Параметры брандмауэра Windows и настройка портов для клиентских компьютеров в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Клиентские компьютеры в System Center 2012 Configuration Manager, на которых работает брандмауэр Windows, часто требуют настройки исключений для возможности соединения с их сайтами. Исключения, которые должны быть настроены, зависят от функций управления, используемых с клиентом Configuration Manager.
В следующих разделах приведены сведения о том, как определить такие функции управления, а также другая информация о настройке исключений брандмауэра Windows.
Изменение портов и программ, разрешенных брандмауэром Windows
Следующая процедура позволяет изменить порты и программы на брандмауэре Windows для клиента Configuration Manager.
Изменение портов и программ, разрешенных брандмауэром Windows
-
На компьютере с брандмауэром Windows откройте Панель управления.
-
Щелкните правой кнопкой значок Брандмауэр Windows и выберите Открыть.
-
Настройте требуемые исключения, а также необходимые настраиваемые программы и порты.
Программы и порты, необходимые для Configuration Manager
Возможности Configuration Manager, перечисленные ниже, требуют наличия исключений в брандмауэре Windows.
Запросы
Если запустить консоль Configuration Manager на компьютере с работающим брандмауэром Windows, первое выполнение запросов завершится неудачей и операционная система откроет диалоговое окно с предложением разблокировать statview.exe. Если разблокировать statview.exe, дальнейшие запросы будут выполняться без ошибок. Кроме того, можно вручную добавить Statview.exe в список программ и служб на вкладке Исключения окна брандмауэра Windows перед выполнением запроса.
Принудительная установка клиента
Для принудительной установки клиента System Center 2012 Configuration Manager необходимо добавить следующие исключения в брандмауэр Windows.
Входящий и исходящий трафик. Общий доступ к файлам и принтерам
Входящий трафик. Инструментарий управления Windows (WMI)
Установка клиента с помощью групповой политики
Чтобы установить клиент Configuration Manager с помощью групповой политики, добавьте на брандмауэре Windows исключение Общий доступ к файлам и принтерам.
Запросы клиентов
Для соединения клиентских компьютеров с системами сайта Configuration Manager добавьте следующие исключения на брандмауэре Windows.
Исходящий трафик. TCP-порт 80 (для HTTP-соединения)
Исходящий трафик. TCP-порт 443 (для HTTPS-соединения)
.jpeg "System_CAPS_important") Важно |
|---|
Ниже приведены номера портов по умолчанию, которые могут быть изменены в Configuration Manager. Дополнительные сведения см. в статье Настройка номеров портов связи клиентов в Configuration Manager. Если для этих портов указываются значения, отличные от номеров по умолчанию, должны быть настроены соответствующие исключения на брандмауэре Windows. |
Уведомление клиента
Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:
Чтобы точка управления уведомляла клиентские компьютеры о том, что она должна выполнить действие, когда администратор выбирает действие клиента в консоли Configuration Manager, например загрузку политики компьютера или поиск вредоносных программ, добавьте следующее исключение брандмауэра Windows:
Исходящий трафик. TCP-порт 10123
Если такая связь не работает, Configuration Manager автоматически возвращается к использованию существующих портов связи клиентов и точек управления по HTTP или HTTPS:
Исходящий трафик. TCP-порт 80 (для HTTP-соединения)
Исходящий трафик. TCP-порт 443 (для HTTPS-соединения)
| Важно |
|---|
Ниже приведены номера портов по умолчанию, которые могут быть изменены в Configuration Manager. Дополнительные сведения см. в разделе Настройка номеров портов связи клиентов в Configuration Manager. Если для этих портов указываются значения, отличные от номеров по умолчанию, должны быть настроены соответствующие исключения на брандмауэре Windows. |
Защита доступа к сети
Для успешного соединения компьютеров с точкой средства проверки работоспособности системы откройте следующие порты.
Исходящий трафик. UDP-порт 67 и UDP-порт 68 для DHCP
Исходящий трафик. TCP-порт 80 или 443 для IPsec
Удаленное управление
Для использования удаленного управления Configuration Manager следует открыть указанный ниже порт.
- Входящий трафик. TCP-порт2701
Удаленный помощник и удаленный рабочий стол
Чтобы запустить Удаленного помощника из консоли Configuration Manager, добавьте настраиваемую программу Helpsvc.exe и настраиваемый TCP-порт 135 входящего трафика в список разрешенных программ и служб на брандмауэре Windows клиентского компьютера. Необходимо также разрешить Удаленный помощник и Удаленный рабочий стол. Если запустить Удаленного помощника на клиентском компьютере, брандмауэр Windows автоматически настроит и разрешит компоненты Удаленный помощник и Удаленный рабочий стол.
Прокси-сервер пробуждения
Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:
При включении прокси пробуждения новая служба, которая называется прокси пробуждения Configuration Manager, использует одноранговый протокол, чтобы проверить, работают ли другие компьютеры в подсети, и будит их при необходимости. Этот вид связи использует следующие порты:
Исходящий трафик. UDP-порт 25536
Исходящий трафик. UDP-порт 9
Это установленные по умолчанию номера портов, которые можно изменить в Configuration Manager с помощью параметров клиента Управление питанием — Номер порта прокси-сервера пробуждения (UDP) и Номер порта (UDP) пробуждения по локальной сети. Если указать параметр Управление питанием: Исключение брандмауэра Windows для прокси-сервера пробуждения, эти порты автоматически настраиваются в брандмауэре Windows для клиентов. Если клиенты используют другой брандмауэр, необходимо вручную задать исключения для этих номеров портов.
Помимо этих портов, прокси пробуждения также использует эхо-запросы ICMP с одного клиентского компьютера на другой компьютер. Эта связь используется для проверки того, активен ли другой клиентский компьютер в сети. Протокол ICMP иногда называют командами проверки связи TCP/IP.System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) не настраивает брандмауэр Windows для этих команд TCP/IP Ping, поэтому если у вас не работает System Center 2012 R2 Configuration Manager, вы должны вручную разрешить этот ICMP-трафик для связи с прокси-сервером пробуждения.
Если у вас System Center 2012 Configuration Manager с пакетом обновления 1 (SP1), а не System Center 2012 R2 Configuration Manager, используйте следующую процедуру для настройки брандмауэра Windows с пользовательским правилом, разрешающим входящий трафик команд TCP/IP Ping для прокси-сервера пробуждения.
Настройка брандмауэра Windows для пропуска команд проверки связи по протоколу TCP/IP
-
В консоли брандмауэра Windows в режиме повышенной безопасности создайте правило для нового входящего подключения.
-
В мастере создания правила для нового входящего подключения на странице Тип правила выберите Настраиваемое, а затем нажмите Далее.
-
На странице Программа оставьте Все программы, а затем нажмите кнопку Далее.
-
На странице Протоколы и порты щелкните раскрывающийся список Тип протокола, выберите ICMPv4, а затем нажмите Настроить.
-
В окне Настройка параметров ICMP нажмите кнопку Определенные типы ICMP, выберите Эхо-запрос, а затем нажмите ОК.
-
В окне мастера нажмите кнопку Далее.
-
На странице Область оставьте настройки по умолчанию для локальных и удаленных IP-адресов, а затем нажмите Далее.
-
На странице Действие, убедитесь, что параметр Разрешить подключение включен, а затем нажмите Далее.
-
На странице Профиль выберите профили, которые будут использовать прокси пробуждения (например, Домен), а затем нажмите Далее.
-
На странице Имя укажите имя для этого правила и при необходимости введите описание, которое поможет понять, что это правило необходимо для прокси пробуждения. Затем нажмите Готово, чтобы закрыть мастер.
Дополнительные сведения о прокси-сервере пробуждения см. в разделе Планирование способов перевода клиентов в рабочий режим статьи Планирование обмена данными в Configuration Manager.
Средство просмотра событий Windows, системный монитор Windows и диагностика Windows
Чтобы открыть средство просмотра событий Windows, системный монитор Windows и диагностику Windows из консоли Configuration Manager, укажите в брандмауэре Windows исключение Общий доступ к файлам и принтерам.
Порты, используемые при развертывании клиентов Configuration Manager
В следующей таблице перечислены порты, используемые в ходе установки клиента.
| Важно |
|---|
Если между серверами системы сайта и клиентским компьютером находится брандмауэр, то на нем нужно разрешить передачу данных через порты, необходимые для установки клиента по выбранному методу. Так, брандмауэр может блокировать протокол SMB и удаленный вызов процедур (RPC), что не позволяет успешно выполнить принудительную установку клиента. В таком случае следует использовать другой метод установки клиента, например установку вручную путем запуска CCMSetup.exe либо установку при помощи групповой политики. Эти методы не используют протоколы SMB и RPC. |
Дополнительные сведения о настройке брандмауэра Windows на клиентском компьютере см. в разделе Изменение портов и программ, разрешенных брандмауэром Windows.
Порты, используемые всеми методами установки
Описание |
Протокол UDP |
TCP |
|---|---|---|
Протокол HTTP от клиентского компьютера до резервной точки состояния, если резервная точка состояния назначена клиенту. |
-- |
80 (см. примечание 1 Доступен альтернативный порт) |
Порты, используемые для принудительной установки клиента
В дополнение к портам, перечисленным в предыдущей таблице, при принудительной установке клиента с сервера сайта на клиентский компьютер передаются сообщения эхо-запросов протокола ICMP, позволяющие проверить доступность клиентского компьютера в сети. Протокол ICMP иногда называют командами проверки связи TCP/IP. Он не имеет номера протокола UDP или TCP и потому не указан в следующей таблице. Тем не менее, для успешной принудительной установки клиента промежуточные сетевые устройства, например брандмауэры, должны пропускать трафик ICMP.
Описание |
Протокол UDP |
TCP |
|---|---|---|
Протокол SMB между сервером сайта и клиентским компьютером. |
-- |
445 |
Сопоставитель конечных точек RPC между сервером сайта и клиентским компьютером. |
135 |
135 |
Динамические порты RPC между сервером сайта и клиентским компьютером. |
-- |
DYNAMIC |
Протокол HTTP от клиентского компьютера на точку управления, если подключение установлено через порт HTTP |
-- |
80 (см. примечание 1 Доступен альтернативный порт) |
Протокол HTTPS от клиентского компьютера до точки управления, если подключение установлено по протоколу HTTPS. |
-- |
443 (см. примечание 1 Доступен альтернативный порт) |
Порты, используемые при установке через точку обновления программного обеспечения
Описание |
Протокол UDP |
TCP |
|---|---|---|
Протокол HTTP от клиентского компьютера до точки обновления программного обеспечения. |
-- |
80 или 8530 (см. примечание 2 Службы обновлений Windows Server) |
Протокол HTTPS от клиентского компьютера до точки обновления программного обеспечения. |
-- |
443 или 8531 (см. примечание 2 Службы обновлений Windows Server) |
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>. |
-- |
445 |
Порты, используемые для установки при помощи групповой политики
Описание |
Протокол UDP |
TCP |
|---|---|---|
Протокол HTTP от клиентского компьютера на точку управления, если подключение установлено через порт HTTP |
-- |
80 (см. примечание 1 Доступен альтернативный порт) |
Протокол HTTPS от клиентского компьютера до точки управления, если подключение установлено по протоколу HTTPS. |
-- |
443 (см. примечание 1 Доступен альтернативный порт) |
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>. |
-- |
445 |
Порты, используемые при установке вручную и установке при помощи сценария входа
Описание |
Протокол UDP |
TCP |
||
|---|---|---|---|---|
Протокол SMB между клиентским компьютером и общим сетевым ресурсом, с которого запускается CCMSetup.exe.
|
-- |
445 |
||
Протокол HTTP от клиентского компьютера до точки управления, если соединение установлено по протоколу HTTP и не задано свойство командной строки CCMSetup /source:<путь>. |
-- |
80 (см. примечание 1 Доступен альтернативный порт) |
||
Протокол HTTPS от клиентского компьютера до точки управления, если соединение установлено по протоколу HTTPS и не задано свойство командной строки CCMSetup /source:<путь>. |
-- |
443 (см. примечание 1 Доступен альтернативный порт) |
||
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>. |
-- |
445 |
.jpeg "System_CAPS_note")
ПримечаниеПорты, используемые при установке посредством распространения программного обеспечения
Описание |
Протокол UDP |
TCP |
|---|---|---|
Протокол SMB между точкой распространения и клиентским компьютером. |
-- |
445 |
Протокол HTTP от клиента до точки распространения, если подключение установлено по протоколу HTTP. |
-- |
80 (см. примечание 1 Доступен альтернативный порт) |
Протокол HTTPS от клиента до точки распространения, если подключение установлено по протоколу HTTPS. |
-- |
443 (см. примечание 1 Доступен альтернативный порт) |
Примечания
1 Доступен альтернативный порт В Configuration Manager можно задать альтернативный порт для этого значения. Если задан специальный порт, замените этот специальный порт при определении информации IP-фильтра для политик IPsec или при настройке брандмауэров.
2 службы WSUS Службы WSUS можно установить на веб-сайте по умолчанию (порт 80) или на собственном веб-сайте (порт 8530).
После установки можно изменить порт. Нет необходимости использовать один номер порта во всей иерархии сайтов.
Если для HTTP используется порт 80, для HTTPS необходимо использовать порт 443.
Если используется другой HTTP-порт (например 8530), номер HTTPS-порта должен быть больше на 1 (8531).