セキュリティ/ファイアウォールの要件

このページでは、ファイアウォール越しにApplicartions Managerにアクセスする方法を説明します。ファイアウォールは認可なしのネットワークアクセスを防ぐバリアとして利用されています。認可のある人だけを通し、それ以外は通さない、入り口の役目です。Applicatins Managerを実行しているホストが必要ポートで監視を行うには、ファイアウォールの設定が必要となります。

メモ：通信を確立するには、ポートはすべて双方向に開放してください。

ファイアウォール越しに監視する際に開放するポート

監視	ポート詳細
アプリケーションサーバー
GlassFish	GlassFish JMXポート（デフォルト：8686）。
JBoss	双方向コミュニケーションが、JBoss Webサーバーポート（デフォルト：8080）とApplications ManagerのWebサーバーポート（デフォルト：9090）で必要です。 Applications Managerのホスト名には、JBossサーバーからアクセス可能としてください。 JBoss RMIオブジェクトポートも開放してください（デフォルト：4444）。
Jetty	監視のためJMXを有効にします。JettyのJMXポートは、デフォルトのインストール状態で9999です。
Microsoft .NET	WMIポート（デフォルト：445）。 RPCポート（デフォルト：135）。詳細は、WMIモードでの監視の解説も参照ください。
Oracle Application Server	Oracle Application Serverポート（デフォルト：7200）。
Tomcat	Tomcat Webサーバーポート（デフォルト：8080）。
VMware vFabric tc Server	VMware vFabric tc ServerのJMXポート（デフォルト：6969）。
WebLogic	双方向コミュニケーションが、WebLogicリスニングポート（デフォルト：7001）とApplications ManagerのWebサーバーポート（デフォルト：9090）で必要です。
WebSphere	WebSphereアプリケーションポート（デフォルト：9080）。
カスタム監視
データベースクエリ監視	対応するデータベースサーバーポートです。
ファイル/ディレクトリ、スクリプト（Telnet/SSHモード）	Telnetポート：23（Telnetの場合）。 SSHポート：22（SSHの場合）。
ファイル/ディレクトリ、WMIパフォーマンスカウンター（WMIモード）	WMIポート（デフォルト：445）。 RPCポート（デフォルト：135）。詳細は、WMIモードでの監視の解説も参照ください。
データベースサーバー
Db2	Db2の実行ポート（デフォルト：50000）。
memcached	memcachedサーバーの実行ポート（デフォルト：11211）。
MySQL	MySQLの実行ポート（デフォルト：3306）。
Oracle	Oracleの実行ポート（デフォルト：1521）。
PostgreSQL	PostgreSQLの実行ポート（デフォルト：5432）。
Microsoft SQL Server	SQL Serverの実行ポート（デフォルト：1433）。名前付きインスタンスをご利用の際は、UDPポート1434がSQL Server Browser Serviceで必要になる可能性があります。
Sybase	Sybaseの実行ポート（デフォルト：5000）。
SAP HANA	SAP HANAのインデックスサーバーポート（デフォルト：30015）。
Apache HBase	HBaseを実行するポートを指定してください。HBaseのデフォルトインストール状態では、マスターサーバーのポートは10101、リージョンサーバーのポートは10102です。
NoSQL
Cassandra	監視にはJMXを有効にしてください。CassandraのJMXポートは、デフォルトのインストール状態で7199です。
ERP
Oracle EBS	Oracle EBS Webサーバーポート（デフォルト：7200）。
Microsoft Dynamic CRM/365 (On-Premise)	Microsoft Dynamics CRM/365アプリケーションを監視するには、Dynamics CRM/365 Serverの「root\CIMV2」名前空間でWMIクエリ実行権限を持つ、管理者アカウントをご利用ください。監視用のファイアウォール設定 WMIでの監視に必要なポート WMI（デフォルト：TCP 445） RPC（デフォルト：135）ターゲットサーバーはデフォルトでは、TCP 1025から1030のランダムポートでリモート通信に応答します（DCOM）。 PowerShellで監視するには PowerShellの有効化方法の解説ページをご覧ください。
メールサーバー
Exchange Server	Exchange Serverの実行ポート（デフォルト：25）。 WMI（デフォルト：TCP 445）。 RPCポート（デフォルト：135）。詳細は、WMIモードでの監視の解説も参照ください。
メールサーバー	Applications ManagerからSMTPサーバーポートでメールを送ります（デフォルト：25）。 POPサーバーからは、POPポートでメールを取得します（デフォルト：110）。
ミドルウェア/ポータル
IBM WebSphere MQ	MQリスニングポートです（デフォルト：1414）。
Microsoft MSMQ/SharePoint Server	WMIポート（デフォルト：445）。 RPCポート（デフォルト：135）。詳細は、WMIモードでの監視の解説も参照ください。
VMware vFabric RabbitMQサーバー	管理プラグインを設定したポートのIDが必要です（デフォルト：55672）
WebLogic Integration Server	WebLogic Integrationポート（デフォルト：7001）。
Oracle Tuxedo	Tuxedo SNMPエージェントを実行しているポートの番号です。デフォルトのポート番号は161です。
Apache ActiveMQ	ActiveMQを実行するポートを指定してください。
Apache Kafka	デフォルトのJMXポートは9999です。 Apache KafkaをJDK 7 Update 4以上で利用する場合、RMIコネクターにバインドするポート番号はApache Kafkaのシステムプロパティで「-Dcom.sun.management.jmxremote.rmi.port=9999」にセットし、Applications Managerからファイアウォール越しの接続を可能としてください。それ以前のJDKを使うには、ファイアウォール越し通信のサンプルを参考に、RMIコネクター通信のポートを設定してください。
サーバー
AS/400（iSeries）	Applications ManagerからAS/400・iSeriesサーバーへの接続には、JTOpenパッケージを利用します。JTOpenでは、非SSLポートの449、446、8470、8471、8472、8473、8474、8475、8476を使います。 IBMサポートページを確認し、表のうち「Port Non-SSL」に記載のあるポートをファイアウォールでブロックしていないか検討ください。
Linux、Solaris、AIX、HP-UX、Tru64 UNIX	Telnetポート（デフォルト：23）。 SSHポート（デフォルト：22）。 SNMPエージェントポート（デフォルト：161）。
Windows	WMIモードでの監視には Windows Serverの監視には「管理者」権限が必要です。必要ポート WMI（デフォルト：TCP 445） RPC（デフォルト：135） WMIはDCOMでリモート通信を行います（分散コンポーネントオブジェクトモデル：Distributed Component Object Model）。Applications Managerが監視するサーバーはすべて、デフォルトでは1024を超えるランダムポートで応答を返します。ターゲットサーバーに接続するには、指定範囲のポートを使うよう設定しなくてはなりません。ターゲットサーバーでポートを厳格に制限するには、Microsoftの動的ポート割り当て設定解説を参照ください。ターゲットサーバーにはこの範囲で少なくとも5つのポートを指定する必要があります（通常、最少で100ポートの開放が推奨されます）。ファイアウォールでも同じ範囲のポートを開いてください。 Windows Server 2008/Windows Vista以降、動的ポートに次の範囲が使えるようになっています。開始ポート：49152 終了ポート：65535 Windows Server 2008/Windows Vistaから、Windows Server 2019/Windows 10世代のみをご利用の場合は、49152から65535までのハイポートで接続を有効にしてください。 Windows 2000、Windows XP、Windows Server 2003は、次の動的ポート範囲を使います。開始ポート：1025 終了ポート：5000 Windows Server 2008/Windows Vista以降の世代と、それより前の世代を併用している場合は、双方のポート範囲で接続を有効にする必要があります。ハイポートのレンジ：49152から65535までローポートのレンジ：1025から5000まで SNMPモードでの監視には SNMPエージェントポートを使います（デフォルト：161）。
サービス
Active Directory	WMIポート（デフォルト：445）。 RPCポート（デフォルト：135）。
FTP/SFTP	FTP/SFTPの実行ポートが必要です（デフォルトでFTPは21、SFTPは22）。
JMX（MX4J/JDK 1.5）	JMXエージェントのポートが必要です（デフォルト：1099）。ファイアウォール越しにJMXを監視するには、次の変更が必要です。 startApplicationsManager.bat/shファイルを編集します。Java Runtimeオプションに次の記載を加えてください。 -Dmonitor.jmx.rmi.port=<port number for RMI socket communication> Applications Managerサーバーを再起動します。 RMIソケットポートとJNDIポートがファイアウォールで開いていることを確認してください。必要情報を指定し、JMXアプリケーション監視を追加します。これによって、監視の追加が実行されます。
LDAP	LDAPサーバーポート。
サービス監視	監視するサービスのポートを使います。
SNMP	SNMPエージェントポート（デフォルト：161）。
Telnet	Telnetで使うポート。
Apache ZooKeeper	デフォルトのJMXエージェントポートは1099です。 Apache ZooKeeperをJDK 7 Update 4以上で利用する場合、RMIコネクターにバインドするポート番号はApache ZooKeeperのシステムプロパティで「-Dcom.sun.management.jmxremote.rmi.port=1099」にセットし、Applications Managerからファイアウォール越しの接続を可能としてください。それ以前のJDKを使うには、ファイアウォール越し通信のサンプルを参考に、RMIコネクター通信のポートを設定してください。
Oracle Coherence	Coherence is 1099の監視のためJMXを有効にします。JMX Portデフォルトのインストール状態でです。
Hadoop	NameNodeの監視のためJMXポートを有効にします。
トランザクション
APMインサイト	Applications ManagerのWebサーバーポートに、APMインサイトエージェントのあるサーバーから通信できるようにしてください（デフォルト：9090）。
仮想化
Hyper-V	WMIポート（デフォルト：445）。 RPCポート（デフォルト：135）。
VMware ESX/ESXi	VMware Webサービスポート（デフォルト：443）。
Citrix XenServer	XenServerのWebサービスを実行しているHTTPSポートです。デフォルトのポート番号は443です。
Docker	Dockerソケットポート（デフォルト：4243）。
Webサーバー/サービス
リアルブラウザー監視（QEngineポート）	AppManager_Homeworkingconfqeruntime.propertiesファイルに記載のあるqeport（デフォルト：5001）を、RBMのwebscriptを記録するマシンで開く必要があります。
SSL証明書監視	SSLWebサーバーの実行ポート（デフォルト：443）
Webサーバー：Apache、IIS、PHP	WebサーバーのHTTPポートです（デフォルト：80）。
Elasticsearch	Elasticsearchの実行ポート（デフォルト：9200）。
Apache Solr	Apache Solrの実行ポート（デフォルト：8983）。
その他
トラップリスナー	Applications Managerサーバーのトラップのリスニングポート（デフォルト：1620）を、トラップ送信元サーバーから通信可能としてください。トラップ受信の詳細は、SNMPリスニング設定の解説を参照ください。
Webユーザー体感監視	Site24x7利用のためインターネットアクセスが必要です。

Applications Managerではデータ保護に注力しています。製品にバンドルのPostgreSQLデータベースは、localhostの認証済みユーザーからのアクセスしか受け付けません。ユーザー名とパスワードはPostgreSQLデータベースに保存します。パスワードには暗号を施してあります。

監視タイプごとに必要な権限

監視	権限
Active Directory	管理者のユーザー名とパスワード（WMIモード）。
Amazon	API利用に必要なAWSアクセスキーID。アクセスキーは20桁の英数字です。 AWSシークレットアクセスキーを指定してください。シークレットキーは、英数字40桁です。
Apacheサーバー	ApacheのサーバーステータスURLを確認するための認証情報。
AS/400（iSeries）	AS400/iSeriesからモジュールのデータを取得するには、「ディスク」の場合を除きすべて、USERユーザープロファイルが必要です。「Disk」のデータ取得と管理アクションの実行には、SECOFRユーザープロファイルが必要となります。 SECOFRユーザープロファイルを利用できない場合は、ディスク情報の取得と、JOBS、SPOOL、SUBSYSTEMでのスプールファイルやジョブログの確認など管理アクション実行に、ALLOBJ、SAVSYS、JOBCTL、*SPLCTLなど特殊権限が必要となります。ユーザーには、QMPGDATA/QPFRDATAライブラリへのアクセスが必要です。Applications Managerはディスクの詳細収集にパフォーマンス収集サービスを利用しています。メモ：パフォーマンスデータ収集がAS/400（iSeries）で有効ではない場合、コマンドSTRPFRCOLかGO PERFORMを実行し、COLLECT PERFORMANCE DATA、START PERFORMANCE COLLECTIONと続行してください。STRPFRCOLコマンドは、AS/400（iSeries）サーバー監視ページで、管理 > 非対話的コマンドと選択して実行することもできます。
データベースクエリ監視	必要データベースへのアクセスとクエリ実行の権限が必要です。
Db2	最低、SYSMONインスタンスレベルの権限がユーザーに必要です。
Exchange Server	管理者のユーザー名とパスワード（WMIモード）。
ファイル/ディレクトリ	監視するファイルやディレクトリにアクセスする権限が要ります。
FTP/SFTP	認証を有効にする場合、FTP/SFTPサーバーへと接続するためのユーザー名とパスワードと、必要ディレクトリに移動する権限が必要です。
GlassFish	GlassFish管理コンソールへの接続用ユーザー名とパスワード。
HP-UX	ゲストユーザーの権限が必要です。
HTTP URL	Basic認証が必要な際に、認証情報を入力してください。
Hyper-V	root OSでの管理者権限が必要です（Windows 2008 R2などとサポートするバージョンのHyper-V）。
IBM AIX	ゲストユーザー権限でもほとんどのデータは取得できます。ただし、メモリ情報の取得には「root」権限が必要です。
IBM WebSphere MQ	タイプが「ServerConnectionChannel」のチャネル名が要ります。
JBoss	JBossで認証を要する場合は、ユーザー名とパスワードが必要です。ユーザーはJBoss JMXコンソールへのアクセスが可能でなければなりません。認証不要の設定の場合は、ユーザー名とパスワードは不要です。
JMX/Java Runtime	認証を有効にする場合、JMXエージェントへの接続に使うユーザー名とパスワードを入力します。アプリケーションをJDK 7 Update 4以上で実行する場合、RMIコネクターにバインドするポート番号は、そのアプリケーションのシステムプロパティで「-Dcom.sun.management.jmxremote.rmi.port=1099」と設定し、Applications Managerからファイアウォール越しの接続を可能としてください。 Javaアプリケーションが以前のバージョンのJDKで稼働している場合、ファイアウォール越し通信のサンプルを参考に、RMIコネクター通信のポートを設定してください。
LDAP	認証を有効にする場合、ユーザー名とパスワードを入力します。指定がなければ、LDAPサーバーに匿名ログインを行います。
Linux	ゲストユーザー権限が必要です。
メールサーバー	認証を有効にする場合、SMTPとPOPへの接続に使うユーザー名とパスワードを入力します。
Microsoft .NET	管理者のユーザー名とパスワード（WMIモード）。
Microsoft Office SharePoint Server	管理者のユーザー名とパスワード（WMIモード）。
MS SQL	masterデータベースのシステム管理者かオーナーである必要があります。
MSMQ	管理者のユーザー名とパスワード（WMIモード）。
MySQL	監視するデータベースにアクセスできるユーザー名を指定してください。MySQLの設定も必要です。これによって、Applications ManagerホストがMySQLデータベースにアクセス可能となります。
Oracle	CONNECTとSELECT_CATALOG_ROLEのロールを持ったユーザーが必要です。
SAP/SAP CCMS	SAPユーザープロファイルに認可オブジェクトS_RFC、S_XMI_LOG、S_XMI_PRODが必要で、こちらがSAP監視追加の最低要件となります。 Applications ManagerはSAP Java ConnectorでSAP ABAPサーバーに接続します。SAP JCoはApplications ManagerからSAPへの通信にSAPディスパッチャーを利用しています。ディスパッチャーポートは3200で、SAPのシステム番号とあわせて利用します。
スクリプト監視	スクリプト実行と出力ファイルへのアクセス権限が必要です。
SNMPモードのサーバー	読み込み権限のSNMPコミュニティ文字列。
SNMP/ネットワーク装置	SNMPv1/V2cの場合読み込み権限のSNMPコミュニティ文字列。 SNMPv3の場合 3つあるセキュリティレベルから、1つをドロップダウンで選択してください。認証なし・暗号なし（noAuthNoPriv）：メッセージは、認証不要・暗号化なしで送信されます。ユーザー名とコンテキスト名を入力してください。認証あり・暗号なし（AuthNoPriv）：メッセージは、認証必須・暗号化なしで送信されます。ユーザー名、コンテキスト名、認証パスワードを入力してください。MD5、SHAなど、認証プロトコルをドロップダウンで選択できます。認証あり・暗号あり（authPriv）：メッセージは、認証必須・暗号化ありで送信されます。ユーザー名、コンテキスト名、認証パスワード、プライバシーパスワードを入力ください。MD5、SHAなど、認証プロトコルをドロップダウンで選択できます。デフォルトでは、「DES」で暗号化します。
Solaris	ゲストユーザー権限が必要です。
Sybase	masterデータベースに対する管理者かDBオーナーの権限が必要です。
Tomcat	5.x以上では、Tomcat Managerアプリケーションへの接続に、ユーザー名とパスワードが要ります。認証不要であれば、ユーザー名とパスワードは要りません。 5.xユーザーは、「manager」のロールが必要です。 6.x以上では、「manager-gui」、「manager-script」、「manager-jmx」、「manager-status」のロールが必要です。
VMware ESX/ESXi	VMware ESX/ESXi Serverの監視への追加には、rootアカウントの利用を推奨します。ただし、rootアカウントを利用できない場合、「表示のみ」プロファイルでサーバーを追加してください。監視に必要な権限はそろっています。作成するユーザーは、次の条件に合うようにしてください。グループユーザーのメンバーである。「読み込み専用」プロファイルである。
VMware vFabric RabbitMQサーバー	RabbitMQサーバーのユーザー名とパスワードが必要です。
WebLogic	認証を必要とする場合は、WebLogic管理者のユーザー名とパスワードを使います。認証不要であれば、ユーザー名とパスワードは要りません。
WebLogic Integration Server	認証を必要とする場合は、WebLogic管理者のユーザー名とパスワードを使います。認証不要であれば、ユーザー名とパスワードは要りません。
Webサービス	Webサービス操作を実行するには、ユーザー名とパスワードを必要とします。
WebSphere	グローバルセキュリティが有効な場合、ユーザー名とパスワードが必要です。認証不要であれば、ユーザー名とパスワードは要りません。
Windows	管理者のユーザー名とパスワード（WMIモード）。

Enterprise Edition

パス	ポート
AdminサーバーからManagedサーバーへ	データベース同期のSSLポート（デフォルトで8443）。 Webサーバーポート（デフォルトで9090）。
ManagedサーバーからManagedサーバー	SSLポート（デフォルトで8443）。

メモ：運用環境の解説ページに、Applications Managerを実際に使いはじめる際の注意事項を記載してあります。