Operations Manager 用のファイアウォールの構成
重要
このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。
このセクションでは、ネットワーク上のさまざまな Operations Manager 機能間の通信を許可するように、ファイアウォールを構成する方法について説明します。
Note
現時点では、Operations Manager では LDAP over SSL (LDAPS) はサポートされていません。
ポートの割り当て
次の表に、Operations Manager の機能がファイアウォールを介して通信する場合に、機能間の通信に使用するポート、受信ポートを開く方向、ポート番号を変更可能かどうかなどの情報を示します。
| Operations Manager 機能 A | ポート番号と通信方向 | Operations Manager の機能 B | 構成可能 | 注意 |
|---|---|---|---|---|
| 管理サーバー | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager データベース | 可能 (セットアップ) | 初期接続の場合は WMI ポート 135 (DCOM/RPC)、その後は 1024 より大きいポートを動的に割り当て。 詳細については、「ポート 135 の特別な考慮事項」を参照してください。 ポート 135、137、445、49152-65535 は、初期管理サーバーのインストール時に、セットアップ プロセスでターゲット マシンの SQL サービスの状態を検証できるようにするためにのみ開く必要があります。 2 |
| 管理サーバー | 5723、5724 ---> | 管理サーバー | いいえ | この機能をインストールするには、ポート 5724 を開く必要があり、インストール後に閉じることができます。 |
| 管理サーバー、ゲートウェイ サーバー | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
ドメイン コントローラー | いいえ | ポート 88 は Kerberos 認証に使用され、証明書認証のみを使用する場合は必要ありません。3 |
| 管理サーバー | 161、162 <---> | ネットワーク デバイス | いいえ | 管理サーバーとネットワーク デバイスの間にあるすべてのファイアウォールで双方向の SNMP (UDP) と ICMP を許可する必要があります。 |
| ゲートウェイ サーバー | 5723 ---> | 管理サーバー | いいえ | |
| 管理サーバー | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
レポート データ ウェアハウス | いいえ | ポート 135、137、445、49152-65535 は、初期管理サーバーのインストール時に、セットアップ プロセスでターゲット マシンの SQL サービスの状態を検証できるようにするためにのみ開く必要があります。 2 |
| レポート サーバー | 5723、5724 ---> | 管理サーバー | いいえ | この機能をインストールするには、ポート 5724 を開く必要があり、インストール後に閉じることができます。 |
| オペレーション コンソール | 5724 ---> | 管理サーバー | いいえ | |
| オペレーション コンソール | 80, 443 ---> 49152-65535 TCP <---> |
管理パック カタログ Web サービス | いいえ | カタログからコンソールで管理パックを直接ダウンロードできます。1 |
| コネクタ フレームワーク ソース | 51905 ---> | 管理サーバー | いいえ | |
| Web コンソール サーバー | 5724 ---> | 管理サーバー | いいえ | |
| Web コンソールのブラウザー | 80, 443 ---> | Web コンソール サーバー | 可能 (IIS 管理) | HTTP または SSL が有効な既定のポート。 |
| Application Diagnostics 用 Web コンソール | 1433/TCP ---> 1434 ---> |
Operations Manager データベース | はい (セットアップ) 2 | |
| Application Advisor 用 Web コンソール | 1433/TCP ---> 1434 ---> |
レポート データ ウェアハウス | はい (セットアップ) 2 | |
| 接続されている管理サーバー (ローカル) | 5724 ---> | 接続された管理サーバー (接続済み) | いいえ | |
| MOMAgent.msi を使用してインストールされた Windows エージェント | 5723 ---> | 管理サーバー | 可能 (セットアップ) | |
| MOMAgent.msi を使用してインストールされた Windows エージェント | 5723 ---> | ゲートウェイ サーバー | 可能 (セットアップ) | |
| Windows エージェント プッシュ インストール、保留中の修復、保留中の更新 | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM High ポート (2008 OS 以降) ポート 49152-65535 TCP |
いいえ | MS/GW から Active Directory ドメイン コント ローラーとターゲット コンピューターへの通信を開始します。 | |
| UNIX/Linux エージェントの検出とエージェントの監視 | TCP 1270 <--- | 管理サーバーまたはゲートウェイ サーバー | いいえ | |
| UNIX/Linux エージェントによる、SSH を使用したエージェントのインストール、更新、および削除 | TCP 22 <--- | 管理サーバーまたはゲートウェイ サーバー | はい | |
| OMED サービス | TCP 8886 <--- | 管理サーバーまたはゲートウェイ サーバー | はい | |
| ゲートウェイ サーバー | 5723 ---> | 管理サーバー | 可能 (セットアップ) | |
| エージェント (監査コレクション サービス フォワーダー) | 51909 ---> | 管理サーバーの監査コレクション サービス コレクタ | 可能 (レジストリ) | |
| クライアントからのエージェントレスの例外監視データ | 51906 ---> | 管理サーバーのエージェントレスの例外監視ファイル共有 | 可能 (クライアント監視の構成ウィザード) | |
| クライアントからのカスタマー エクスペリエンス向上プログラムのデータ | 51907 ---> | 管理サーバーの (カスタマ エクスペリエンス向上プログラム) エンド ポイント | 可能 (クライアント監視の構成ウィザード) | |
| オペレーション コンソール (レポート) | 80 ---> | SQL Reporting Services | いいえ | オペレーション コンソールは、ポート 80 を使用して SQL Reporting Services の Web サイトに接続します。 |
| レポート サーバー | 1433/TCP ---> 1434/UDP ---> |
レポート データ ウェアハウス | はい 2 | |
| 管理サーバー (監査コレクション サービス コレクター) | 1433/TCP <--- 1434/UDP <--- |
監査コレクション サービス データベース | はい 2 |
管理パック カタログ Web サービス 1
管理パック カタログ Web サービスにアクセスするには、ファイアウォールまたはプロキシ サーバーで次の URL とワイルドカード (*) を許可する必要があります。
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
SQL ポート 2 を識別する
既定の SQL ポートは 1433 ですが、このポート番号は組織の要件に基づいてカスタマイズできます。 構成されたポートを識別するには、次の手順に従います。
- SQL Server Configuration Manager のコンソール ペインで、[SQL Server ネットワークの構成]、<インスタンス名>の [プロトコル] の順に展開し、[TCP/IP] をダブルクリックします。
- [ TCP/IP プロパティ ] ダイアログの [ IP アドレス ] タブで、 IPAall のポート値をメモします。
Always On可用性グループで構成されたSQL Serverを使用する場合、またはインストールの移行後に、次の手順を実行してポートを特定します。
- オブジェクト エクスプローラーで、リスナーを表示する可用性グループの任意の可用性レプリカをホストするサーバー インスタンスに接続します。 サーバー名を選択して、サーバー ツリーを展開します。
- [AlwaysOn 高可用性] ノードと [可用性グループ] ノードを展開します。
- 可用性グループのノード、 [可用性グループ リスナー] ノードの順に展開します。
- 表示するリスナーを右クリックし、[ プロパティ ] コマンドを選択し、[ 可用性グループ リスナーのプロパティ ] ダイアログ ウィンドウを開きます。ここで、構成されたポートを使用できます。
Kerberos 認証 3
Kerberos 認証を使用する Windows クライアントの場合、管理サーバーが配置されているドメインとは異なるドメインに存在する場合は、次の要件を満たす必要があります。
- ドメイン間 で双方向の推移的信頼 を確立する必要があります。
- ドメイン間で次のポートを開く必要があります。
- LDAP 用の TCP/UDP ポート 389。
- Kerberos の TCP/UDP ポート 88。
- ドメイン ネーム サービス (DNS) の TCP/UDP ポート 53。
こちらもご覧ください
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示