• Artikel

Windows-Firewall- und Porteinstellungen für Clientcomputer in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Für Clientcomputer in System Center 2012 Configuration Manager, auf denen die Windows-Firewall ausgeführt wird, müssen häufig Ausnahmen definiert werden, damit die Kommunikation mit deren Standort möglich ist. Welche Ausnahmen konfiguriert werden müssen, ist abhängig von den mit dem Configuration Manager-Client verwendeten Verwaltungsfunktionen.

In den folgenden Abschnitten werden diese Verwaltungsfunktionen und die Konfiguration der erforderlichen Ausnahmen in der Windows-Firewall beschrieben.

Ändern der von der Windows-Firewall zugelassenen Ports und Programme

Gehen Sie wie folgt vor, um die Ports und Programme in der Windows-Firewall für den Configuration Manager-Client zu ändern.

So ändern Sie die von der Windows-Firewall zugelassenen Ports und Programme

  1. Öffnen Sie auf dem Computer, auf dem die Windows-Firewall ausgeführt wird, die Systemsteuerung.

  2. Klicken Sie mit der rechten Maustaste auf Windows-Firewall, und klicken Sie dann auf Öffnen.

  3. Konfigurieren Sie alle erforderlichen Ausnahmen und benutzerdefinierten Programme und Ports.

Für Configuration Manager erforderliche Programme und Ports

Für die folgenden Configuration Manager-Funktionen müssen Ausnahmen für die Windows-Firewall eingerichtet werden:

Abfragen

Wenn Sie die Configuration Manager-Konsole auf einem Computer ausführen, auf dem die Windows-Firewall ausgeführt wird, tritt bei der ersten Ausführung von Abfragen ein Fehler auf. Sie werden über ein Dialogfeld gefragt, ob die Blockierung der Datei "statview.exe" aufgehoben werden soll. Wenn Sie die Blockierung von "statview.exe" aufheben, werden künftige Abfragen fehlerfrei ausgeführt. Sie können "Statview.exe" vor dem Ausführen einer Abfrage der Liste der Programme und Dienste auf der Registerkarte Ausnahmen der Windows-Firewall auch manuell hinzufügen.

Clientpushinstallation

Fügen Sie der Windows-Firewall folgende Ausnahmen hinzu, um System Center 2012 Configuration Manager-Clients mithilfe von Clientpush installieren zu können:

  • Ausgehende und eingehende Verbindungen: Datei- und Druckerfreigabe

  • Eingehende Verbindungen: Windows-Verwaltungsinstrumentation (WMI)

Installieren von Clients mithilfe von Gruppenrichtlinien

Sie müssen der Windows-Firewall die Funktion Datei- und Druckerfreigabe als eine Ausnahme hinzufügen, um Configuration Manager-Clients mithilfe von Gruppenrichtlinien installieren zu können.

Clientanfragen

Damit die Kommunikation zwischen Clientcomputern und Configuration Manager-Standortsystemen möglich ist, müssen der Windows-Firewall folgende Ausnahmen hinzugefügt werden:

Ausgehende Verbindungen: TCP-Port 80 (für die HTTP-Kommunikation)

Ausgehende Verbindungen: TCP-Port 443 (für die HTTPS-Kommunikation)

System_CAPS_importantWichtig

Es handelt sich dabei um Standardportnummern, die in Configuration Manager geändert werden können. Weitere Informationen finden Sie unter Konfigurieren von Portnummern für die Clientkommunikation in Configuration Manager. Wurden diese Ports geändert, müssen Sie außerdem entsprechende Ausnahmen in der Windows-Firewall konfigurieren.

Clientbenachrichtigung

Für System Center 2012 Configuration Manager SP1 und höher:

Fügen Sie der Windows-Firewall Folgendes als Ausnahme hinzu, damit der Verwaltungspunkt Clientcomputer über Aktionen informiert, die ausgeführt werden müssen, wenn ein Administrator eine Clientaktion in der Configuration Manager-Konsole auswählt, z. B. das Herunterladen einer Computerrichtlinie oder das Initiieren einer Überprüfung auf Schadsoftware:

Ausgehende Verbindungen: TCP-Port 10123

Wenn diese Art der Kommunikation nicht erfolgreich ist, greift Configuration Manager automatisch auf den vorhandenen HTTP- oder HTTPS-Port für die Kommunikation zwischen Client und Verwaltungspunkt zurück:

Ausgehende Verbindungen: TCP-Port 80 (für die HTTP-Kommunikation)

Ausgehende Verbindungen: TCP-Port 443 (für die HTTPS-Kommunikation)

System_CAPS_importantWichtig

Es handelt sich dabei um Standardportnummern, die in Configuration Manager geändert werden können. Weitere Informationen finden Sie unter Konfigurieren von Portnummern für die Clientkommunikation in Configuration Manager. Wurden diese Ports geändert, müssen Sie außerdem entsprechende Ausnahmen in der Windows-Firewall konfigurieren.

Netzwerkzugriffsschutz

Damit die Kommunikation zwischen Clientcomputern und Systemintegritätsprüfungspunkt möglich ist, müssen Sie folgende Ports zulassen:

  • Ausgehende Verbindungen: UDP 67 und UDP 68 für DHCP

  • Ausgehende Verbindungen: TCP 80/443 für IPsec

Remotesteuerung

Lassen Sie den folgenden Port zu, um die Configuration Manager-Remotesteuerung verwenden zu können:

  • Eingehende Verbindungen: TCP-Port 2701

Remoteunterstützung und Remotedesktop

Damit Sie Remoteunterstützung von der Configuration Manager-Konsole aus initiieren können, fügen Sie auf dem Clientcomputer in der Windows-Firewall der Liste zugelassener Programme und Dienste das benutzerdefinierte Programm Helpsvc.exe und den benutzerdefinierten eingehenden Port TCP 135 hinzu. Sie müssen außerdem Remoteunterstützung und Remotedesktop zulassen. Wenn Sie Remoteunterstützung vom Clientcomputer aus initiieren, werden Remoteunterstützung und Remotedesktop von der Windows-Firewall automatisch konfiguriert.

Aktivierungsproxy

Für System Center 2012 Configuration Manager SP1 und höher:

Wenn Sie die Clienteinstellung für den Aktivierungsproxy aktivieren, wird von einem neuen Dienst mit dem Namen „ConfigMgr-Aktivierungsproxy“ mithilfe eines Peer-zu-Peer-Protokolls überprüft, ob andere Computer im Subnetz aktiv sind. Diese werden dann bei Bedarf aktiviert. Für diese Kommunikation werden die folgenden Ports verwendet:

Ausgehende Verbindungen: UDP-Port 25536

Ausgehende Verbindungen: UDP-Port 9

Dies sind die Standardportnummern, die in Configuration Manager unter Energieverwaltung über die Clienteinstellungen Portnummer für Aktivierungsproxy (UDP) und Wake-on-LAN-Portnummer (UDP) geändert werden können. Wenn Sie die Clienteinstellung Energieverwaltung: Windows-Firewall-Ausnahme für Aktivierungsproxy angeben, werden diese Ports in der Windows-Firewall für Clients automatisch konfiguriert. Falls auf Clients eine andere Firewall ausgeführt wird, müssen Sie die Ausnahmen für diese Portnummern jedoch manuell konfigurieren.

Zusätzlich zu diesen Ports nutzt der Aktivierungsproxy auch ICMP-Echoanforderungsmeldungen (Internet Control Message Protocol) von einem Clientcomputer zu einem anderen Clientcomputer. Diese Kommunikation wird verwendet, um zu überprüfen, ob der andere Clientcomputer im Netzwerk aktiviert ist. ICMP (Internet Control Message Protocol) wird gelegentlich als „TCP/IP-Ping-Befehle“ bezeichnet. Von System Center 2012 Configuration Manager SP1 wird die Windows-Firewall für diese TCP/IP-Ping-Befehle nicht konfiguriert. Sie müssen diesen ICMP-Datenverkehr manuell zulassen, damit die Aktivierungsproxykommunikation erfolgreich durchgeführt werden kann, es sei denn, bei Ihnen wird System Center 2012 R2 Configuration Manager ausgeführt

Wenn Sie über System Center 2012 Configuration Manager SP1 anstelle von System Center 2012 R2 Configuration Manager verfügen, verwenden Sie das folgende Verfahren, um für die Windows-Firewall eine benutzerdefinierte Eingangsregel zu konfigurieren, mit der eingehende TCP/IP-Ping-Befehle für den Aktivierungsproxy zugelassen werden.

So konfigurieren Sie die Windows-Firewall für die Zulassung von TCP/IP-Ping-Befehlen

  1. Erstellen Sie in der Konsole der Windows-Firewall mit erweiterter Sicherheit eine neue Eingangsregel.

  2. Wählen Sie im Assistenten für neue eingehende Regeln auf der Seite Regeltyp die Option Benutzerdefiniert, und klicken Sie auf Weiter.

  3. Behalten Sie auf der Seite Programm die Standardeinstellung Alle Programme bei, und klicken Sie auf Weiter.

  4. Klicken Sie auf der Seite Protokolle und Ports auf die Dropdownliste Protokolltyp, wählen Sie ICMPv4 aus, und klicken Sie dann auf die Schaltfläche Anpassen.

  5. Klicken Sie im Dialogfeld ICMP-Einstellungen anpassen auf Bestimmte ICMP-Typen, wählen Sie Echoanforderung, und klicken Sie dann auf OK.

  6. Klicken Sie im Assistenten für neue eingehende Regeln auf Weiter.

  7. Behalten Sie auf der Seite Bereich die Standardeinstellungen für lokale oder Remote-IP-Adressen bei, und klicken Sie auf Weiter.

  8. Vergewissern Sie sich auf der Seite Aktion, dass die Option Verbindung zulassen aktiviert ist, und klicken Sie dann auf Weiter.

  9. Aktivieren Sie auf der Seite Profil die Profile, von denen der Aktivierungsproxy verwendet werden soll (z. B. Domäne), und klicken Sie dann auf Weiter.

  10. Geben Sie auf der Seite Name einen Namen für diese benutzerdefinierte Regel an. Geben Sie optional eine Beschreibung ein, um anzugeben, dass diese Regel für die Aktivierungsproxykommunikation erforderlich ist. Klicken Sie anschließend auf Fertig stellen, um den Assistenten zu schließen.

Weitere Informationen zum Aktivierungsproxy finden Sie im Abschnitt Planen der Clientaktivierung des Themas Planen der Kommunikation in Configuration Manager.

Windows-Ereignisanzeige, Windows-Systemmonitor und Windows-Diagnose

Sie müssen die Funktion Datei- und Druckerfreigabe als eine Ausnahme in der Windows-Firewall aktivieren, um den Zugriff auf die Windows-Ereignisanzeige, den Windows-Systemmonitor und die Windows-Diagnose von der Configuration Manager-Konsole aus zu ermöglichen.

Bei der Clientbereitstellung von Configuration Manager verwendete Ports

In der folgenden Tabelle werden die Ports aufgelistet, die bei der Clientinstallation verwendet werden.

System_CAPS_importantWichtig

Wenn sich zwischen den Standortsystemservern und dem Clientcomputer eine Firewall befindet, überprüfen Sie, ob von der Firewall Datenverkehr für die Ports zugelassen wird, die für die ausgewählte Clientinstallationsmethode erforderlich sind. Firewalls verhindern beispielsweise häufig die Clientpushinstallation, da sie Server Message Block (SMB) und Remote Procedure Calls (RPC) blockieren. Verwenden Sie in diesem Szenario eine andere Clientinstallationsmethode, zum Beispiel die manuelle Installation (durch Ausführen von CCMSetup.exe) oder die auf Gruppenrichtlinien basierende Clientinstallation. Für diese alternativen Clientinstallationsmethoden sind weder SMB noch RPC erforderlich.

Informationen zum Konfigurieren der Windows-Firewall auf dem Clientcomputer finden Sie unter Ändern der von der Windows-Firewall zugelassenen Ports und Programme.

Für alle Installationsmethoden verwendete Ports

Beschreibung

UDP

TCP

HTTP (Hypertext Transfer Protocol) vom Clientcomputer zu einem Fallbackstatuspunkt, wenn dem Client ein Fallbackstatuspunkt zugewiesen wurde.

--

80 (siehe Hinweis 1, Alternativer Port verfügbar)

Mit der Clientpushinstallation verwendete Ports

Bei Clientpushinstallation werden nicht nur die in der folgenden Tabelle aufgeführten Ports, sondern auch ICMP-Echoanforderungsmeldungen vom Standortserver zum Clientcomputer verwendet. Mit diesen Meldungen wird überprüft, ob der Clientcomputer im Netzwerk verfügbar ist. ICMP (Internet Control Message Protocol) wird gelegentlich als „TCP/IP-Ping-Befehle“ bezeichnet. ICMP hat keine UDP- oder TCP-Protokollnummer und wird daher in der folgenden Tabelle nicht aufgeführt. Damit bei der Clientpushinstallation kein Fehler auftritt, muss ICMP-Datenverkehr von den beteiligten Netzwerkgeräten wie Firewalls zugelassen werden.

Beschreibung

UDP

TCP

SMB-Datenverkehr (Server Message Block) zwischen Standortserver und Clientcomputer.

--

445

RPC-Endpunktzuordnung zwischen Standortserver und Clientcomputer

135

135

Dynamische RPC-Ports zwischen Standortserver und Clientcomputer

--

DYNAMISCH

HTTP-Verbindung (Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt

--

80 (siehe Hinweis 1, Alternativer Port verfügbar)

HTTPS-Verbindung (Secure Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt

--

443 (siehe Hinweis 1, Alternativer Port verfügbar)

Ports für die auf einem Softwareupdatepunkt basierende Installation

Beschreibung

UDP

TCP

HTTP (Hypertext Transfer Protocol) vom Clientcomputer zum Softwareupdatepunkt

--

80 oder 8530 (siehe Hinweis 2, Windows Server Update Services)

HTTPS (Secure Hypertext Transfer Protocol) vom Clientcomputer zum Softwareupdatepunkt

--

443 oder 8531 (siehe Hinweis 2, Windows Server Update Services)

SMB-Datenverkehr (Server Message Block) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Pfad> festlegen

--

445

Ports für die auf einer Gruppenrichtlinie basierende Installation

Beschreibung

UDP

TCP

HTTP-Verbindung (Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt

--

80 (siehe Hinweis 1, Alternativer Port verfügbar)

HTTPS-Verbindung (Secure Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt

--

443 (siehe Hinweis 1, Alternativer Port verfügbar)

SMB-Datenverkehr (Server Message Block) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Pfad> festlegen

--

445

Ports für die manuelle Installation oder die auf einem Anmeldeskript basierende Installation

Beschreibung

UDP

TCP

SMB-Datenverkehr (Server Message Block) zwischen dem Clientcomputer und einer Netzwerkfreigabe, über die Sie CCMSetup.exe ausführen

System_CAPS_noteHinweis

Bei der Installation von System Center 2012 Configuration Manager werden die Quelldateien für die Clientinstallation kopiert und automatisch im Ordner "<InstallationPath>\Client" auf Verwaltungspunkten freigegeben. Allerdings können Sie diese Dateien auch kopieren und eine neue Freigabe auf einen beliebigen Computer im Netzwerk erstellen. Sie können diesen Netzwerkverkehr aber auch vermeiden, indem Sie CCMSetup.exe lokal ausführen und z. B. Wechselmedien verwenden.

--

445

HTTP-Verbindung (Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt, wenn die CCMSetup-Befehlszeileneigenschaft /source:<Pfad> nicht angegeben wird

--

80 (siehe Hinweis 1, Alternativer Port verfügbar)

HTTPS-Verbindung (Secure Hypertext Transfer Protocol) vom Clientcomputer zu einem Verwaltungspunkt, wenn die CCMSetup-Befehlszeileneigenschaft /source:<Pfad> nicht angegeben wird

--

443 (siehe Hinweis 1, Alternativer Port verfügbar)

SMB-Datenverkehr (Server Message Block) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Pfad> festlegen

--

445

Ports für die auf einer Softwareverteilung basierende Installation

Beschreibung

UDP

TCP

SMB-Datenverkehr (Server Message Block) zwischen Verteilungspunkt und Clientcomputer

--

445

HTTP-Verbindung (Hypertext Transfer Protocol) vom Clientcomputer zu einem Verteilungspunkt

--

80 (siehe Hinweis 1, Alternativer Port verfügbar)

HTTPS-Verbindung (Secure Hypertext Transfer Protocol) vom Clientcomputer zu einem Verteilungspunkt

--

443 (siehe Hinweis 1, Alternativer Port verfügbar)

Hinweise

1 Alternativer Port verfügbar    In Configuration Manager können Sie für diesen Wert einen alternativen Port angeben. Wenn ein benutzerdefinierter Port definiert wurde, ersetzen Sie diesen benutzerdefinierten Port, wenn Sie die IP-Filterinformationen für die IPsec-Richtlinien oder für die Konfiguration von Firewalls definieren.

2 Windows Server Update Services    WSUS kann entweder auf der Standardwebsite (Port 80) oder auf einer benutzerdefinierten Website (Port 8530) installiert werden.

Sie können den Port nach der Installation ändern. Es ist nicht erforderlich, in der gesamten Standorthierarchie dieselbe Portnummer zu verwenden.

Wenn der HTTP-Port 80 verwendet wird, muss der HTTPS-Port 443 sein.

Wenn ein anderer HTTP-Port verwendet wird, muss der HTTPS-Port eine Nummer höher sein. Bei Port 8530 wäre dies z. B. Port 8531.