System Center Essentials 2010 的防火牆例外
適用於: System Center Essentials 2010
如果在 System Center Essentials 2010 的部署環境中啟用防火牆,就必須建立防火牆例外,如此一來 Essentials 管理伺服器才能在受管理電腦上順利安裝代理程式,且受管理電腦也才能與 Essentials 相互通訊。
注意
如果您已經設定 Essentials 2010 使用網域群組原則,而且已經透過網域群組原則設定防火牆例外,您就不必建立任何防火牆例外。此外,執行 Windows 防火牆之電腦的防火牆例外會由 Essentials 2010 自動設定。
如果您的電腦使用其他製造商的防火牆軟體,請參閱該製造商的文件,以取得如何建立例外的相關資訊。但下列程序中所述之連接埠名稱不變。
如果 Essentials 管理伺服器的靜態 IP 位址已變更或者為動態指派,則每當 IP 位址變更時,您就必須更新受管理電腦上的防火牆原則。不過,如果您使用的是網域群組原則,Essentials 2010 會提示您執行 [產品設定精靈],此精靈位於 [系統管理概觀] 窗格的 [設定] 摘要中。您可以按一下 [原則模式] 旁邊的連結來存取它。當您使用 Essentials 管理伺服器的新 IP 位址更新 [群組原則] 時,更新的防火牆例外會在新的 IP 位址套用到受管理電腦之後傳回。
如需虛擬管理所需之防火牆例外的詳細資訊,請參閱 System Center Virtual Machine Manager 2008 技術文件庫中的 VMM 通訊埠與通訊協定(https://go.microsoft.com/fwlink/?LinkId=163937)。如需從遠端 Essentials 報表伺服器連接至 Essentials 管理伺服器所需之防火牆例外的相關資訊,請參閱 System Center Operations Manager 2007 技術文件庫中的支援的防火牆案例 (https://go.microsoft.com/fwlink/?LinkId=163936)。
變更 Windows 防火牆例外
安裝 Essentials 2010 時,會在 Essentials 管理伺服器上建立本主題中第一個程序的 Windows 防火牆例外。如果您使用其他軟體管理防火牆例外,請使用這些程序。
若要在 Essentials 管理伺服器上建立 Windows 防火牆例外
在 [控制台] 中,按一下 [Windows 防火牆]。
按一下 [例外] 索引標籤。
按一下 [新增連接埠],然後建立下列 TCP 連接埠例外:
名稱=Port80;連接埠編號=80
名稱=Port445;連接埠編號=445
名稱=Port5723;連接埠編號=5723
名稱=Port5724;連接埠編號=5724
名稱=Port8530;連接埠編號=8530
名稱=Port8531;連接埠編號=8531
名稱=Port51906;連接埠編號=51906
重要
如果您使用 Internet Security and Acceleration (ISA) Server 或其他製造商發行的防火牆軟體,請確定連接埠 8531 已經開啟。
若要在使用本機群組原則設定時,於受管理電腦上建立 Windows 防火牆例外
在您希望 Essentials 2010 管理的每部電腦上,按一下 [控制台] 中的 [Windows 防火牆]。
按一下 [例外] 索引標籤。
確定已選取 [檔案及印表機共用] 核取方塊。
按一下 [新增連接埠],然後建立下列 TCP 連接埠例外:
名稱=Port135;連接埠編號=135
名稱=Port139;連接埠編號=139
名稱=Port445;連接埠編號=445
名稱=Port6270;連接埠編號=6270
建立下列 UDP 連接埠例外:
名稱=Port137;連接埠編號=137
名稱=Port138;連接埠編號=138
針對上述各個例外,執行下列動作:
按一下 [變更領域]。
選取 [自訂清單]。
將範圍限制在 Essentials 管理伺服器的 IP 位址。
若要啟用遠端 WMI 呼叫以便在執行 Windows XP 的受管理電腦上運作
在工作列上,按一下 [開始],然後按一下 [執行]。
在 [執行] 對話方塊中,輸入 gpedit.msc,然後按一下 [確定]。
在本機群組原則編輯器中,從 [主控台根目錄] 下,依序展開 [電腦設定]、[系統管理範本]、[網路]、[網路連線]、[Windows 防火牆],然後按一下 [網域設定檔]。
在 [網域設定檔] 窗格中,在 [Windows 防火牆:允許遠端系統管理例外] 上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [已啟用],再按一下 [確定]。
若要啟用遠端 WMI 呼叫以便在執行 Windows Vista 的受管理電腦上運作
在 [控制台] 中,按一下 [Windows 防火牆]。
按一下 [例外] 索引標籤。
選取 [Windows Management Instrumentation (WMI)] 核取方塊。
若要為新 Essentials 管理伺服器 IP 位址更新防火牆例外
如果是動態指派 Essentials 管理伺服器的 IP 位址,且您使用本機群組原則設定來設定受管理電腦,請使用新的 IP 位址手動更新每個用戶端上的防火牆例外。
如果您要使用網域群組原則設定來設定受管理電腦,請執行 [產品設定精靈],此精靈位於 [系統管理概觀] 窗格的 [設定] 摘要中。您可以按一下 [原則模式] 旁邊的連結來存取它。當您使用 Essentials 管理伺服器的新 IP 位址更新 [群組原則] 時,更新的防火牆例外會在新的 IP 位址套用到受管理電腦之後傳回。
設定 ISA 伺服器防火牆例外
如果防火牆的另一端有受管理的電腦,請使用下列程序設定 Internet Security and Acceleration (ISA) Server 的防火牆設定。
若要為 System Center 管理服務建立新的存取規則
在工作列上,按一下 [開始],依序指向 [程式集]、[Microsoft ISA Server],然後按一下 [ISA Server 管理]。
在瀏覽窗格中展開所要電腦下的 [防火牆原則] 節點,然後在 [工作] 窗格中按一下 [建立陣列存取規則]。
輸入存取規則**「Essentials Management Service」**,然後按 [下一步]。
在 [規則動作] 頁面上,選取 [允許] 然後按一下 [下一步]。
在 [這個規則套用到] 方塊中,選取 [選取的通訊協定],然後按一下 [新增]。
在 [新增通訊協定] 對話方塊中,按一下 [新增],然後再按一下 [通訊協定]。
在 [新增通訊協定定義精靈] 中輸入 TCP 5723。
在 [主要連線資訊] 頁面上按一下 [新增]。
在 [新增/編輯通訊協定資訊] 頁面上,於 [從] 和 [到] 方塊中皆輸入 5723,然後按一下 [確定]。
在 [主要連線資訊] 頁面上,按一下 [下一步]。
在 [次要連線] 頁面上,按一下 [下一步]。
在 [正在完成新通訊協定定義精靈] 頁面中,按一下 [完成]。
在 [新增通訊協定] 對話方塊中,展開 [使用者定義的] 資料夾,選取 [TCP 5723],然後按一下 [新增]。
若要關閉 [新增通訊協定] 對話方塊,按一下 [關閉]。
在 [新增存取規則精靈] 的 [通訊協定] 頁面上,按一下 [下一步]。
在 [存取規則來源] 對話方塊中,按一下 [新增]。
在 [新增通訊協定] 對話方塊中,展開 [網路] 資料夾,選取 [內部],然後按一下 [新增]。
選取 [本機主機] 並按一下 [新增],然後按一下 [關閉]。
在 [新增存取規則精靈] 的 [存取規則來源] 頁面上,按一下 [下一步]。
在 [新增網路實體] 對話方塊中,展開 [網路] 資料夾,選取 [內部],然後按一下 [新增]。
選取 [本機主機] 並按一下 [新增],然後按一下 [關閉]。
在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上,按一下 [下一步]。
在 [使用者組] 對話方塊中,按一下 [下一步]。
在 [正在完成新增存取規則精靈] 頁面中,按一下 [完成]。
若要為 System Center 資料存取服務建立新的存取規則
在工作列上,按一下 [開始],依序指向 [程式集]、[Microsoft ISA Server],然後按一下 [ISA Server 管理]。
在瀏覽窗格中,展開所選電腦下的 [防火牆原則],然後在 [工作] 窗格中按一下 [建立陣列存取規則]。
輸入存取規則**「Essentials Data Access Service」**,然後按 [下一步]。
在 [規則動作] 頁面上,按一下 [允許] 然後按一下 [下一步]。
在 [通訊協定] 頁面的 [這個規則套用到] 下,選取 [選取的通訊協定],然後按一下 [新增]。
在 [新增通訊協定] 對話方塊中,按一下 [新增],然後再按一下 [通訊協定]。
在 [新增通訊協定定義精靈] 中輸入 TCP 5724。
在 [主要連線資訊] 頁面上按一下 [新增]。
在 [新增/編輯通訊協定資訊] 頁面上,於 [從] 和 [到] 方塊中皆輸入 5724,然後按一下 [確定]。
在 [主要連線資訊] 頁面上,按一下 [下一步]。
在 [次要連線] 頁面上,按一下 [下一步]。
在 [正在完成新通訊協定定義精靈] 頁面中,按一下 [完成]。
在 [新增通訊協定] 對話方塊中,展開 [使用者定義的] 資料夾,選取 [TCP 5724],然後按一下 [新增]。
若要關閉 [新增通訊協定] 對話方塊,按一下 [關閉]。
在 [新增存取規則精靈] 的 [通訊協定] 頁面上,按一下 [下一步]。
在 [存取規則來源] 對話方塊中,按一下 [新增]。
在 [新增通訊協定] 對話方塊中,展開 [網路] 資料夾,選取 [內部],然後按一下 [新增]。
選取 [本機主機] 並按一下 [新增],然後按一下 [關閉]。
在 [新增存取規則精靈] 的 [存取規則來源] 頁面上,按一下 [下一步]。
在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上,按一下 [下一步]。
在 [新增網路實體] 對話方塊中,展開 [網路] 資料夾,選取 [內部],然後按一下 [新增]。
在 [網路] 資料夾下,按一下 [內部] 然後再按一下 [新增]。
選取 [本機主機] 並按一下 [新增],然後按一下 [關閉]。
在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上,按一下 [下一步]。
在 [使用者組] 對話方塊中,按一下 [下一步]。
在 [正在完成新增存取規則精靈] 頁面中,按一下 [完成]。
若要發佈 WSUS 網頁伺服器
在工作列上,按一下 [開始],依序指向 [程式集]、[Microsoft ISA Server],然後按一下 [ISA Server 管理]。
在瀏覽窗格中展開 [防火牆原則] 節點,然後在 [工作] 窗格中按一下 [發佈 Web 伺服器]。
輸入存取規則**「Essentials WSUS Web Server」**,然後按 [下一步]。
在 [選取規則動作] 頁面上,選取 [允許] 然後按一下 [下一步]。
在 [定義要發佈的網站] 對話方塊中,於 [電腦名稱或 IP 位址] 方塊中輸入 Essentials 管理伺服器名稱。
在 [路徑] 方塊中輸入**「/*」**,然後按 [下一步]。
在 [公用名稱詳細資料] 對話方塊中,於 [公用名稱] 方塊中輸入 Essentials 管理伺服器名稱,然後按一下 [下一步]。
在 [選取網頁接聽程式] 對話方塊中,按一下 [新增]。
在 [歡迎使用新網頁接聽程式精靈] 頁面中,輸入**「Essentials 網頁接聽程式」**,然後按 [下一步]。
在 [IP 位址] 頁面中,選取 [內部] 及 [本機主機] 核取方塊,然後按 [下一步]。
在「新網頁接聽程式精靈」的 [連接埠規格] 頁面上,執行下列動作:
選取 [啟用 HTTP] 核取方塊。
在 [HTTP 連接埠] 中輸入 8530。
選取 [啟用 SSL] 核取方塊。
在 [SSL 連接埠] 中輸入 8531。
按一下 [選取],選取符合 Essentials 管理伺服器主機名稱的憑證,然後按一下 [確定]。
按 [下一步]。
在 [正在完成新網頁接聽程式精靈] 頁面中,按一下 [完成]。
在 [選取網頁接聽程式] 對話方塊中:
在 [網頁接聽程式] 下,選取 [Essentials 網頁接聽程式],然後按 [下一步]。
在 [使用者組] 頁面上,按一下 [下一步]。
在 [正在完成新網頁發佈規則精靈] 頁面上,按一下 [完成]。
在 ISA Server 主控台中,以滑鼠右鍵按一下 [Essentials WSUS 網頁伺服器] 規則,然後按一下 [內容]。
按一下 [到] 索引標籤。
選取 [要求看起來是來自原始用戶端]。
按一下 [橋接] 索引標籤。
在 [將要求重新導向至 HTTP 連接埠] 中輸入**「8530」**。
選取 [將要求重新導向至 SSL 連接埠] 核取方塊,然後輸入**「8531」**。
按一下 [確定]。
在 ISA Server 主控台中,按一下 [套用] 儲存變更並更新設定。
另請參閱
概念
System Center Essentials 2010 中的本機原則與群組原則
規劃部署 System Center Essentials 2010