Impostazioni di Windows Firewall e della porta per i computer client in Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
I computer client in System Center 2012 Configuration Manager che eseguono Windows Firewall richiedono spesso la configurazione delle eccezioni per consentire la comunicazione con il sito. Le eccezioni da configurare dipendono dalle funzionalità di gestione utilizzate con il client di Configuration Manager.
Utilizzare le seguenti sezioni per identificare queste funzionalità di gestione e per ulteriori informazioni su come configurare Windows Firewall per le eccezioni.
Modifica delle porte e dei programmi consentiti da Windows Firewall
Utilizzare la seguente procedura per modificare le porte e i programmi in Windows Firewall per il client di Configuration Manager.
Per modificare le porte e i programmi consentiti da Windows Firewall
-
Nel computer che esegue Windows Firewall, aprire il Pannello di controllo.
-
Fare clic con il pulsante destro del mouse su Windows Firewall, quindi scegliere Apri.
-
Configurare le eccezioni necessarie, nonché le porte e i programmi personalizzati richiesti.
Porte e programmi richiesti da Configuration Manager
Le seguenti funzionalità di Configuration Manager richiedono eccezioni in Windows Firewall:
Query
Se la console di Configuration Manager viene eseguita in un computer che esegue Windows Firewall, durante la prima esecuzione delle query si verifica un errore e il sistema operativo visualizza una finestra di dialogo in cui all'utente viene richiesto se desidera sbloccare statview.exe. Se si sblocca statview.exe, le query successive verranno eseguite senza errori. Prima di eseguire una query è inoltre possibile aggiungere manualmente Statview.exe all'elenco di programmi e servizi nella scheda Eccezioni di Windows Firewall.
Installazione push client
Per installare il client di System Center 2012 Configuration Manager mediante push client, aggiungere le seguenti eccezioni a Windows Firewall:
In entrata e in uscita: Condivisione file e stampanti
In entrata: Windows Management Instrumentation (WMI)
Installazione client mediante i criteri di gruppo
Per installare il client di Configuration Manager mediante i criteri di gruppo, aggiungere Condivisione file e stampanti come eccezione in Windows Firewall.
Richieste client
Per stabilire la comunicazione tra i computer client e i sistemi del sito di Configuration Manager, aggiungere le seguenti eccezioni a Windows Firewall:
In uscita: Porta TCP 80 (per la comunicazione HTTP)
In uscita: Porta TCP 443 (per la comunicazione HTTPS)
.jpeg "System_CAPS_important") Importante |
|---|
Questi numeri di porta predefiniti possono essere modificati in Configuration Manager. Per altre informazioni, vedere Come configurare i numeri di porta di comunicazione client in Configuration Manager. Se queste porte sono state modificate rispetto ai valori predefiniti, è necessario configurare anche le eccezioni corrispondenti in Windows Firewall. |
Notifica client
per System Center 2012 Configuration Manager SP1 e versioni successive:
Per fare in modo che il punto di gestione invii una notifica ai computer client sull'azione da eseguire quando un utente amministratore seleziona un'azione client nella console di Configuration Manager, ad esempio Scarica criteri computer o Avvia una scansione malware, aggiungere la seguente eccezione a Windows Firewall:
In uscita: Porta TCP 10123
Se la comunicazione non riesce, Configuration Manager esegue automaticamente il fallback alla porta HTTP o HTTPS esistente per la comunicazione tra client e punto di gestione:
In uscita: Porta TCP 80 (per la comunicazione HTTP)
In uscita: Porta TCP 443 (per la comunicazione HTTPS)
| Importante |
|---|
Questi numeri di porta predefiniti possono essere modificati in Configuration Manager. Per altre informazioni, vedere Come configurare i numeri di porta di comunicazione client in Configuration Manager. Se queste porte sono state modificate rispetto ai valori predefiniti, è necessario configurare anche le eccezioni corrispondenti in Windows Firewall. |
Protezione accesso alla rete
Per una corretta comunicazione dei computer client con il punto di Convalida integrità sistema, consentire le seguenti porte:
In uscita: UDP 67 e UDP 68 per DHCP
In uscita: TCP 80/443 per IPsec
Controllo remoto
Per utilizzare il controllo remoto di Configuration Manager, consentire la seguente porta:
- In entrata: Porta TCP 2701
Assistenza remota e Desktop remoto
Per avviare Assistenza remota dalla console di Configuration Manager, aggiungere il programma personalizzato Helpsvc.exe e la porta in entrata TCP personalizzata 135 all'elenco di programmi e servizi consentiti in Windows Firewall nel computer client. È inoltre necessario consentire Assistenza remota e Desktop remoto. Se Assistenza remota viene avviata dal computer client, Windows Firewall consente e configura automaticamente Assistenza remota e Desktop remoto.
Proxy di riattivazione
per System Center 2012 Configuration Manager SP1 e versioni successive:
Se si attiva l'impostazione client Proxy di riattivazione, il nuovo servizio Proxy di riattivazione di Configuration Manager utilizza un protocollo peer-to-peer per verificare che gli altri computer della subnet siano attivi e riattivarli se necessario. Questa comunicazione utilizza le seguenti porte:
In uscita: Porta UDP 25536
In uscita: Porta UDP 9
Questi numeri di porta predefiniti possono essere modificati in Configuration Manager utilizzando le impostazioni client Risparmio energia: Numero di porta del proxy di riattivazione (UDP) e Numero di porta di riattivazione LAN (UDP). Se si specifica l'impostazione client Risparmio energia: Eccezione di Windows Firewall per il proxy di riattivazione, queste porte vengono configurate automaticamente in Windows Firewall per i client. Tuttavia, se i client eseguono un firewall diverso, è necessario configurare manualmente le eccezioni per i numeri di porta.
Oltre a queste porte, il proxy di riattivazione utilizza i messaggi di richiesta echo di Internet Control Message Protocol (ICMP) da un computer client all'altro. Questo tipo di comunicazione viene usata per verificare se l'altro computer è attivo nella rete. ICMP viene talvolta indicato come comandi ping TCP/IP. Dal momento che System Center 2012 Configuration Manager SP1 non configura Windows Firewall per tali comandi ping TCP/IP e a meno che non sia in esecuzione System Center 2012 R2 Configuration Manager, l'utente deve consentire manualmente il traffico ICMP per la corretta comunicazione del proxy di riattivazione.
Se si dispone di System Center 2012 Configuration Manager SP1 anziché di System Center 2012 R2 Configuration Manager, utilizzare la seguente procedura per configurare Windows Firewall con una regola connessioni in entrata personalizzata che consenta i comandi ping TCP/IP in entrata per il proxy di riattivazione.
Per configurare Windows Firewall in modo da consentire i comandi ping TCP/IP
-
Nella console di Windows Firewall con protezione avanzata, creare una nuova regola connessioni in entrata.
-
Nella pagina Tipo di regola della Creazione guidata nuova regola connessioni in entrata selezionare Personalizzata, quindi fare clic su Avanti.
-
Nella pagina Programma mantenere l'impostazione predefinita Tutti i programmi e fare clic su Avanti.
-
Nella pagina Protocolli e porte fare clic sull'elenco a discesa e selezionare Tipo di protocollo, quindi ICMPv4 e infine fare clic sul pulsante Personalizza.
-
Nella finestra di dialogo Personalizza impostazioni ICMP fare clic su Tipi ICMP specifici, selezionare Richiesta echo e quindi fare clic su OK.
-
Nella Creazione guidata nuova regola connessioni in entrata fare clic su Avanti.
-
Nella pagina Ambito mantenere le impostazioni predefinite per tutti gli indirizzi IP locali o remoti e fare clic su Avanti.
-
Nella pagina Azione verificare che l'opzione Consenti la connessione sia selezionata, quindi fare clic su Avanti.
-
Nella pagina Profilo selezionare i profili che utilizzeranno il proxy di riattivazione, ad esempio Dominio, quindi fare clic su Avanti.
-
Nella pagina Nome specificare un nome per la regola personalizzata e inserire una descrizione facoltativa per segnalare che la regola è richiesta per la comunicazione del proxy di riattivazione. Fare clic su Fine per chiudere la procedura guidata.
Per altre informazioni sul proxy di riattivazione, vedere la sezione Pianificazione della riattivazione dei client nell'argomento Pianificazione delle comunicazioni in Configuration Manager.
Visualizzatore eventi di Windows, Monitoraggio prestazioni di Windows e Diagnostica Windows
Per accedere a Visualizzatore eventi di Windows, Monitoraggio prestazioni di Windows e Diagnostica Windows dalla console di Configuration Manager, attivare Condivisione file e stampanti come eccezione in Windows Firewall.
Porte utilizzate durante la distribuzione client di Configuration Manager
Nelle seguenti tabelle sono elencate le porte utilizzate durante il processo di installazione client.
| Importante |
|---|
Se tra i server di sistema del sito e il computer client è presente un firewall, verificare che il firewall consenta il traffico per le porte richieste per il metodo di installazione client selezionato. I firewall, ad esempio, spesso impediscono l'installazione push client poiché bloccano SMB (Server Message Block) e RPC (Remote Procedure Call). In questo scenario, utilizzare un metodo di installazione client diverso, come l'installazione manuale (eseguendo CCMSetup.exe) o l'installazione client basata sui criteri di gruppo. Questi metodi di installazione client alternativi non richiedono SMB o RPC. |
Per informazioni su come configurare Windows Firewall nel computer client, vedere Modifica delle porte e dei programmi consentiti da Windows Firewall.
Porte utilizzate per tutti i metodi di installazione
Descrizione |
UDP |
TCP |
|---|---|---|
Protocollo HTTP (Hypertext Transfer Protocol) dal computer client a un punto di stato di fallback, in caso di assegnazione di un punto di stato di fallback al client. |
-- |
80 (vedere la nota 1, Porta alternativa disponibile) |
Porte utilizzate con l'installazione push client
Oltre alle porte elencate nella tabella seguente, l'installazione push client utilizza i messaggi di richiesta echo di Internet Control Message Protocol (ICMP) dal server del sito al computer client per verificare che il computer client sia disponibile nella rete. ICMP viene talvolta indicato come comandi ping TCP/IP. ICMP non dispone di un numero di protocollo UDP o TCP e pertanto non è elencato nella seguente tabella. Eventuali altri dispositivi di rete, ad esempio i firewall, devono tuttavia consentire il traffico ICMP per una corretta installazione push client.
Descrizione |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) tra il server del sito e il computer client. |
-- |
445 |
Agente mapping endpoint RPC tra il server del sito e il computer client. |
135 |
135 |
Porte dinamiche RPC tra il server del sito e il computer client. |
-- |
DINAMICHE |
Protocollo HTTP (Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTP. |
-- |
80 (vedere la nota 1, Porta alternativa disponibile) |
Protocollo HTTPS (Secure Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTPS. |
-- |
443 (vedere la nota 1, Porta alternativa disponibile) |
Porte utilizzate con l'installazione basata sul punto di aggiornamento software
Descrizione |
UDP |
TCP |
|---|---|---|
Protocollo HTTP (Hypertext Transfer Protocol) dal computer client al punto di aggiornamento software. |
-- |
80 o 8530 (vedere la nota 2, Windows Server Update Services) |
Protocollo HTTPS (Secure Hypertext Transfer Protocol) dal computer client al punto di aggiornamento software. |
-- |
443 o 8531 (vedere la nota 2, Windows Server Update Services) |
Server Message Block (SMB) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<percorso>. |
-- |
445 |
Porte utilizzate con l'installazione basata sui criteri di gruppo
Descrizione |
UDP |
TCP |
|---|---|---|
Protocollo HTTP (Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTP. |
-- |
80 (vedere la nota 1, Porta alternativa disponibile) |
Protocollo HTTPS (Secure Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTPS. |
-- |
443 (vedere la nota 1, Porta alternativa disponibile) |
Server Message Block (SMB) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<percorso>. |
-- |
445 |
Porte utilizzate con l'installazione manuale e l'installazione basata sugli script di accesso
Descrizione |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) tra il computer client e una condivisione di rete da cui si esegue CCMSetup.exe. Nota Quando viene installato System Center 2012 Configuration Manager, i file di origine dell'installazione client vengono copiati e automaticamente condivisi dalla cartella <PercorsoInstallazione>\Client nei punti di gestione. È tuttavia possibile copiare i file e creare una nuova condivisione in qualsiasi computer della rete. In alternativa, è possibile eliminare il traffico di rete eseguendo CCMSetup.exe in locale, utilizzando ad esempio supporti rimovibili. |
-- |
445 |
Protocollo HTTP (Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTP e quando non viene specificata la proprietà della riga di comando CCMSetup /source:<percorso>. |
-- |
80 (vedere la nota 1, Porta alternativa disponibile) |
Protocollo HTTPS (Secure Hypertext Transfer Protocol) dal computer client a un punto di gestione in caso di connessione tramite HTTPS e quando non viene specificata la proprietà della riga di comando CCMSetup /source:<percorso>. |
-- |
443 (vedere la nota 1, Porta alternativa disponibile) |
Server Message Block (SMB) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<percorso>. |
-- |
445 |
Porte utilizzate con l'installazione basata sul punto di distribuzione software
Descrizione |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) tra il punto di distribuzione e il computer client. |
-- |
445 |
Protocollo HTTP (Hypertext Transfer Protocol) dal client a un punto di distribuzione in caso di connessione tramite HTTP. |
-- |
80 (vedere la nota 1, Porta alternativa disponibile) |
Protocollo HTTPS (Secure Hypertext Transfer Protocol) dal client a un punto di distribuzione in caso di connessione tramite HTTPS. |
-- |
443 (vedere la nota 1, Porta alternativa disponibile) |
Note
1 Porta alternativa disponibile In Configuration Manager è possibile definire una porta alternativa per questo valore. Se è stata definita una porta personalizzata, sostituirla durante la definizione delle informazioni sul filtro IP per i criteri IPsec o per la configurazione dei firewall.
2 Windows Server Update Services È possibile installare Windows Server Update Services (WSUS) sia nel sito Web predefinito (porta 80) che in un sito Web personalizzato (porta 8530).
Al termine dell'installazione, è possibile modificare la porta. Non è necessario usare lo stesso numero di porta per tutta la gerarchia del sito.
Se la porta HTTP è la porta 80, la porta HTTPS deve essere la porta 443.
Se la porta HTTP è diversa, la porta HTTPS deve essere maggiore di 1, ad esempio 8530 e 8531.