Исключения брандмауэра для System Center Essentials 2010

  • Статья

Назначение: System Center Essentials 2010

Если в среде развертывания System Center Essentials 2010 используется брандмауэр, необходимо создать исключения, чтобы сервер управления Essentials мог успешно устанавливать агенты на управляемых компьютерах, чтобы те могли связываться с Essentials.

Примечание

Если в Essentials 2010 настроено использование групповой политики домена, в которой настроены исключения брандмауэра, то создавать какие-либо исключения брандмауэра не требуется. Помимо этого, исключения брандмауэра на компьютерах, где работает брандмауэр Windows, настраиваются Essentials 2010 автоматически.

Если на компьютерах организации используется брандмауэр другого производителя, обратитесь к документации производителя для получения сведений о создании исключений. При этом имена портов, описанные в следующих процедурах, остаются без изменений.

Если статический IP-адрес сервера управления Essentials изменился или назначается динамически, то при его изменении необходимо изменить политики брандмауэра на управляемых компьютерах. Тем не менее при использовании групповой политики домена Essentials 2010 сообщит о необходимости запуска мастера настройки продукта, расположенного в сводке конфигурации панели Обзор администрирования. Открыть ее можно, щелкнув ссылку рядом с разделом Режим политики. При указании нового IP-адреса сервера управления Essentials в групповой политике возвращается обновленное исключение брандмауэра с новым IP-адресом, который должен использоваться на управляемых компьютерах.

Подробные сведения об исключениях брандмауэра, необходимых для управления виртуализацией, см. в разделе VMM Ports and Protocols (Порты и протоколы диспетчера виртуальных машин) технической библиотеки System Center Virtual Machine Manager 2008 (https://go.microsoft.com/fwlink/?LinkId=163937). Сведения об исключениях брандмауэра, необходимых для подключения к серверу управления Essentials с удаленного сервера отчетов Essentials, см. в разделе Supported Firewall Scenarios (Поддерживаемые сценарии брандмауэра) технической библиотеки System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=163936).

Изменение исключений брандмауэра Windows

Исключения брандмауэра Windows, описанные в первой процедуре этого раздела, создаются на сервере управления Essentials при установке Essentials 2010. Эти процедуры следует использовать, если для управления исключениями брандмауэра используется стороннее программное обеспечение.

Создание исключений брандмауэра Windows на сервере управления Essentials

  1. Выберите пункт Брандмауэр Windows в панели управления.

  2. Перейдите на вкладку Исключения.

  3. Нажмите кнопку Добавить порт и создайте следующие исключения TCP-портов:

    • имя — Порт80, номер порта — 80;

    • имя — Порт445, номер порта — 445;

    • имя — Порт5723, номер порта — 5723;

    • имя — Порт5724, номер порта — 5724;

    • имя — Порт8530, номер порта — 8530;

    • имя — Порт8531, номер порта — 8531;

    • имя — Порт51906, номер порта — 51906.

Важно!

Если используется сервер Internet Security and Acceleration Server (ISA Server) или брандмауэр стороннего производителя, убедитесь, что порт 8531 открыт.

Создание исключений брандмауэра Windows на управляемых компьютерах при использовании параметров локальной групповой политики

  1. На каждом компьютере, который должен управляться с помощью Essentials 2010, откройте раздел Брандмауэр Windows в панели управления.

  2. Перейдите на вкладку Исключения.

  3. Убедитесь, что установлен флажок Общий доступ к файлам и принтерам.

  4. Нажмите кнопку Добавить порт и создайте следующие исключения TCP-портов:

    • имя — Порт135, номер порта — 135;

    • имя — Порт139, номер порта — 139;

    • имя — Порт445, номер порта — 445;

    • имя — Порт6270, номер порта — 6270.

  5. Создайте следующие исключения UDP-портов:

    • имя — Порт137, номер порта — 137;

    • имя — Порт138, номер порта — 138.

  6. Для каждого из этих исключений сделайте следующее.

    • Нажмите кнопку Изменить область.

    • Выберите пункт Особый список.

    • Ограничьте область IP-адресом сервера управления Essentials.

Разрешение удаленных WMI-вызовов на управляемом компьютере с системой Windows XP

  1. Нажмите на панели задач кнопку Пуск и выберите команду Выполнить.

  2. В диалоговом окне Запуск программы введите gpedit.msc и нажмите кнопку ОК.

  3. В области Корень консоли редактора локальных групповых политик разверните узлы Конфигурация компьютера, Административные шаблоны и Сеть. Разверните узлы Сетевые подключения и Брандмауэр Windows, после чего выберите пункт Профиль домена.

  4. В области Профиль домена щелкните правой кнопкой мыши пункт Брандмауэр Windows: разрешать исключения для удаленного управления, после чего выберите пункт Свойства.

  5. Выберите вариант Включено, а затем нажмите кнопку ОК.

Разрешение удаленных WMI-вызовов на управляемом компьютере с системой Windows Vista

  1. Выберите пункт Брандмауэр Windows в панели управления.

  2. Перейдите на вкладку Исключения.

  3. Установите флажок Инструментарий управления Windows (WMI).

Изменение исключений брандмауэра для указания нового IP-адреса сервера управления Essentials

  1. Если IP-адрес сервера управления Essentials назначается динамически и управляемые компьютеры настраиваются с помощью локальных групповых политик, необходимо вручную изменить исключение брандмауэра на каждом клиенте, указав новый IP-адрес.

  2. В случае использовании групповой политики домена для настройки управляемых компьютеров следует запустить мастер настройки продукта, расположенный в сводке конфигурации панели Обзор администрирования. Открыть ее можно, щелкнув ссылку рядом с разделом Режим политики. При указании нового IP-адреса сервера управления Essentials в групповой политике возвращается обновленное исключение брандмауэра с новым IP-адресом, который должен использоваться на управляемых компьютерах.

Настройка исключений межсетевого экрана ISA Server

Используйте следующие процедуры для настройки параметров брандмауэра на сервере Internet Security and Acceleration (ISA) Server в случае, если управляемые компьютеры находятся по другую сторону брандмауэра.

Создание нового правила доступа для службы управления System Center

  1. Нажмите на панели задач кнопку Пуск, а затем выберите пункты Программы, Microsoft ISA Server и Диспетчер ISA Server.

  2. Разверните узел Политика межсетевого экрана у нужного компьютера в области навигации и выберите команду Создать правило доступа к массиву в области Задачи.

    1. Присвойте правилу доступа имя Служба управления Essentials и нажмите кнопку Далее.

    2. На странице Действие правила выберите вариант Разрешить и нажмите кнопку Далее.

    3. В поле Это правило применяется к укажите вариант Выбранные протоколы и нажмите кнопку Добавить.

    4. В диалоговом окне Добавить протоколы нажмите кнопку Создать, а затем выберите вариант Протокол.

    5. В мастере определения нового протокола введите TCP 5723.

    6. На странице Сведения об основном подключении нажмите кнопку Создать.

    7. На странице Создание или изменение сведений о протоколе введите 5723 в полях Откуда и Куда, а затем нажмите кнопку ОК.

    8. На странице Сведения об основном подключении нажмите кнопку Далее.

    9. На странице Дополнительные соединения нажмите кнопку Далее.

    10. На странице Завершение работы мастера создания определения протокола нажмите кнопку Готово.

  3. В диалоговом окне Добавить протоколы разверните папку Пользовательские, выберите TCP 5723 и нажмите кнопку Добавить.

    1. Чтобы закрыть диалоговое окно Добавить протоколы, нажмите кнопку Закрыть.

    2. На странице Протоколы мастера создания правила доступа нажмите кнопку Далее.

    3. В диалоговом окне Источники правил доступа нажмите кнопку Добавить.

    4. В диалоговом окне Добавить протоколы разверните папку Сети, выберите вариант Внутренняя и нажмите кнопку Добавить.

    5. Выберите пункт Локальный узел, нажмите кнопку Добавить, а затем — кнопку Закрыть.

    6. На странице Источники правил доступа мастера создания правила доступа нажмите кнопку Далее.

    7. В диалоговом окне Добавление сетевых сущностей разверните папку Сети, выберите вариант Внутренняя и нажмите кнопку Добавить.

    8. Выберите пункт Локальный узел, нажмите кнопку Добавить, а затем — кнопку Закрыть.

    9. На странице Пункты назначения правил доступа мастера создания правила доступа нажмите кнопку Далее.

    10. В диалоговом окне Наборы учетных записей нажмите кнопку Далее.

    11. На странице Завершение работы мастера создания правила доступа нажмите кнопку Готово.

Создание нового правила доступа для службы доступа к данным System Center

  1. Нажмите на панели задач кнопку Пуск, а затем выберите пункты Программы, Microsoft ISA Server и Диспетчер ISA Server.

  2. Разверните узел Политика межсетевого экрана у нужного компьютера в панели навигации и в панели Задачи выберите команду Создать правило доступа к массиву.

    1. Присвойте правилу доступа имя Служба доступа к данным Essentials и нажмите кнопку Далее.

    2. На странице Действие правила выберите вариант Разрешить, а затем нажмите кнопку Далее.

    3. На странице Протоколы в списке Это правило применяется к укажите вариант Выбранные протоколы и нажмите кнопку Добавить.

    4. В диалоговом окне Добавить протоколы нажмите кнопку Создать, а затем выберите вариант Протокол.

    5. В мастере определения нового протокола введите TCP 5724.

    6. На странице Сведения об основном подключении нажмите кнопку Создать.

    7. На странице Создание или изменение сведений о протоколе введите 5724 в полях Откуда и Куда, а затем нажмите кнопку ОК.

    8. На странице Сведения об основном подключении нажмите кнопку Далее.

    9. На странице Дополнительные соединения нажмите кнопку Далее.

    10. На странице Завершение работы мастера создания определения протокола нажмите кнопку Готово.

  3. В диалоговом окне Добавить протоколы разверните папку Пользовательские, выберите TCP 5724 и нажмите кнопку Добавить.

    1. Чтобы закрыть диалоговое окно Добавить протоколы, нажмите кнопку Закрыть.

    2. На странице Протоколы мастера создания правила доступа нажмите кнопку Далее.

    3. В диалоговом окне Источники правил доступа нажмите кнопку Добавить.

    4. В диалоговом окне Добавить протоколы разверните папку Сети, выберите вариант Внутренняя и нажмите кнопку Добавить.

    5. Выберите пункт Локальный узел, нажмите кнопку Добавить, а затем — кнопку Закрыть.

    6. На странице Источники правил доступа мастера создания правила доступа нажмите кнопку Далее.

    7. На странице Пункты назначения правил доступа мастера создания правила доступа нажмите кнопку Добавить.

    8. В диалоговом окне Добавление сетевых сущностей разверните папку Сети, выберите вариант Внутренняя и нажмите кнопку Добавить.

    9. В папке Сети выберите вариант Внутренняя и нажмите кнопку Добавить.

    10. Выберите пункт Локальный узел, нажмите кнопку Добавить, а затем — кнопку Закрыть.

    11. На странице Пункты назначения правил доступа мастера создания правила доступа нажмите кнопку Далее.

    12. В диалоговом окне Наборы учетных записей нажмите кнопку Далее.

  4. На странице Завершение работы с мастером создания правила доступа нажмите кнопку Готово.

Публикация веб-сервера WSUS

  1. Нажмите на панели задач кнопку Пуск, а затем выберите пункты Программы, Microsoft ISA Server и Диспетчер ISA Server.

  2. Разверните узел Политика межсетевого экрана в области навигации и выберите команду Публикация веб-сервера в области Задачи.

    1. Присвойте правилу доступа имя Веб-сервер WSUS Essentials и нажмите кнопку Далее.

    2. На странице Выбрать действие правила выберите вариант Разрешить и нажмите кнопку Далее.

  3. В диалоговом окне Определение веб-сайта для публикации введите имя сервера управления Essentials в поле Имя компьютера или IP-адрес.

  4. Введите /* в поле Путь и нажмите кнопку Далее.

  5. В диалоговом окне Параметры внешнего имени введите имя сервера управления Essentials в текстовом поле Внешнее имя и нажмите кнопку Далее.

  6. В диалоговом окне Выбрать веб-прослушиватель нажмите кнопку Создать.

    1. На странице приветствия мастера создания веб-прослушивателя введите строку Веб-прослушиватель Essentials и нажмите кнопку Далее.

    2. На странице IP-адреса установите флажки Внутренний и Локальный узел, затем нажмите кнопку Далее.

  7. На странице Спецификация порта мастера создания веб-прослушивателя сделайте следующее.

    1. Установите флажок Включить HTTP.

    2. Введите 8530 в поле HTTP-порт.

    3. Установите флажок Включить SSL.

    4. Введите 8531 в поле SSL-порт.

    5. Нажмите кнопку Выбрать, выберите сертификат, соответствующий имени узла сервера управления Essentials, а затем нажмите кнопку ОК.

    6. Нажмите кнопку Далее.

  8. На странице Завершение работы мастера создания веб-прослушивателя нажмите кнопку Готово.

  9. В диалоговом окне Выбрать веб-прослушиватель сделайте следующее.

    1. В разделе Веб-прослушиватель выберите Веб-прослушиватель Essentials, затем нажмите кнопку Далее.

    2. На странице Наборы учетных записей нажмите кнопку Далее.

  10. На странице Завершение работы мастера создания правила веб-публикации нажмите кнопку Готово.

  11. В консоли ISA Server щелкните правой кнопкой мыши правило Веб-сервер WSUS Essentials и выберите пункт Свойства.

    1. Перейдите на вкладку Куда.

    2. Выберите пункт Запросы приходят от исходного клиента.

    3. Перейдите на вкладку Использование моста.

    4. Введите в поле Перенаправлять запросы на HTTP-порт значение 8530.

    5. Установите флажок Перенаправлять запросы на SSL-порт и введите значение 8531.

    6. Нажмите кнопку ОК.

  12. В консоли ISA Server нажмите кнопку Применить, чтобы сохранить изменения и обновить конфигурацию.

См. также

Основные понятия

Локальная политика и групповая политика в System Center Essentials 2010
Планирование развертывания System Center Essentials 2010