Настройка брандмауэра для Operations Manager
Важно!
Поддержка этой версии Operations Manager завершена. Рекомендуется выполнить обновление до Operations Manager 2022.
В этом разделе рассказывается, как настроить брандмауэр для разрешения взаимодействия разных компонентов Operations Manager в сети.
Примечание
В настоящее время Operations Manager не поддерживает протокол LDAP через SSL (LDAPS).
Назначения портов
В следующей таблице показано взаимодействие компонентов Operations Manager с использованием брандмауэра (в том числе сведения о портах, используемых для связи между компонентами, направление открытия входящего порта и возможность изменения номера порта).
| Компонент А Operations Manager | Номер и направление порта | Компонент B Operations Manager | Возможность настройки | Примечание |
|---|---|---|---|---|
| Сервер управления | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
база данных Operations Manager | Да (настройка) | Порт 135 (DCOM/RPC) используется для начального подключения к WMI, а затем — динамически назначаемый порт с номером выше 1024. Дополнительные сведения см. в разделе Особые рекомендации для порта 135. Чтобы разрешить процессу установки проверить состояние служб SQL на целевом компьютере, во время первоначальной установки сервера управления должны быть открыты только порты 135, 137, 445 и 49152–65535. 2 |
| Сервер управления | 5723, 5724 ---> | Сервер управления | Нет | Порт 5724 должен быть открыт для установки этой функции и может быть закрыт после установки. |
| Сервер управления, сервер шлюза | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Контроллеры домена | Нет | Порт 88 используется для проверки подлинности Kerberos и не требуется, если используется только проверка подлинности на основе сертификата. 3 |
| Сервер управления | 161,162 <---> | Сетевое устройство | Нет | Все брандмауэры между сервером управления и сетевыми устройствами должны разрешать двунаправленные протоколы SNMP (UDP) и ICMP. |
| Сервер шлюза | 5723 ---> | Сервер управления | Нет | |
| Сервер управления | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Хранилище данных отчетов | Нет | Чтобы разрешить процессу установки проверить состояние служб SQL на целевом компьютере, во время первоначальной установки сервера управления должны быть открыты только порты 135, 137, 445 и 49152–65535. 2 |
| Сервер отчетов | 5723, 5724 ---> | Сервер управления | Нет | Порт 5724 должен быть открыт для установки этой функции и может быть закрыт после установки. |
| Консоль управления | 5724 ---> | Сервер управления | Нет | |
| Консоль управления | 80, 443 ---> 49152-65535 TCP <---> |
Веб-службы каталога пакетов управления | Нет | Поддерживает скачивание пакетов управления непосредственно в консоли из каталога. 1 |
| Источник Connector Framework | 51905 ---> | Сервер управления | Нет | |
| Сервер веб-консоли | 5724 ---> | Сервер управления | Нет | |
| Браузер веб-консоли | 80, 443 ---> | Сервер веб-консоли | Да (IIS Admin) | По умолчанию порты для HTTP или SSL включены. |
| Веб-консоль для диагностики приложений | 1433/TCP ---> 1434 ---> |
база данных Operations Manager | Да (программа установки) 2 | |
| Веб-консоль для советника по приложениям | 1433/TCP ---> 1434 ---> |
Хранилище данных отчетов | Да (программа установки) 2 | |
| Подключенный сервер управления (локальный) | 5724 ---> | Подключенный сервер управления (подключен) | Нет | |
| Агент Windows, установленный с помощью MOMAgent.msi | 5723 ---> | Сервер управления | Да (настройка) | |
| Агент Windows, установленный с помощью MOMAgent.msi | 5723 ---> | Сервер шлюза | Да (настройка) | |
| Принудительная установка агента Windows, ожидание восстановления, ожидание обновления | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Порты RPC/DCOM High (ОС 2008 и более поздние версии) Порты TCP 49152-65535 |
Нет | Связь устанавливается из MS/GW с контроллером домена Active Directory и конечным компьютером. | |
| Обнаружение агента UNIX/Linux и мониторинг агента | TCP 1270 <--- | Сервер управления или сервер шлюза | Нет | |
| Агент UNIX/Linux для установки, обновления и удаления агента с использованием SSH | TCP 22 <--- | Сервер управления или сервер шлюза | Да | |
| Служба OMED | TCP 8886 <--- | Сервер управления или сервер шлюза | Да | |
| Сервер шлюза | 5723 ---> | Сервер управления | Да (настройка) | |
| Агент (сервер пересылки ACS) | 51909 ---> | Сборщик ACS сервера управления | Да (реестр) | |
| Данные безагентного отслеживания исключений от клиента | 51906 ---> | Общий файловый ресурс безагентного отслеживания исключений сервера управления | Да (мастер наблюдения за клиентами) | |
| Данные программы улучшения качества ПО от клиента | 51907 ---> | Сервер управления (конечная точка программы улучшения качества программного обеспечения) | Да (мастер наблюдения за клиентами) | |
| Консоль управления (отчеты) | 80 ---> | Службы отчетов SQL | Нет | Консоль управления использует порт 80 для подключения к веб-сайту служб отчетов SQL Server. |
| Сервер отчетов | 1433/TCP ---> 1434/UDP ---> |
Хранилище данных отчетов | Да 2 | |
| Сервер управления (сборщик ACS) | 1433/TCP <--- 1434/UDP <--- |
База данных службы ACS | Да 2 |
Веб-служба каталога пакетов управления 1
Чтобы получить доступ к веб-службе каталога пакетов управления, брандмауэр и (или) прокси-сервер должны разрешить следующие URL-адрес и подстановочные знаки (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Определение порта SQL 2
Порт SQL по умолчанию — 1433, однако этот номер порта можно настроить в соответствии с требованиями организации. Чтобы определить настроенный порт, выполните следующие действия.
- В области консоли диспетчера конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server и Протоколы для <имя экземпляра>, а затем дважды щелкните TCP/IP.
- В диалоговом окне Свойства TCP/IP на вкладке IP-адреса запишите значение порта для ПАРАМЕТРА IPAall.
При использовании SQL Server, настроенной с Always On группой доступности или после переноса установки, выполните следующие действия, чтобы определить порт:
- В обозревателе объектов подключитесь к экземпляру сервера, на котором размещена любая реплика группы доступности, свойства прослушивателя которой необходимо просмотреть. Выберите имя сервера, чтобы развернуть дерево серверов.
- Разверните узел Высокий уровень доступности AlwaysOn и узел Группы доступности .
- Разверните узел группы доступности и разверните узел Прослушиватели группы доступности .
- Щелкните правой кнопкой мыши прослушиватель, который требуется просмотреть, и выберите команду Свойства , открыв диалоговое окно Свойства прослушивателя группы доступности , где должен быть доступен настроенный порт.
Проверка подлинности Kerberos 3
Для клиентов Windows, использующих проверку подлинности Kerberos и находящихся в домене, отличном от того, где находятся серверы управления, существуют дополнительные требования, которые должны быть выполнены:
- Между доменами должно быть установлено двустороннее транзитивное доверие .
- Между доменами должны быть открыты следующие порты:
- TCP/UDP-порт 389 для LDAP.
- TCP/UDP-порт 88 для Kerberos.
- TCP/UDP-порт 53 для службы доменных имен (DNS).
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по