Configuración de un firewall para Operations Manager

  • Artículo

Importante

Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.

En esta sección se describe cómo configurar el firewall para permitir la comunicación entre las diferentes características de Operations Manager en la red.

Nota

Operations Manager no admite LDAP a través de SSL (LDAPS) en este momento.

Asignaciones de puertos

En la tabla siguiente se muestra la interacción de características de Operations Manager a través de un firewall, incluida información acerca de los puertos usados para la comunicación entre características, la dirección para la que se debe abrir el puerto entrante y si se puede cambiar el número de puerto.

Función A de Operations Manager Número de puerto y dirección Característica B de Operations Manager Configurable Nota
Servidor de administración 1433/TCP ---> 
1434/UDP ---> 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->		 Base de datos OperationsManager Sí (instalación) Puerto 135 de WMI (DCOM o RPC) para la conexión inicial y, a continuación, un puerto asignado dinámicamente por encima de 1024. Para obtener más información, consulte Consideraciones especiales para el puerto 135.

Solo es necesario abrir los puertos 135, 137, 445 y 49152-65535 durante la instalación inicial del servidor de administración para que el proceso de configuración pueda validar el estado de los servicios de SQL en la máquina de destino. 2
Servidor de administración 5723, 5724 ---> Servidor de administración No El puerto 5724 debe estar abierto para instalar esta característica y se puede cerrar después de la instalación.
Servidor de administración, servidor de puerta de enlace 53 (DNS) --->
88 (Kerberos) --->
389 (LDAP) --->		 Controladores de dominio No El puerto 88 se usa para la autenticación Kerberos y no es necesario si solo se usa la autenticación de certificados. 3
Servidor de administración 161,162 <---> Dispositivo de red No Todos los firewall entre el servidor de administración y los dispositivos de red deben permitir SNMP (UDP) e ICMP bidireccionalmente.
Servidor de puerta de enlace 5723 ---> Servidor de administración No
Servidor de administración 1433/TCP --->
1434/UDP ---> 
135/TCP (DCOM/RPC) ---> 
137/UDP ---> 
445/TCP ---> 
49152-65535 --->		 Almacenamiento de datos de informes No Solo es necesario abrir los puertos 135, 137, 445 y 49152-65535 durante la instalación inicial del servidor de administración para que el proceso de configuración pueda validar el estado de los servicios de SQL en la máquina de destino. 2
Servidor de informes 5723, 5724 ---> Servidor de administración No El puerto 5724 debe estar abierto para instalar esta característica y se puede cerrar después de la instalación.
Consola del operador 5724 ---> Servidor de administración No
Consola del operador 80, 443 --->
49152-65535 TCP <--->		 Servicio web de catálogos de módulo de administración No Admite la descarga de módulos de administración directamente en la consola del catálogo. 1
Origen del marco de conector 51905 ---> Servidor de administración No
Servidor de consola web 5724 ---> Servidor de administración No
Explorador de consola web 80, 443 ---> Servidor de consola web Sí (Administración de IIS) Puertos predeterminados para HTTP o SSL habilitado.
Consola web para Diagnóstico de aplicaciones 1433/TCP --->
 1434 --->		 Base de datos OperationsManager Sí (programa de instalación) 2
Consola web para Application Advisor 1433/TCP --->
 1434 --->		 Almacenamiento de datos de informes Sí (programa de instalación) 2
Servidor de administración conectado (local) 5724 ---> Servidor de administración conectado (conectado) No
Agente de Windows instalado mediante MOMAgent.msi 5723 ---> Servidor de administración Sí (instalación)
Agente de Windows instalado mediante MOMAgent.msi 5723 ---> Servidor de puerta de enlace Sí (instalación)
Instalación de inserción del agente de Windows, reparación pendiente, actualización pendiente 5723/TCP
135/TCP
137/UDP
138/UDP
139/TCP
445/TCP

*Puertos altos RPC/DCOM (sistema operativo 2008 y versiones posteriores)
Puertos 49152-65535 TCP		 No La comunicación se inicia desde MS/GW a un controlador de dominio de Active Directory y el equipo de destino.
Detección del agente de UNIX/Linux y supervisión del agente TCP 1270 <--- Servidor de administración o servidor de puerta de enlace No
Agente de UNIX/Linux para la instalación, actualización y eliminación del agente mediante SSH TCP 22 <--- Servidor de administración o servidor de puerta de enlace
Servicio OMED TCP 8886 <--- Servidor de administración o servidor de puerta de enlace
Servidor de puerta de enlace 5723 ---> Servidor de administración Sí (instalación)
Agente (reenviador de servicios de recopilación de auditorías) 51909 ---> Servidor de administración (Recopilador de servicios de recopilación de auditoría) Sí (Registro)
Datos de supervisión de excepciones sin agente del cliente 51906 ---> Recurso compartido de archivos de supervisión de excepciones sin agente del servidor de administración Sí (Asistente de supervisión de cliente)
Datos del Programa para la mejora de la experiencia del usuario del cliente 51907 ---> Punto de servidor de administración (final del Programa de mejora de la experiencia del usuario) Sí (Asistente de supervisión de cliente)
Consola del operador (informes) 80 ---> SQL Reporting Services No La consola del operador utiliza el puerto 80 para conectar con el sitio web de SQL Reporting Services.
Servidor de informes 1433/TCP --->
1434/UDP --->		 Almacenamiento de datos de informes 2
Servidor de administración (Recopilador de servicios de recopilación de auditoría) 1433/TCP <---
1434/UDP <---		 Base de datos de servicios de recopilación de auditorías 2

Servicio web del catálogo de módulos de administración 1

Para acceder al servicio web del catálogo de módulos de administración, el firewall o el servidor proxy deben permitir la siguiente dirección URL y el carácter comodín (*):

  • https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
  • http://go.microsoft.com/fwlink/*

Identificación del puerto SQL 2

  • El puerto SQL predeterminado es 1433, pero este número de puerto se puede personalizar en función de los requisitos de la organización. Para identificar el puerto configurado, siga estos pasos:

    1. En el panel de la consola del Administrador de configuración de SQL Server, expanda Configuración de red de SQL Server y Protocolos de <nombre de instancia>. Después, haga doble clic en TCP/IP.
    2. En el cuadro de diálogo Propiedades de TCP/IP , en la pestaña Direcciones IP , anote el valor de puerto de IPAall.

  • Si usa un SQL Server configurado con un grupo de disponibilidad de Always On o después de migrar una instalación, haga lo siguiente para identificar el puerto:

    1. En el Explorador de objetos, conéctese a una instancia del servidor que hospeda una réplica de disponibilidad del grupo disponibilidad cuyo agente de escucha desea ver. Seleccione el nombre del servidor para expandir el árbol del servidor.
    2. Expanda los nodos Alta disponibilidad de AlwaysOn y Grupos de disponibilidad .
    3. Expanda el nodo del grupo de disponibilidad y expanda el nodo Agentes de escucha de grupos de disponibilidad .
    4. Haga clic con el botón derecho en el agente de escucha que desea ver y seleccione el comando Propiedades , abriendo la ventana de diálogo Propiedades del agente de escucha del grupo de disponibilidad, donde debe estar disponible el puerto configurado.

Autenticación Kerberos 3

Para los clientes de Windows que usan la autenticación Kerberos y residen en un dominio diferente desde el que se encuentran los servidores de administración, hay requisitos adicionales que deben cumplirse:

  1. Se debe establecer una confianza transitiva bidireccional entre dominios.
  2. Los puertos siguientes deben estar abiertos entre los dominios:
    1. Puerto TCP/UDP 389 para LDAP.
    2. Puerto TCP/UDP 88 para Kerberos.
    3. Puerto TCP/UDP 53 para el servicio de nombres de dominio (DNS).

Consulte también