Von Configuration Manager verwendete Ports

Letzte Aktualisierung: Juni 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 ist ein verteiltes Client/Server-System. Aufgrund der verteilten Struktur von Configuration Manager 2007 können Verbindungen zwischen Standortservern, Standortsystemen und Clients hergestellt werden. Einige Verbindungen verwenden nicht konfigurierbare Ports, andere verwenden anpassbare Ports. Bei Verwendung einer Portfilterungstechnologie, z. B. Firewalls, Router, Proxyserver und IPsec, müssen Sie überprüfen, ob die erforderlichen Ports verfügbar sind.

Configuration Manager 2007 ermöglicht Ihnen das Konfigurieren von Ports für folgende Kommunikationsarten:

• Client zu Standortsystem

• Client zu Internet (als Proxyservereinstellungen)

• Softwareupdatepunkt zu Internet (als Proxyservereinstellungen)

• Softwareupdatepunkt zu WSUS-Server

• Client zu Berichterstattungspunkt

Für die Kommunikation zwischen Client und Standortsystem werden standardmäßig HTTP-Port 80 und HTTPS-Port 443 verwendet. Die Ports für die Kommunikation zwischen Client und Standortsystem über HTTP oder HTTPS können während des Setups oder in den Standorteigenschaften für Ihren Configuration Manager-Standort geändert werden.

Die Porteinstellungen der Standortsystemrollen des Berichterstattungspunkts für die HTTP- und HTTPS-Kommunikation sind konfigurierbar. Sie werden auf der Eigenschaftenseite der Standortsystemrolle des Berichterstattungspunkts definiert. Standardmäßig stellen Benutzer die Verbindung zum Berichterstattungspunkt über HTTP-Port 80 und HTTPS-Port 443 her. Diese Ports werden nur bei der Installation definiert. Für eine erneute Definition des Kommunikationsports für den Berichterstattungspunkt muss das Berichterstattungspunkt-Standortsystem gelöscht und neu installiert werden.

Configuration Manager lässt keine Portkonfiguration für folgende Kommunikationsarten zu:

• Standort zu Standort (primär zu primär oder primär zu sekundär)

• Standortserver zu Standortsystem

• Standortserver zu Standortdatenbankserver

• Standortsystem zu Standortdatenbankserver

• Configuration Manager 2007-Konsole zu SMS-Anbieter

• Configuration Manager 2007-Konsole zu Internet

Die folgenden Portauflistungen werden von Configuration Manager 2007 verwendet und beinhalten keine Informationen für Windows-Standarddienste (z. B. Gruppenrichtlinieneinstellungen für Active Directory oder Kerberos-Authentifizierung). Weitere Informationen zu Diensten und Ports für Windows Server finden Sie unter https://go.microsoft.com/fwlink/?LinkID=123652.

Im folgenden Diagramm werden Verbindungen zwischen Configuration Manager 2007-Computern angezeigt. Die Nummer der Verknüpfung entspricht der Nummer in der Tabelle, in der die Ports für diese Verknüpfung aufgelistet werden. Die Pfeile zwischen den Computern stellen die Kommunikationsrichtung dar.

• -- > zeigt, dass ein Computer die Kommunikation initiiert und der andere Computer immer antwortet

• < -- > zeigt, dass beide Computer die Kommunikation initiieren können

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

Der Client benötigt die Ports, die vom Windows-Netzwerkzugriffsschutz-Client festgelegt wurden. Dies hängt vom verwendeten Erzwingungsclient ab. Beispielsweise werden für DHCP-Erzwingung die Ports UDP 67 und 68 verwendet. IPsec-Erzwingung verwendet die Ports TCP 80 oder 443 zur Integritätsregistrierungsstelle, Port UDP 500 für die IPsec-Aushandlung und die zusätzlichen für die IPsec-Filter notwendigen Ports. Weitere Informationen finden Sie in der Dokumentation zum Windows-Netzwerkzugriffsschutz. Weitere Informationen zum Konfigurieren von Firewalls für IPsec finden Sie unter https://go.microsoft.com/fwlink/?LinkId=109499 (maschinell übersetzter Artikel).

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

Der Berichterstattungspunkt und der Reporting Services Point verwenden dieselben Ports Der Reporting Services-Punkt ist nur für Configuration Manager 2007 R2 verfügbar.

Der Berichterstattungspunkt und der Reporting Services Point verwenden dieselben Ports Der Reporting Services Point ist nur in Configuration Manager 2007 R2 vorhanden.

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

Ein Configuration Manager-Client stellt keine Verbindung mit einem globalen Katalogserver her, wenn er für die reine Internetkommunikation konfiguriert ist oder einen Arbeitsgruppencomputer darstellt.

(siehe Hinweis 6, Kommunikation zwischen dem Standortserver und Standortsystemen)

1 Proxyserverport    Dieser Port kann nicht konfiguriert, aber durch einen konfigurierten Proxyserver weitergeleitet werden.

2 Alternativer Port verfügbar    Ein alternativer Port kann im Configuration Manager für diesen Wert definiert werden. Wenn ein benutzerdefinierter Port definiert wurde, ersetzen Sie diesen benutzerdefinierten Port, wenn Sie die IP-Filterinformationen für die IPsec-Richtlinien oder für die Konfiguration von Firewalls definieren.

3 RAS-Sender Configuration Manager 2007 kann zum Senden und Empfangen von Configuration Manager 2007-Standort-, Client- und administrativen Informationen durch eine Firewall auch den RAS-Sender mit dem Point-to-Point-Tunneling-Protokoll (PPTP) verwenden. In diesen Situationen wird der PPTP TCP-Port 1723 verwendet.

4 Windows Server Update Services WSUS können entweder auf der Standardwebsite (Port 80) oder auf einer benutzerdefinierten Website (Port 8530) installiert werden.

Nach der Installation kann der Port geändert werden. Es ist nicht erforderlich, in der gesamten Standorthierarchie dieselbe Portnummer zu verwenden.

Wenn der HTTP-Port 80 verwendet wird, muss der HTTPS-Port 443 sein.

Wenn ein anderer HTTP-Port verwendet wird, muss der HTTPS-Port eine Nummer höher sein. Bei Port 8530 wäre dies z. B. Port 8531.

5 Daemon für „Trivial FTP“ (TFTP) Der Daemon für „Trivial FTP“ (TFTP) erfordert weder einen Benutzernamen noch ein Kennwort und ist integraler Bestandteil der Windows-Bereitstellungsdienste (Windows Deployment Services, WDS). Der Daemaondienst für „Trivial FTP“ unterstützt das TFTP-Protokoll, das über folgende RFCs definiert ist:

• RFC 350 – TFTP

• RFC 2347 – Optionserweiterung

• RFC 2348 – Blockgrößenoption

• RFC 2349 – Timeoutintervall und Optionen zur Übertragungsgröße

Das Trivial File Transfer-Protokoll wurde zur Unterstützung von Startumgebungen ohne Datenträger entwickelt. TFTP-Daemons hören den UDP-Port 69 ab, antworten jedoch von einem dynamisch zugewiesenen, hohen Port. Aus diesem Grund kann der TFTP-Dienst bei Aktivierung dieses Ports eingehende TFTP-Anforderungen empfangen. Es wird jedoch nicht zugelassen, dass der ausgewählte Server auf diese Anforderungen reagiert. Der ausgewählte TFTP-Server kann erst dann auf eingehende TFTP-Anforderungen reagieren, wenn er so konfiguriert ist, dass die Antwort über Port 69 erfolgt.

6 Kommunikation zwischen dem Standortserver und Standortsystemen Standardmäßig erfolgt zwischen dem Standortserver und Standortsystemen eine bidirektionale Kommunikation. Der Standortserver initiiert die Kommunikation zum Konfigurieren des Standortsystems. Die meisten Standortsysteme können dann wiederum eine Verbindung zum Standortserver herstellen, um Statusinformationen zurückzusenden. Berichterstattungspunkte und Verteilungspunkte senden keine Statusinformationen zurück. Wenn Sie in den Eigenschaften des Standortsystems die Option Nur von Standortservern initiierte Datenübertragungen von diesem Standortsystem zulassen auswählen, initiiert das Standortsystem nie eine Kommunikation zurück zum Standortserver.

7 Von den Verteilungspunkten zum Application Virtualization-Streaming verwendete Ports Ein Verteilungspunkt, der zur Unterstützung von Application Virtualization aktiviert wurde, kann für die Verwendung von entweder HTTP oder HTTPS konfiguriert werden. Dieses Feature steht nur in Configuration Manager 2007 R2 zur Verfügung.

Wenn Sie NetBIOS über TCP/IP für die Configuration Manager 2007-Remotesteuerung einsetzen, werden die in der folgenden Tabelle beschriebenen Ports verwendet.

Wenn Sie das Feature der Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 verwenden, werden folgende Ports verwendet.

Welche Ports bei der Clientinstallation verwendet werden, hängt von der Methode der Clientbereitstellung ab. Eine Liste mit Ports für die einzelnen Clientbereitstellungsmethoden finden Sie unter Bei der Bereitstellung von Configuration Manager-Clients verwendete Ports. Informationen zum Konfigurieren der Windows-Firewall auf dem Client für die Clientinstallation und die Kommunikation nach der Installation finden Sie unter Firewall-Einstellungen für Configuration Manager-Clients.

In der folgenden Tabelle werden die wichtigsten von Windows Server verwendeten Ports mit den entsprechenden Funktionen aufgelistet. Eine vollständige Liste der Windows Server-Dienste und Netzwerkportanforderungen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=123652.

Wenn Sie die TCP/IP-Netzwerkbibliothek verwenden, aktivieren Sie Port 1433 auf der Firewall. Verwenden Sie die Hostdatei oder eine erweiterte Verbindungszeichenfolge für die Hostnamensauflösung.

Wenn Sie Named Pipes über TCP/IP verwenden, aktivieren Sie Port 139 für NetBIOS-Funktionen. NetBIOS sollte nur zur Behandlung von Kerberos-Problemen verwendet werden.

Von der Standardinstanz von SQL Server wird TCP-Port 1433 für die Netzwerkkommunikation verwendet. Wenn Sie eine benannte Instanz verwenden, wird die Portnummer dynamisch zugewiesen. Von Configuration Manager wird das manuelle Ändern oder Definieren der Portnummer für die Standardinstanz oder für benannte Instanzen von SQL Server nicht unterstützt.

Es wird nicht empfohlen, die UDP-Ports 137 und 138 für die NetBIOS-Namensauflösung mithilfe von B-Knoten-Broadcasts zu aktivieren. Stattdessen können Sie einen WINS-Server oder einen LMHOSTS-Dateinamen für die Namensauflösung verwenden.

Der internetbasierte Verwaltungspunkt, Softwareupdatepunkt und Fallbackstatuspunkt verwenden für Installation und Reparatur die folgenden Ports:

• Standortserver --> Standortsystem: RPC-Endpunktzuordnung, verwendet UDP und TCP-Port 135.

• Standortserver --> Standortsystem: RPC Dynamic TCP-Ports.

• Standortserver <--> Standortsystem: Server Message Blocks (SMB), verwenden TCP-Port 445.

Verteilungspunkte werden erst installiert, wenn ihnen das erste Paket zugewiesen wird. Für die Paketinstallation auf Verteilungspunkten sind die folgenden RPC-Ports erforderlich:

• Standortserver --> Verteilungspunkt: RPC-Endpunktzuordnung, verwendet UDP und TCP-Port 135.

• Standortserver --> Verteilungspunkt: RPC Dynamic TCP-Ports.

Verwenden Sie IPsec zur Sicherung des Datenverkehrs zwischen dem Standortserver und den Standortsystemen. Zur Einschränkung der von RPC verwendeten dynamischen Ports können Sie das RPC-Konfigurationstool von Microsoft (rpccfg.exe) verwenden. Dieses erlaubt die Konfiguration eines Portbereichs für die RPC-Pakete. Weitere Informationen zum RPC-Konfigurationstool finden Sie unter https://go.microsoft.com/fwlink/?LinkId=124096.

Firewall-Einstellungen für Configuration Manager-Clients

Technische Referenz für Sicherheit in Configuration Manager