Configuration Manager のクライアント コンピューターの Windows ファイアウォールとポートの設定

Configuration Manager コンソールを Windows ファイアウォールを実行するコンピューターで実行する場合は、初回実行時はクエリは失敗し、オペレーティング システムは statview.exe のブロックを解除するかどうかを尋ねるダイアログ ボックスを表示します。 statview.exe のブロックを解除すると、その後のクエリはエラーなしで実行されます。 また、クエリを実行する前に、Windows ファイアウォールの [例外] タブで、プログラムおよびサービスの一覧に statview.exe を手動で追加することもできます。

クライアント プッシュを正常に使用して System Center 2012 Configuration Manager クライアントをインストールするには、Windows ファイアウォールに次の例外を追加する必要があります。

• 送信および受信:ファイルとプリンターの共有

• 受信:Windows Management Instrumentation (WMI)

グループ ポリシーを使用して Configuration Manager クライアントをインストールするには、Windows ファイアウォールに例外として [ファイルとプリンターの共有] を追加します。

クライアント コンピューターが Configuration Manager サイト システムと通信するには、Windows ファイアウォールに次の例外を追加する必要があります。

送信:TCP ポート 80 (HTTP 通信用)

送信:TCP ポート 443 (HTTPS 通信用)

重要
これらは既定のポート番号で、Configuration Manager で変更できます。 詳細については、「Configuration Manager でのクライアント通信のポート番号の構成方法」をご覧ください。 ポートを既定値から変更した場合は、対応する例外を Windows ファイアウォールに構成する必要があります。

System Center 2012 Configuration Manager SP1 以降:

管理ユーザーが Configuration Manager コンソールでクライアント操作を選択したときに、管理ポイントからクライアント コンピューターに対して、実行する必要がある操作 (コンピューター ポリシーのダウンロード、マルウェア スキャンの開始など) を通知する場合、Windows ファイアウォールの例外として次を追加します。

送信:TCP ポート 10123

この通信が成功しない場合、Configuration Manager は、代わりに既存のクライアントから管理ポイントへの HTTP または HTTPS 通信ポートを使用します。

送信:TCP ポート 80 (HTTP 通信用)

送信:TCP ポート 443 (HTTPS 通信用)

重要
これらは既定のポート番号で、Configuration Manager で変更できます。 詳細については、「Configuration Manager でのクライアント通信のポート番号の構成方法」をご覧ください。 ポートを既定値から変更した場合は、対応する例外を Windows ファイアウォールに構成する必要があります。

クライアント コンピューターがシステム正常性検証ツール ポイントと正常に通信するには、次のポートを許可する必要があります。

• 送信:DHCP の場合 UDP 67 および UDP 68

• 送信:IPSec の場合 TCP 80/443

Configuration Manager リモート コントロールを使用するには、以下のポートを許可する必要があります。

• 受信:TCP ポート2701

Configuration Manager コンソールからリモート アシスタンスを開始するには、クライアント コンピューターの Windows ファイアウォールの許可するプログラムおよびサービスの一覧に、カスタム プログラム Helpsvc.exe と受信カスタム ポート TCP 135 を追加します。リモート アシスタンスおよびリモート デスクトップも許可する必要があります。 クライアント コンピューターからリモート アシスタンスを開始する場合、Windows ファイアウォールはリモート アシスタンスとリモート デスクトップを自動的に構成して許可します。

System Center 2012 Configuration Manager SP1 以降:

ウェイクアップ プロキシ クライアント設定を有効にすると、ConfigMgr ウェイクアップ プロキシという新しいサービスは、ピア間のプロトコルを使用して、サブネット上の他のコンピューターが起動しているかどうかを確認し、必要に応じて起動することができます。 この通信には次のポートを使用します。

送信:TCP ポート 25536

送信:UDP ポート 9

これらは既定のポート番号で、Configuration Manager では、電源管理クライアント設定のウェイクアップ プロキシのポート番号 (UDP) と Wake On LAN ポート番号 (UDP) を使用して変更できます。 [電源管理: ウェイクアップ プロキシ用の Windows ファイアウォールの例外です] クライアント設定を指定すると、これらのポートは Windows ファイアウォールでクライアント用に自動的に構成されます。 ただし、クライアントが別のファイアウォールを実行する場合、これらのポート番号の例外を手動で構成する必要があります。

ウェイクアップ プロキシは、これらのポートに加え、クライアント コンピューター間の Internet Control Message Protocol (ICMP) のエコー要求メッセージも使用します。 この通信は、他のクライアント コンピューターがネットワークで起動しているかどうかを確認するために使用します。 ICMP は TCP/IP Ping コマンドとも呼ばれます。System Center 2012 Configuration Manager SP1 は、このような TCP/IP ping コマンド用に Windows ファイアウォールを構成しません。そのため、System Center 2012 R2 Configuration Manager を実行していない場合、ウェイクアップ プロキシ通信を成功させるには、この ICMP トラフィックを手動で許可する必要があります。

System Center 2012 Configuration Manager ではなく、System Center 2012 R2 Configuration Manager SP1 を使用している場合、ウェイクアップ プロキシ用に受信 TCP/IP ping コマンドを許可するカスタムの受信規則を使用して、Windows ファイアウォールを構成するには、次の手順を実行します。

ウェイクアップ プロキシの詳細については、「Configuration Manager の通信の計画」トピックの「クライアントをウェイクアップする方法の計画」セクションを参照してください。

Configuration Manager コンソールから Windows イベント ビューア、Windows パフォーマンス モニター、および Windows 診断にアクセスするには、Windows ファイアウォールの例外として、[ファイルとプリンターの共有] を有効にします。

次の表に一覧表示されているポートに加えて、クライアント プッシュ インストールでは、クライアント コンピューターがネットワークで利用可能であるかを確認するためにサイト サーバーからクライアント コンピューターへの ICMP (Internet Control Message Protocol) のエコー要求メッセージも使用します。 ICMP は TCP/IP Ping コマンドとも呼ばれます。 ICMP には UDP または TCP プロトコル番号がないため、次の表には記載されていません。 クライアント プッシュ インストールを成功させるには、ファイアウォールなどのすべての介在するネットワーク デバイスで ICMP トラフィックが許可されている必要があります。