Korzystanie z Zapory systemu Windows z programem Orchestrator
Data opublikowania: marzec 2016
Dotyczy: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest domyślnie włączona na wszystkich komputerach z systemem operacyjnym Windows 2008 R2 i blokuje cały ruch przychodzący z wyjątkiem odpowiedzi na żądanie hosta lub części spełniającej reguły zapory zezwalające na ruch. Konfigurując ustawienia Zapory systemu Windows z zabezpieczeniami zaawansowanymi, można jawnie zezwolić na ruch przez podanie numeru portu, nazwy aplikacji, nazwy usługi lub innych kryteriów.
Podczas konfiguracji programu Runbook Designer lub serwera Runbook poza zaporą na komputerze serwera management muszą być włączone pewne reguły, umożliwiające programowi Runbook Designer i serwerowi Runbook komunikację z modułem zarządzania. Ponadto w przypadku niektórych działań, takich jak działania monitorowania, jeśli komputer docelowy znajduje się poza zaporą, konieczne jest włączenie niektórych reguł zapory umożliwiających komunikację WMI.
Konfiguracja komputerów z programem Orchestrator
Gdy program Runbook Designer lub serwer Runbook jest instalowany za zaporą, wymagane są określone reguły zapory między serwerem management i komputerami zdalnymi.
Włącz następujące reguły dotyczące Twojej konfiguracji.
Aby włączyć dostęp do serwera SQL
- Na komputerze zdalnym, na którym zainstalowany jest program Runbook Designer lub serwer Runbook, otwórz port do połączenia z serwerem SQL. Domyślnym portem SQL jest TCP:1433.
Aby włączyć dostęp między programem Runbook Designer i serwerem management
Na komputerze, na którym działa usługa Management Server Service, dodaj regułę zapory umożliwiającą programowi Runbook Designer lub serwerowi Runbook dostęp do ManagementService.exe.
Lokalizacja usługi Orchestrator Management Service
System operacyjny Reguła zapory 64-bitowy %ProgramFiles(x86)%\Microsoft System Center 2012\Orchestrator\Management Server\ManagementService.exe
Aby przyznać uprawnienie dla konta Usługi serwera Runbook Server
- Na komputerze zdalnym serwera Runbook potwierdź, że konto Usługi serwera Runbook Server ma uprawnienie Logon as service.
Aby zezwolić na zdalne wdrożenia za pomocą programu Deployment Manager
Na komputerze zdalnym, na którym został wdrożony serwer Runbook lub program Runbook Designer, dodaj regułę, która pozwoli programowi Deployment Manager na uzyskanie dostępu do usługi Orchestrator Remoting Service.
Lokalizacja usługi Orchestrator Remoting Service
System operacyjny Lokalizacja pliku 64-bitowy %SystemRoot%\SysWOW64\OrchestratorRemotingService.exe 32-bitowy %SystemRoot%\System32\OrchestratorRemotingService.exe
Aby uzyskać więcej informacji na temat dodawania reguł zapory można znaleźć w sekcji Dodaj lub edytuj regułę zapory.
Reguły zapory dla działań
Każde działanie, które korzysta z komunikacji WMI, takie jak dowolne spośród działań monitorowania, wymaga prawidłowego funkcjonowania niektórych reguł Zapory systemu Windows.
W przypadku systemu Windows Server 2008 R2 włącz poniższe reguły, aby umożliwić prawidłowe funkcjonowanie wszystkich działań korzystających z usługi WMI:
Instrumentacja zarządzania Windows (ruch przychodzący Async)
Instrumentacja zarządzania Windows (ruch przychodzący DCOM)
Instrumentacja zarządzania Windows (ruch przychodzący WMI)