Verwenden der Windows-Firewall mit Orchestrator
Veröffentlicht: März 2016
Betrifft: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
Windows Firewall mit erweiterter Sicherheit ist standardmäßig auf allen Windows 2008 R2-Computern aktiviert und blockiert den gesamten eingehenden Datenverkehr, sofern er keine Antwort auf eine Anforderung durch den Host darstellt oder direkt durch eine Firewall-Regel zugelassen wurde. Sie können Datenverkehr explizit zulassen, indem Sie Portnummern, Anwendungsnamen, Dienstnamen oder andere Kriterien in den Einstellungen für die Windows-Firewall mit erweiterter Sicherheit festlegen.
Wenn Sie Runbook Designer oder einen Runbook-Server außerhalb einer Firewall konfigurieren, müssen auf dem Management-Servercomputer bestimmte Regeln aktiviert werden, damit Runbook Designer und der Runbook-Server mit dem Management-Server kommunizieren können. Zusätzlich müssen Sie, wenn der Zielcomputer sich außerhalb der Firewall befindet, für einige Aktivitäten, wie das Überwachen von Aktivitäten, bestimmte Firewall-Regeln aktivieren, um die WMI-Kommunikation zuzulassen.
Konfiguration von Orchestrator-Computern
Wenn Runbook Designer oder ein Runbook-Server hinter einer Firewall installiert ist, sind bestimmte Firewall-Regeln zwischen dem Management-Server und den Remotecomputern erforderlich.
Aktivieren Sie die folgenden Regeln, sofern sie für Ihre Konfiguration relevant sind.
So aktivieren Sie den Zugriff auf SQL Server
-
Öffnen Sie auf dem Remotecomputer, auf dem Runbook Designer oder ein Runbook-Server installiert ist, einen Port für die Verbindung zu SQL Server. Der SQL-Standardport ist TCP:1433.
So aktivieren Sie den Zugriff zwischen Runbook Designer und dem Management-Server
-
Fügen Sie auf dem Computer, auf dem der Management Server Service ausgeführt wird, eine Firewall-Regel hinzu, um Runbook Designer oder dem Runbook-Server den Zugriff auf ManagementService.exe zu gestatten.
Speicherort von Orchestrator Management Service
Betriebssystem
Firewallregel
64-Bit
%ProgramFiles(x86)%\Microsoft System Center 2012\Orchestrator\Management Server\ManagementService.exe
So erteilen Sie die Berechtigung für das Runbook Server Service-Konto
-
Bestätigen Sie auf dem Runbook-Server-Remotecomputer, dass das Runbook Server Service-Konto über die Berechtigung Logon as service verfügt.
So gestatten Sie Remotebereitstellungen mit Deployment Manager
-
Fügen Sie auf dem Remotecomputer, auf dem Sie den Runbook-Server oder Runbook Designer bereitgestellt haben, eine Regel hinzu, um Deployment Manager den Zugriff auf Orchestrator Remoting Service zu gestatten.
Speicherort von Orchestrator Remoting Service
Betriebssystem
Speicherort
64-Bit
%SystemRoot%\SysWOW64\OrchestratorRemotingService.exe
32 Bit
%SystemRoot%\System32\OrchestratorRemotingService.exe
Weitere Informationen zum Hinzufügen von Firewallregeln finden Sie unter Hinzufügen oder Bearbeiten einer Firewallregel.
Firewall-Regeln für Aktivitäten
Alle Aktivitäten, die die WMI-Kommunikation nutzen, z. B. alle Überwachungsaktivitäten, benötigen für die ordnungsgemäße Funktion bestimmte Windows Firewall-Regeln.
Aktivieren Sie für Windows Server 2008 R2 die folgenden Regeln, um allen Aktivitäten, die WMI nutzen, die ordnungsgemäße Funktion zu ermöglichen:
Windows-Verwaltungsinstrumentation (Async-In)
Windows-Verwaltungsinstrumentation (DCOM-In)
Windows-Verwaltungsinstrumentation (WMI-In)