Порты, используемые программой Configuration Manager

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 — это распределенная система клиент-сервер. Распределенная природа Configuration Manager 2007 означает, что подключения могут создаваться между серверами сайта, системами сайта и клиентами. В некоторых подключениях используются порты без возможности настройки, а в некоторых — с возможностью настройки. При использовании каких-либо технологий фильтрации портов, таких как брандмауэры, маршрутизаторы, прокси-серверы и IPsec, необходимо проверить, что требуемые порты доступны.

Configuration Manager 2007 позволяет настроить порты для связи следующих типов.

• Между клиентом и системой сайта

• Между клиентом и Интернетом (как параметры прокси-сервера)

• Между точкой обновления программного обеспечения и Интернетом (как параметры прокси-сервера)

• Между точкой обновления программного обеспечения и сервером WSUS

• Между клиентом и точкой формирования отчетов

Портом HTTP, который служит для связи клиента с системой сайта, по умолчанию является порт 80, а портом HTTPS по умолчанию является порт 443. Порты для связи клиента системой сайта через HTTP или HTTPS можно изменить в разделах "Установка" или "Свойства сайта" для сайта Configuration Manager.

Роли системы сайта точки формирования отчетов содержат настраиваемые параметры порта для связи HTTP и HTTPS, определенные на странице свойств роли системы сайта точки формирования отчетов. По умолчанию пользователи подключаются к точке формирования отчетов при помощи HTTP-порта 80 и HTTPS-порта 443. Эти порты определяются только во время установки. Для переопределения порта связи для точки формирования отчетов необходимо удалить систему сайта точки формирования отчетов, а затем установить ее повторно.

Configuration Manager не позволяет настроить порты для связи следующих типов.

• Между сайтами (основной-основной или основной-дополнительный)

• Между сервером сайта и системой сайта

• Между сервером сайта и сервером базы данных сайта

• Между системой сайта и сервером базы данных сайта

• Между консолью Configuration Manager 2007 и поставщиком SMS

• Между консолью Configuration Manager 2007 и Интернетом

Следующие списки портов используются в Configuration Manager 2007 и не включают данные о стандартных службах Windows, например параметры групповой политики Active Directory и проверка подлинности Kerberos. Сведения о портах и службах Windows Server см. по адресу https://go.microsoft.com/fwlink/?LinkID=123652.

На следующем рисунке показаны подключения между компьютерами Configuration Manager 2007. Номер ссылки соответствует таблице, в которой перечислены порты для этой ссылки. Стрелки между компьютерами представляют направление связи.

• -- > указывает, что один компьютер инициирует связь, а другой всегда отвечает;

• < -- > указывает, что любой компьютер может инициировать связь

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Для клиента требуются порты установленные клиентом защиты доступа к сети Windows, который зависит от типа используемого клиента усиления. Например, в системе ограничений DHCP будут использоваться порты UDP 67 и 68. Система ограничений IPsec будет использовать порты TCP 80 или 443 для связи с центром регистрации работоспособности, порт UDP 500 - для согласований IPsec и необходимы дополнительные порты для фильтров IPsec. Дополнительные сведения см. в документации по защите доступа к сети Windows. Справку по настройке брандмауэров для IPsec см. в разделе https://go.microsoft.com/fwlink/?LinkId=109499.

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Точка формирования отчетов и точка служб отчетов используют один порт. Точка служб отчетов доступна только для Configuration Manager 2007 R2.

Точка формирования отчетов и точка служб отчетов используют один порт. Точка служб отчетов имеется только в Configuration Manager 2007 R2.

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Клиент Configuration Manager не обращается к серверу глобального каталога, когда он является компьютером рабочей группы или настроен для связи только с Интернетом.

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

1 Порт прокси-сервера    Этот порт невозможно настроить, но можно маршрутизировать через настроенный прокси-сервер.

2 Доступен альтернативный порт    Для этого значения в Configuration Manager можно определить альтернативный порт. Если задан специальный порт, замените этот специальный порт при определении информации IP-фильтра для политик IPsec или при настройке брандмауэров.

3 Отправитель RAS Configuration Manager 2007 также может использовать отправитель RAS совместно с протоколом PPTP для передачи и приема через брандмауэр административных данных, сведений о клиенте и сайте Configuration Manager 2007. При этих обстоятельствах используется порт 1723 PPTP TCP.

4 Службы обновления Windows Server WSUS можно установить на веб-сайт по умолчанию (порт 80) или на пользовательский веб-сайт (порт 8530).

После установки порт можно изменить. Нет необходимости использовать один номер порта во всей иерархии сайтов.

Если для HTTP используется порт 80, для HTTPS необходимо использовать порт 443.

Если используется другой HTTP-порт (например 8530), номер HTTPS-порта должен быть больше на 1 (8531).

5 Управляющая программа TFTP Служба системы управляющей программы TFTP является составной частью службы развертывания Windows, и для нее не требуется имя пользователя или пароль. Служба управляющей программы TFTP реализует поддержку протокола TFTP, определенного следующими RFC:

• RFC 350 — TFTP,

• RFC 2347 — расширение параметра,

• RFC 2348 — размер блока,

• RFC 2349 — интервал времени ожидания и размер передачи.

Протокол TFTP предназначен для поддержки бездисковой загрузки. Управляющие программы TFTP ожидают передачи данных через порт UDP 69, но отвечают через динамически выделяемый верхний порт. Поэтому включение этого порта разрешит службе TFTP принимать входящие запросы TFTP, но не разрешит выбранному серверу отвечать на эти запросы. Невозможно разрешить выбранному серверу отвечать на входящие запросы TFTP, если сервер TFTP не настроен на ответ через порт 69.

6 Передача данных между сервером сайта и системами сайта По умолчанию передача данных между сервером сайта и системами сайта является двунаправленной. Сервер сайта инициирует связь для настройки системы сайта, а затем большинство систем сайта вновь подключаются к серверу сайта для передачи информации о состоянии. Точки формирования отчета и точки распространения не передают информации о состоянии. Если в свойствах системы сайта установлен флажок Разрешить только инициированные сервером сайта передачи данных из этой системы сайта, система сайта никогда не инициирует восстановление связи с сервером сайта.

7 Порты, используемые точками распространения для потоковой передачи виртуализации приложения Точку распространения с поддержкой потоковой передачи виртуализации приложения можно настроить на использование протокола HTTP или HTTPS. Эта возможность доступна только в Configuration Manager 2007 R2.

При работе NetBIOS через TCP/IP для удаленного управления Configuration Manager 2007 используются порты, описанные в следующей таблице.

При использовании внешнего управления в Configuration Manager 2007 SP1 используются следующие порты.

Набор портов, используемых при установке клиента, зависит от метода его развертывания. Перечень портов, используемых при различных методах развертывания клиента, см. в разделе Порты, используемые при развертывании клиентов Configuration Manager. Дополнительные сведения о настройке брандмауэра Windows на клиентских компьютерах для установки клиента и его последующего использования см. в разделе Параметры брандмауэра для клиентов Configuration Manager.

В следующей таблице перечислены некоторые ключевые порты, используемые Windows Server, и связанные с ними функции. Более полный список служб Windows Server и требований к сетевым портам см. по адресу https://go.microsoft.com/fwlink/?LinkID=123652.

Если используется сетевая библиотека TCP/IP, включите порт 1433 в брандмауэре. Используйте файл Hosts или строку дополнительного подключения для разрешения имени узла.

Если используются именованные каналы через TCP/IP, включите порт 139 для функций NetBIOS. NetBIOS следует использовать только для устранения неполадок Kerberos.

Стандартный экземпляр SQL Server использует TCP-порт 1433 для передачи данных по сети. При использовании именованного экземпляра номер порта назначается динамически. Configuration Manager не поддерживает задание и изменение номера порта как для стандартного, так и для именованного экземпляра SQL Server, в ручном режиме.

Включать порты UDP 137 и 138 для разрешения имен NetBIOS с помощью широковещательного узла (B-node) не рекомендуется. Вместо этого для разрешения имен можно использовать сервер WINS или файл LMHOSTS.

Интернет-точка управления, точка обновления программного обеспечения и резервная точка состояния для установки и восстановления используют следующие порты.

• Сервер сайта --> система сайта: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.

• Сервер сайта --> система сайта: динамические TCP-порты RPC.

• Сервер сайта < --> система сайта: Протокол SMB с использованием порта 445 TCP.

Точки распространения не устанавливаются, пока на них не будет направлен первый пакет. Для установки пакетов в точках распространения требуются следующие порты RPC.

• Сервер сайта --> точка распространения: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.

• Сервер сайта --> точка распространения: динамические TCP-порты RPC.

Используйте протокол IPSec для защиты обмена данными между сервером сайта и системами сайта. Если необходимо ограничить динамические порты, используемые RPC, можно использовать средство настройки RPC (Майкрософт) (rpccfg.exe) для настройки ограниченного диапазона портов для передачи пакетов RPC. Дополнительные сведения о средстве настройки RPC см. по адресу https://go.microsoft.com/fwlink/?LinkId=124096.

Параметры брандмауэра для клиентов Configuration Manager

Технический справочник по безопасности Configuration Manager