Partilhar via


Configurar um firewall para o Operations Manager

Esta seção descreve como configurar seu firewall para permitir a comunicação entre os diferentes recursos do Operations Manager em sua rede.

Observação

No momento, o Operations Manager não dá suporte a LDAP sobre SSL (LDAPS).

Atribuições de porta

A tabela a seguir mostra a interação de recursos do Operations Manager em um firewall, incluindo informações sobre as portas usadas para comunicação entre os recursos, em qual direção abrir a porta de entrada e se o número da porta pode ser alterado.

Recurso A do Operations Manager Direção e número da porta Recurso B do Operations Manager Configurável Observação
Servidor de gerenciamento 1433/TCP >--- 
1434/UDP >--- 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->
Banco de dados do Operations Manager Sim (Instalação) Porta WMI 135 (DCOM/RPC) para a conexão inicial e, em seguida, uma porta atribuída dinamicamente acima de 1024. Para obter mais informações, consulte Considerações especiais para a porta 135

As portas 135,137,445,49152-65535 só precisam estar abertas durante a instalação inicial do Servidor de Gerenciamento para permitir que o processo de instalação valide o estado dos serviços SQL no computador de destino. 2
Servidor de gerenciamento 5723/TCP, 5724/TCP ---> Servidor de gerenciamento Não A porta 5724/TCP deve estar aberta para instalar esse recurso e pode ser fechada após a instalação.
Servidor de gerenciamento, servidor de gateway 53 (DNS) --->
88 (Kerberos) --->
389 (LDAP) --->
Controladores de Domínio Não A porta 88 é usada para autenticação Kerberos e não é necessária se estiver usando apenas a autenticação de certificado.3
Servidor de gerenciamento 161,162 <---> Dispositivo de rede Não Todos os firewalls entre o servidor de gerenciamento e os dispositivos de rede precisam permitir SNMP (UDP) e ICMP bidirecionalmente.
Servidor Gateway 5723/TCP ---> Servidor de gerenciamento Não
Servidor de gerenciamento 1433/TCP >---
1434/UDP >--- 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->
Data warehouse de relatórios Não As portas 135,137,445,49152-65535 só precisam estar abertas durante a instalação inicial do Servidor de Gerenciamento para permitir que o processo de instalação valide o estado dos serviços SQL no computador de destino. 2
Servidor de relatório 5723/TCP, 5724/TCP ---> Servidor de gerenciamento Não A porta 5724/TCP deve estar aberta para instalar esse recurso e pode ser fechada após a instalação.
Console de operações 5724/TCP ---> Servidor de gerenciamento Não
Console de operações 80, 443 --->
49152-65535 --- TCP <>
Serviço Web do Catálogo de Pacotes de Gerenciamento Não Dá suporte ao download de pacotes de gerenciamento diretamente no console do catálogo.1
Fonte do Connector Framework 51905 ---> Servidor de gerenciamento Não
Servidor do console Web 5724/TCP ---> Servidor de gerenciamento Não
Navegador do console Web 80, 443 ---> Servidor do console Web Sim (Admin IIS) Portas padrão para HTTP ou SSL habilitadas.
Console Web para Application Diagnostics 1433/TCP >---
 1434 --->
Banco de dados do Operations Manager Sim (Configuração) 2
Console da Web para o Application Advisor 1433/TCP >---
 1434 --->
Data warehouse de relatórios Sim (Configuração) 2
Servidor de gerenciamento conectado (local) 5724/TCP ---> Servidor de gerenciamento conectado (conectado) Não
Agente do Windows instalado usando MOMAgent.msi 5723/TCP ---> Servidor de gerenciamento Sim (Instalação)
Agente do Windows instalado usando MOMAgent.msi 5723/TCP ---> Servidor Gateway Sim (Instalação)
Instalação push do agente do Windows, reparo pendente, atualização pendente 5723/TCP
135/TCP
137/UDP
138/UDP
139/TCP
445/TCP

*Portas RPC/DCOM High (2008 OS e posterior)
Portas 49152-65535 TCP
Não A comunicação é iniciada do MS/GW para um controlador de domínio do Active Directory e o computador de destino.
Descoberta de agente UNIX/Linux e monitoramento do agente TCP 1270 <--- Servidor de gerenciamento ou servidor de gateway Não
Agente UNIX/Linux para instalação, atualização e remoção do agente usando SSH TCP 22 <--- Servidor de gerenciamento ou servidor de gateway Sim
Serviço OMED TCP 8886 <--- Servidor de gerenciamento ou servidor de gateway Sim
Servidor Gateway 5723/TCP ---> Servidor de gerenciamento Sim (Instalação)
Agente (Encaminhador ACS (Serviço de Coleta de Auditoria)) 51909 ---> Coletor de Serviços de Coleta de Auditoria do servidor de gerenciamento Sim (Registro)
Dados de Monitoramento de Exceções sem Agente do cliente 51906 ---> Compartilhamento de arquivos de monitoramento de exceção sem agente do servidor de gerenciamento Sim (Assistente para Monitoramento de Cliente)
Dados do Programa de Aperfeiçoamento da Experiência do Usuário do cliente 51907 ---> Servidor de gerenciamento (Fim do Programa de Aperfeiçoamento da Experiência do Usuário) Ponto Sim (Assistente para Monitoramento de Cliente)
Console de Operações (relatórios) 80 ---> SQL Reporting Services Não O console de Operações usa a porta 80 para conectar-se ao site da Web do SQL Reporting Services.
Servidor de relatório 1433/TCP >---
1434/UDP >---
Data warehouse de relatórios Sim 2
Servidor de gerenciamento (coletor dos Serviços de Coleta de Auditoria) 1433/TCP <---
1434/UDP <---
Banco de dados do Serviço de Coleta de Auditoria (ACS) Sim 2

Serviço Web do Catálogo do Pacote de Gerenciamento 1

Para acessar o serviço Web do Catálogo de Pacotes de Gerenciamento, o firewall e/ou o servidor proxy devem permitir a seguinte URL e curinga (*):

  • https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
  • http://go.microsoft.com/fwlink/*

Identificar a porta SQL 2

  • A porta SQL padrão é 1433, no entanto, esse número de porta pode ser personalizado com base nos requisitos organizacionais. Para identificar a porta configurada, siga estas etapas:

    1. No SQL Server Configuration Manager, no painel do console, expanda a Configuração de Rede do SQL Server, expanda Protocolos para <nome da instância> e clique duas vezes em TCP/IP.
    2. Na caixa de diálogo Propriedades TCP/IP, na guia Endereços IP, anote o valor da porta para IPAll.
  • Se estiver usando um SQL Server configurado com um Grupo de Disponibilidade Always On ou depois de migrar uma instalação, faça o seguinte para identificar a porta:

    1. No Pesquisador de Objetos, conecte-se a uma instância de servidor que hospeda qualquer réplica de disponibilidade do grupo de disponibilidade cujo ouvinte você deseja exibir. Selecione o nome do servidor para expandir a árvore de servidores.
    2. Expanda os nós Alta Disponibilidade AlwaysOn e Grupos de Disponibilidade.
    3. Expanda o nó do grupo de disponibilidade e expanda o nó Ouvintes de Grupos de Disponibilidade .
    4. Clique com o botão direito do mouse no ouvinte que você deseja exibir e selecione o comando Propriedades , abrindo a janela de diálogo Propriedades do Ouvinte do Grupo de Disponibilidade , onde a porta configurada deve estar disponível.

Autenticação Kerberos 3

Para clientes Windows que usam a autenticação Kerberos e residem em um domínio diferente de onde os servidores de gerenciamento estão localizados, há requisitos extras que devem ser atendidos:

  1. Uma relação de confiança transitiva bidirecional deve ser estabelecida entre domínios.
  2. As seguintes portas devem estar abertas entre os domínios:
    1. Porta TCP/UDP 389 para LDAP.
    2. Porta TCP/UDP 88 para Kerberos.
    3. Porta TCP/UDP 53 para DNS (Serviço de Nomes de Domínio).

Confira também