Firewallausnahmen für System Center Essentials 2010

  • Artikel

Letzte Aktualisierung: Juli 2010

Betrifft: System Center Essentials 2010

Wenn in Ihrer System Center Essentials 2010-Bereitstellungsumgebung eine Firewall aktiviert ist, müssen Ausnahmen erstellt werden, damit der Essentials-Verwaltungsserver erfolgreich Agents auf verwalteten Computern installieren kann und die verwalteten Computer mit Essentials kommunizieren können.

Hinweis

Wenn Essentials 2010 für die Verwendung einer domänenbasierten Gruppenrichtlinie konfiguriert wurde und Sie über eine domänenbasierte Gruppenrichtlinie Firewallausnahmen definiert haben, müssen keine Firewallausnahmen erstellt werden. Darüber hinaus werden Firewallausnahmen für Computer, auf denen die Windows-Firewall ausgeführt wird, automatisch von Essentials 2010 konfiguriert.

Wenn auf Ihren Computern eine Firewall eines anderen Herstellers installiert ist, finden Sie in der Dokumentation dieses Herstellers weitere Informationen zur Erstellung von Ausnahmen. Die in den folgenden Verfahren erwähnten Portnamen bleiben jedoch gleich.

Hat sich die statische IP-Adresse des Essentials-Verwaltungsservers geändert oder wird diese dynamisch zugewiesen, müssen Sie bei jeder Änderung der IP-Adresse auf den verwalteten Computern die Firewallrichtlinien aktualisieren. Wenn Sie jedoch eine domänenbasierte Gruppenrichtlinie verwenden, werden Sie von Essentials 2010 aufgefordert, den Assistenten zur Produktkonfiguration auszuführen. Dieser Assistent befindet sich in der Konfigurationszusammenfassung des Bereichs Verwaltungsübersicht. Für den Zugriff auf diesen Assistenten klicken Sie auf den Link neben Richtlinienmodus. Wenn Sie die Gruppenrichtlinie mit der neuen IP-Adresse des Essentials-Verwaltungsservers aktualisieren, wird eine aktualisierte Firewallausnahme mit der neuen, auf die verwalteten Computer anzuwendenden IP-Adresse zurückgegeben.

Weitere Informationen zu den für Virtualization Management erforderlichen Firewallausnahmen finden Sie unter VMM-Ports und -Protokolle in der TechNet-Bibliothek zu System Center Virtual Machine Manager 2008 (https://go.microsoft.com/fwlink/?LinkId=163937). Ausführliche Informationen zu den Firewallausnahmen, die zum Verbinden mit dem Essentials-Verwaltungsserver von einem Essentials-Remoteberichtsserver aus erforderlich sind, finden Sie unter Unterstützte Firewallszenarios in der TechNet-Bibliothek zu System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=163936).

Ändern von Windows-Firewallausnahmen

Die im ersten Verfahren dieses Themas beschriebenen Windows-Firewallausnahmen werden auf dem Essentials-Verwaltungsserver erstellt, wenn Essentials 2010 installiert wird. Verwenden Sie die hier beschriebenen Verfahren, wenn Sie Firewallausnahmen mit einer anderen Software verwalten.

So erstellen Sie Windows-Firewallausnahmen auf dem Essentials-Verwaltungsserver

  1. Klicken Sie in der Systemsteuerung auf Windows-Firewall.

  2. Klicken Sie auf die Registerkarte Ausnahmen.

  3. Klicken Sie auf Port hinzufügen, und erstellen Sie die folgenden TCP-Portausnahmen:

    • Name=Port80; Portnummer=80

    • Name=Port445; Portnummer=445

    • Name=Port5723; Portnummer=5723

    • Name=Port5724; Portnummer=5724

    • Name=Port8530; Portnummer=8530

    • Name=Port8531; Portnummer=8531

    • Name=Port51906; Portnummer=51906

Wichtig

Wenn Sie ISA Server (Internet Security and Acceleration) oder eine Firewallsoftware eines anderen Herstellers verwenden, müssen Sie sicherstellen, dass Port 8531 geöffnet ist.

So erstellen Sie Windows-Firewallausnahmen auf verwalteten Computern, wenn Sie Einstellungen der lokalen Gruppenrichtlinie verwenden

  1. Klicken Sie auf jedem Computer, der von Essentials 2010 verwaltet werden soll, in der Systemsteuerung auf Windows-Firewall.

  2. Klicken Sie auf die Registerkarte Ausnahmen.

  3. Stellen Sie sicher, dass das Kontrollkästchen Datei- und Druckerfreigabe aktiviert ist.

  4. Klicken Sie auf Port hinzufügen, und erstellen Sie die folgenden TCP-Portausnahmen:

    • Name=Port135; Portnummer=135

    • Name=Port139; Portnummer=139

    • Name=Port445; Portnummer=445

    • Name=Port6270; Portnummer=6270

  5. Erstellen Sie die folgenden UDP-Portausnahmen:

    • Name=Port137; Portnummer=137

    • Name=Port138; Portnummer=138

  6. Führen Sie für jede dieser Ausnahmen die folgenden Schritte aus:

    • Klicken Sie auf Bereich ändern.

    • Wählen Sie Benutzerdefinierte Liste aus.

    • Begrenzen Sie den Bereich auf die IP-Adresse des Essentials-Verwaltungsservers.

So aktivieren Sie WMI-Remoteaufrufe auf einem verwalteten Computer, auf dem Windows XP ausgeführt wird

  1. Klicken Sie auf der Taskleiste auf Start und anschließend auf Ausführen.

  2. Geben Sie im Dialogfeld Ausführengpedit.msc ein, und klicken Sie dann auf OK.

  3. Erweitern Sie im Editor für lokale Gruppenrichtlinien unter Konsolenstamm die Knoten Computerkonfiguration, Administrative Vorlagen und Netzwerk. Erweitern Sie Netzwerkverbindungen und Windows-Firewall, und klicken Sie dann auf Domänenprofil.

  4. Klicken Sie im Bereich Domänenprofil mit der rechten Maustaste auf Windows-Firewall: Remoteverwaltungsausnahme zulassen, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf Aktiviert, und klicken Sie anschließend auf OK.

So aktivieren Sie WMI-Remoteaufrufe auf einem verwalteten Computer, auf dem Windows Vista ausgeführt wird

  1. Klicken Sie in der Systemsteuerung auf Windows-Firewall.

  2. Klicken Sie auf die Registerkarte Ausnahmen.

  3. Aktivieren Sie das Kontrollkästchen Windows-Verwaltungsinstrumentation (WMI).

So aktualisieren Sie Firewallausnahmen für eine neue IP-Adresse des Essentials-Verwaltungsservers

  1. Wenn die IP-Adresse des Essentials-Verwaltungsservers dynamisch zugewiesen wird und Sie Einstellungen der lokalen Gruppenrichtlinie zur Konfiguration verwalteter Computer verwenden, aktualisieren Sie die Firewallausnahme manuell auf jedem Client unter Angabe der neuen IP-Adresse.

  2. Wenn Sie zum Konfigurieren Ihrer verwalteten Computer Einstellungen domänenbasierter Gruppenrichtlinien verwenden, führen Sie den Assistenten zur Produktkonfiguration aus. Dieser Assistent befindet sich in der Konfigurationszusammenfassung des Bereichs Verwaltungsübersicht. Für den Zugriff auf diesen Assistenten klicken Sie auf den Link neben Richtlinienmodus. Wenn Sie die Gruppenrichtlinie mit der neuen IP-Adresse des Essentials-Verwaltungsservers aktualisieren, wird eine aktualisierte Firewallausnahme mit der neuen, auf die verwalteten Computer anzuwendenden IP-Adresse zurückgegeben.

Konfigurieren von ISA Server-Firewall-Ausnahmen

Verwenden Sie die nachstehend beschriebenen Verfahren, um die Firewalleinstellungen für Internet Security and Acceleration (ISA) Server zu konfigurieren, wenn sich verwaltete Computer auf der anderen Seite der Firewall befinden.

So erstellen Sie eine neue Zugriffsregel für den System Center Management-Dienst

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie dann auf ISA Server-Verwaltung.

  2. Erweitern Sie im Navigationsbereich unter dem gewünschten Computer den Knoten Firewallrichtlinie, und klicken Sie dann im Bereich Tasks auf Arrayzugriffsregel erstellen.

    1. Geben Sie die Zugriffsregel Essentials Management-Dienst ein, und klicken Sie dann auf Weiter.

    2. Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, und klicken Sie dann auf Weiter.

    3. Wählen Sie in Regel wird angewendet für den Eintrag Ausgewählte Protokolle aus, und klicken Sie dann auf Hinzufügen.

    4. Klicken Sie im Dialogfeld Protokolle hinzufügen auf Neu, und klicken Sie dann auf Protokoll.

    5. Geben Sie im Assistenten für neue ProtokolldefinitionenTCP 5723 ein.

    6. Klicken Sie auf der Seite Primäre Verbindungsinformationen auf Neu.

    7. Geben Sie auf der Seite Protokollinformationen erstellen/bearbeiten in die Felder Von und Bis jeweils 5723 ein, und klicken Sie dann auf OK.

    8. Klicken Sie auf der Seite Primäre Verbindungsinformationen auf Weiter.

    9. Klicken Sie auf der Seite Sekundäre Verbindungen auf Weiter.

    10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  3. Erweitern Sie im Dialogfeld Protokolle hinzufügen den Ordner Benutzerdefiniert, wählen Sie TCP 5723 aus, und klicken Sie dann auf Hinzufügen.

    1. Klicken Sie auf Schließen, um das Dialogfeld Protokolle hinzufügen zu schließen.

    2. Klicken Sie auf der Seite Protokolle des Assistenten für neue Zugriffsregeln auf Weiter.

    3. Klicken Sie im Dialogfeld Zugriffsregelquellen auf Hinzufügen.

    4. Erweitern Sie im Dialogfeld Protokolle hinzufügen den Ordner Netzwerke, wählen Sie Intern aus, und klicken Sie dann Hinzufügen.

    5. Wählen Sie Lokaler Host aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen.

    6. Klicken Sie auf der Seite Zugriffsregelquellen im Assistenten für neue Zugriffsregeln auf Weiter.

    7. Erweitern Sie im Dialogfeld Netzwerkidentitäten hinzufügen den Ordner Netzwerke, wählen Sie Intern aus, und klicken Sie dann Hinzufügen.

    8. Wählen Sie Lokaler Host aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen.

    9. Klicken Sie auf der Seite Zugriffsregelziele im Assistenten für neue Zugriffsregeln auf Weiter.

    10. Klicken Sie im Dialogfeld Benutzersätze auf Hinzufügen.

    11. Klicken Sie auf der Seite Abschließen des Assistenten für neue Zugriffsregeln auf Fertig stellen.

So erstellen Sie eine neue Zugriffsregel für den System Center Datenzugriffsdienst

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie dann auf ISA Server-Verwaltung.

  2. Erweitern Sie im Navigationsbereich unter dem gewünschten Computer den Knoten Firewallrichtlinie, und klicken Sie dann im Bereich Tasks auf Arrayzugriffsregel erstellen.

    1. Geben Sie die Zugriffsregel Essentials-Datenzugriffsdienst ein, und klicken Sie dann auf Weiter.

    2. Klicken Sie auf der Seite Regelaktion auf Zulassen, und klicken Sie dann auf Weiter.

    3. Wählen Sie auf der Seite Protokolle unter Regel wird angewendet für den Eintrag Ausgewählte Protokolle aus, und klicken Sie dann auf Hinzufügen.

    4. Klicken Sie im Dialogfeld Protokolle hinzufügen auf Neu, und klicken Sie dann auf Protokoll.

    5. Geben Sie im Assistenten für neue Protokolldefinitionen TCP 5724 ein.

    6. Klicken Sie auf der Seite Primäre Verbindungsinformationen auf Neu.

    7. Geben Sie auf der Seite Protokollinformationen erstellen/bearbeiten in die Felder Von und Bis jeweils 5724 ein, und klicken Sie dann auf OK.

    8. Klicken Sie auf der Seite Primäre Verbindungsinformationen auf Weiter.

    9. Klicken Sie auf der Seite Sekundäre Verbindungen auf Weiter.

    10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  3. Erweitern Sie im Dialogfeld Protokolle hinzufügen den Ordner Benutzerdefiniert, wählen Sie TCP 5724 aus, und klicken Sie dann auf Hinzufügen.

    1. Klicken Sie auf Schließen, um das Dialogfeld Protokolle hinzufügen zu schließen.

    2. Klicken Sie auf der Seite Protokolle des Assistenten für neue Zugriffsregeln auf Weiter.

    3. Klicken Sie im Dialogfeld Zugriffsregelquellen auf Hinzufügen.

    4. Erweitern Sie im Dialogfeld Protokolle hinzufügen den Ordner Netzwerke, wählen Sie Intern aus, und klicken Sie dann Hinzufügen.

    5. Wählen Sie Lokaler Host aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen.

    6. Klicken Sie auf der Seite Zugriffsregelquellen im Assistenten für neue Zugriffsregeln auf Weiter.

    7. Klicken Sie auf der Seite Zugriffsregelziele im Assistenten für neue Zugriffsregeln auf Hinzufügen.

    8. Erweitern Sie im Dialogfeld Netzwerkidentitäten hinzufügen den Ordner Netzwerke, wählen Sie Intern aus, und klicken Sie dann Hinzufügen.

    9. Klicken Sie im Ordner Netzwerke auf Intern, und klicken Sie dann auf Hinzufügen.

    10. Wählen Sie Lokaler Host aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen.

    11. Klicken Sie auf der Seite Zugriffsregelziele im Assistenten für neue Zugriffsregeln auf Weiter.

    12. Klicken Sie im Dialogfeld Benutzersätze auf Hinzufügen.

  4. Klicken Sie auf der Seite Abschließen des Assistenten für neue Zugriffsregeln auf Fertig stellen.

So veröffentlichen Sie den WSUS-Webserver

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft ISA Server, und klicken Sie dann auf ISA Server-Verwaltung.

  2. Erweitern Sie im Navigationsbereich den Knoten Firewallrichtlinie, und klicken Sie dann im Bereich Tasks auf Webserver veröffentlichen.

    1. Geben Sie die Zugriffsregel Essentials WSUS-Webserver ein, und klicken Sie dann auf Weiter.

    2. Wählen Sie auf der Seite Regelaktion auswählen die Option Zulassen aus, und klicken Sie dann auf Weiter.

  3. Geben Sie im Dialogfeld Zu veröffentlichende Website festlegen in das Feld Computername oder IP-Adresse den Namen des Essentials-Verwaltungsservers ein.

  4. Geben Sie /* in das Feld Pfad ein, und klicken Sie dann auf Weiter.

  5. Geben Sie im Dialogfeld Details des öffentlichen Namens in das Textfeld Öffentlicher Name den Namen des Essentials-Verwaltungsservers ein, und klicken Sie dann auf Weiter.

  6. Klicken Sie im Dialogfeld Weblistener auswählen auf Hinzufügen.

    1. Geben Sie auf der Seite WillkommenEssentials-Weblistener ein, und klicken Sie dann auf Weiter.

    2. Aktivieren Sie auf der Seite IP-Adressen die Kontrollkästchen Intern und Lokaler Host, und klicken Sie dann auf Weiter.

  7. Führen Sie auf der Seite Portspezifizierung des Assistenten für neue Weblistener Folgendes aus:

    1. Aktivieren Sie das Kontrollkästchen HTTP aktivieren.

    2. Geben Sie unter HTTP-Port8530 ein.

    3. Aktivieren Sie das Kontrollkästchen SSL aktivieren.

    4. Geben Sie unter SSL-Port8531 ein.

    5. Klicken Sie auf Auswählen, wählen Sie das Zertifikat aus, das dem Hostnamen des Essentials-Verwaltungsservers entspricht, und klicken Sie dann auf OK.

    6. Klicken Sie auf Weiter.

  8. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  9. Führen Sie im Dialogfeld Weblistener auswählen Folgendes aus:

    1. Wählen Sie unter Weblistener die Option Essentials-Weblistener aus, und klicken Sie dann auf Weiter.

    2. Klicken Sie auf der Seite Benutzersätze auf Weiter.

  10. Klicken Sie auf der Seite Abschließen des Assistenten für neue Webveröffentlichungsregeln auf Fertig stellen.

  11. Klicken Sie in der ISA Server-Konsole mit der rechten Maustaste auf die Regel Essentials WSUS-Webserver, und klicken Sie dann auf Eigenschaften.

    1. Klicken Sie auf die Registerkarte Bis.

    2. Wählen sie Ursprung der Anforderungen scheint der ursprüngliche Client zu sein aus.

    3. Klicken Sie auf die Registerkarte Bridging.

    4. Geben Sie 8530 in das Feld Anfragen an HTTP-Port umleiten ein.

    5. Aktivieren Sie das Kontrollkästchen Anforderungen an SSL-Port umleiten:, und geben Sie 8531 ein.

    6. Klicken Sie auf OK.

  12. Klicken Sie in der ISA Server-Konsole auf Anwenden, um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

Siehe auch

Konzepte

Lokale Richtlinie oder Gruppenrichtlinie in System Center Essentials 2010
Planen der Bereitstellung von System Center Essentials 2010