System Center Essentials 2010 的防火牆例外

發行項
04/14/2011

適用於: System Center Essentials 2010

如果在 System Center Essentials 2010 的部署環境中啟用防火牆，就必須建立防火牆例外，如此一來 Essentials 管理伺服器才能在受管理電腦上順利安裝代理程式，且受管理電腦也才能與 Essentials 相互通訊。

注意

如果您已經設定 Essentials 2010 使用網域群組原則，而且已經透過網域群組原則設定防火牆例外，您就不必建立任何防火牆例外。此外，執行 Windows 防火牆之電腦的防火牆例外會由 Essentials 2010 自動設定。

如果您的電腦使用其他製造商的防火牆軟體，請參閱該製造商的文件，以取得如何建立例外的相關資訊。但下列程序中所述之連接埠名稱不變。

如果 Essentials 管理伺服器的靜態 IP 位址已變更或者為動態指派，則每當 IP 位址變更時，您就必須更新受管理電腦上的防火牆原則。不過，如果您使用的是網域群組原則，Essentials 2010 會提示您執行 [產品設定精靈]，此精靈位於 [系統管理概觀] 窗格的 [設定] 摘要中。您可以按一下 [原則模式] 旁邊的連結來存取它。當您使用 Essentials 管理伺服器的新 IP 位址更新 [群組原則] 時，更新的防火牆例外會在新的 IP 位址套用到受管理電腦之後傳回。

如需虛擬管理所需之防火牆例外的詳細資訊，請參閱 System Center Virtual Machine Manager 2008 技術文件庫中的 VMM 通訊埠與通訊協定(https://go.microsoft.com/fwlink/?LinkId=163937)。如需從遠端 Essentials 報表伺服器連接至 Essentials 管理伺服器所需之防火牆例外的相關資訊，請參閱 System Center Operations Manager 2007 技術文件庫中的支援的防火牆案例 (https://go.microsoft.com/fwlink/?LinkId=163936)。

變更 Windows 防火牆例外

安裝 Essentials 2010 時，會在 Essentials 管理伺服器上建立本主題中第一個程序的 Windows 防火牆例外。如果您使用其他軟體管理防火牆例外，請使用這些程序。

若要在 Essentials 管理伺服器上建立 Windows 防火牆例外

在 [控制台] 中，按一下 [Windows 防火牆]。
按一下 [例外] 索引標籤。
按一下 [新增連接埠]，然後建立下列 TCP 連接埠例外：
- 名稱=Port80；連接埠編號=80
- 名稱=Port445；連接埠編號=445
- 名稱=Port5723；連接埠編號=5723
- 名稱=Port5724；連接埠編號=5724
- 名稱=Port8530；連接埠編號=8530
- 名稱=Port8531；連接埠編號=8531
- 名稱=Port51906；連接埠編號=51906

重要

如果您使用 Internet Security and Acceleration (ISA) Server 或其他製造商發行的防火牆軟體，請確定連接埠 8531 已經開啟。

若要在使用本機群組原則設定時，於受管理電腦上建立 Windows 防火牆例外

在您希望 Essentials 2010 管理的每部電腦上，按一下 [控制台] 中的 [Windows 防火牆]。
按一下 [例外] 索引標籤。
確定已選取 [檔案及印表機共用] 核取方塊。
按一下 [新增連接埠]，然後建立下列 TCP 連接埠例外：
- 名稱=Port135；連接埠編號=135
- 名稱=Port139；連接埠編號=139
- 名稱=Port445；連接埠編號=445
- 名稱=Port6270；連接埠編號=6270
建立下列 UDP 連接埠例外：
- 名稱=Port137；連接埠編號=137
- 名稱=Port138；連接埠編號=138
針對上述各個例外，執行下列動作：
- 按一下 [變更領域]。
- 選取 [自訂清單]。
- 將範圍限制在 Essentials 管理伺服器的 IP 位址。

若要啟用遠端 WMI 呼叫以便在執行 Windows XP 的受管理電腦上運作

在工作列上，按一下 [開始]，然後按一下 [執行]。
在 [執行] 對話方塊中，輸入 gpedit.msc，然後按一下 [確定]。
在本機群組原則編輯器中，從 [主控台根目錄] 下，依序展開 [電腦設定]、[系統管理範本]、[網路]、[網路連線]、[Windows 防火牆]，然後按一下 [網域設定檔]。
在 [網域設定檔] 窗格中，在 [Windows 防火牆:允許遠端系統管理例外] 上按一下滑鼠右鍵，然後按一下 [內容]。
按一下 [已啟用]，再按一下 [確定]。

若要啟用遠端 WMI 呼叫以便在執行 Windows Vista 的受管理電腦上運作

在 [控制台] 中，按一下 [Windows 防火牆]。
按一下 [例外] 索引標籤。
選取 [Windows Management Instrumentation (WMI)] 核取方塊。

若要為新 Essentials 管理伺服器 IP 位址更新防火牆例外

如果是動態指派 Essentials 管理伺服器的 IP 位址，且您使用本機群組原則設定來設定受管理電腦，請使用新的 IP 位址手動更新每個用戶端上的防火牆例外。
如果您要使用網域群組原則設定來設定受管理電腦，請執行 [產品設定精靈]，此精靈位於 [系統管理概觀] 窗格的 [設定] 摘要中。您可以按一下 [原則模式] 旁邊的連結來存取它。當您使用 Essentials 管理伺服器的新 IP 位址更新 [群組原則] 時，更新的防火牆例外會在新的 IP 位址套用到受管理電腦之後傳回。

設定 ISA 伺服器防火牆例外

如果防火牆的另一端有受管理的電腦，請使用下列程序設定 Internet Security and Acceleration (ISA) Server 的防火牆設定。

若要為 System Center 管理服務建立新的存取規則

在工作列上，按一下 [開始]，依序指向 [程式集]、[Microsoft ISA Server]，然後按一下 [ISA Server 管理]。
在瀏覽窗格中展開所要電腦下的 [防火牆原則] 節點，然後在 [工作] 窗格中按一下 [建立陣列存取規則]。
1. 輸入存取規則**「Essentials Management Service」**，然後按 [下一步]。
2. 在 [規則動作] 頁面上，選取 [允許] 然後按一下 [下一步]。
3. 在 [這個規則套用到] 方塊中，選取 [選取的通訊協定]，然後按一下 [新增]。
4. 在 [新增通訊協定] 對話方塊中，按一下 [新增]，然後再按一下 [通訊協定]。
5. 在 [新增通訊協定定義精靈] 中輸入 TCP 5723。
6. 在 [主要連線資訊] 頁面上按一下 [新增]。
7. 在 [新增/編輯通訊協定資訊] 頁面上，於 [從] 和 [到] 方塊中皆輸入 5723，然後按一下 [確定]。
8. 在 [主要連線資訊] 頁面上，按一下 [下一步]。
9. 在 [次要連線] 頁面上，按一下 [下一步]。
10. 在 [正在完成新通訊協定定義精靈] 頁面中，按一下 [完成]。
在 [新增通訊協定] 對話方塊中，展開 [使用者定義的] 資料夾，選取 [TCP 5723]，然後按一下 [新增]。
1. 若要關閉 [新增通訊協定] 對話方塊，按一下 [關閉]。
2. 在 [新增存取規則精靈] 的 [通訊協定] 頁面上，按一下 [下一步]。
3. 在 [存取規則來源] 對話方塊中，按一下 [新增]。
4. 在 [新增通訊協定] 對話方塊中，展開 [網路] 資料夾，選取 [內部]，然後按一下 [新增]。
5. 選取 [本機主機] 並按一下 [新增]，然後按一下 [關閉]。
6. 在 [新增存取規則精靈] 的 [存取規則來源] 頁面上，按一下 [下一步]。
7. 在 [新增網路實體] 對話方塊中，展開 [網路] 資料夾，選取 [內部]，然後按一下 [新增]。
8. 選取 [本機主機] 並按一下 [新增]，然後按一下 [關閉]。
9. 在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上，按一下 [下一步]。
10. 在 [使用者組] 對話方塊中，按一下 [下一步]。
11. 在 [正在完成新增存取規則精靈] 頁面中，按一下 [完成]。

若要為 System Center 資料存取服務建立新的存取規則

在工作列上，按一下 [開始]，依序指向 [程式集]、[Microsoft ISA Server]，然後按一下 [ISA Server 管理]。
在瀏覽窗格中，展開所選電腦下的 [防火牆原則]，然後在 [工作] 窗格中按一下 [建立陣列存取規則]。
1. 輸入存取規則**「Essentials Data Access Service」**，然後按 [下一步]。
2. 在 [規則動作] 頁面上，按一下 [允許] 然後按一下 [下一步]。
3. 在 [通訊協定] 頁面的 [這個規則套用到] 下，選取 [選取的通訊協定]，然後按一下 [新增]。
4. 在 [新增通訊協定] 對話方塊中，按一下 [新增]，然後再按一下 [通訊協定]。
5. 在 [新增通訊協定定義精靈] 中輸入 TCP 5724。
6. 在 [主要連線資訊] 頁面上按一下 [新增]。
7. 在 [新增/編輯通訊協定資訊] 頁面上，於 [從] 和 [到] 方塊中皆輸入 5724，然後按一下 [確定]。
8. 在 [主要連線資訊] 頁面上，按一下 [下一步]。
9. 在 [次要連線] 頁面上，按一下 [下一步]。
10. 在 [正在完成新通訊協定定義精靈] 頁面中，按一下 [完成]。
在 [新增通訊協定] 對話方塊中，展開 [使用者定義的] 資料夾，選取 [TCP 5724]，然後按一下 [新增]。
1. 若要關閉 [新增通訊協定] 對話方塊，按一下 [關閉]。
2. 在 [新增存取規則精靈] 的 [通訊協定] 頁面上，按一下 [下一步]。
3. 在 [存取規則來源] 對話方塊中，按一下 [新增]。
4. 在 [新增通訊協定] 對話方塊中，展開 [網路] 資料夾，選取 [內部]，然後按一下 [新增]。
5. 選取 [本機主機] 並按一下 [新增]，然後按一下 [關閉]。
6. 在 [新增存取規則精靈] 的 [存取規則來源] 頁面上，按一下 [下一步]。
7. 在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上，按一下 [下一步]。
8. 在 [新增網路實體] 對話方塊中，展開 [網路] 資料夾，選取 [內部]，然後按一下 [新增]。
9. 在 [網路] 資料夾下，按一下 [內部] 然後再按一下 [新增]。
10. 選取 [本機主機] 並按一下 [新增]，然後按一下 [關閉]。
11. 在 [新增存取規則精靈] 的 [存取規則目的地] 頁面上，按一下 [下一步]。
12. 在 [使用者組] 對話方塊中，按一下 [下一步]。
在 [正在完成新增存取規則精靈] 頁面中，按一下 [完成]。

若要發佈 WSUS 網頁伺服器

在工作列上，按一下 [開始]，依序指向 [程式集]、[Microsoft ISA Server]，然後按一下 [ISA Server 管理]。
在瀏覽窗格中展開 [防火牆原則] 節點，然後在 [工作] 窗格中按一下 [發佈 Web 伺服器]。
1. 輸入存取規則**「Essentials WSUS Web Server」**，然後按 [下一步]。
2. 在 [選取規則動作] 頁面上，選取 [允許] 然後按一下 [下一步]。
在 [定義要發佈的網站] 對話方塊中，於 [電腦名稱或 IP 位址] 方塊中輸入 Essentials 管理伺服器名稱。
在 [路徑] 方塊中輸入**「/*」**，然後按 [下一步]。
在 [公用名稱詳細資料] 對話方塊中，於 [公用名稱] 方塊中輸入 Essentials 管理伺服器名稱，然後按一下 [下一步]。
在 [選取網頁接聽程式] 對話方塊中，按一下 [新增]。
1. 在 [歡迎使用新網頁接聽程式精靈] 頁面中，輸入**「Essentials 網頁接聽程式」**，然後按 [下一步]。
2. 在 [IP 位址] 頁面中，選取 [內部] 及 [本機主機] 核取方塊，然後按 [下一步]。
在「新網頁接聽程式精靈」的 [連接埠規格] 頁面上，執行下列動作：
1. 選取 [啟用 HTTP] 核取方塊。
2. 在 [HTTP 連接埠] 中輸入 8530。
3. 選取 [啟用 SSL] 核取方塊。
4. 在 [SSL 連接埠] 中輸入 8531。
5. 按一下 [選取]，選取符合 Essentials 管理伺服器主機名稱的憑證，然後按一下 [確定]。
6. 按 [下一步]。
在 [正在完成新網頁接聽程式精靈] 頁面中，按一下 [完成]。
在 [選取網頁接聽程式] 對話方塊中：
1. 在 [網頁接聽程式] 下，選取 [Essentials 網頁接聽程式]，然後按 [下一步]。
2. 在 [使用者組] 頁面上，按一下 [下一步]。
在 [正在完成新網頁發佈規則精靈] 頁面上，按一下 [完成]。
在 ISA Server 主控台中，以滑鼠右鍵按一下 [Essentials WSUS 網頁伺服器] 規則，然後按一下 [內容]。
1. 按一下 [到] 索引標籤。
2. 選取 [要求看起來是來自原始用戶端]。
3. 按一下 [橋接] 索引標籤。
4. 在 [將要求重新導向至 HTTP 連接埠] 中輸入**「8530」**。
5. 選取 [將要求重新導向至 SSL 連接埠] 核取方塊，然後輸入**「8531」**。
6. 按一下 [確定]。
在 ISA Server 主控台中，按一下 [套用] 儲存變更並更新設定。

另請參閱

概念

System Center Essentials 2010 中的本機原則與群組原則
 規劃部署 System Center Essentials 2010