by Joseph Wu
2. November 2011 17:12
最近因為在設定 SCOM 時,發現網域內有部份 server 無法被 Discovery 的問題 ( 有的server 可以被 discovery 、 有的不行 )。
根據 SCOM 發生無法 discovery 的問題時,會吐出一些包含解決方法的網址如下:
SCOM 自動產生的解決方案的網址
該篇文章大致從 3 個方向著手:
(1) 該 server 是否有加入 domain
(2) 該 server 是否能在網路中被聯絡的到
(3) 是否使用適當的帳戶
我確定我 (1)、(3) 項都沒問題,所以我朝著 (2) 項來了解。
首先,我使用 ping –a <computer IP> 以及 nbtstat –A <computer IP> 時,無法找到被解析名稱的資訊 (即使用 IP 無法找到 FQDN or NetBIOS name) 。但是文章中並沒有解釋的很清楚,我做了不同嘗試後找到了答案,並且趕緊記下來。文章中說明要開啟 File and Printer Sharing 的防火牆規則是沒錯的,但是沒說明要開哪個。
我嘗試過後,確定是以下 3 條規則,分別是 Port UDP 137、138、139 的防火牆規則:
開啟後就能讓 Discovery server 的作業運行無誤,但這邊要稍加說明一下細節。
(1) 使用 ping –a 及 nbtstat –A 時,其實是使用 「檔案及印表機共用 (NB-Name-In) 」 這條防火牆規則
a. 沒開放規則前使用 ping –a 的回應
b. 開放規則之後 ( 你就會看見被解析後的 server name 了)
(2) 在安裝 Agent 到指定的 server 時,要開啟 「檔案及印表機共用 (NB-Session-In) 」這條。 我的猜測是,在安裝時需要建立一條 session ,故要開啟這條規則。 如果沒開可是會安裝失敗的喔。
(3)最後的一條規則,雖然我還不大清楚它是用來作什麼的,但是我還是會開放,以免日後哪裡又出了問題。
( 最後要注意的是「安全性議題」,這些規則記得都只開放給網域內的電腦使用,也就是防火牆的 profile 記得設定為網域 )
by Joseph Wu
5. October 2011 10:45
加入網域後的伺服器,會套用 GPO 的原則,當然也包括防火牆的規則,但是這邊有個小細節要分享
如果我要設定讓 3389 只能允許網域中的使用者連接,於 GPO 設定該規則後,就結束了 ?
我一開始是這麼想的,但實際上發現,在防火牆規則中,會多開出一條規則,而我的操作步驟如下:
1、設定 GPO ,新增一條防火牆規則
2、在本機開啟遠端桌面連線設定
如果是按照上述的操作步驟,那麼接下來被套用 GPO 的伺服器上,會看到如下圖的防火牆規則
很不幸的, Windows 防火牆規則不同於一般的硬體式防火牆邏輯(由上而下的比對邏輯,ex: 最後一筆如有限制 3389 使用,則會採取限制行動)。根據我的測試,Windows 會採取全部承認的機制,即允許 3389 通過設定檔為 「網域」、「全部」的,這樣一來就糟了,如果伺服器有開啟對外的 IP 連線,那使用 Internet 即可連上伺服器,實在是太危險了。
所以請切記,在開啟遠端桌面連線後,務必修正防火牆設定,即便你有設定 GPO