本文件已封存並已停止維護。

搭配使用防火牆與 Operations Manager 2007

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

安全性增強指南

《Microsoft Operations Manager 2007 安全性增強指南》提供重要資訊,說明如何使用安全性設定精靈 (SCW) 進一步保護或增強您的 Operations Manager 2007 環境。SCW 是減少攻擊面的工具,適用於執行 Windows Server 2003 Service Pack 1 (SP1) 作業系統、Windows Server 2003 Service Pack 2 (SP2) 作業系統以及 Windows Server 2003 R2 作業系統的產品。

除了實用的設定建議外,本指南還包含多項資訊,包括如何升級已鎖定的代理程式、如何自訂已變更預設設定的連接埠號碼,以及增強伺服器和代理程式的一些範例。雖然多數伺服器系統管理員均能經由閱讀本指南獲益,但負責 Operations Manager 2007 安全性的系統管理員將從中獲得最大的助益。如需詳細資訊,請參閱《System Center Operations Manager 2007 SCW Roles and Security Hardening Guide for Windows Server 2003》 (適用於 Windows Server 2003 的 System Center Operations Manager 2007 SCW 角色與安全性增強指南) (http://go.microsoft.com/fwlink/?LinkId=120136)。

透過防火牆連線至報表資料倉儲

本節說明如何設定您的環境,以支援將報表資料倉儲放置於防火牆後方。

note附註
系統不支援使用防火牆或透過信任界限隔開 Operations 主控台、Root Management Server、管理伺服器或報表伺服器。

在使用防火牆隔開報表資料倉儲與 Root Management Server 和報表伺服器的環境中,無法使用 Windows 整合式驗證。您需要採取步驟來設定 SQL Server 驗證。下列章節將說明如何在 Root Management Server (或管理伺服器)、報表伺服器和報表資料倉儲之間啟用 SQL Server 驗證,如下圖所示。

9a8933b5-b4cf-4700-92b5-f935f6971b96

管理伺服器與報表資料倉儲

啟用 SQL Server 驗證所需的步驟如下:

  1. 在主控報表資料倉儲的電腦上,在適當的讀取器和寫入器角色中建立 SQL 登入。您必須在執行 SQL Server 之電腦上的 OperationsManagerDW 資料庫中,將提供給此帳戶的認證設定成下列角色的成員:

    1. OpsMgrWriter

    2. db_owner (僅適用於資料庫中的擁有管理群組)

  2. 在主控 Root Management Server 的電腦上,使用上一個步驟的認證建立執行身分帳戶 (簡單類型)。

  3. 將這個執行身分帳戶與名為資料倉儲 SQL Server 驗證帳戶的執行身分設定檔建立關聯,將這個執行身分設定檔設為每個管理伺服器的目標。如需詳細資訊,請參閱本指南中的如何變更與執行身分設定檔相關聯的執行身分帳戶

如果管理伺服器與報表資料倉儲之間有防火牆,您需要開啟連接埠 1433。

報表伺服器與報表資料倉儲

如果報表伺服器與報表資料倉儲之間有防火牆或信任界限,需要建立點對點通訊。

安裝報表時指定為資料讀取器帳戶的帳戶將成為報表伺服器上的執行帳戶,而且這也是將用來連線到報表資料倉儲的帳戶。

您將需要判斷在報表資料倉儲上執行 SQL Server 的電腦使用哪個連接埠號碼,並將此號碼輸入 Operations Manager 資料庫中的 dbo.MT_DataWarehouse 資料表。請參閱本指南中的如何設定報表資料倉儲在特定 TCP/IP 連接埠上接聽

報表伺服器與 Root Management Server 由防火牆隔開

如果報表伺服器與 Root Management Server 由防火牆隔開,當安裝報表時,可能會顯示「無法確認目前的使用者是否為 sysadmin 角色」錯誤訊息。即使已開啟正確的防火牆連接埠,此錯誤訊息仍可能顯示。在輸入 Root Management Server 的電腦名稱並按一下 [下一步] 之後,會發生此錯誤。若報表安裝程式無法連線到 Root Management Server 上的 Operations Manager 資料庫,也可能顯示此錯誤。在此環境中,您需要判斷執行 SQL Server 的電腦使用的連接埠號碼,然後設定 Operations Manager 資料庫使用該連接埠號碼。請參閱本指南中的如何設定 Operations Manager 資料庫在特定 TCP/IP 連接埠上接聽主題。

連接埠指派

下表顯示 Operations Manager 2007 元件跨越防火牆的互動方式,包括元件之間進行通訊所使用的連接埠相關資訊、開啟輸入連接埠的方向,以及是否可以變更連接埠號碼。

 

Operations Manager 2007 SP1 元件 A 連接埠號碼與方向 Operations Manager 2007 SP1 元件 B 可設定 附註

Root Management Server

1433 --->

Operations Manager 資料庫

是 (安裝)

 

管理伺服器

1433 --->

Operations Manager 資料庫

是 (安裝)

 

管理伺服器

5723, 5724 --->

Root Management Server

必須開啟連接埠 5724 才能安裝此元件,等到此元件安裝完成後即可將它關閉。

閘道伺服器

5723 --->

Root Management Server

 

Root Management Server

1433 --->

報表資料倉儲

 

報表伺服器

5723, 5724 --->

Root Management Server

必須開啟連接埠 5724 才能安裝此元件,等到此元件安裝完成後即可將它關閉。

Operations 主控台

5724 --->

Root Management Server

 

連接器架構來源

51905 --->

Root Management Server

 

Web 主控台伺服器

5724 --->

Root Management Server

 

Web 主控台瀏覽器

51908 --->

Web 主控台伺服器

是 (IIS 管理)

連接埠 51908 是選取 Windows 驗證時使用的預設連接埠。如果選取表單驗證,您必須安裝 SSL 憑證,並設定可用的連接埠,供 Operations Manager 2007 WebConsole 網站的 https 功能使用。

已連線的 Root Management Server (本機)

5724 --->

已連線的 Root Management Server (已連線)

 

使用 MOMAgent.msi 安裝的代理程式

5723 --->

Root Management Server

是 (安裝)

 

使用 MOMAgent.msi 安裝的代理程式

5723 --->

管理伺服器

是 (安裝)

 

使用 MOMAgent.msi 安裝的代理程式

5723 --->

閘道伺服器

是 (安裝)

 

閘道伺服器

5723 --->

管理伺服器

是 (安裝)

 

代理程式 (稽核收集服務轉寄站)

51909 --->

管理伺服器稽核收集服務收集器

是 (登錄)

 

來自用戶端的無代理程式例外監控資料

51906 --->

管理伺服器無代理程式例外監控檔案共用

是 (用戶端監視精靈)

 

來自用戶端的客戶經驗改進計畫資料

51907 --->

管理伺服器 (客戶經驗改進計畫結束) 點

是 (用戶端監視精靈)

 

Operations 主控台 (報表)

80 --->

SQL 報表服務

Operations 主控台可使用連接埠 80 來連線至 SQL Reporting Services 網站。

報表伺服器

1433 --->

報表資料倉儲

 

管理伺服器 (稽核收集服務收集器)

1433 --->

稽核收集服務資料庫

 

 
顯示: