Firewall do Windows e Definições de Porta para Computadores Cliente no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Os computadores cliente do System Center 2012 Configuration Manager que executam a Firewall do Windows necessitam frequentemente que sejam configuradas exceções para permitir a comunicação com o respetivo site. As exceções que é necessário configurar dependem das funcionalidades de gestão utilizadas com o cliente do Gestor de configuração.

Utilize as secções seguintes para identificar estas funcionalidades de gestão e para mais informações sobre como configurar a Firewall do Windows para estas exceções.

Utilize o procedimento seguinte para modificar as portas e programas na Firewall do Windows para o cliente do Gestor de configuração.

Para modificar as portas e programas permitidos pela Firewall do Windows

  1. No computador que executa a Firewall do Windows, abra o Painel de Controlo.

  2. Clique com o botão direito do rato em Firewall do Windows e, em seguida, clique em Abrir.

  3. Configure as exceções necessárias e as portas e programas personalizados de que necessita.

As funcionalidades seguintes do Gestor de configuração requerem exceções na Firewall do Windows:

Se executar a consola do Gestor de configuração num computador a executar a Firewall do Windows, as consultas falharão na primeira vez que forem executadas e o sistema operativo apresentará uma caixa de diálogo a perguntar se pretende desbloquear statview.exe. Se desbloquear statview.exe, as consultas posteriores serão executadas sem erros. Também pode adicionar manualmente Statview.exe à lista de programas e serviços no separador Exceções da Firewall do Windows antes de executar uma consulta.

Para utilizar a instalação push do cliente para instalar o cliente do System Center 2012 Configuration Manager, adicione o seguinte como exceções à Firewall do Windows:

  • Saída e entrada: Partilha de Ficheiros e Impressoras

  • Entrada: Windows Management Instrumentation (WMI)

Para utilizar a Política de Cliente para instalar o cliente do Gestor de configuração, adicione Partilha de Ficheiros e Impressoras como uma exceção à Firewall do Windows.

Para os computadores cliente comunicarem com os sistemas do site do Gestor de configuração, adicione o seguinte como exceções à Firewall do Windows:

Saída: Porta TCP 80 (para comunicação HTTP)

Saída: Porta TCP 443 (para comunicação HTTPS)

System_CAPS_importantImportante

Estes são os números de porta predefinidos que podem ser alterados no Gestor de configuração. Para mais informações, consulte Como Configurar Números de Porta de Comunicação de Cliente no Configuration Manager. Se os valores predefinidos destas portas tiverem sido alterados, também deve configurar exceções correspondentes na Firewall do Windows.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Para que o ponto de gestão notifique os computadores cliente de uma ação que tem de executar quando um utilizador administrativo seleciona uma ação de cliente na consola do Gestor de configuração, tal como transferir uma política de computador ou iniciar uma análise de malware, adicione o seguinte como uma exceção à Firewall do Windows:

Saída: Porta TCP 10123

Se esta comunicação não funcionar, o Gestor de configuração volta automaticamente a utilizar a porta de comunicação cliente-ponto de gestão de HTTP ou HTTPS existente:

Saída: Porta TCP 80 (para comunicação HTTP)

Saída: Porta TCP 443 (para comunicação HTTPS)

System_CAPS_importantImportante

Estes são os números de porta predefinidos que podem ser alterados no Gestor de configuração. Para mais informações, consulte Como Configurar Números de Porta de Comunicação de Cliente no Configuration Manager. Se os valores predefinidos destas portas tiverem sido alterados, também deve configurar exceções correspondentes na Firewall do Windows.

Para que os computadores cliente comuniquem corretamente com o ponto do Validador de Estado de Funcionamento do Sistema, permita as seguintes portas:

  • Saída: UDP 67 e UDP 68 para DHCP

  • Saída: TCP 80/443 para IPsec

Para utilizar o controlo remoto do Gestor de configuração, permita a seguinte porta:

  • Entrada: Porta TCP 2701

Para iniciar a Assistência Remota a partir da consola do Gestor de configuração, adicione o programa personalizado Helpsvc.exe e a porta de entrada personalizada TCP 135 à lista de serviços e programas permitidos na Firewall do Windows do computador cliente. Deve também permitir Assistência Remota e Ambiente de Trabalho Remoto. Se iniciar a Assistência Remota a partir do computador cliente, a Firewall do Windows configura e permite automaticamente Assistência Remota e Ambiente de Trabalho Remoto.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Se ativar a definição de cliente do proxy de reativação, um novo serviço com a designação Proxy de Reativação do ConfigMgr utiliza um protocolo ponto a ponto para verificar se outros computadores estão ativos na sub-rede e ativa-os se for necessário. Esta comunicação utiliza as seguintes portas:

Saída: Porta UDP 25536

Saída: Porta UDP 9

Estes são os números de porta predefinidos que podem ser alterados no Gestor de configuração utilizando as definições de clientes de Gestão de Energia de Número de porta do proxy de reativação (UDP) e Número de porta de reativação por LAN (UDP). Se especificar a definição de cliente Gestão de Energia: Exceção da Firewall do Windows para proxy de reativação, estas portas são configuradas automaticamente na Firewall do Windows para clientes. No entanto, se os clientes executarem uma firewall diferente, tem de configurar manualmente as exceções para estes números de porta.

Além destas portas, o proxy de reativação também utiliza mensagens de pedido de eco de ICMP (Internet Control Message Protocol) de um computador cliente para outro computador cliente. Esta comunicação é utilizada para confirmar se o outro computador cliente está ativo na rede. Por vezes, o ICMP é também referido como comandos ping de TCP/IP. O System Center 2012 Configuration Manager SP1 não configura a Firewall do Windows para estes comandos de ping de TCP/IP e, a menos que esteja a executar o System Center 2012 R2 Configuration Manager, tem de permitir manualmente este tráfego ICMP para que a comunicação por proxy de reativação seja bem-sucedida.

Se tem o System Center 2012 Configuration Manager SP1 em vez do System Center 2012 R2 Configuration Manager, utilize o procedimento seguinte para o ajudar a configurar a Firewall do Windows com uma regra de entrada personalizada que permite comandos de ping de TCP/IP de entrada para o proxy de reativação.

  1. Na consola da Firewall do Windows com Segurança Avançada, crie uma nova regra de entrada.

  2. No Assistente de Novas Regras de Entrada, na página Tipo de Regra, selecione Personalizada e clique em Seguinte.

  3. Na página Programa, mantenha a predefinição Todos os programas e clique em Seguinte.

  4. Na página Protocolos e Portas, clique na lista pendente Tipo de protocolo, selecione ICMPv4 e, em seguida, clique no botão Personalizar.

  5. Na caixa de diálogo Personalizar Definições de ICMP, clique em Tipos ICMP específicos, selecione Pedido de Eco e, em seguida, clique em OK.

  6. No Assistente de Novas Regras de Entrada, clique em Seguinte.

  7. Na página Âmbito, mantenha as predefinições para qualquer endereço IP local ou remoto e clique em Seguinte.

  8. Na página Ação, certifique-se de que a opção Permitir a ligação está selecionada e clique em Seguinte.

  9. Na página Perfil, selecione os perfis que irão utilizar o proxy de reativação (por exemplo, Domínio) e clique em Seguinte.

  10. Na página Nome, especifique um nome para esta regra personalizada e, opcionalmente, escreva uma descrição para o ajudar a identificar que esta regra é necessária para comunicação por proxy de reativação. Em seguida, clique em Concluir para fechar o assistente.

Para mais informações sobre o proxy de reativação, consulte a secção Planear como Reativar Clientes do tópico Planear a comunicações no Configuration Manager.

Para aceder ao Visualizador de Eventos do Windows, ao Monitor de Desempenho do Windows e ao Diagnóstico do Windows a partir da consola do Gestor de configuração, ative Partilha de Ficheiros e Impressoras como uma exceção na Firewall do Windows.

As tabelas seguintes listam as portas que são utilizadas durante o processo de instalação do cliente.

System_CAPS_importantImportante

Se existir uma firewall entre os servidores do sistema de sites e o computador cliente, confirme se a firewall permite tráfego para as portas que são necessárias para o método de instalação do cliente que selecionou. Por exemplo, as firewalls impedem frequentemente que a instalação push seja bem sucedida porque bloqueiam o Bloco de Mensagem de Servidor (SMB) e as Chamadas de Procedimento Remoto (RPC). Neste cenário, utilize um método diferente de instalação do cliente, tal como a instalação manual (com CCMSetup.exe) ou a instalação do cliente baseada na Política de Grupo. Estes métodos alternativos de instalação do cliente não necessitam de SMB ou RPC.

Para obter informações sobre como configurar a Firewall do Windows no computador cliente, consulte Modificar as Portas e Programas Permitidos pela Firewall do Windows.

Descrição

UDP

TCP

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de estado de contingência, quando está atribuído um ponto de estado de contingência ao cliente.

--

80 (Ver nota 1, Porta Alternativa Disponível)

Além das portas listadas na tabela a seguir, a instalação push do cliente também utiliza mensagens de pedido de eco ICMP (Internet Control Message Protocol) do servidor do site para o computador cliente para confirmar se este está disponível na rede. Por vezes, o ICMP é também referido como comandos ping de TCP/IP. O ICMP não tem um número de protocolo UDP ou TCP e, por isso, não está listado na tabela a seguir. No entanto, quaisquer dispositivos de rede intervenientes, tais como firewalls, devem permitir tráfego ICMP para que a instalação push do cliente seja bem sucedida.

Descrição

UDP

TCP

Bloco de Mensagem de Servidor (SMB) entre o servidor do site e o computador cliente.

--

445

Mapeador de pontos finais RPC entre o servidor do site e o computador cliente.

135

135

Portas dinâmicas RPC entre o servidor do site e o computador cliente.

--

DINÂMICO

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP.

--

80 (Ver nota 1, Porta Alternativa Disponível)

Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS.

--

443 (Ver nota 1, Porta Alternativa Disponível)

Descrição

UDP

TCP

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software.

--

80 ou 8530 (Ver nota 2, Windows Server Update Services)

Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software.

--

443 ou 8531 (Ver nota 2, Windows Server Update Services)

Bloco de Mensagem de Servidor (SMB) entre o servidor de origem e o computador cliente quando especifica a propriedade da linha de comandos CCMSetup /source:<Path>.

--

445

Descrição

UDP

TCP

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP.

--

80 (Ver nota 1, Porta Alternativa Disponível)

Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS.

--

443 (Ver nota 1, Porta Alternativa Disponível)

Bloco de Mensagem de Servidor (SMB) entre o servidor de origem e o computador cliente quando especifica a propriedade da linha de comandos CCMSetup /source:<Path>.

--

445

Descrição

UDP

TCP

Bloco de Mensagem de Servidor (SMB) entre o computador cliente e uma partilha de rede a partir da qual o CCMSetup.exe é executado.

System_CAPS_noteNota

Quando instala o System Center 2012 Configuration Manager, os ficheiros de origem da instalação do cliente são copiados e automaticamente partilhados a partir da pasta <CaminhodeInstalação>\Cliente nos pontos de gestão. No entanto, pode copiar esses ficheiros e criar uma nova partilha em qualquer computador na rede. Em alternativa, pode eliminar este tráfego de rede executando o CCMSetup.exe localmente, por exemplo, utilizando um suporte de dados amovível.

--

445

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP e o utilizador não especifica a propriedade da linha de comandos CCMSetup /source:<Caminho>.

--

80 (Ver nota 1, Porta Alternativa Disponível)

Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS e o utilizador não especifica a propriedade da linha de comandos CCMSetup /source:<Caminho>.

--

443 (Ver nota 1, Porta Alternativa Disponível)

Bloco de Mensagem de Servidor (SMB) entre o servidor de origem e o computador cliente quando especifica a propriedade da linha de comandos CCMSetup /source:<Path>.

--

445

Descrição

UDP

TCP

Bloco de Mensagem de Servidor (SMB) entre o ponto de distribuição e o computador cliente.

--

445

Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de distribuição quando a ligação é efetuada através de HTTP.

--

80 (Ver nota 1, Porta Alternativa Disponível)

Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de distribuição quando a ligação é efetuada através de HTTPS.

--

443 (Ver nota 1, Porta Alternativa Disponível)

1 Porta Alternativa Disponível    No Configuration Manager, é possível definir uma porta alternativa para este valor. Se tiver sido definida uma porta personalizada, substitua-a quando definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.

2 Windows Server Update Services    É possível instalar o Windows Server Update Service (WSUS) no Web site predefinido (porta 80) ou num Web site personalizado (porta 8530).

Após a instalação, é possível alterar a porta. Não é necessário utilizar o mesmo número de porta ao longo da hierarquia do site.

Se a porta HTTP for 80, a porta HTTPS tem de ser 443.

Se a porta HTTP for qualquer outra, a porta HTTPS tem de ser uma unidade superior (por exemplo, 8530 e 8531).

Mostrar: