen de domeinen zijn geopend:
- TCP/UDP-poort 389 voor LDAP.
- TCP/UDP-poort 88 voor Kerberos.
- TCP/UDP-poort 53 voor Dns (Domain Name Service).