为 Operations Manager 配置防火墙
本部分介绍如何配置防火墙,以允许网络上的不同 Operations Manager 功能之间的通信。
注意
Operations Manager 目前不支持通过 SSL (LDAPS) 的 LDAP。
端口分配
下表显示了跨防火墙的 Operations Manager 功能交互,包括有关用于在功能之间通信的端口、打开入站端口的方向以及端口号是否可以更改的信息。
| Operations Manager 功能 A | 端口号和方向 | Operations Manager 功能 B | 可配置 | 注意 |
|---|---|---|---|---|
| Management 服务器 | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager 数据库 | 是(安装) | WMI 端口 135(DCOM/RPC)用于初始连接,然后是 1024 以上的动态分配端口。 有关详细信息,请参阅 端口 135 的特殊注意事项 仅在初始管理服务器安装期间需要打开端口 135,137,445,49152-65535,才能让安装过程验证目标计算机上的 SQL 服务的状态。 2 |
| Management 服务器 | 5723/TCP、5724/TCP ---> | Management 服务器 | 否 | 端口 5724/TCP 必须打开才能安装此功能,安装后可以关闭。 |
| 管理服务器,网关服务器 | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
域控制器 | 否 | 端口 88 用于 Kerberos 身份验证,仅当使用证书身份验证时不需要。3 |
| Management 服务器 | 161,162 <---> | 网络设备 | 否 | 管理服务器与网络设备之间的所有防火墙都需要双向允许 SNMP(UDP)和 ICMP。 |
| 网关服务器 | 5723/TCP ---> | Management 服务器 | 否 | |
| Management 服务器 | 1433/TCP >--- 1434/UDP >--- 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
报表数据仓库 | 否 | 仅在初始管理服务器安装期间需要打开端口 135,137,445,49152-65535,才能让安装过程验证目标计算机上的 SQL 服务的状态。 2 |
| 报表服务器 | 5723/TCP、5724/TCP ---> | Management 服务器 | 否 | 端口 5724/TCP 必须打开才能安装此功能,安装后可以关闭。 |
| 操作控制台 | 5724/TCP ---> | Management 服务器 | 否 | |
| 操作控制台 | 80, 443 ---> 49152-65535 TCP <---> |
管理包目录 Web 服务 | 否 | 支持直接从目录中下载管理包。1 |
| 连接器框架源 | 51905 ---> | Management 服务器 | 否 | |
| Web 控制台服务器 | 5724/TCP ---> | Management 服务器 | 否 | |
| Web 控制台浏览器 | 80, 443 ---> | Web 控制台服务器 | 是 (IIS Admin) | 启用 HTTP 或 SSL 的默认端口。 |
| 应用程序诊断的 Web 控制台 | 1433/TCP >--- 1434 ---> |
Operations Manager 数据库 | 是(设置) 2 | |
| 应用程序顾问的 Web 控制台 | 1433/TCP >--- 1434 ---> |
报表数据仓库 | 是(设置) 2 | |
| 连接的管理服务器(本地) | 5724/TCP ---> | 连接的管理服务器(已连接) | 否 | |
| 使用 MOMAgent.msi 安装的 Windows 代理 | 5723/TCP ---> | Management 服务器 | 是(安装) | |
| 使用 MOMAgent.msi 安装的 Windows 代理 | 5723/TCP ---> | 网关服务器 | 是(安装) | |
| Windows 代理推送安装、挂起的修复、挂起的更新 | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM 高端口 (2008 OS 及更高版本) 端口 49152-65535 TCP |
否 | 通信从 MS/GW 启动到 Active Directory 域控制器和目标计算机。 | |
| UNIX/Linux 代理发现和监视代理 | TCP 1270 <--- | 管理服务器或网关服务器 | 否 | |
| 用于使用 SSH 安装、升级和删除代理的 UNIX/Linux 代理 | TCP 22 <--- | 管理服务器或网关服务器 | 是 | |
| OMED 服务 | TCP 8886 <--- | 管理服务器或网关服务器 | 是 | |
| 网关服务器 | 5723/TCP ---> | Management 服务器 | 是(安装) | |
| 代理(审核收集服务转发器) | 51909 ---> | 管理服务器审核收集服务收集器 | 是(注册表) | |
| 来自客户端的无代理异常监视数据 | 51906 ---> | 管理服务器无代理异常监视文件共享 | 是(客户端监视向导) | |
| 来自客户端的客户体验改善计划数据 | 51907 ---> | 管理服务器 (客户体验改善计划结束) 点 | 是(客户端监视向导) | |
| 操作控制台(报表) | 80 ---> | SQL Reporting Services | 否 | 操作控制台使用端口 80 连接到 SQL Reporting Services 网站。 |
| 报表服务器 | 1433/TCP >--- 1434/UDP >--- |
报表数据仓库 | 是 2 | |
| 管理服务器(审核收集服务收集器) | 1433/TCP <--- 1434/UDP <--- |
审核收集服务数据库 | 是 2 |
管理包目录 Web 服务 1
若要访问管理包目录 Web 服务,防火墙和/或代理服务器必须允许以下 URL 和通配符 \:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
标识 SQL 端口 2
默认 SQL 端口为 1433,但可以根据组织要求自定义此端口号。 若要标识配置的端口,请执行以下步骤:
- 在 SQL Server 配置管理器的控制台窗格中,展开“SQL Server 网络配置”、展开“<实例名称> 的协议”,然后双击“TCP/IP”。
- 在“TCP/IP 属性”对话框中的“IP 地址”选项卡上,记下 IPAll 的端口值。
如果使用配置了 AlwaysOn 可用性组的 SQL Server 或在迁移安装后,请执行以下操作来标识端口:
- 在对象资源管理器中,连接到服务器实例(其上承载要查看其侦听器的可用性组的任何可用性副本)。 选择服务器名称以展开服务器树。
- 依次展开“Always On 高可用性”节点和“可用性组”节点。
- 展开可用性组节点,然后展开 “可用性组侦听器” 节点。
- 右键单击要查看的侦听器,然后选择“属性”命令,打开可用性组侦听器属性对话框窗口,其中应提供配置的端口。
Kerberos 身份验证 3
对于使用 Kerberos 身份验证的 Windows 客户端,并驻留在管理服务器所在的不同域中,必须满足额外的要求:
- 必须在域之间建立双向可传递信任。
- 域之间必须打开以下端口:
- 用于 LDAP 的 TCP/UDP 端口 389。
- Kerberos 的 TCP/UDP 端口 88。
- 域名服务的 TCP/UDP 端口 53( DNS)。