Paramètres de port et de pare-feu Windows pour les ordinateurs clients dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Les ordinateurs clients de System Center 2012 Configuration Manager qui utilisent le Pare-feu Windows nécessitent souvent que des exceptions soient configurées pour permettre la communication avec leur site. Les exceptions que vous devez configurer dépendent des fonctionnalités de gestion que vous utilisez avec le client Configuration Manager.
Utilisez les sections suivantes pour identifier ces fonctionnalités de gestion et pour obtenir plus d'informations sur la configuration du Pare-feu Windows pour ces exceptions.
Modification des ports et programmes autorisés par le Pare-feu Windows
Utilisez la procédure suivante pour modifier les ports et les programmes du Pare-feu Windows pour le client Configuration Manager.
Pour modifier les ports et programmes autorisés par le Pare-feu Windows
-
Sur l'ordinateur exécutant le Pare-feu Windows, ouvrez le Panneau de configuration.
-
Cliquez avec le bouton droit sur Pare-feu Windows, puis cliquez sur Ouvrir.
-
Configurez toutes les exceptions nécessaires et tous les programmes et ports personnalisés dont vous avez besoin.
Programmes et ports dont Configuration Manager a besoin
Les fonctionnalités de Configuration Manager suivantes nécessitent des exceptions sur le Pare-feu de Windows :
Requêtes
Si vous exécutez la console Configuration Manager sur un ordinateur qui exécute le Pare-feu Windows, les requêtes échouent lors de leur première exécution et le système d'exploitation affiche une boîte de dialogue vous demandant si vous voulez débloquer statview.exe. Si vous débloquez statview.exe, les requêtes ultérieures s'exécuteront sans erreur. Vous pouvez également ajouter manuellement le fichier Statview.exe à la liste des programmes et services dans l'onglet Exceptions du Pare-feu Windows avant d'exécuter une requête.
Installation poussée du client
Pour pouvoir procéder à une installation poussée du client System Center 2012 Configuration Manager, ajoutez les éléments suivants en tant qu'exceptions au Pare-feu Windows :
Éléments sortants et entrants : Partage de fichiers et d'imprimantes
Entrant : Windows Management Instrumentation (WMI)
Installation du client à l'aide de la stratégie de groupe
Pour utiliser la stratégie de groupe afin d'installer le client Configuration Manager, ajoutez Partage de fichiers et d'imprimantes en tant qu'exception au Pare-feu Windows.
Requêtes client
Pour que les ordinateurs clients puissent communiquer avec les systèmes de site Configuration Manager, vous devez ajouter les éléments suivants au Pare-feu Windows en tant qu'exceptions :
Sortant : Port TCP 80 (pour communications HTTP)
Sortant : Port TCP 443 (pour communications HTTPS)
Important
Ces numéros de port sont les valeurs par défaut. Elles peuvent être modifiées dans Configuration Manager. Pour plus d'informations, voir Comment configurer des numéros de ports de communication des clients dans Configuration Manager. Si ces ports ont été modifiés par rapport aux valeurs par défaut, vous devez également configurer des exceptions correspondantes pour le Pare-feu Windows.
Notification du client
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Pour que le point de gestion signale aux ordinateurs clients les actions qu'ils doivent prendre lorsqu'un utilisateur administratif sélectionne une action de client dans la console Configuration Manager (téléchargement d'une stratégie d'ordinateur, démarrage d'une recherche de programmes malveillants, etc.), ajoutez l'exception suivante au Pare-feu Windows :
Sortant : Port TCP 10123
Si la communication n'aboutit pas, Configuration Manager recommence automatiquement à utiliser le port de communication HTTP ou HTTPS existant entre le client et le point de gestion :
Sortant : Port TCP 80 (pour communications HTTP)
Sortant : Port TCP 443 (pour communications HTTPS)
Important
Ces numéros de port sont les valeurs par défaut. Elles peuvent être modifiées dans Configuration Manager. Pour plus d'informations, voir Comment configurer des numéros de ports de communication des clients dans Configuration Manager. Si ces ports ont été modifiés par rapport aux valeurs par défaut, vous devez également configurer des exceptions correspondantes pour le Pare-feu Windows.
protection d'accès réseau (NAP),
Pour que les ordinateurs clients puissent communiquer correctement avec le point du programme de validation d'intégrité système, autorisez les ports suivants :
Sortant : UDP 67 et UDP 68 pour DHCP
Sortant : TCP 80/443 pour IPsec
Contrôle à distance
Pour utiliser le contrôle à distance de Configuration Manager, autorisez le port suivant :
- Entrant : Port TCP 2701
Assistance à distance et Bureau à distance
Pour lancer l'assistance à distance depuis la console Configuration Manager, ajoutez le programme personnalisé Helpsvc.exe et le port personnalisé entrant TCP 135 à la liste des programmes et services autorisés dans le Pare-feu Windows de l'ordinateur client. Vous devez également autoriser l'Assistance à distance et le Bureau à distance. Si vous lancez l'assistance à distance depuis l'ordinateur client, le Pare-feu Windows configure et autorise automatiquement l'Assistance à distance et le Bureau à distance.
Proxy de mise en éveil
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Si vous activez le paramètre client du proxy de mise en éveil, un nouveau service appelé ConfigMgr Wake-up Proxy utilise un protocole pair à pair pour savoir si d'autres ordinateurs du sous-réseau sont en éveil et pour les mettre en éveil, le cas échéant. Cette communication utilise les ports suivants :
Sortant : Port UDP 25536
Sortant : Port UDP 9
Ces numéros correspondent aux ports par défaut qui peuvent être modifiés dans Configuration Manager en utilisant les paramètres client de Gestion de l'alimentation appelés Numéro de port du proxy de mise en éveil (UDP) et Numéro de port Wake On LAN (UDP). Si vous activez le paramètre client Gestion de l'alimentation : Exception du Pare-feu Windows pour le proxy de mise en éveil, ces ports sont configurés automatiquement dans le Pare-feu Windows des clients. Toutefois, si les clients exécutent un autre pare-feu, vous devez configurer manuellement les exceptions pour ces numéros de port.
En plus de ces ports, le proxy de mise en éveil utilise également des messages de demande d'écho ICMP (Internet Control Message Protocol) entre un ordinateur client et un autre ordinateur client. Cette communication permet de savoir si l'autre ordinateur client est en éveil sur le réseau. ICMP est parfois appelé commandes ping TCP/IP.System Center 2012 Configuration Manager SP1 ne configure pas le Pare-feu Windows pour ces commandes ping TCP/IP et vous devez donc autoriser manuellement ce trafic ICMP pour que la communication avec le proxy de mise en éveil puisse être établie, sauf si vous exécutez System Center 2012 R2 Configuration Manager.
Si vous possédez System Center 2012 Configuration Manager SP1 plutôt que System Center 2012 R2 Configuration Manager, procédez comme suit pour configurer le Pare-feu Windows à l'aide d'une règle de trafic personnalisé qui autorise les commandes ping TCP/IP entrantes pour le proxy de mise en éveil
Pour configurer le Pare-feu Windows de façon à ce qu'il autorise les commandes ping TCP/IP
-
Dans la console du Pare-feu Windows avec fonctions avancées de sécurité, créez une règle de trafic entrant.
-
Dans l'Assistant Nouvelle règle de trafic entrant, sur la page Type de règle, sélectionnez Personnalisée, puis cliquez sur Suivant.
-
Sur la page Programme, conservez la valeur par défaut Tous les programmes, puis cliquez sur Suivant.
-
Sur la page Protocoles et ports, cliquez sur le menu déroulant Type de protocole, sélectionnez ICMPv4, puis cliquez sur le bouton Personnaliser.
-
Dans la boîte de dialogue Personnaliser les paramètres ICMP, cliquez sur Certains types ICMP, sélectionnez Demande d'écho, puis cliquez sur OK.
-
Dans l'Assistant Nouvelle règle de trafic entrant, cliquez sur Suivant.
-
Sur la page Étendue, conservez les paramètres par défaut des adresses IP locales ou distantes, puis cliquez sur Suivant.
-
Sur la page Action, vérifiez que l'option Autoriser la connexion est sélectionnée, puis cliquez sur Suivant.
-
Sur la page Profil, sélectionnez les profils qui utiliseront le proxy de mise en éveil (Domaine, par exemple), puis cliquez sur Suivant.
-
Sur la page Nom, spécifiez un nom pour cette règle personnalisée et tapez éventuellement une description indiquant que cette règle est nécessaire pour communiquer avec le proxy de mise en éveil. Cliquez ensuite sur Terminer pour fermer l'Assistant.
Pour plus d'informations sur le proxy de mise en éveil, voir la section Planification de l'éveil des clients de la rubrique Planification de communications dans Configuration Manager.
Observateur d'événements de Windows, Analyseur de performances de Windows et Diagnostics Windows
Pour accéder à l'Observateur d'événements de Windows, à l'Analyseur de performances de Windows et à Diagnostics Windows depuis la console Configuration Manager, activez Partage de fichiers et d'imprimantes en tant qu'exception sur le Pare-feu Windows.
Ports utilisés lors du déploiement du client de Configuration Manager
Les tableaux suivants référencent les ports utilisés lors du processus d'installation du client.
Important
S'il existe un pare-feu entre les serveurs de système de site et l'ordinateur client, confirmez si le pare-feu autorise le trafic pour les ports requis pour la méthode d'installation du client que vous avez choisie. Par exemple, les pare-feu causent souvent l'échec d'une installation poussée du client car ils bloquent le protocole SMB et les appels de procédure distante (RPC). Dans ce cas, utilisez une méthode d'installation du client différente, telle que l'installation manuelle (en exécutant CCMSetup.exe) ou l'installation du client basée sur une stratégie de groupe. Ces méthodes alternatives d'installation du client ne nécessitent pas de protocole SMB ou RPC.
Pour plus d'informations sur la façon de configurer le Pare-feu Windows sur l'ordinateur client, consultez Modification des ports et programmes autorisés par le Pare-feu Windows.
Ports utilisés pour toutes les méthodes d'installation
Description |
UDP |
TCP |
|---|---|---|
Protocole HTTP (Hypertext Transfer) à partir de l'ordinateur client vers un point d'état de secours, lorsqu'un point d'état de secours est affecté au client. |
-- |
80 (Voir remarque 1, Port alternatif disponible) |
Ports utilisés avec l'installation poussée du client
Outre les ports répertoriés dans le tableau ci-après, l'installation poussée du client utilise également les messages de demande echo Internet Control Message Protocol (ICMP) à partir du serveur du site vers l'ordinateur client pour vérifier si l'ordinateur client est disponible sur le réseau. ICMP est parfois appelé commandes ping TCP/IP. ICMP ne dispose pas d'un numéro de protocole UDP ou TCP, et par conséquent, il ne figure pas dans le tableau suivant. Toutefois, tous les périphériques réseau concernés, tels que les pare-feux, doivent autoriser le trafic ICMP pour l'installation poussée du client.
Description |
UDP |
TCP |
|---|---|---|
Server Message Block (SMB) entre le serveur de site et l'ordinateur client. |
-- |
445 |
Mappeur de point de terminaison RPC entre le serveur de site et l'ordinateur client. |
135 |
135 |
Ports dynamiques RPC entre le serveur de site et l'ordinateur client. |
-- |
DYNAMIC |
Protocole HTTP depuis l'ordinateur client vers un point de gestion lorsque la connexion est effectuée via HTTP. |
-- |
80 (Voir remarque 1, Port alternatif disponible) |
Protocole HTTPS depuis l'ordinateur client vers un point de gestion lorsque la connexion est effectuée via HTTPS. |
-- |
443 (Voir remarque 1, Port alternatif disponible) |
Ports utilisés avec l'installation basée sur le point de mise à jour logicielle
Description |
UDP |
TCP |
|---|---|---|
Protocole HTTP (Hypertext Transfer Protocol) à partir de l'ordinateur client vers le point de mise à jour logicielle. |
-- |
80 ou 8530 (Voir remarque 2, Windows Server Update Services) |
Protocole HTTPS (Secure Hypertext Transfer Protocol) à partir de l'ordinateur client vers le point de mise à jour logicielle. |
-- |
443 ou 8531 (Voir remarque 2, Windows Server Update Services) |
SMB (Server Message Block) entre le serveur source et l'ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<Chemin d'accès>. |
-- |
445 |
Ports utilisés avec l'installation basée sur une stratégie de groupe
Description |
UDP |
TCP |
|---|---|---|
Protocole HTTP depuis l'ordinateur client vers un point de gestion lorsque la connexion est effectuée via HTTP. |
-- |
80 (Voir remarque 1, Port alternatif disponible) |
Protocole HTTPS depuis l'ordinateur client vers un point de gestion lorsque la connexion est effectuée via HTTPS. |
-- |
443 (Voir remarque 1, Port alternatif disponible) |
SMB (Server Message Block) entre le serveur source et l'ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<chemin_accès>. |
-- |
445 |
Ports utilisés avec l'installation manuelle et l'installation basée sur un script d'ouverture de session
Description |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) entre l'ordinateur client et un partage réseau à partir duquel vous exécutez CCMSetup.exe. Notes Quand vous installez System Center 2012 Configuration Manager, les fichiers sources d'installation du client sont copiés et partagés automatiquement à partir du dossier <chemin_accès_installation>\Client sur les points de gestion. Toutefois, vous pouvez copier ces fichiers et créer un nouveau partage sur n'importe quel ordinateur du réseau. Vous pouvez également éliminer ce trafic réseau en exécutant CCMSetup.exe localement, par exemple, à l'aide d'un support amovible. |
-- |
445 |
Protocole HTTP depuis l'ordinateur client vers un point de gestion quand la connexion est effectuée via HTTP et que vous ne spécifiez pas la propriété de ligne de commande CCMSetup /source:<chemin_accès>. |
-- |
80 (Voir remarque 1, Port alternatif disponible) |
Protocole HTTPS depuis l'ordinateur client vers un point de gestion quand la connexion est effectuée via HTTPS et que vous ne spécifiez pas la propriété de ligne de commande CCMSetup /source:<chemin_accès>. |
-- |
443 (Voir remarque 1, Port alternatif disponible) |
SMB (Server Message Block) entre le serveur source et l'ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<chemin_accès>. |
-- |
445 |
Ports utilisés avec l'installation basée sur la distribution de logiciels
Description |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) entre le point de distribution et l'ordinateur client. |
-- |
445 |
Protocole HTTP depuis le client vers un point de distribution lorsque la connexion est effectuée via HTTP. |
-- |
80 (Voir remarque 1, Port alternatif disponible) |
Protocole HTTPS depuis le client vers un point de distribution lorsque la connexion est effectuée via HTTPS. |
-- |
443 (Voir remarque 1, Port alternatif disponible) |
Remarques
Port alternatif disponible Dans Configuration Manager, vous pouvez définir un port alternatif pour cette valeur. Si un port personnalisé a été défini, remplacez-le quand vous définissez les informations de filtre IP pour les stratégies IPsec ou pour la configuration de pare-feu.
2 Windows Server Update Services Vous pouvez installer Windows Server Update Services (WSUS) sur le site Web par défaut (port 80) ou sur un site Web personnalisé (port 8530).
Après l'installation, vous pouvez modifier le port. Vous n'avez pas à utiliser le même numéro de port dans l'ensemble de la hiérarchie du site.
Si le numéro de port HTTP est 80, le numéro de port HTTPS doit être 443.
S'il s'agit d'un autre numéro de port HTTP, le numéro de port HTTPS doit être supérieur de 1 (par exemple 8530 et 8531).