Firewall de Windows y Configuración de puerto para los equipos cliente en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Los equipos cliente en System Center 2012 Configuration Manager que ejecutan Firewall de Windows a menudo requieren que se configuren excepciones para permitir la comunicación con su sitio. Las excepciones que debe configurar dependen de las características de administración que se usen con el cliente de Configuration Manager.
Use las secciones siguientes para identificar estas características de administración y para obtener más información acerca de cómo configurar Firewall de Windows para estas excepciones.
Modificación de los puertos y los programas permitidos por Firewall de Windows
Utilice el siguiente procedimiento para modificar los puertos y los programas en Firewall de Windows para el cliente de Configuration Manager.
Para modificar los puertos y los programas permitidos por Firewall de Windows
-
En el equipo que ejecuta Firewall de Windows, abra el Panel de Control.
-
Haga clic con el botón secundario en Firewall de Windows y, a continuación, haga clic en Abrir.
-
Configure las excepciones necesarias y los puertos y programas personalizados que necesite.
Programas y puertos que necesita Configuration Manager
Las siguientes características de Configuration Manager requieren excepciones del Firewall de Windows:
Consultas
Si ejecuta la consola de Configuration Manager en un equipo que ejecuta Firewall de Windows, las consultas producirán un error la primera vez que las ejecute y el sistema operativo mostrará un cuadro de diálogo preguntando si desea desbloquear statview.exe. Si desbloquea statview.exe, las consultas futuras se ejecutarán sin errores. También puede agregar manualmente Statview.exe a la lista de programas y servicios en la pestaña Excepciones de Firewall de Windows antes de ejecutar una consulta.
Instalación de inserción de cliente
Para usar la inserción de cliente para instalar el cliente de System Center 2012 Configuration Manager, agregue las excepciones siguientes al Firewall de Windows:
Entrante y saliente: Compartir archivos e impresoras
Entrante: Instrumental de administración de Windows (WMI)
Instalación del cliente mediante el uso de la directiva de grupo
Para usar la directiva de grupo para instalar el cliente de Configuration Manager, agregue Compartir archivos e impresoras como excepción al Firewall de Windows:
Solicitudes de cliente
Para que los equipos cliente se comuniquen con los sistemas de sitio de Configuration Manager, agregue las siguientes excepciones al Firewall de Windows:
Saliente: Puerto TCP 80 (para la comunicación HTTP)
Saliente: Puerto TCP 443 (para la comunicación HTTP)
.jpeg "System_CAPS_important") Importante |
|---|
Estos son los números de puerto predeterminados que se pueden cambiar en Configuration Manager. Para obtener más información, vea Cómo configurar números de puerto de comunicación del cliente en Configuration Manager. Si se han cambiado los valores predeterminados de estos puertos, también debe configurar las excepciones correspondientes en el Firewall de Windows. |
Notificación de cliente
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Para que el punto de administración notifique a los equipos cliente sobre una acción que deben efectuar cuando un usuario administrativo selecciona una acción de cliente en la consola de Configuration Manager, como descargar la directiva de equipo o iniciar un examen antimalware, agregue la siguiente excepción al Firewall de Windows:
Saliente: Puerto TCP 10123
Si esta comunicación no se realiza correctamente, Configuration Manager revierte automáticamente al uso del puerto de comunicación de HTTP o HTTPS entre el cliente y el punto de administración existente:
Saliente: Puerto TCP 80 (para la comunicación HTTP)
Saliente: Puerto TCP 443 (para la comunicación HTTP)
| Importante |
|---|
Estos son los números de puerto predeterminados que se pueden cambiar en Configuration Manager. Para obtener más información, vea Cómo configurar números de puerto de comunicación del cliente en Configuration Manager. Si se han cambiado los valores predeterminados de estos puertos, también debe configurar las excepciones correspondientes en el Firewall de Windows. |
Protección de acceso a redes
Para que los equipos cliente se puedan comunicar correctamente con el punto de Validador de mantenimiento del sistema, permita los puertos siguientes:
Saliente: UDP 67 y UDP 68 para DHCP
Saliente: TCP 80/443 para IPsec
Control remoto
Para usar el control remoto de Configuration Manager, permita el puerto siguiente:
- Entrante: Puerto TCP 2701
Asistencia remota y Escritorio remoto
Para iniciar Asistencia remota desde la consola de Configuration Manager, agregue el programa personalizado Helpsvc.exe y el puerto personalizado de entrada TCP 135 a la lista de programas y servicios permitidos en Firewall de Windows en el equipo cliente. También debe permitir Asistencia remota y Escritorio remoto. Si inicia Asistencia remota desde el equipo cliente, Firewall de Windows configura y permite de forma automática Asistencia remota y Escritorio remoto.
Proxy de reactivación
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Si habilita la configuración de cliente proxy de reactivación, un nuevo servicio llamado Proxy de reactivación de Configuration Manager usa un protocolo punto a punto para comprobar si hay otros equipos activados en la subred y los reactiva en caso necesario. Esta comunicación utiliza los siguientes puertos:
Saliente: Puerto UDP 25536
Saliente: Puerto UDP 9
Estos son los números de puerto predeterminado que se pueden cambiar en Configuration Manager mediante el uso de configuraciones de clientes de Administración de energía de Número de puerto de proxy de reactivación (UDP) y Número de puerto de Wake On LAN (UDP). Si especifica la configuración de cliente Administración de energía: Excepción del Firewall de Windows para proxy de reactivación, estos puertos se configuran automáticamente en el Firewall de Windows para los clientes. Sin embargo, si los clientes ejecutan otro firewall, debe configurar manualmente las excepciones para estos números de puerto.
Además de estos puertos, el proxy de reactivación también utiliza los mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) desde un equipo cliente a otro equipo cliente. Esta comunicación se utiliza para confirmar si el otro equipo cliente está activo en la red. ICMP se conoce a veces como comandos ping de TCP/IP.System Center 2012 Configuration Manager SP1 no configura el Firewall de Windows para estos comandos ping de TCP/IP y, a menos que esté ejecutando System Center 2012 R2 Configuration Manager, debe permitir manualmente este tráfico ICMP para que la comunicación del proxy de reactivación sea correcta.
Si tiene System Center 2012 Configuration Manager SP1 en lugar de System Center 2012 R2 Configuration Manager, utilice el procedimiento siguiente para configurar el Firewall de Windows con una regla de entrada personalizada que permita los comandos ping de TCP/IP entrantes para el proxy de reactivación.
Para configurar Firewall de Windows para permitir comandos ping de TCP/IP
-
En el Firewall de Windows con la consola de Seguridad avanzada, cree una nueva regla de entrada.
-
En el Asistente para nueva regla de entrada, en la página Tipo de regla, seleccione Personalizada y haga clic en Siguiente.
-
En la página Programa, mantenga el valor predeterminado de Todos los programas y haga clic en Siguiente.
-
En la página Protocolos y puertos, haga clic en la lista desplegable de Tipo de protocolo, seleccione ICMPv4 y, a continuación, haga clic en el botón Personalizar.
-
En el cuadro de diálogo Personalizar configuración de ICMP, haga clic en Tipos de ICMP específicos, seleccione Solicitud de eco y, a continuación, haga clic en Aceptar.
-
En el Asistente para nueva regla de entrada, haga clic en Siguiente.
-
En la página Ámbito, mantenta la configuración predeterminada de cualquier dirección IP local o remota y haga clic en Siguiente.
-
En la página Acción, asegúrese de que está seleccionado Permitir la conexión y, a continuación, haga clic en Siguiente.
-
En la página Perfil, seleccione los perfiles que usarán el proxy de reactivación (por ejemplo, Dominio) y, a continuación, haga clic en Siguiente.
-
En la página Nombre, especifique un nombre para esta regla personalizada y, de forma opcional, escriba una descripción para ayudarle a identificar que esta regla es necesaria para la comunicación del proxy de reactivación. A continuación, haga clic en Finalizar para cerrar el asistente.
Para más información sobre el proxy de reactivación, consulte la sección Planeación de la reactivación de clientes en el tema Planeación de las comunicaciones en Configuration Manager.
Visor de eventos de Windows, Monitor de rendimiento de Windows y Diagnósticos de Windows
Para acceder al Visor de eventos de Windows, al Monitor de rendimiento de Windows y a Diagnósticos de Windows desde la consola de Configuration Manager, habilite Compartir archivos e impresoras como una excepción en Firewall de Windows.
Puertos utilizados durante la implementación de cliente de Configuration Manager
Las tablas siguientes enumeran los puertos que se utilizan durante el proceso de instalación del cliente.
| Importante |
|---|
Si existe un firewall entre los servidores de sistema de sitio y el equipo cliente, confirme si el firewall permite el tráfico en los puertos necesarios para el método de instalación de cliente que elija. Por ejemplo, los firewall suelen impedir que se produzca la instalación de inserción de cliente correctamente porque bloquean el Bloque de mensajes del servidor (SMB) y las llamadas a procedimiento remoto (RPC). En este escenario, utilice un método de instalación de cliente diferente, como la instalación manual (ejecutando CCMSetup.exe) o la instalación de cliente basada en directiva de grupo. Estos métodos de instalación de cliente alternativos no requieren SMB o RPC. |
Para obtener información sobre cómo configurar Firewall de Windows en el equipo cliente, consulte Modificación de los puertos y los programas permitidos por Firewall de Windows.
Puertos que se usan para todos los métodos de instalación
Descripción |
UDP |
TCP |
|---|---|---|
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de estado de reserva, cuando se asigna un punto de estado de reserva al cliente. |
-- |
80 (Véase la nota 1, Puerto alternativo disponible) |
Puertos que se utilizan con la instalación de inserción de cliente
Además de los puertos enumerados en la tabla siguiente, la instalación de inserción de cliente también usa mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) desde el servidor de sitio al equipo cliente para confirmar si el equipo cliente está disponible en la red. ICMP se conoce a veces como comandos ping de TCP/IP. ICMP no tiene un número de protocolo UDP o TCP y, por lo tanto, no aparece en la tabla siguiente. Sin embargo, los dispositivos de red que intervienen, tales como firewalls, deben permitir el tráfico ICMP para que la instalación de inserción de cliente se produzca correctamente.
Descripción |
UDP |
TCP |
|---|---|---|
Bloque de mensajes del servidor (SMB) entre el equipo cliente y el servidor de sitio. |
-- |
445 |
Asignador de extremos de RPC entre el servidor de sitio y el equipo cliente. |
135 |
135 |
Puertos dinámicos de RPC entre el servidor de sitio y el equipo cliente. |
-- |
DINÁMICO |
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTP. |
-- |
80 (Véase la nota 1, Puerto alternativo disponible) |
Protocolo seguro de transferencia de hipertexto (HTTPS) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTPS. |
-- |
443 (véase la nota 1, Puerto alternativo disponible) |
Puertos que se utilizan con la instalación basada en el punto de actualización de software
Descripción |
UDP |
TCP |
|---|---|---|
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente al punto de actualización de software. |
-- |
80 o 8530 (Véase la nota 2, Windows Server Update Services) |
Protocolo seguro de transferencia de hipertexto (HTTPS) desde el equipo cliente al punto de actualización de software. |
-- |
443 o 8531 (véase la nota 2, Windows Server Update Services) |
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente cuando especifica la propiedad de la línea de comandos CCMSetup /source:<ruta>. |
-- |
445 |
Puertos que se utilizan con la instalación basada en directiva de grupo
Descripción |
UDP |
TCP |
|---|---|---|
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTP. |
-- |
80 (Véase la nota 1, Puerto alternativo disponible) |
Protocolo seguro de transferencia de hipertexto (HTTPS) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTPS. |
-- |
443 (véase la nota 1, Puerto alternativo disponible) |
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente cuando especifica la propiedad de la línea de comandos CCMSetup /source:<ruta>. |
-- |
445 |
Puertos que se utilizan con la instalación manual y la instalación basada en script de inicio de sesión
Descripción |
UDP |
TCP |
|---|---|---|
Bloque de mensajes del servidor (SMB) entre el equipo cliente y un recurso compartido de red desde el que se ejecuta CCMSetup.exe. Nota Cuando instala System Center 2012 Configuration Manager, los archivos de origen de la instalación del cliente se copian y se comparten de forma automática desde la carpeta <RutaDeInstalación>;\Client en puntos de administración. Sin embargo, puede copiar estos archivos y crear un nuevo recurso compartido en cualquier equipo de la red. Como alternativa, puede eliminar este tráfico de red ejecutando CCMSetup.exe localmente, por ejemplo, mediante el uso de medios extraíbles. |
-- |
445 |
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTP y no se especifica la propiedad de la línea de comandos CCMSetup /source:<ruta>. |
-- |
80 (Véase la nota 1, Puerto alternativo disponible) |
Protocolo seguro de transferencia de hipertexto (HTTPS) desde el equipo cliente a un punto de administración cuando la conexión es a través de HTTPS y no se especifica la propiedad de la línea de comandos CCMSetup /source:<ruta>. |
-- |
443 (véase la nota 1, Puerto alternativo disponible) |
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente cuando especifica la propiedad de la línea de comandos CCMSetup /source:<ruta>. |
-- |
445 |
Puertos que se utilizan con la instalación basada la distribución de software
Descripción |
UDP |
TCP |
|---|---|---|
Bloque de mensajes del servidor (SMB) entre el punto de distribución y el equipo cliente. |
-- |
445 |
Protocolo de transferencia de hipertexto (HTTP) desde el cliente a un punto de distribución cuando la conexión es a través de HTTP. |
-- |
80 (Véase la nota 1, Puerto alternativo disponible) |
Protocolo seguro de transferencia de hipertexto (HTTPS) desde el cliente a un punto de distribución cuando la conexión es a través de HTTPS. |
-- |
443 (véase la nota 1, Puerto alternativo disponible) |
Notas
1 Puerto alternativo disponible En Configuration Manager, puede definir un puerto alternativo para este valor. Si se definió un puerto personalizado, sustituya ese puerto personalizado cuando defina la información del filtro IP para las directivas IPsec o para configurar firewalls.
2 Windows Server Update Services Puede instalar Windows Server Update Service (WSUS) tanto en el sitio web predeterminado (puerto 80) como en un sitio web personalizado (puerto 8530).
Después de la instalación, puede cambiar el puerto. No es necesario utilizar el mismo número de puerto en toda la jerarquía del sitio.
Si el puerto HTTP es 80, el puerto HTTPS debe ser 443.
Si el puerto HTTP es cualquier otro, el puerto HTTPS debe ser 1 valor mayor (por ejemplo, 8530 y 8531).