設定 Operations Manager 的防火牆
本節說明如何設定防火牆,以允許網路上不同 Operations Manager 功能之間的通訊。
注意
Operations Manager 目前不支援透過 SSL (LDAPS) 的 LDAP。
連接埠指派
下表顯示跨防火牆的 Operations Manager 功能互動,包括功能之間用於通訊的埠資訊、開啟輸入埠的方向,以及埠號碼是否可以變更。
| Operations Manager 功能 A | 連接埠號碼與方向 | Operations Manager 功能 B | 可設定 | 注意 |
|---|---|---|---|---|
| 管理伺服器 | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager 資料庫 | 是 (安裝) | 初始連線的 WMI 連接埠 135 (DCOM/RPC),然後是高於 1024 的動態指派埠。 如需詳細資訊,請參閱 埠 135 的特殊考慮 埠 135,137,445,49152-65535 只需要在初始管理伺服器安裝期間開啟,才能讓安裝程式驗證目標計算機上的 SQL 服務狀態。 2 |
| 管理伺服器 | 5723/TCP、5724/TCP ---> | 管理伺服器 | No | 必須開啟埠 5724/TCP 才能安裝這項功能,而且可以在安裝之後關閉。 |
| 管理伺服器、閘道伺服器 | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
網域控制站 | No | 埠 88 用於 Kerberos 驗證,而且只有在使用憑證驗證時才不需要。3 |
| 管理伺服器 | 161,162 <---> | 網路裝置 | No | 管理伺服器與網路裝置之間的所有防火牆都需要雙向允許SNMP (UDP) 和ICMP。 |
| 閘道伺服器 | 5723/TCP ---> | 管理伺服器 | No | |
| 管理伺服器 | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
報表資料倉儲 | No | 埠 135,137,445,49152-65535 只需要在初始管理伺服器安裝期間開啟,才能讓安裝程式驗證目標計算機上的 SQL 服務狀態。 2 |
| 報表伺服器 | 5723/TCP、5724/TCP ---> | 管理伺服器 | No | 必須開啟埠 5724/TCP 才能安裝這項功能,而且可以在安裝之後關閉。 |
| Operations 主控台 | 5724/TCP ---> | 管理伺服器 | No | |
| Operations 主控台 | 80, 443 ---> 49152-65535 TCP <---> |
管理元件類別目錄 Web 服務 | No | 支援直接從目錄中下載控制台中的管理元件。1 |
| 連接器架構來源 | 51905 ---> | 管理伺服器 | No | |
| Web 主控台伺服器 | 5724/TCP ---> | 管理伺服器 | No | |
| Web 主控台瀏覽器 | 80, 443 ---> | Web 主控台伺服器 | 是 (IIS 管理) | 啟用 HTTP 或 SSL 的預設埠。 |
| 應用程式診斷的 Web 控制台 | 1433/TCP ---> 1434 ---> |
Operations Manager 資料庫 | 是 (安裝程式) 2 | |
| Application Advisor 的 Web 控制台 | 1433/TCP ---> 1434 ---> |
報表資料倉儲 | 是 (安裝程式) 2 | |
| 線上管理伺服器 (本機) | 5724/TCP ---> | 線上管理伺服器 (已連線) | No | |
| 使用 MOMAgent.msi 安裝的 Windows 代理程式 | 5723/TCP ---> | 管理伺服器 | 是 (安裝) | |
| 使用 MOMAgent.msi 安裝的 Windows 代理程式 | 5723/TCP ---> | 閘道伺服器 | 是 (安裝) | |
| Windows 代理程式推入安裝、擱置修復、擱置更新 | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM 高端口 (2008 OS 和更新版本) 埠 49152-65535 TCP |
No | 通訊是從 MS/GW 起始到 Active Directory 域控制器和目標電腦。 | |
| UNIX/Linux 代理程式探索和監視代理程式 | TCP 1270 <--- | 管理伺服器或閘道伺服器 | No | |
| 使用 SSH 安裝、升級和移除代理程式的 UNIX/Linux 代理程式 | TCP 22 <--- | 管理伺服器或閘道伺服器 | Yes | |
| OMED 服務 | TCP 8886 <--- | 管理伺服器或閘道伺服器 | Yes | |
| 閘道伺服器 | 5723/TCP ---> | 管理伺服器 | 是 (安裝) | |
| 代理程式 (稽核收集服務轉寄站) | 51909 ---> | 管理伺服器 Audit Collection Services 收集器 | 是 (登錄) | |
| 來自用戶端的無代理程式例外監控資料 | 51906 ---> | 管理伺服器無代理程式例外狀況監視檔案共用 | 是 (用戶端監視精靈) | |
| 來自用戶端的客戶經驗改進計畫資料 | 51907 ---> | 管理伺服器 (客戶經驗改進計劃結束) 點 | 是 (用戶端監視精靈) | |
| Operations 主控台 (報表) | 80 ---> | SQL Reporting Services | No | Operations 主控台可使用連接埠 80 來連線至 SQL Reporting Services 網站。 |
| 報表伺服器 | 1433/TCP ---> 1434/UDP ---> |
報表資料倉儲 | 是 2 | |
| 管理伺服器(稽核收集服務收集器) | 1433/TCP <--- 1434/UDP <--- |
稽核收集服務資料庫 | 是 2 |
管理元件類別目錄 Web 服務 1
若要存取管理元件類別目錄 Web 服務,您的防火牆和/或 Proxy 伺服器必須允許下列 URL 和通配符 ≦:
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
識別 SQL 連接埠 2
默認 SQL 埠為 1433,不過,此埠號碼可以根據組織需求來自定義。 若要識別已設定的埠,請遵循下列步驟:
- 在 [SQL Server 組態管理員] 的控制檯窗格中,展開 [SQL Server 網络組態],展開 [實例名稱>的<通訊協定],然後按兩下 [TCP/IP]。
- 在 [TCP/IP 屬性] 對話方塊的 [IP 位址] 索引標籤上,記下 IPAll 的埠值。
如果使用以 Always On 可用性群組設定的 SQL Server,或在移轉安裝之後,請執行下列動作來識別埠:
- 在 [物件總管] 中,連接到裝載您想要檢視其接聽程式之可用性群組的任何可用性複本的伺服器執行個體。 選取伺服器名稱以展開伺服器樹狀結構。
- 依序展開 [Always On 高可用性] 節點和 [可用性群組] 節點。
- 展開可用性群組的節點,然後展開 [可用性群組接聽程式] 節點。
- 以滑鼠右鍵按下您要檢視的接聽程式,然後選取 [屬性] 命令,開啟 [可用性群組接聽程序屬性] 對話框視窗,其中應提供設定的埠。
Kerberos 驗證 3
針對使用 Kerberos 驗證的 Windows 用戶端,且位於與管理伺服器所在的不同網域中,必須符合額外的需求:
- 網域之間必須建立雙向轉移信任。
- 網域之間必須開啟下列埠:
- LDAP 的 TCP/UDP 連接埠 389。
- Kerberos 的 TCP/UDP 連接埠 88。
- 功能變數名稱服務的 TCP/UDP 連接埠 53。