В процессе процедуры обнаружения (Discovery) для удалённой установки агента (Push-installation) SCOM 2012 на сервера с Forefront TMG мы можем получить ошибку по причине блокировки необходимых нам соединений.
Официальный список используемых для этой процедуры портов можно найти в документе Supported Configurations for System Center 2012 - Operations Manager - Supported Firewall Scenarios
Руководствуясь представленным списком портов у меня так и не получилось добиться желаемого результата. И даже рецепты, предложенные в статьях Kevin Holman's System Center Blog > Agent discovery and push troubleshooting in OpsMgr 2007 и DefinIT > Remote Installation of SCOM 2007 R2 Agent on Threat Management Gateway Servers не помогли, хотя и стали в совокупности подспорьем в обнаружении работоспособного варианта решения проблемы. Рассмотрим его.
В консоли Forefront TMG Management создадим набор компьютеров (Computer Set) с названием System Center Operations Manager Servers. Включим в этот набор наши сервера SCOM, с которых будет выполняться удалённая установка и последующие обновления агента SCOM
С использованием созданного набора компьютеров нам нужно создать два разрешающих правила, в которых будет фигурировать ряд протоколов, которые приведены в двух представленных ниже таблицах.
Описания протоколов которые есть в TMG по умолчанию:
Описание | Протокол | Порты | Направление |
System Center Operation Manager Agent | TCP | 5723 | Outbound |
NetBios Datagram | UDP | 138 | Send |
NetBios Name Service | UDP | 137 | Send/Recieve |
NetBios Session | TCP | 139 | Outbound |
Ping | ICMP | 0/8 | Send/Recieve |
RPC (all interfaces) | TCP | 135 | Outbound |
Описания протоколов, которые мы создадим дополнительно:
Описание | Протокол | Порты | Направление |
RPC/DCOM High Ports | TCP | 1024-65535 | Outbound |
SMB over IP | TCP | 445 | Outbound |
Создадим правило разрешающее обнаружение и удалённую установку, назовём его “SCOM Agent Push Install”:
В качестве разрешённых протоколов в этом правиле будут перечислены все протоколы перечисленные в таблицах, за исключением первой позиции.
После того как правило создано, откроем его свойства и на закладке настройки протоколов, используя кнопку Filtering > Configure PRC protocol выключим включенный по умолчанию режим Enforce strict RPC compilance
Затем создадим ещё одно правило, разрешающее исходящий трафик от агента до сервера SCOM по порту TCP 5723 , назовём его, например “Allow remote monitoring (from TMG to SCOM)”:
Сохраняем конфигурацию TMG и проверяем результат.
здравствуйте.
по Вашей статье установил агент на tmg, но в консоли scom агент не появился в "agent managed", зато долго висит в "pending management" c "type:installation in progress"
подскажите, в чем может быть проблема?
заранее спасибо.
Проблемы могут быть из-за разных причин. Попробуйте посмотреть лог установки агента на сервере SCOM в каталоге %ProgramFiles%System Center 2012Operations ManagerServerAgentManagementAgentLogs
в eventviewer tmg валятся две ошибки:
eventid 21006
The OpsMgr Connector could not connect to scomserver:5723. The error code is 10013L(An attempt was made to access a socket in a way forbidden by its access permissions.). Please verify there is network connectivity, the server is running and has registered it's listening port, and there are no firewalls blocking traffic to the destination.
eventid 21023
OpsMgr has no configuration for management group scomgroup and is requesting new configuration from the Configuration Service.
причём порт 5723 и telnet на него проходит
Видимо что-то не так с правилами которые вы создали, либо с вашим сервером SCOM. На стороне TMG можно включить логирование и посмотреть есть ли блокируемые запросы к/от сервера SCOM. Всё описанное в заметке не высосано из пальца а реально проверено на нескольких серверах TMG.
я открыл трафик полностью между tmg и scom (и на фаерволе tmg и на фаерволе scom)
теперь на tmg в eventviewer появляются ошибки
21006 The OpsMgr Connector could not connect to SCOM:5723. The error code is 10013L(An attempt was made to access a socket in a way forbidden by its access permissions.). Please verify there is network connectivity, the server is running and has registered it's listening port, and there are no firewalls blocking traffic to the destination.
а за ней
21016
OpsMgr was unable to set up a communications channel to SCOM and there are no failover hosts. Communication will resume when SCOM-SRV01.DOM.maria.o is available and communication from this computer is allowed.
после перезагрузки tmg в консоле scom агент tmg появился в "agent managed" со статусом "not monitored". в eventviewer на tmg появляются друг за другом eventid 21006 и 21023
Уважаемый, вы наверно перепутали комментарии к заметке с веткой форума http://social.technet.microsoft.com/Forums/ru-RU/momru/threads
может быть, извините) в любом случае проблема решена, может быть я давал не полную информацию (UAG DA)
вобщем, мне помог вот этот пост:
http://thoughtsonopsmgr.blogspot.com/2012/04/scomom12-agent-with-uagtmg-isatap-and.html
Обратная ссылка: SCCM 2012 – Client Push Install для серверов Forefront TMG « ИТ Блог Алексея Максимова /
Создавать протокол "SMB over IP" нет необходимости, т.к. уже есть протокол "Microsoft CIFS (TCP)". Зато в правило необходимо добавить "Microsoft CIFS (UDP)" - ибо CIFS может работаеть и по UDP.
Протокол "RPC/DCOM High Ports" - это жуткое зло, мало того что небезопасно, так после его добавления любые старшие порты будут определяться как RPC порты - даже когда это не так. Лучше уж тогда весь трафик между хостами разрешить. По-правильному решается через Static RPC. А проблема собственно в том, что MS уже почти 10 лет не может "RPC Filter" дописать.
Не вижу связи между двумя фразами "Протокол “RPC/DCOM High Ports” – это жуткое зло" и "весь трафик между хостами разрешить". То есть получается открыть к конкретному хосту конкретный диапазон портов - это неправильно, а открыть все порты это правильно.