В Operations Manager 2007 службы ACS требуют взаимной проверки подлинности между сборщиком ACS и каждым сервером пересылки ACS. По умолчанию в данном случае применяется проверка подлинности Windows, в которой используется протокол Kerberos. После завершения проверки подлинности все передачи между серверами пересылки ACS и сборщиком ACS шифруются. Не требуется поддерживать дополнительное шифрование между серверами пересылки ACS и сборщиком ACS, если только они не принадлежат разным лесам Active Directory без установленных отношений доверия.
По умолчанию передаваемые между сборщиком ACS и базой данных ACS данные не шифруются. Если требуется обеспечить более высокий уровень безопасности, то для шифрования всех данных, передаваемых между этими компонентами, можно использовать протокол SSL или TLS. Чтобы включить шифрование SSL между базой данных ACS и сборщиком ACS, необходимо установить сертификат как на сервере базы данных, так и на компьютере, на котором размещена служба "Сборщик ACS". После установки таких сертификатов настройте клиент SQL сборщика ACS на принудительное шифрование.
Дополнительные сведения об установке сертификатов и включении поддержки протоколов SSL или TLS см. в статье "SSL и TLS в Windows Server 2003" на странице http://go.microsoft.com/fwlink/?LinkId=76134 (возможно, на английском языке) и в статье "Получение и установка сертификатов сервера" на странице http://go.microsoft.com/fwlink/?LinkId=76135 (возможно, на английском языке). Порядок принудительного включения шифрования на клиенте SQL см. на странице http://go.microsoft.com/fwlink/?LinkId=76136 (возможно, на английском языке).
Ограниченный доступ к событиям аудита
События аудита, записываемые в локальный журнал безопасности, доступны локальному администратору. Однако события аудита, обрабатываемые службами ACS, по умолчанию не позволяют пользователям (даже пользователям с правами администратора) получить доступ к журналам аудита в базе данных ACS. Если необходимо отделить роль администратора от роли пользователей, просматривающих и запрашивающих базу данных ACS, то можно создать группу аудиторов базы данных и предоставить ей необходимые разрешения для доступа к базе данных аудита. Пошаговые инструкции см. в разделе Развертывание служб ACS.
Ограниченное взаимодействие с серверами пересылки ACS
Локальное изменение конфигурации сервера пересылки ACS не разрешается даже для учетных записей пользователя с правами администратора. Все изменения конфигурации сервера пересылки ACS должны поступать от сборщика ACS. Для обеспечения дополнительной безопасности после проверки подлинности на сборщике ACS сервер пересылки ACS закрывает входящий TCP-порт, используемый службами ACS, чтобы разрешить только исходящее подключение. Сборщик ACS должен закрыть и заново установить канал связи, чтобы внести какие-либо изменения в конфигурацию сервера пересылки ACS.
Серверы пересылки ACS отделены от сборщика ACS брандмауэром.
Из-за ограниченного взаимодействия между сервером пересылки ACS и сборщиком ACS на брандмауэре необходимо открыть только входящий TCP-порт 51909, чтобы сервер пересылки ACS, отделенный от сети предприятия брандмауэром, мог достичь сборщика ACS.
See Also
Tasks
Развертывание служб ACSConcepts
О службах ACS в Operations Manager 2007Other Resources
Службы ACSБыла ли данная информация полезной? Отправляйте нам свои пожелания и комментарии, касающиеся данной документации.