Windows Firewall- en poortinstellingen voor clientcomputers in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Clientcomputers in System Center 2012 Configuration Manager die Windows Firewall uitvoeren, vereisen dikwijls dat u uitzonderingen configureert om communicatie mogelijk te maken met hun site. De uitzonderingen die u moet configureren, hangen af van het beheer van functies dat u gebruikt met de Configuration Manager-client.
Gebruik de volgende secties om deze beheerfuncties te identificeren en voor meer informatie over hoe Windows Firewall te configureren voor deze uitzonderingen.
De poorten en programma's toegestaan door Windows Firewall wijzigen
Gebruik de volgende procedure om de poorten en programma's op Windows Firewall te wijzigen voor de Configuration Manager-client.
De door Windows Firewall toegstane poorten en programma's wijzigen
-
Open configuratiescherm op de computer waarop Windows Firewall uitgevoerd wordt.
-
Klik met de rechtermuisknop op Windows Firewall en klik dan op Open.
-
Configureer vereiste uitzonderingen en aangepaste programma's en poorten die u wenst.
Programma's en poorten die Configuration Manager vereist
De volgende Configuration Manager-functies vereisen uitzonderingen op de Windows Firewall:
Query's
Indien u de Configuration Manager-console uitgevoerd wordt op een computer die Windows Firewall uitvoert, falen query's de eerste keer dat ze uitgevoerd worden en het besturingssysteem geeft een dialoogvenster dat u vraagt of u statview.exe wilt deblokkeren. Indien u statview.exe deblokkeert zullen volgende query's zonder problemen uitgevoerd worden. U kunt ook handmatig Statview.exe toevoegen aan de lijst van prgramma's en diensten op het tabblad Uitzonderingen van de Windows Firewall vóór u een query uitvoert.
Clientpushinstallatie
Voeg, om client-push te gebruiken om de System Center 2012 Configuration Manager-client te installeren, het volgende als uitzonderingen toe aan de Windows Firewall:
Uitgaande en binnenkomende: Bestands- en printerdeling
Inkomende: Windows Management Instrumentation (WMI)
Installatie van de client via groepsbeleid
Voeg, om groepsbeleid te gebruiken om de Configuration Manager client te installeren, Bestands- en printerdeling toe als uitzondering aan de Windows Firewall:
Aanvragen van client
Voeg, om clientcomputers te laten communiceren met Configuration Manager-sitesystemen, het volgende als uitzonderingen toe aan de Windows Firewall:
Uitgaand: TCP-poort 80 (voor HTTP-communicatie)
Uitgaand: TCP-poort 443 (voor HTTPS-communicatie)
.jpeg "System_CAPS_important") Belangrijk |
|---|
Dit zijn standaardpoortnummers die gewijzigd kunnen worden in Configuration Manager. Zie Poortnummers voor clientcommunicatie configureren in Configuration Manager voor meer informatie. Indien deze poorten gewijzigd zijn ten opzichte van hun standaardwaarden, moet u ook overeenkomstige uitzonderingen configureren op de Windows Firewall. |
Clientmeldingen
Voor System Center 2012 Configuration Manager SP1 en later:
Voeg het volgende toe als een uitzondering voor Windows Firewall zodat het beheerpunt de clientcomputers op de hoogte kan stellen van een actie die het moet uitvoeren wanneer een gebruiker met beheerdersrechten een clientactie selecteert in de Configuration Manager-console, zoals computerbeleid voor downloaden of het initiëren van een malwarescan:
Uitgaand: TCP-poort 10123
Indien deze communicatie niet slaagt, valt Configuration Manager automatisch terug op het gebruik van de bestaande client-tot-beheerpunt communicatiepoort van HTTP of HTTPS:
Uitgaand: TCP-poort 80 (voor HTTP-communicatie)
Uitgaand: TCP-poort 443 (voor HTTPS-communicatie)
| Belangrijk |
|---|
Dit zijn standaardpoortnummers die gewijzigd kunnen worden in Configuration Manager. Zie Poortnummers voor clientcommunicatie configureren in Configuration Manager voor meer informatie. Indien deze poorten gewijzigd zijn ten opzichte van hun standaardwaarden, moet u ook overeenkomstige uitzonderingen configureren op de Windows Firewall. |
Network Access Protection
Laat de volgende poorten toe zodat clientcomputers succesvol kunnen communiceren met het controlepunt van systeemstatus:
Uitgaand: UDP 67 en UDP 68 voor DHCP
Uitgaand: TCP 80/443 voor IPsec
Extern beheer
Laat de volgende poort toe om Configuration Manager externe controle toe te laten:
- Inkomende: TCP-poort 2701
Hulp op afstand en extern bureaublad
Voeg, om hulp op afstand van de Configuration Manager-console te initiëren, het aangepaste programma Helpsvc.exe en de inkomende aangepaste TCP-poort 135 toe aan de lijst van toegestane programma's en services in Windows Firewall op de clientcomputer. U moet ook Hulp op afstand en Extern bureaublad toestaan. Indien u Hulp op afstand initieert van de clientcomputer, configureert Firewall automatisch Hulp op afstand en Extern bureaublad en laat ze ook toe.
Wake-Up proxy
Voor System Center 2012 Configuration Manager SP1 en later:
Indien u de instelling voor wake-up proxy client inschakelt, gebruikt een nieuwe service met de naam ConfigMgr wake-up proxy een peer-to-peer protocol om te controleren of er computers actief zijn op het subnet en om ze indien nodig te activeren. Deze mededeling maakt gebruik van de volgende poorten:
Uitgaand: UDP-poort 25536
Uitgaand: UDP-poort 9
Dit zijn de standaardpoortnummers die kunnen gewijzigd worden in Configuration Manager door gebruik te maken van de Energiebeheer-instellingen van clients van Wake-up proxy poortnummer (UDP) en Wake On LAN-pooortnummer (UDP). Indien u het Energiebeheer specificeert: Windows Firewall uitzondering voor wake-up proxy clientinstelling, deze poorten worden automatisch geconfigureerd in Windows Firewall voor clients. Indien clients evenwel een verschillende firewall uitvoeren, moet u handmatig de uitzonderingen voor deze poortnummers configureren.
Behalve deze poorten gebruikt wake-up proxy ook Internet Control Message Protocol (ICMP) echoaanvraagberichten van één clientcomputer aan een andere clientcomputer. Deze communicatie wordt gebruikt om te bevestigen of de andere clientcomputer actief is op het netwerk. Naar ICMP wordt soms verwezen als TCP/IP-pingopdrachten. System Center 2012 Configuration Manager SP1 configureert Windows Firewall niet voor deze TCP/IP-ping-opdrachten en tenzij u System Center 2012 R2 Configuration Manager uitvoert, moet u handmatig dit ICMP-verkeer toestaan opdat wake-up proxycommunicatie zou kunnen slagen.
Indien u System Center 2012 Configuration Manager SP1 hebt in plaats van System Center 2012 R2 Configuration Manager, gebruik dan de volgende procedure om u te helpen Windows Firewall te configureren met een aangepaste regel binnenkomende verbindingen die binnenkomende TCP/IP-ping-opdrachten toestaat voor wake-up proxy.
Windows Firewall configureren om TCP/IP-pingopdrachten toe te laten
-
Creëer in de Windows Firewall met gevanceerde beveiligingsconsole een nieuwe regel binnenkomende verbindingen.
-
Selecteer, in de Wizard voor nieuwe regels voor binnenkomende verbindingen, op de pagina Regeltype de optie Aangepast en klik dan op Volgende.
-
Behoud, op de pagina Programma, de standaard van Alle programma's, en klik dan op Volgende.
-
Klik, op de pagina Protocols en poorten, op de vervolgkeuze voor Protocoltype, selecteer ICMPv4 en klik dan op de knop Aanpassen.
-
Klik, in het dialoogvenster Pas ICMP-instellingen aan op Specifieke ICMP-types, selecteer Echoaanvraag en klik dan op OK.
-
Klik, in de wizard voor nieuwe regels voor binnenkomende verbindingen, op Volgende.
-
Behoud, op de pagina Bereik, de standaardinstellingen voor lokale en externe IP-adressen en klik op Volgende.
-
Verzeker u, op de pagina Actie, dat Laat toe dat de verbinding geselecteerd is en klik dan op Volgende.
-
Selecteer, op de pagina Profiel, de profielen die wake-up proxy zullen gebruiken (bijvoorbeeld, Domein) en klik dan op Volgende.
-
Specificeer, op de pagina Naam, een naam voor deze aangepaste regel en tik een beschrijving in die helpt vast te stellen dat deze regel vereist is voor wake-up proxycommunicatie. Klik dan op Beëindig om de wizard te sluiten.
Voor meer informatie over wake-up proxy, zie de sectie Methoden plannen voor ontwaken van clients in het onderwerp Communicatie plannen in Configuration Manager.
Logboeken van Windows, prestatiemeter van Windows en Windows diagnostische gegevens
Schakel, om toegang te hebben tot de logboeken van Windows, de prestatiemeter van Windows en Windows diagnostische gegevens van de Configuration Manager-console, Bestands- en printerdeling in als een uitzondering op de Windows Firewall.
Poorten die worden gebruikt tijdens de implementatie van de Configuration Manager-client
De volgende tabellen geeft de lijst van de poorten die gebruikt worden tijdens het installatieproces van de klant.
| Belangrijk |
|---|
Bevestig, indien er een firewall is tussen de sitesysteemservers en de clientcomputer, of de firewall verkeer toestaat voor de poorten die vereist zijn voor de clientinstallatiemethode die u kiest. Firewalls verhinderen bijvoorbeeld dikwijls het succes van clientpushinstallatie omdat ze Server Message Block (SMB) en Remote Procedure Calls (RPC) blokkeren. Gebruik in dit scenario een andere clientinstallatiemethode, zoals handmatige installatie (uitvoeren van CCMSetup.exe) of groepsbeleid-gebaseerde clientinstallatie. Deze alternatieve clientinstallatiemethodes vereisen geen SMB of RPC. |
Voor informatie over hoe Windows Firewall te configureren op de clientcomputer, zie De poorten en programma's toegestaan door Windows Firewall wijzigen.
Poorten die worden gebruikt voor alle installatiemethoden
Beschrijving |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een terugvalstatuspunt, wanneer een terugvalstatuspunt toegekend is aan de client. |
-- |
80 (zie opmerking 1, alternatieve poort beschikbaar) |
Poorten die worden gebruikt met clientpushinstallatie
Behalve de poorten die voorkomen in de lijst in de volgende tabel, gebruikt clientpushinstallatie ook Internet Control Message Protocol (ICMP) echoaanvraagberichten van de siteserver naar de clientcomputer om te bevestigen of de clientcomputer beschikbaar is op het netwerk. Naar ICMP wordt soms verwezen als TCP/IP-pingopdrachten. ICMP heeft geen UDP- of TCP-protocolnummer en komt dus niet voor op de lijst in de volgende tabel. Alle tussenliggende netwerkapparaten, zoals firewalls, moeten evenwel ICMP-verkeer toestaan opdat de clientpushinstallatie zou slagen.
Beschrijving |
UDP |
TCP |
|---|---|---|
Server Message Block (SMB) tussen de siteserver en clientcomputer. |
-- |
445 |
RPC eindpunttoewijzer tussen de siteserver en de clientcomputer. |
135 |
135 |
RPC dynamische poorten tussen de siteserver en de clientcomputer. |
-- |
DYNAMISCH |
Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een beheerpunt, wanneer de verbinding over HTTP gebeurt. |
-- |
80 (zie opmerking 1, alternatieve poort beschikbaar) |
Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt, wanneer de verbinding over HTTPS gebeurt. |
-- |
443 (zie opmerking 1, alternatieve poort beschikbaar) |
Poorten die worden gebruikt met punt-gebaseerde installatie van software-update
Beschrijving |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) van de clientcomputer naar het software-updatepunt. |
-- |
80 of 8530 (zie opmerking 2, Windows Server-updateservices) |
Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar het software-updatepunt. |
-- |
443 of 8531 (zie opmerking 2, Windows Server-updateservices) |
SMB (Server Message Block) tussen de bronserver en de clientcomputer wanneer u de CCMSetup-opdrachtregeleigenschap /source:<Path> opgeeft. |
-- |
445 |
Poorten die worden gebruikt met installatie op basis van groepsbeleid
Beschrijving |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een beheerpunt, wanneer de verbinding over HTTP gebeurt. |
-- |
80 (zie opmerking 1, alternatieve poort beschikbaar) |
Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt, wanneer de verbinding over HTTPS gebeurt. |
-- |
443 (zie opmerking 1, alternatieve poort beschikbaar) |
SMB (Server Message Block) tussen de bronserver en de clientcomputer wanneer u de CCMSetup-opdrachtregeleigenschap /source:<Path> opgeeft. |
-- |
445 |
Poorten die gebruikt worden bij handmatige installatie en bij installatie gebaseerd op aanmeldingsscript
Beschrijving |
UDP |
TCP |
|---|---|---|
Server Message Block (SMB) tussen de clientcomputer en een netwerkshare van waaruit u CCMSetup.exe uitvoert. Notitie Als u System Center 2012 Configuration Manager installeert, worden de installatiebronbestanden gekopieerd en automatisch gedeeld van de <Installatiepad>\Client-map op beheerpunten. U kunt evenwel deze bestanden kopiëren en een nieuwe share creëren op een computer op het netwerk. Alternatief kunt u dit netwerkverkeer elimineren door lokaal CCMSetup.exe uit te voeren door, bijvoorbeeld, verwisselbare media te gebruiken. |
-- |
445 |
Hypertext Transfer Protocol (HTTP) vanaf de clientcomputer naar een beheerpunt wanneer de verbinding over HTTP is en u geeft niet de CCMSetup opdrachtregeleigenschap /bron:<pad> op. |
-- |
80 (zie opmerking 1, alternatieve poort beschikbaar) |
Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt wanneer de verbinding over HTTPS is en u geeft niet de CCMSetup opdrachtregeleigenschap /bron:<pad> op. |
-- |
443 (zie opmerking 1, alternatieve poort beschikbaar) |
SMB (Server Message Block) tussen de bronserver en de clientcomputer wanneer u de CCMSetup-opdrachtregeleigenschap /source:<Path> opgeeft. |
-- |
445 |
Poorten die worden gebruikt met installatie gebaseerd op softwaredistributie
Beschrijving |
UDP |
TCP |
|---|---|---|
Server Message Block (SMB) tussen het distributiepunt en de clientcomputer. |
-- |
445 |
Hypertext Transfer Protocol (HTTP) van de client naar een distributiepunt, wanneer de verbinding over HTTP gebeurt. |
-- |
80 (zie opmerking 1, alternatieve poort beschikbaar) |
Secure Hypertext Transfer Protocol (HTTPS) van de client naar een distributiepunt, wanneer de verbinding over HTTPS gebeurt. |
-- |
443 (zie opmerking 1, alternatieve poort beschikbaar) |
Notities
1 Alternatieve poort beschikbaar In Configuration Manager kunt u een alternatieve poort definiëren voor deze waarde. Indien een aangepaste poort is gedefinieerd, vervang dan deze aangepaste poort wanneer u de IP-filter informatie definieert voor IPsec beleidslijnen of om firewalls te configureren.
2 Windows Server Update Services U kunt Windows Server Update Service (WSUS) installeren op de standaardwebsite (poort 80) of op een aangepaste website (poort 8530).
Na de installatie kunt u de poort te wijzigen. U moet niet hetzelfde poortnummer gebruiken over de hele sitehiërarchie.
Als de HTTP-poort 80 is, moet de HTTPS-poort 443 zijn.
Als de HTTP-poort iets anders is, moet de HTTPS-poort 1 hoger zijn — bijvoorbeeld 8530 en 8531.