設定 Operations Manager 的防火牆
重要
此版本的 Operations Manager 已終止支援。 建議您 升級至 Operations Manager 2022。
本節說明如何設定防火牆以允許在網路上的不同 Operations Manager 功能之間的通訊。
注意
Operations Manager 目前不支援透過 SSL (LDAPS) LDAP。
通訊埠指派
下表顯示 Operations Manager 功能跨越防火牆的互動方式,包括功能之間進行通訊所使用的連接埠相關資訊、開啟輸入連接埠的方向,以及是否可以變更連接埠號碼。
Operations Manager 功能 A | 連接埠號碼與方向 | Operations Manager 功能 B | 可設定 | 注意 |
---|---|---|---|---|
管理伺服器 | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Operations Manager 資料庫 | 是 (安裝) | 使用 WMI 連接埠 135 (DCOM/RPC) 進行初始連線,然後是 1024 以上的動態指派連接埠。 如需詳細資訊,請參閱 埠 135 的特殊考慮 只有在管理伺服器初始安裝期間,連接埠 135、137、445、49152-65535 才需要開啟,以允許安裝流程驗證目標機器上的 SQL 服務狀態。 2 |
管理伺服器 | 5723, 5724 ---> | 管理伺服器 | No | 必須開啟埠 5724 才能安裝此功能,而且可以在安裝之後關閉。 |
管理伺服器、閘道伺服器 | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
網域控制站 | No | 埠 88 用於 Kerberos 驗證,而且只有在使用憑證驗證時才不需要。3 |
管理伺服器 | 161,162 <---> | 網路裝置 | 否 | 管理伺服器和網路裝置之間的所有防火牆都必須雙向允許 SNMP (UDP) 和 ICMP。 |
閘道伺服器 | 5723 ---> | 管理伺服器 | 否 | |
管理伺服器 | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
報表資料倉儲 | 否 | 只有在管理伺服器初始安裝期間,連接埠 135、137、445、49152-65535 才需要開啟,以允許安裝流程驗證目標機器上的 SQL 服務狀態。 2 |
報表伺服器 | 5723, 5724 ---> | 管理伺服器 | No | 必須開啟埠 5724 才能安裝此功能,而且可以在安裝之後關閉。 |
Operations 主控台 | 5724 ---> | 管理伺服器 | 否 | |
Operations 主控台 | 80, 443 ---> 49152-65535 TCP <---> |
管理組件類別目錄 Web 服務 | 否 | 支援直接從目錄中下載控制台中的管理元件。1 |
連接器架構來源 | 51905 ---> | 管理伺服器 | 否 | |
Web 主控台伺服器 | 5724 ---> | 管理伺服器 | 否 | |
Web 主控台瀏覽器 | 80, 443 ---> | Web 主控台伺服器 | 是 (IIS 管理) | 已啟用 HTTP 或 SSL 的預設連接埠。 |
適用於 Application Diagnostics 的 Web 主控台 | 1433/TCP ---> 1434 ---> |
Operations Manager 資料庫 | 是 (安裝程式) 2 | |
適用於 Application Advisor 的 Web 主控台 | 1433/TCP ---> 1434 ---> |
報表資料倉儲 | 是 (安裝程式) 2 | |
已連線的管理伺服器 (本機) | 5724 ---> | 線上的管理伺服器 (連線) | 否 | |
使用 MOMAgent.msi 安裝的 Windows 代理程式 | 5723 ---> | 管理伺服器 | 是 (安裝) | |
使用 MOMAgent.msi 安裝的 Windows 代理程式 | 5723 ---> | 閘道伺服器 | 是 (安裝) | |
Windows 代理程式推入安裝、擱置修復、擱置更新 | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *RPC/DCOM 高端口 (2008 OS 和更新版本) 埠 49152-65535 TCP |
No | 會起始從 MS/GW 到 Active Directory 網域控制站和目標電腦的通訊。 | |
UNIX/Linux 代理程式探索及代理程式監視 | TCP 1270 <--- | 管理伺服器或閘道伺服器 | 否 | |
用於使用 SSH 安裝、升級和移除代理程式的 UNIX/Linux 代理程式 | TCP 22 <--- | 管理伺服器或閘道伺服器 | 是 | |
OMED 服務 | TCP 8886 <--- | 管理伺服器或閘道伺服器 | 是 | |
閘道伺服器 | 5723 ---> | 管理伺服器 | 是 (安裝) | |
代理程式 (稽核收集服務轉寄站) | 51909 ---> | 管理伺服器稽核收集服務收集器 | 是 (登錄) | |
來自用戶端的無代理程式例外監控資料 | 51906 ---> | 管理伺服器無代理程式例外監控檔案共用 | 是 (用戶端監視精靈) | |
來自用戶端的客戶經驗改進計畫資料 | 51907 ---> | 管理伺服器 (客戶經驗改進計畫結束) 點 | 是 (用戶端監視精靈) | |
Operations 主控台 (報表) | 80 ---> | SQL 報表服務 | 否 | Operations 主控台可使用連接埠 80 來連線至 SQL Reporting Services 網站。 |
報表伺服器 | 1433/TCP ---> 1434/UDP ---> |
報表資料倉儲 | 是 2 | |
管理伺服器 (稽核收集服務收集器) | 1433/TCP <--- 1434/UDP <--- |
稽核收集服務資料庫 | 是 2 |
管理元件類別目錄 Web 服務 1
若要存取管理元件類別目錄 Web 服務,您的防火牆和/或 Proxy 伺服器必須允許下列 URL 和通配符 (*) :
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmx
http://go.microsoft.com/fwlink/*
識別 SQL 連接埠 2
默認 SQL 埠為 1433,不過此埠號碼可以根據組織需求進行自定義。 若要識別已設定的埠,請遵循下列步驟:
- 在 SQL Server 組態管理員 控制檯窗格中,展開 [SQL Server 網络組態]、展開 [實例名稱>的<通訊協定],然後按兩下 [TCP/IP]。
- 在 [ TCP/IP 屬性] 對話方塊的 [ IP 位址 ] 索引標籤上,記下 IPAall的埠值。
如果使用設定 Always On 可用性群組的 SQL Server,或在移轉安裝之後,請執行下列動作來識別埠:
- 在 [物件總管] 中,連接到裝載您想要檢視其接聽程式之可用性群組的任何可用性複本的伺服器執行個體。 選取伺服器名稱以展開伺服器樹狀目錄。
- 依序展開 [Always On 高可用性] 節點和 [可用性群組] 節點。
- 展開可用性群組的節點,然後展開 [可用性群組接聽程式] 節點。
- 以滑鼠右鍵按下您要檢視的接聽程式,然後選取 [ 屬性 ] 命令,開啟 [ 可用性群組接聽程序屬性 ] 對話框視窗,其中應該可使用設定的埠。
Kerberos 驗證 3
對於使用 Kerberos 驗證的 Windows 用戶端,且位於與管理伺服器所在的不同網域中,必須符合額外的需求:
- 必須在網域之間建立 雙向可轉移信任 。
- 網域之間必須開啟下列埠:
- LDAP 的 TCP/UDP 連接埠 389。
- Kerberos 的 TCP/UDP 連接埠 88。
- 功能變數名稱服務的 TCP/UDP 連接埠 53 (DNS) 。
另請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應