(0) exportieren Drucken
Alle erweitern

Verwenden einer Firewall in Verbindung mit Operations Manager 2007

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Sicherheitshandbuch

Im Microsoft Operations Manager 2007-Sicherheitshandbuch finden Sie wichtige Informationen zu weiterführenden Schutzmaßnahmen für Ihre Operations Manager 2007-Umgebung mithilfe des Sicherheitskonfigurations-Assistenten (SCW). Der Sicherheitskonfigurations-Assistent ist ein Tool zur Angriffsflächenreduzierung für Produkte mit den Betriebssystemen Windows Server 2003 Service Pack 1 (SP1), Windows Server 2003 Service Pack 2 (SP2) und Windows Server 2003 R2.

Neben praktischen Konfigurationsempfehlungen enthält dieses Handbuch auch Informationen zur Aktualisierung gesperrter Agents, der Anpassung von Portnummern, wenn andere Einstellungen als die Standardeinstellungen gewählt wurden, sowie einige Beispiele zu verstärkten Sicherheitsmaßnahmen für Server und Agents. Auch wenn die meisten Serveradministratoren von diesem Handbuch profitieren können, wurde es speziell für Administratoren geschrieben, die für die Sicherheit in Operations Manager 2007-Umgebungen verantwortlich sind. Weitere Informationen finden Sie im System Center Operations Manager 2007 SCW Roles and Security Hardening Guide for Windows Server 2003 (Sicherheitshandbuch zu System Center Operations Manager 2007-SCW-Rollen für Windows Server 2003) (http://go.microsoft.com/fwlink/?LinkId=120136).

Herstellen der Verbindung zum Berichterstattungs-Data Warehouse über eine Firewall

In diesem Abschnitt wird beschrieben, wie Sie Ihre Umgebung für die Platzierung eines Berichterstattungs-Data Warehouse hinter einer Firewall konfigurieren können.

noteHinweis
Eine Trennung von Betriebskonsole, Stammverwaltungsserver, Verwaltungsserver und/oder Berichtsserver, sei es per Firewall oder über eine Vertrauensgrenze hinweg, wird nicht unterstützt.

In Umgebungen, in denen das Berichterstattungs-Data Warehouse durch eine Firewall vom Stammverwaltungs- und vom Berichtsserver getrennt ist, kann die integrierte Windows-Authentifizierung nicht verwendet werden. In diesem Fall müssen Sie die SQL Server-Authentifizierung zu konfigurieren. Die nachfolgenden Abschnitte enthalten Informationen zur Aktivierung der SQL Server-Authentifizierung zwischen dem Stammverwaltungsserver (oder Verwaltungsserver), dem Berichtsserver und dem Berichterstattungs-Data Warehouse (siehe hierzu die nachfolgende Abbildung).

9a8933b5-b4cf-4700-92b5-f935f6971b96

Verwaltungsserver und Berichterstattungs-Data Warehouse

Die folgenden Schritte sind zur Aktivierung der SQL Server-Authentifizierung erforderlich:

  1. Erstellen Sie auf dem Hostcomputer des Berichterstattungs-Data Warehouse eine SQL-Anmeldung in der entsprechenden Rolle als Lese- und Schreibberechtigter. Die für dieses Konto bereitgestellten Anmeldeinformationen müssen auf dem Computer, auf dem SQL Server ausgeführt wird, zu einem Mitglied der folgenden Rollen in der OperationsManagerDW-Datenbank gemacht werden.

    1. OpsMgrWriter

    2. db_owner (nur für die Besitzerverwaltungsgruppe in der Datenbank)

  2. Erstellen Sie auf dem Hostcomputer des Stammverwaltungsservers ein ausführendes Konto (Typ: "Einfach") mit den Anmeldeinformationen des vorherigen Schritts.

  3. Ordnen Sie dieses ausführende Konto dem ausführenden Profil mit dem Namen "Data Warehouse-SQL Server-Authentifizierungskonto" zu, und adressieren Sie dieses ausführende Profil auf jeden Verwaltungsserver. Weitere Information finden Sie unter Ändern des ausführenden Kontos, das einem ausführenden Profil zugeordnet ist in diesem Handbuch.

Falls es eine Firewall zwischen dem Verwaltungsserver und dem Berichterstattungs-Data Warehouse gibt, müssen Sie Port 1433 öffnen.

Berichtsserver und Berichterstattungs-Data Warehouse

Falls es eine Firewall oder eine Vertrauensgrenze zwischen dem Berichtsserver und dem Berichterstattungs-Data Warehouse gibt, muss eine Punkt-zu-Punkt-Verbindung eingerichtet werden.

Das Konto, das beim Setup für die Berichterstattung als Datenlesekonto angegeben wurde, wird hierbei zum Ausführungskonto auf dem Berichtsserver. Dieses Konto wird auch verwendet, um die Verbindung zum Berichterstattungs-Data Warehouse herzustellen.

Sie müssen die Portnummer des Computers, auf dem SQL Server und das Berichterstattungs-Data Warehouse ausgeführt werden, ermitteln und in die Tabelle dbo.MT_DataWarehouse in der Operations Manager-Datenbank eingeben. Weitere Informationen finden Sie unter Konfigurieren des Berichterstattungs-Data Warehouse für die Überwachung eines bestimmten TCP/IP-Ports in diesem Handbuch.

Berichtsserver und Stammverwaltungsserver sind durch eine Firewall getrennt

Bei der Installation der Berichterstattung wird möglicherweise die Fehlermeldung Es konnte nicht überprüft werden, ob der aktuelle Benutzer ein Mitglied der sysadmin-Rolle ist angezeigt, wenn der Berichtsserver und der Stammverwaltungsserver durch eine Firewall getrennt sind. Diese Fehlermeldung erscheint u. U. auch dann, wenn die richtigen Firewallports geöffnet wurden. Dieser Fehler tritt nach Eingabe des Computernamens für den Stammverwaltungsserver beim Klicken auf Weiter auf. Die Fehlermeldung erscheint möglicherweise auch, weil beim Setup für die Berichterstattung keine Verbindung zur Operations Manager-Datenbank auf dem Stammverwaltungsserver hergestellt werden konnte. In dieser Umgebung müssen Sie die Portnummer des Computers, auf dem SQL Server ausgeführt wird, ermitteln und dann die Operations Manager-Datenbank für die Verwendung dieser Portnummer konfigurieren. Weitere Informationen finden Sie unter dem Thema Konfigurieren der Operations Manager-Datenbank für die Überwachung eines bestimmten TCP/IP-Ports in diesem Handbuch.

Portzuweisungen

In der folgenden Tabelle ist die Interaktion von Operations Manager 2007-Komponenten über eine Firewall aufgeführt. Zudem enthält sie Informationen über die für die Kommunikation zwischen den Komponenten verwendeten Ports, die Richtung, in die der eingehende Port zu öffnen ist, und darüber, ob die Portnummer geändert werden kann.

 

Operations Manager 2007 SP1-Komponente A Portnummer und -richtung Operations Manager 2007 SP1-Komponente B Konfigurierbar Hinweis

Stammverwaltungsserver

1433 --->

Operations Manager-Datenbank

Ja (Setup)

 

Verwaltungsserver

1433 --->

Operations Manager-Datenbank

Ja (Setup)

 

Verwaltungsserver

5723, 5724 --->

Stammverwaltungsserver

Nein

Port 5724 muss für die Installation dieser Komponente offen sein und kann nach erfolgter Installation geschlossen werden.

Gatewayserver

5723 --->

Stammverwaltungsserver

Nein

 

Stammverwaltungsserver

1433 --->

Berichterstattungs-Data Warehouse

Nein

 

Berichtsserver

5723, 5724 --->

Stammverwaltungsserver

Nein

Port 5724 muss für die Installation dieser Komponente offen sein und kann nach erfolgter Installation geschlossen werden.

Betriebskonsole

5724 --->

Stammverwaltungsserver

Nein

 

Connector Framework-Quelle

51905 --->

Stammverwaltungsserver

Nein

 

Webkonsolenserver

5724 --->

Stammverwaltungsserver

Nein

 

Webkonsolenbrowser

51908 --->

Webkonsolenserver

Ja (IIS-Verwaltung)

Port 51908 ist der Standardport, der beim Auswählen der Windows-Authentifizierung verwendet wird. Wenn Sie die Formularauthentifizierung auswählen, müssen Sie ein SSL-Zertifikat installieren und einen verfügbaren Port für die HTTPS-Funktionalität der Operations Manager 2007 WebConsole-Website konfigurieren.

Verbundener Stammverwaltungsserver (lokal)

5724 --->

Verbundener Stammverwaltungsserver (verbunden)

Nein

 

Agent mit MOMAgent.msi installiert

5723 --->

Stammverwaltungsserver

Ja (Setup)

 

Agent mit MOMAgent.msi installiert

5723 --->

Verwaltungsserver

Ja (Setup)

 

Agent mit MOMAgent.msi installiert

5723 --->

Gatewayserver

Ja (Setup)

 

Gatewayserver

5723 --->

Verwaltungsserver

Ja (Setup)

 

Agent (Weiterleitung der Überwachungssammeldienste)

51909 --->

Verwaltungsserver-Überwachungssammeldienste

Ja (Registrierung)

 

Clientdaten der Ausnahmenüberwachung ohne Agents

51906 --->

Verwaltungsserver mit Dateifreigabe zur Ausnahmenüberwachung ohne Agents

Ja (Assistent für Clientüberwachung)

 

Clientdaten des Programms zur Verbesserung der Benutzerfreundlichkeit

51907 --->

Verwaltungsserver (Endpunkt des Programms zur Verbesserung der Benutzerfreundlichkeit)

Ja (Assistent für Clientüberwachung)

 

Betriebskonsole (Berichte)

80 --->

SQL Reporting Services

Nein

Die Betriebskonsole verwendet Port 80, um eine Verbindung zur SQL Reporting Services-Website herzustellen.

Berichtsserver

1433 --->

Berichterstattungs-Data Warehouse

Ja

 

Verwaltungsserver (Überwachungssammeldienste)

1433 --->

Datenbank der Überwachungssammeldienste

Ja

 

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft