Configurar uma Firewall para o Operations Manager
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.
Esta secção descreve como configurar a firewall para permitir a comunicação entre as diferentes funcionalidades do Operations Manager na sua rede.
Nota
Neste momento, o Operations Manager não suporta LDAP através de SSL (LDAPS).
Atribuições de portas
A tabela seguinte apresenta a interação da funcionalidade do Operations Manager através de uma firewall, incluindo informações sobre as portas utilizadas para comunicação entre as funcionalidades, a direção para abrir a porta de entrada e se o número de porta pode ser alterado.
| Funcionalidade A do Operations Manager | Número e Direção da Porta | Funcionalidade B do Operations Manager | Configurável | Nota |
|---|---|---|---|---|
| Servidor de Gestão | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Base de dados do Operations Manager | Sim (Configuração) | Porta WMI 135 (DCOM/RPC) para a ligação inicial e, em seguida, uma porta atribuída dinamicamente acima de 1024. Para obter mais informações, consulte Considerações especiais sobre a Porta 135 As portas 135.137.445.49152-65535 só têm de ser abertas durante a instalação inicial do Servidor de Gestão para permitir que o processo de configuração valide o estado dos serviços SQL no computador de destino. 2 |
| Servidor de Gestão | 5723/TCP, 5724/TCP ---> | Servidor de Gestão | No | A porta 5724/TCP tem de estar aberta para instalar esta funcionalidade e pode ser fechada após a instalação. |
| Servidor de gestão, Servidor de Gateway | 53 (DNS) ---> 88 (Kerberos) ---> 389 (LDAP) ---> |
Controladores de Domínio | No | A porta 88 é utilizada para autenticação Kerberos e não é necessária se utilizar apenas a autenticação de certificados. 3 |
| Servidor de Gestão | 161.162 <---> | Dispositivo de rede | No | Todas as firewalls entre os servidores de gestão e os dispositivos de rede têm de permitir SNMP (UDP) e ICMP bidirecionalmente. |
| Servidor de gateway | 5723/TCP ---> | Servidor de Gestão | No | |
| Servidor de Gestão | 1433/TCP ---> 1434/UDP ---> 135/TCP (DCOM/RPC) ---> 137/UDP ---> 445/TCP ---> 49152-65535 ---> |
Armazém de dados de relatórios | No | As portas 135.137.445.49152-65535 só têm de ser abertas durante a instalação inicial do Servidor de Gestão para permitir que o processo de configuração valide o estado dos serviços SQL no computador de destino. 2 |
| Servidor de Relatórios | 5723/TCP, 5724/TCP ---> | Servidor de Gestão | No | A porta 5724/TCP tem de estar aberta para instalar esta funcionalidade e pode ser fechada após a instalação. |
| Consola de Operações | 5724/TCP ---> | Servidor de Gestão | No | |
| Consola de Operações | 80, 443 ---> 49152-65535 TCP <---> |
Serviço Web catálogo do Pacote de Gestão | No | Suporta a transferência de pacotes de gestão diretamente na consola do catálogo. 1 |
| origem da arquitetura do Conector | 51905 ---> | Servidor de Gestão | No | |
| Servidor da consola Web | 5724/TCP ---> | Servidor de Gestão | No | |
| Browser da consola Web | 80, 443 ---> | Servidor da consola Web | Sim (Admin dos IIS) | Portas predefinidas para HTTP ou SSL ativadas. |
| Consola Web do Application Diagnostics | 1433/TCP ---> 1434 ---> |
Base de dados do Operations Manager | Sim (Configuração) 2 | |
| Consola Web do Application Advisor | 1433/TCP ---> 1434 ---> |
Armazém de dados de relatórios | Sim (Configuração) 2 | |
| Servidor de gestão ligado (Local) | 5724/TCP ---> | Servidor de gestão ligado (Ligado) | No | |
| Agente do Windows instalado com o MOMAgent.msi | 5723/TCP ---> | Servidor de Gestão | Sim (Configuração) | |
| Agente do Windows instalado com o MOMAgent.msi | 5723/TCP ---> | Servidor de gateway | Sim (Configuração) | |
| Instalação push do agente do Windows, reparação pendente, atualização pendente | 5723/TCP 135/TCP 137/UDP 138/UDP 139/TCP 445/TCP *Portas RPC/DCOM High (SO 2008 e posterior) Portas 49152-65535 TCP |
No | A comunicação é iniciada de MS/GW para um controlador de domínio do Active Directory e o computador de destino. | |
| Deteção de Agente UNIX/Linux e monitorização do agente | TCP 1270 <--- | Servidor de gestão ou servidor de gateway | No | |
| Agente UNIX/Linux para instalar, atualizar e remover agentes com o SSH | TCP 22 <--- | Servidor de gestão ou servidor de gateway | Yes | |
| Serviço OMED | TCP 8886 <--- | Servidor de gestão ou servidor de gateway | Yes | |
| Servidor de gateway | 5723/TCP ---> | Servidor de Gestão | Sim (Configuração) | |
| Agente (Reencaminhador dos Serviços de Recolha de Auditorias) | 51909 ---> | Recoletor dos Serviços de Recolha de Auditorias do servidor de gestão | Sim (Registo) | |
| Dados de Monitorização de Exceções sem Agente do cliente | 51906 ---> | Partilha de ficheiros de Monitorização de Exceções sem Agente do servidor de gestão | Sim (Assistente de Monitorização do Cliente) | |
| Dados do Programa de Melhoramento da Experiência do Cliente, do cliente | 51907 ---> | Ponto de Fim do Programa de Melhoramento da Experiência do Cliente (Servidor de gestão (Melhoramento da Experiência do Cliente) | Sim (Assistente de Monitorização do Cliente) | |
| Consola de operações (relatórios) | 80 ---> | SQL Reporting Services | No | A consola de Operações utiliza a Porta 80 para ligar ao Web site do SQL Reporting Services. |
| Servidor de Relatórios | 1433/TCP ---> 1434/UDP ---> |
Armazém de dados de relatórios | Sim 2 | |
| Servidor de gestão (recoletor dos Serviços de Recolha de Auditorias) | 1433/TCP <--- 1434/UDP <--- |
base de dados dos Serviços de Recolha de Auditorias | Sim 2 |
Management Pack Catalog web service 1
Para aceder ao serviço Web Catálogo do Pacote de Gestão, a firewall e/ou o servidor proxy têm de permitir o seguinte URL e caráter universal (*):
https://www.microsoft.com/mpdownload/ManagementPackCatalogWebService.asmxhttp://go.microsoft.com/fwlink/*
Identificar a porta SQL 2
A porta SQL predefinida é 1433, no entanto, este número de porta pode ser personalizado com base nos requisitos organizacionais. Para identificar a porta configurada, siga estes passos:
- No Gestor de Configuração do SQL Server, no painel da consola, expanda SQL Server Configuração de Rede, expanda Protocolos para <o nome> da instância e, em seguida, faça duplo clique em TCP/IP.
- Na caixa de diálogo Propriedades de TCP/IP , no separador Endereços IP , anote o valor da porta para IPAll.
Se utilizar um SQL Server configurado com um Grupo de Disponibilidade AlwaysOn ou depois de migrar uma instalação, faça o seguinte para identificar a porta:
- No Explorador de Objetos, ligue a uma instância de servidor que aloje uma réplica de disponibilidade do grupo de disponibilidade cujo serviço de escuta pretende ver. Selecione o nome do servidor para expandir a árvore do servidor.
- Expanda o nó Elevada Disponibilidade Always On e o nó Grupos de Disponibilidade.
- Expanda o nó do grupo de disponibilidade e expanda o nó Serviços de Escuta de Grupos de Disponibilidade.
- Clique com o botão direito do rato no serviço de escuta que pretende ver e selecione o comando Propriedades , abrindo a janela de diálogo Propriedades do Serviço de Escuta do Grupo de Disponibilidade , onde a porta configurada deve estar disponível.
Autenticação Kerberos 3
Para clientes Windows que utilizam a autenticação Kerberos e residem num domínio diferente do local onde os servidores de gestão estão localizados, existem requisitos adicionais que têm de ser cumpridos:
- Tem de ser estabelecida uma confiança transitiva bidirecional entre domínios.
- As seguintes portas têm de estar abertas entre os domínios:
- Porta TCP/UDP 389 para LDAP.
- Porta TCP/UDP 88 para Kerberos.
- Porta TCP/UDP 53 para o Serviço de Nomes de Domínio (DNS).