SCOM 2012 Discovery & Agent Push Install для серверов Forefront TMG

imageВ процессе процедуры обнаружения (Discovery) для удалённой установки агента (Push-installation) SCOM 2012 на сервера с Forefront TMG мы можем получить ошибку по причине блокировки необходимых нам соединений.

Официальный список используемых для этой процедуры портов можно найти в документе Supported Configurations for System Center 2012 - Operations Manager - Supported Firewall Scenarios

image

Руководствуясь представленным списком портов у меня так и не получилось добиться желаемого результата. И даже рецепты, предложенные в статьях Kevin Holman's System Center Blog > Agent discovery and push troubleshooting in OpsMgr 2007 и DefinIT > Remote Installation of SCOM 2007 R2 Agent on Threat Management Gateway Servers не помогли, хотя и стали в совокупности подспорьем в обнаружении работоспособного варианта решения проблемы. Рассмотрим его.

В консоли Forefront TMG Management создадим набор компьютеров (Computer Set) с названием System Center Operations Manager Servers. Включим в этот набор наши сервера SCOM, с которых будет выполняться удалённая установка и последующие обновления агента SCOM

image

С использованием созданного набора компьютеров нам нужно создать два разрешающих правила, в которых будет фигурировать ряд протоколов, которые приведены в двух представленных ниже таблицах.

Описания протоколов которые есть в TMG по умолчанию:

Описание Протокол Порты Направление
System Center Operation Manager Agent TCP 5723 Outbound
NetBios Datagram UDP 138 Send
NetBios Name Service UDP 137 Send/Recieve
NetBios Session TCP 139 Outbound
Ping ICMP 0/8 Send/Recieve
RPC (all interfaces) TCP 135 Outbound

Описания протоколов, которые мы создадим дополнительно:

Описание Протокол Порты Направление
RPC/DCOM High Ports TCP 1024-65535 Outbound
SMB over IP TCP 445 Outbound

Создадим правило разрешающее обнаружение и удалённую установку, назовём его “SCOM Agent Push Install”:

image

В качестве разрешённых протоколов в этом правиле будут перечислены все протоколы перечисленные в таблицах, за исключением первой позиции.image

После того как правило создано, откроем его свойства и на закладке настройки протоколов, используя кнопку Filtering > Configure PRC protocol выключим включенный по умолчанию режим Enforce strict RPC compilance

image

Затем создадим ещё одно правило, разрешающее исходящий трафик от агента до сервера SCOM по порту TCP 5723 , назовём его, например “Allow remote monitoring (from TMG to SCOM)”:

image

Сохраняем конфигурацию TMG и проверяем результат.

Всего комментариев: 12 Комментировать

  1. gogolmogol /

    здравствуйте.
    по Вашей статье установил агент на tmg, но в консоли scom агент не появился в "agent managed", зато долго висит в "pending management" c "type:installation in progress"
    подскажите, в чем может быть проблема?
    заранее спасибо.

    1. Алексей Максимов /

      Проблемы могут быть из-за разных причин. Попробуйте посмотреть лог установки агента на сервере SCOM в каталоге %ProgramFiles%System Center 2012Operations ManagerServerAgentManagementAgentLogs

  2. gogolmogol /

    в eventviewer tmg валятся две ошибки:

    eventid 21006
    The OpsMgr Connector could not connect to scomserver:5723. The error code is 10013L(An attempt was made to access a socket in a way forbidden by its access permissions.). Please verify there is network connectivity, the server is running and has registered it's listening port, and there are no firewalls blocking traffic to the destination.

    eventid 21023
    OpsMgr has no configuration for management group scomgroup and is requesting new configuration from the Configuration Service.

  3. gogolmogol /

    причём порт 5723 и telnet на него проходит

    1. Алексей Максимов /

      Видимо что-то не так с правилами которые вы создали, либо с вашим сервером SCOM. На стороне TMG можно включить логирование и посмотреть есть ли блокируемые запросы к/от сервера SCOM. Всё описанное в заметке не высосано из пальца а реально проверено на нескольких серверах TMG.

  4. gogolmogol /

    я открыл трафик полностью между tmg и scom (и на фаерволе tmg и на фаерволе scom)
    теперь на tmg в eventviewer появляются ошибки
    21006 The OpsMgr Connector could not connect to SCOM:5723. The error code is 10013L(An attempt was made to access a socket in a way forbidden by its access permissions.). Please verify there is network connectivity, the server is running and has registered it's listening port, and there are no firewalls blocking traffic to the destination.
    а за ней
    21016
    OpsMgr was unable to set up a communications channel to SCOM and there are no failover hosts. Communication will resume when SCOM-SRV01.DOM.maria.o is available and communication from this computer is allowed.

  5. gogolmogol /

    после перезагрузки tmg в консоле scom агент tmg появился в "agent managed" со статусом "not monitored". в eventviewer на tmg появляются друг за другом eventid 21006 и 21023

    1. Алексей Максимов /

      Уважаемый, вы наверно перепутали комментарии к заметке с веткой форума http://social.technet.microsoft.com/Forums/ru-RU/momru/threads

  6. gogolmogol /

    может быть, извините) в любом случае проблема решена, может быть я давал не полную информацию (UAG DA)
    вобщем, мне помог вот этот пост:
    http://thoughtsonopsmgr.blogspot.com/2012/04/scomom12-agent-with-uagtmg-isatap-and.html

  7. Обратная ссылка: SCCM 2012 – Client Push Install для серверов Forefront TMG « ИТ Блог Алексея Максимова /

  8. Roy /

    Создавать протокол "SMB over IP" нет необходимости, т.к. уже есть протокол "Microsoft CIFS (TCP)". Зато в правило необходимо добавить "Microsoft CIFS (UDP)" - ибо CIFS может работаеть и по UDP.
    Протокол "RPC/DCOM High Ports" - это жуткое зло, мало того что небезопасно, так после его добавления любые старшие порты будут определяться как RPC порты - даже когда это не так. Лучше уж тогда весь трафик между хостами разрешить. По-правильному решается через Static RPC. А проблема собственно в том, что MS уже почти 10 лет не может "RPC Filter" дописать.

    1. Алексей Максимов /

      Не вижу связи между двумя фразами "Протокол “RPC/DCOM High Ports” – это жуткое зло" и "весь трафик между хостами разрешить". То есть получается открыть к конкретному хосту конкретный диапазон портов - это неправильно, а открыть все порты это правильно.

Добавить комментарий