Ustawienia Zapory systemu Windows i portu komputerów klienckich w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Komputery klienckie w programie System Center 2012 Configuration Manager, na których działa Zapora systemu Windows często wymagają konfigurowania wyjątków, aby umożliwić komunikację z ich lokacją. Wyjątki, które trzeba skonfigurować, zależą od funkcji zarządzania używanych z klientem programu Menedżer konfiguracji.
Poniższe sekcje umożliwiają identyfikację tych funkcji zarządzania oraz zawierają dodatkowe informacje o sposobie konfigurowania tych wyjątków dla Zapory systemu Windows.
Modyfikowanie portów i programów dozwolonych przez Zaporę systemu Windows
Poniższa procedura umożliwia zmodyfikowanie portów i programów w Zaporze systemu Windows dla programu Menedżer konfiguracji.
Aby zmienić porty i programy dozwolone przez Zaporę w systemu Windows
-
Na komputerze, na którym działa Zapora systemu Windows, otwórz okno Panel sterowania.
-
Kliknij prawym przyciskiem myszy aplet Zapora systemu Windows, a następnie kliknij polecenie Otwórz.
-
Skonfiguruj wymagane wyjątki oraz niestandardowe programy i porty.
Programy i porty wymagane przez program Configuration Manager
Następujące funkcje programu Menedżer konfiguracji wymagają ustawienia wyjątków w Zaporze systemu Windows:
Kwerendy
Jeżeli konsola Menedżer konfiguracji zostanie uruchomiona na komputerze, na którym działa Zapora systemu Windows, pierwsze uruchomienie kwerend zakończy się niepowodzeniem i system operacyjny wyświetli okno dialogowe z pytaniem, czy chcesz odblokować plik statview.exe. Odblokowanie pliku statview.exe, spowoduje, że przyszłe kwerendy będą uruchamiane bez problemu. Przed uruchomieniem kwerendy można dodać plik Statview.exe do listy programów i usług na karcie Wyjątki Zapory systemu Windows.
Wypychana instalacja klienta
Aby wypychania klienta w celu instalacji klienta programu System Center 2012 Configuration Manager, należy dodać do Zapory systemu Windows następujące wyjątki:
Wychodzące i przychodzące: Udostępnianie plików i drukarek
Przychodzące: Instrumentacja zarządzania Windows (WMI)
Instalacja klienta za pomocą zasad grupy
Aby użyć zasad grupy w celu instalacji klienta programu Menedżer konfiguracji, należy dodać funkcję Udostępnianie plików i drukarek jako wyjątek do Zapory systemu Windows.
Żądania klienta
Aby komputery klienckie mogły się komunikować z lokacją programu Menedżer konfiguracji, należy dodać następujące porty jako wyjątki do Zapory systemu Windows:
Wychodzące: Port TCP 80 (do komunikacji HTTP)
Wychodzące: Port TCP 443 (do komunikacji HTTPS)
.jpeg "System_CAPS_important"){kind=icon} Ważne |
|---|
Są to domyślne numery portów, które można zmienić w programie Menedżer konfiguracji. Więcej informacji znajduje się w temacie Jak skonfigurować numery portów komunikacji klientów w programie Configuration Manager. Jeżeli domyślne wartości dla tych portów zostały zmienione, należy także skonfigurować odpowiednie wyjątki w Zaporze systemu Windows. |
Powiadomienie klienta
Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:
Aby punkt zarządzania mógł powiadamiać komputery klienckie o akcji, jaką musi wykonać, gdy użytkownik administracyjny wybierze akcję klienta w konsoli programu Menedżer konfiguracji, na przykład pobranie zasad komputera lub rozpoczęcie skanowania w poszukiwaniu złośliwego oprogramowania, należy dodać następujący port jako wyjątek do Zapory systemu Windows:
Wychodzące: Port TCP 10123
Jeżeli przesłanie informacji przez ten port nie powiedzie się, program Menedżer konfiguracji automatycznie powróci do korzystania z istniejącego portu komunikacji klienta z punktem zarządzania z wykorzystaniem protokołu HTTP lub HTTPS:
Wychodzące: Port TCP 80 (do komunikacji HTTP)
Wychodzące: Port TCP 443 (do komunikacji HTTPS)
| Ważne |
|---|
Są to domyślne numery portów, które można zmienić w programie Menedżer konfiguracji. Więcej informacji znajduje się w temacie Jak skonfigurować numery portów komunikacji klientów w programie Configuration Manager. Jeżeli domyślne wartości dla tych portów zostały zmienione, należy także skonfigurować odpowiednie wyjątki w Zaporze systemu Windows. |
Ochrona dostępu do sieci
Aby komputery klienckie mogły komunikować się z punktem modułu sprawdzania kondycji systemu, należy zezwolić na użycie następujących portów:
Wychodzące: UDP 67 i UDP 68 dla protokołu DHCP
Wychodzące: TCP 80/443 dla protokołu IPsec
Zdalne sterowanie
Aby użyć funkcji zdalnego sterowania w programie Menedżer konfiguracji, należy zezwolić na komunikację przez następujące porty:
- Przychodzące: Port TCP 2701
Pomoc zdalna i Pulpit zdalny
Aby uruchomić Pomoc zdalną z konsoli programu Menedżer konfiguracji, należy dodać program niestandardowy Helpsvc.exe i niestandardowy port TCP komunikacji przychodzącej 135 do listy dozwolonych programów i usług w Zaporze systemu Windows na komputerze klienckim. Należy także zezwolić na działanie funkcji Pomoc zdalna i Pulpit zdalny. Jeżeli funkcja Pomoc zdalna zostanie uruchomiona z komputera klienckiego, Zapora systemu Windows Firewall automatycznie skonfiguruje funkcje Pomoc zdalna i Pulpit zdalny oraz zezwoli na ich działanie.
Serwer proxy wznawiania
Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:
Jeżeli ustawienie serwera proxy wznawiania zostanie włączone na kliencie, nowa usługa o nazwie Serwer proxy wznawiania ConfigMgr będzie korzystała z protokołu równorzędnego, aby sprawdzić, czy inne komputery w podsieci są wznowione oraz wznowić je w razie potrzeby. Ta funkcja komunikacji wykorzystuje następujące porty:
Wychodzące: Port UDP 25536
Wychodzące: Port UDP 9
Są to domyślne numery portów, które można zmienić w programie Menedżer konfiguracji, używając ustawień Zarządzanie energią klientów w opcjach Numer portu serwera proxy wznawiania (UDP) i Numer portu Wake On LAN (UDP). Jeżeli określono ustawienie klienta Zarządzanie energią: Wyjątek Zapory systemu Windows dla serwera proxy wznawiania, te porty zostaną automatycznie skonfigurowane dla klientów w Zaporze systemu Windows. Jeżeli jednak na klientach działa inna zapora, należy ręczne skonfigurować wyjątki dla tych numerów portów.
Oprócz tych portów, serwer proxy wznawiania korzysta także z komunikatów żądania echa protokołu ICMP (Internet Control Message Protocol) przesyłanych między komputerami klienckimi. Ta komunikacja służy do potwierdzenia, czy drugi komputer kliencki w sieci został wybudzony. Protokół ICMP jest czasami określany jako polecenia TCP/IP Ping. Program System Center 2012 Configuration Manager z dodatkiem SP1 nie konfiguruje Zapory systemu Windows dla tych poleceń TCP/IP Ping i, o ile nie jest używany program System Center 2012 R2 Configuration Manager, należy ręcznie zezwolić na ruch ICMP, aby komunikacja z serwerem proxy wznawiania działała prawidłowo.
Jeżeli używany jest program System Center 2012 Configuration Manager z dodatkiem SP1, a nie program System Center 2012 R2 Configuration Manager, należy użyć następującej procedury, aby skonfigurować w Zaporze systemu Windows niestandardową zasadę dla ruchu przychodzącego, która zezwala na przychodzące polecenia TCP/IP Ping dla serwera proxy wznawiania.
Aby skonfigurować Zaporę systemu Windows w celu zezwalania na polecenia TCP/IP Ping
-
W Zaporze systemu Windows z konsolą zabezpieczeń zaawansowanych, utwórz nową zasadę dla ruchu przychodzącego.
-
W Kreatorze nowej zasady ruchu przychodzącego na stronie Typ zasady wybierz opcję Niestandardowa, a następnie kliknij przycisk Dalej.
-
Na stronie Program zachowaj domyślne ustawienie Wszystkie programy, a następnie kliknij przycisk Dalej.
-
Na stronie Protokoły i porty kliknij przycisk menu rozwijanego Typ protokołu, wybierz pozycję ICMPv4, a następnie kliknij przycisk Dostosuj.
-
W oknie dialogowym Dostosowywanie ustawień protokołu ICMP kliknij opcję Określone typy ICMP, wybierz opcję Żądanie echa, a następnie kliknij przycisk OK.
-
W Kreatorze nowej zasady ruchu przychodzącego kliknij przycisk Dalej.
-
Na stronie Zakres zachowaj domyślne ustawienia lokalnego lub zdalnego adresu IP i kliknij przycisk Dalej.
-
Na stronie Akcja sprawdź, czy wybrano opcję Zezwalaj na połączenie, a następnie kliknij przycisk Dalej.
-
Na stronie Profil wybierz profile, które będą korzystać z serwera proxy wznawiania (na przykład Domena), a następnie kliknij przycisk Dalej.
-
Na stronie Nazwa określ nazwę tej zasady niestandardowej i, opcjonalnie, wpisz opis, ułatwiający określenie, że ta zasada jest wymagana do komunikacji z serwerem proxy wznawiania. Następnie kliknij przycisk Zakończ, aby zamknąć kreatora.
Więcej informacji o serwerze proxy wznawiania znajduje się w sekcji Planowanie sposobu wznawiania działania klientów w temacie Planowanie komunikacji w programie Configuration Manager.
Podgląd zdarzeń systemu Windows, Monitor wydajności systemu Windows i Diagnostyka systemu Windows
Aby uzyskać dostęp do programu Podgląd zdarzeń systemu Windows, Monitor wydajności systemu Windows i Diagnostyka systemu Windows z konsoli programu Menedżer konfiguracji, należy włączyć funkcję Udostępnianie plików i drukarek jako wyjątek w Zaporze systemu Windows.
Porty używane podczas wdrażania klienta programu Configuration Manager
Poniższa tabela zawiera porty używane w procesie instalacji klienta.
| Ważne |
|---|
Jeżeli między serwerami systemu lokacji a komputerem klienckim występuje zapora, należy sprawdzić, czy zezwala ona na ruch przez porty wymagane dla wybranej metody instalacji klienta. Przykładowo zapory często powodują niepowodzenie instalacji wypychanej klienta, ponieważ blokują Blok komunikatów serwera (SMB) i Zdalne wywołania procedur (RPC). W tym scenariuszu należy użyć innej metody instalacji klienta, na przykład instalacji ręcznej (uruchamiając plik CCMSetup.exe) lub instalacji klienta w oparciu o zasady grupy. Te alternatywne metody instalacji klienta nie wymagają korzystania z funkcji SMB ani RPC. |
Informacje o sposobie konfigurowania Zapory systemu Windows na komputerze klienckim znajdują się w temacie Modyfikowanie portów i programów dozwolonych przez Zaporę systemu Windows.
Porty używane we wszystkich metodach instalacji
Opis |
UDP |
TCP |
|---|---|---|
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do rezerwowy punkt stanu, gdy rezerwowy punkt stanu jest przypisany do klienta. |
-- |
80 (patrz adnotacja 1, Dostępny alternatywny port) |
Porty używane w instalacji wypychanej klienta
Oprócz portów wymienionych w poniższej tabeli, instalacja wypychana klienta używa także protokołu komunikatów żądania echa protokołu ICMP (Internet Control Message Protocol) z serwera lokacji do komputera klienckiego, aby sprawdzić, czy komputer kliencki jest dostępny w sieci. Protokół ICMP jest czasami określany jako polecenia TCP/IP Ping. Protokół ICMP nie ma numeru protokołu UDP ani TCP, dlatego nie został wymieniony w poniższej tabeli. Jednak, aby instalacja wypychana klienta powiodła się, wszystkie pośredniczące urządzenia sieciowe, takie jak zapory, muszą zezwalać na ruch ICMP.
Opis |
UDP |
TCP |
|---|---|---|
Blok komunikatów serwera (SMB) między serwerem lokacji a komputerem klienckim. |
-- |
445 |
Mapowanie punktów końcowych wywołań RPC między serwerem lokacji a komputerem klienckim. |
135 |
135 |
Porty dynamiczne wywołań RPC między serwerem lokacji a komputerem klienckim. |
-- |
DYNAMICZNE |
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTP. |
-- |
80 (patrz adnotacja 1, Dostępny alternatywny port) |
Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTPS. |
-- |
443 (patrz adnotacja 1, Dostępny alternatywny port) |
Porty używane z instalacją opartą na punkcie aktualizacji oprogramowania
Opis |
UDP |
TCP |
|---|---|---|
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. |
-- |
80 lub 8530 (patrz adnotacja 2, Windows Server Update Services) |
Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. |
-- |
443 lub 8531 (patrz adnotacja 2, Windows Server Update Services) |
Blok komunikatów serwera (SMB) między serwerem źródłowym a klientem w przypadku określenia właściwości wiersza polecenia CCMSetup /źródło:<ścieżka>. |
-- |
445 |
Porty używane z instalacją opartą na zasadach grupy
Opis |
UDP |
TCP |
|---|---|---|
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTP. |
-- |
80 (patrz adnotacja 1, Dostępny alternatywny port) |
Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTPS. |
-- |
443 (patrz adnotacja 1, Dostępny alternatywny port) |
Blok komunikatów serwera (SMB) między serwerem źródłowym a klientem w przypadku określenia właściwości wiersza polecenia CCMSetup /źródło:<ścieżka>. |
-- |
445 |
Porty używane z instalacją ręczną i instalacją opartą na skrypcie logowania
Opis |
UDP |
TCP |
|---|---|---|
Blok komunikatów serwera (SMB) między komputerem klienckim a udziałem sieciowym, z którego uruchomiono program CCMSetup.exe. Uwaga Podczas instalacji programu System Center 2012 Configuration Manager pliki źródłowe instalacji klienta są kopiowane i automatycznie udostępniane z folderu <ścieżka_instalacji>\Client na punktach zarządzania. Można jednak skopiować te pliki i utworzyć nowy udział na komputerze w sieci. Można także wyeliminować ten ruch sieciowy, uruchamiając program CCMSetup.exe lokalnie, na przykład z nośnika wymiennego. |
-- |
445 |
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTP i nie określono właściwości wiersza polecenia /source:<ścieźka> dla programu CCMSetup. |
-- |
80 (patrz adnotacja 1, Dostępny alternatywny port) |
Protokół Secure HTTP (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, jeżeli połączenie wykorzystuje protokół HTTP i nie określono właściwości wiersza polecenia /source:<ścieźka> dla programu CCMSetup. |
-- |
443 (patrz adnotacja 1, Dostępny alternatywny port) |
Blok komunikatów serwera (SMB) między serwerem źródłowym a klientem w przypadku określenia właściwości wiersza polecenia CCMSetup /źródło:<ścieżka>. |
-- |
445 |
Porty używane z instalacją opartą na dystrybucji oprogramowania
Opis |
UDP |
TCP |
|---|---|---|
Blok komunikatów serwera (SMB) między punktem dystrybucji a komputerem klienckim. |
-- |
445 |
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu dystrybucji, jeżeli połączenie wykorzystuje protokół HTTP. |
-- |
80 (patrz adnotacja 1, Dostępny alternatywny port) |
Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu dystrybucji, jeżeli połączenie wykorzystuje protokół HTTPS. |
-- |
443 (patrz adnotacja 1, Dostępny alternatywny port) |
Uwagi
1 Dostępny alternatywny port W programie Configuration Manager można zdefiniować alternatywny port dla tej wartości. Jeżeli zdefiniowano port niestandardowy, należy go zastąpić podczas definiowania informacji o filtrze IP dla zasad IPsec lub w celu skonfigurowania zapory.
2 Windows Server Update Services Program Windows Server Update Service (WSUS) można zainstalować w domyślnej witrynie sieci Web (port 80) lub w niestandardowej witrynie sieci Web (port 8530).
Po przeprowadzeniu instalacji można zmienić port. Nie jest konieczne używanie tego samego numeru portu w całej hierarchii lokacji.
Jeżeli port protokołu HTTP to 80, port protokołu HTTPS musi mieć wartość 443.
Jeżeli port protokołu HTTP jest inny, port HTTPS musi mieć numer wyższy o 1 — na przykład 8530 i 8531.