Konfigurieren der Netzwerkfirewall für Azure Monitor SCOM verwaltete Instanz
In diesem Artikel wird beschrieben, wie Sie die Regeln für die Netzwerkfirewall und Azure-Netzwerksicherheitsgruppen (NSG) konfigurieren.
Hinweis
Weitere Informationen zur Architektur von Azure Monitor SCOM verwaltete Instanz finden Sie unter Azure Monitor SCOM verwaltete Instanz.
Netzwerkvoraussetzungen
In diesem Abschnitt werden die Netzwerkvoraussetzungen anhand von drei Beispielen für Netzwerkmodelle erläutert.
Herstellen einer direkten Konnektivität (Sichtverbindung) zwischen Ihrem Domänencontroller und dem Azure-Netzwerk
Stellen Sie sicher, dass zwischen dem Netzwerk Ihres gewünschten Domänencontrollers und dem Azure-Subnetz (virtuelles Netzwerk), in dem Sie eine instance von SCOM verwaltete Instanz bereitstellen möchten, eine direkte Netzwerkkonnektivität (Sichtverbindung) besteht. Stellen Sie sicher, dass zwischen den Workloads/Agents und dem Azure-Subnetz, in dem die SCOM-verwaltete Instanz bereitgestellt wird, eine direkte Netzwerkkonnektivität (Sichtverbindung) besteht.
Direkte Konnektivität ist erforderlich, damit alle Ihre folgenden Ressourcen über das Netzwerk miteinander kommunizieren können:
- Domänencontroller
- Agents
- System Center Operations Manager-Komponenten, z. B. die Betriebskonsole
- SCOM verwaltete Instanz-Komponenten, z. B. Verwaltungsserver
Die folgenden drei unterschiedlichen Netzwerkmodelle werden visuell dargestellt, um die SCOM-verwaltete Instanz zu erstellen.
Netzwerkmodell 1: Der Domänencontroller befindet sich lokal.
In diesem Modell befindet sich der gewünschte Domänencontroller in Ihrem lokalen Netzwerk. Sie müssen eine Azure ExpressRoute-Verbindung zwischen Ihrem lokalen Netzwerk und dem Für die SCOM-verwaltete Instanz verwendeten Azure-Subnetz herstellen.
Wenn sich Ihr Domänencontroller und eine andere Komponente lokal befinden, müssen Sie die Sichtverbindung über ExpressRoute oder ein virtuelles privates Netzwerk (VPN) einrichten. Weitere Informationen finden Sie in der ExpressRoute-Dokumentation und in der Dokumentation zu Azure VPN Gateway.
Das folgende Netzwerkmodell zeigt, wo sich der gewünschte Domänencontroller im lokalen Netzwerk befindet. Zwischen dem lokalen Netzwerk und dem Azure-Subnetz, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, besteht eine direkte Verbindung (über ExpressRoute oder VPN).
Netzwerkmodell 2: Der Domänencontroller wird in Azure gehostet.
In dieser Konfiguration wird der angegebene Domänencontroller in Azure gehostet, und Sie müssen eine ExpressRoute- oder VPN-Verbindung zwischen Ihrem lokalen Netzwerk und dem Azure-Subnetz herstellen. Es wird für die SCOM-verwaltete Instanz-Erstellung und das Azure-Subnetz verwendet, das für den angegebenen Domänencontroller verwendet wird. Weitere Informationen finden Sie unter ExpressRoute und VPN Gateway.
In diesem Modell bleibt der gewünschte Domänencontroller in Ihre lokale Domänengesamtstruktur integriert. Sie haben sich jedoch für die Erstellung eines dedizierten Active Directory-Controllers in Azure entschieden, um Azure-Ressourcen zu unterstützen, die auf der lokales Active Directory-Infrastruktur basieren.
Netzwerkmodell 3: Der Domänencontroller und die verwalteten SCOM-Instanzen befinden sich in virtuellen Azure-Netzwerken.
In diesem Modell werden sowohl der gewünschte Domänencontroller als auch die verwalteten SCOM-Instanzen in separaten und dedizierten virtuellen Netzwerken in Azure platziert.
Wenn sich der gewünschte Domänencontroller und alle anderen Komponenten im selben virtuellen Netzwerk von Azure (einem herkömmlichen aktiven Domänencontroller) befinden, ohne lokal vorhanden zu sein, haben Sie bereits eine Sichtverbindung zwischen allen Ihren Komponenten.
Wenn sich der gewünschte Domänencontroller und alle anderen Komponenten in unterschiedlichen virtuellen Netzwerken von Azure (einem herkömmlichen aktiven Domänencontroller) befinden, ohne dass sie lokal vorhanden sind, müssen Sie das Peering virtueller Netzwerke zwischen allen virtuellen Netzwerken in Ihrem Netzwerk durchführen. Weitere Informationen finden Sie unter Peering virtueller Netzwerke in Azure.
Beachten Sie die folgenden Probleme für alle drei zuvor erwähnten Netzwerkmodelle:
Stellen Sie sicher, dass das SCOM-verwaltete Instanz Subnetz eine Verbindung mit dem für Azure oder SCOM verwaltete Instanz konfigurierten Domänencontroller herstellen kann. Stellen Sie außerdem sicher, dass die Domänennamenauflösung innerhalb des SCOM-verwaltete Instanz Subnetzes den angegebenen Domänencontroller als obersten Eintrag unter den gelösten Domänencontrollern auflistet, um Netzwerklatenz- oder Leistungs- und Firewallprobleme zu vermeiden.
Auf die folgenden Ports auf dem angegebenen Domänencontroller und dns (Domain Name System) muss über das Subnetz SCOM verwaltete Instanz zugegriffen werden können:
TCP-Port 389 oder 636 für LDAP
TCP-Port 3268 oder 3269 für den globalen Katalog
TCP- und UDP-Port 88 für Kerberos
TCP- und UDP-Port 53 für DNS
TCP 9389 für den Active Directory-Webdienst
TCP 445 für SMB
TCP 135 für RPC
Die internen Firewallregeln und die NSG müssen die Kommunikation über das virtuelle Netzwerk SCOM verwaltete Instanz und den angegebenen Domänencontroller/DNS für alle zuvor aufgeführten Ports zulassen.
Das Azure SQL Managed Instance virtuelles Netzwerk und die SCOM-verwaltete Instanz müssen peered werden, um eine Verbindung herzustellen. Insbesondere muss der Port 1433 (privater Port) oder 3342 (öffentlicher Port) vom SCOM-verwaltete Instanz zum verwalteten SQL-instance erreichbar sein. Konfigurieren Sie die NSG-Regeln und Firewallregeln in beiden virtuellen Netzwerken, um die Ports 1433 und 3342 zuzulassen.
Lassen Sie die Kommunikation an den Ports 5723, 5724 und 443 vom überwachten Computer mit SCOM verwaltete Instanz zu.
Wenn sich der Computer lokal befindet, richten Sie die NSG-Regeln und Firewallregeln im SCOM-verwaltete Instanz Subnetz und im lokalen Netzwerk ein, in dem sich der überwachte Computer befindet, um sicherzustellen, dass die angegebenen wichtigen Ports (5723, 5724 und 443) vom überwachten Computer zum SCOM-verwaltete Instanz-Subnetz erreichbar sind.
Wenn sich der Computer in Azure befindet, richten Sie die NSG-Regeln und Firewallregeln im virtuellen SCOM-verwaltete Instanz-Netzwerk und im virtuellen Netzwerk ein, in dem sich der überwachte Computer befindet, um sicherzustellen, dass die angegebenen wichtigen Ports (5723, 5724 und 443) vom überwachten Computer zum SCOM-verwaltete Instanz Subnetz erreichbar sind.
Firewallanforderungen
Um ordnungsgemäß zu funktionieren, müssen SCOM-verwaltete Instanz Zugriff auf die folgenden Portnummern und URLs haben. Konfigurieren Sie die NSG- und Firewallregeln, um diese Kommunikation zuzulassen.
| Resource | Port | Direction | Diensttags | Zweck |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | Ausgehend | Speicher | Azure Storage |
| management.azure.com | 443 | Ausgehend | AzureResourceManager | Azure Resource Manager |
| gcs.prod.monitoring.core.windows.net *.prod.warm.ingest.monitor.core.windows.net |
443 | Ausgehend | AzureMonitor | SCOM MI-Protokolle |
| *.prod.microsoftmetrics.com *.prod.hot.ingest.monitor.core.windows.net *.prod.hot.ingestion.msftcloudes.com |
443 | Ausgehend | AzureMonitor | SCOM MI-Metriken |
| *.workloadnexus.azure.com | 443 | Ausgehend | Nexus-Dienst | |
| *.azuremonitor-scommiconnect.azure.com | 443 | Ausgehend | Bridge Service |
Wichtig
Informationen zur Minimierung der Notwendigkeit einer umfassenden Kommunikation mit Ihrem Active Directory-Administrator und dem Netzwerkadministrator finden Sie unter Selbstüberprüfung. Der Artikel beschreibt die Verfahren, die der Active Directory-Administrator und der Netzwerkadministrator verwenden, um ihre Konfigurationsänderungen zu überprüfen und ihre erfolgreiche Implementierung sicherzustellen. Dieser Prozess reduziert unnötige Hin- und Her-Interaktionen zwischen dem Operations Manager-Administrator und dem Active Directory-Administrator und dem Netzwerkadministrator. Diese Konfiguration spart den Administratoren Zeit.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für