Nastavení brány Windows Firewall a portů pro klienty v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Klientské počítače v Configuration Manager, na kterých běží brána Windows Firewall, často vyžadují, abyste nakonfigurovali výjimky, které umožní komunikaci s jejich lokalitou. Výjimky, které musíte nakonfigurovat, závisí na funkcích správy, které používáte s klientem Configuration Manager.
Následující části slouží k identifikaci těchto funkcí správy a další informace o konfiguraci brány Windows Firewall pro tyto výjimky.
Úprava portů a programů povolených bránou Windows Firewall
Pomocí následujícího postupu upravte porty a programy v bráně Windows Firewall pro klienta Configuration Manager.
Úprava portů a programů povolených bránou Windows Firewall
V počítači, na kterém běží brána Windows Firewall, otevřete Ovládací panely.
Klikněte pravým tlačítkem na Brána Windows Firewall a potom klikněte na Otevřít.
Nakonfigurujte všechny požadované výjimky a všechny vlastní programy a porty, které požadujete.
Programy a porty, které Configuration Manager vyžadují
Následující Configuration Manager funkce vyžadují výjimky v bráně Windows Firewall:
Dotazy
Pokud spustíte konzolu Configuration Manager na počítači, na kterém běží brána Windows Firewall, dotazy při prvním spuštění selžou a operační systém zobrazí dialogové okno s dotazem, jestli chcete statview.exe odblokovat. Pokud statview.exe odblokujete, budoucí dotazy se spustí bez chyb. Před spuštěním dotazu můžete také ručně přidat Statview.exe do seznamu programů a služeb na kartě Výjimky v bráně Windows Firewall.
Klientská nabízená instalace
Pokud chcete k instalaci klienta Configuration Manager použít nabízenou instalaci klienta, přidejte do brány Windows Firewall následující výjimky:
Odchozí a příchozí: Sdílení souborů a tiskáren
Příchozí: WMI (Windows Management Instrumentation)
Instalace klienta pomocí Zásady skupiny
Pokud chcete použít Zásady skupiny k instalaci klienta Configuration Manager, přidejte sdílení souborů a tiskáren jako výjimku do brány Windows Firewall.
Požadavky klientů
Aby klientské počítače komunikují s Configuration Manager systémy lokality, přidejte do brány Windows Firewall jako výjimky následující:
Odchozí: Port TCP 80 (pro komunikaci HTTP)
Odchozí: Port TCP 443 (pro komunikaci HTTPS)
Důležité
Jedná se o výchozí čísla portů, která je možné změnit v Configuration Manager. Další informace najdete v tématu Postup konfigurace portů pro komunikaci klienta. Pokud se tyto porty změnily z výchozích hodnot, musíte také nakonfigurovat odpovídající výjimky v bráně Windows Firewall.
Oznámení klienta
Aby bod správy informoval klientské počítače o akci, kterou musí provést, když správce vybere akci klienta v konzole Configuration Manager, například stažení zásad počítače nebo zahájení kontroly malwaru, přidejte do brány Windows Firewall následující výjimku:
Odchozí: Port TCP 10123
Pokud tato komunikace není úspěšná, Configuration Manager se automaticky vrátí k použití existujícího komunikačního portu klienta do bodu správy http nebo HTTPS:
Odchozí: Port TCP 80 (pro komunikaci HTTP)
Odchozí: Port TCP 443 (pro komunikaci HTTPS)
Důležité
Jedná se o výchozí čísla portů, která je možné změnit v Configuration Manager. Další informace najdete v tématu Konfigurace portů pro komunikaci klientů. Pokud se tyto porty změnily z výchozích hodnot, musíte také nakonfigurovat odpovídající výjimky v bráně Windows Firewall.
Vzdálené řízení
Pokud chcete používat Configuration Manager vzdálené řízení, povolte následující port:
- Příchozí: Port TCP 2701
Vzdálená pomoc a Vzdálená plocha
Chcete-li zahájit vzdálenou pomoc z konzoly Configuration Manager, přidejte vlastní programHelpsvc.exe a příchozí vlastní port TCP 135 do seznamu povolených programů a služeb v bráně Windows Firewall na klientském počítači. Musíte také povolit Vzdálenou pomoc a Vzdálenou plochu. Pokud zahájíte vzdálenou pomoc z klientského počítače, brána Windows Firewall automaticky nakonfiguruje a povolí Vzdálenou pomoc a Vzdálenou plochu.
proxy Wake-Up
Pokud povolíte nastavení klienta proxy probuzení, nová služba s názvem Proxy probuzení nástroje ConfigMgr použije protokol peer-to-peer ke kontrole, jestli jsou ostatní počítače v podsíti probuzeny, a v případě potřeby je probudí. Tato komunikace používá následující porty:
Odchozí: Port UDP 25536
Odchozí: Port UDP 9
Jedná se o výchozí čísla portů, která se dají změnit v Configuration Manager pomocí nastavení klientů řízení spotřeby v možnostech Číslo portu proxy probuzení (UDP) a Číslo portu WAKE On LAN (UDP). Pokud zadáte nastavení klienta Řízení spotřeby: Výjimka brány Windows Firewall pro proxy probuzení , tyto porty se automaticky nakonfigurují v bráně Windows Firewall pro klienty. Pokud ale klienti používají jinou bránu firewall, musíte výjimky pro tato čísla portů nakonfigurovat ručně.
Kromě těchto portů používá proxy probuzení také zprávy žádosti o odezvu protokolu ICMP (Internet Control Message Protocol) z jednoho klientského počítače do jiného klientského počítače. Tato komunikace se používá k potvrzení, zda je druhý klientský počítač v síti probuzený. Protokol ICMP se někdy označuje jako příkazy ping protokolu TCP/IP.
Další informace o proxy probuzení najdete v tématu Plánování postupu probuzení klientů.
Windows Prohlížeč událostí, Windows Sledování výkonu a Diagnostika Windows
Pokud chcete získat přístup k windows Prohlížeč událostí, Windows Sledování výkonu a Windows Diagnostics z konzoly Configuration Manager, povolte v bráně Windows Firewall jako výjimku sdílení souborů a tiskáren.
Porty používané během nasazení klienta Configuration Manager
V následujících tabulkách jsou uvedeny porty, které se používají během procesu instalace klienta.
Důležité
Pokud je mezi servery systému lokality a klientským počítačem brána firewall, ověřte, jestli brána firewall povoluje provoz pro porty, které jsou požadovány pro zvolenou metodu instalace klienta. Brány firewall například často brání úspěšné klientské nabízené instalaci, protože blokují protokol SMB (Server Message Block) a vzdálené volání procedur (RPC). V tomto scénáři použijte jinou metodu instalace klienta, například ruční instalaci (spuštěním CCMSetup.exe) nebo instalaci klienta na základě Zásady skupiny. Tyto alternativní metody instalace klienta nevyžadují protokol SMB ani RPC.
Informace o konfiguraci brány Windows Firewall v klientském počítači najdete v tématu Úprava portů a programů povolených bránou Windows Firewall.
Porty, které se používají pro všechny metody instalace
| Popis | Udp | TCP |
|---|---|---|
| Protokol HTTP (Hypertext Transfer Protocol) z klientského počítače do bodu záložního stavu, když je klientovi přiřazen bod záložního stavu. | -- | 80 (viz poznámka 1, Alternativní port je k dispozici) |
Porty používané s klientskou nabízenou instalací
| Popis | Udp | TCP |
|---|---|---|
| Protokol SMB (Server Message Block) mezi serverem lokality a klientským počítačem. | -- | 445 |
| Mapovač koncových bodů RPC mezi serverem lokality a klientským počítačem. | 135 | 135 |
| Dynamické porty RPC mezi serverem lokality a klientským počítačem. | -- | DYNAMICKÉ |
| Protokol HTTP (Hypertext Transfer Protocol) z klientského počítače do bodu správy při připojení přes protokol HTTP. | -- | 80 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol HTTPS (Secure Hypertext Transfer Protocol) z klientského počítače do bodu správy, pokud je připojení přes PROTOKOL HTTPS. | -- | 443 (viz poznámka 1, Alternativní port je k dispozici) |
Porty, které se používají při instalaci na základě bodu aktualizace softwaru
| Popis | Udp | TCP |
|---|---|---|
| Protokol HTTP (Hypertext Transfer Protocol) z klientského počítače do bodu aktualizace softwaru. | -- | 80 nebo 8530 (viz poznámka 2, Windows Server Update Services) |
| Protokol HTTPS (Secure Hypertext Transfer Protocol) z klientského počítače do bodu aktualizace softwaru. | -- | 443 nebo 8531 (viz poznámka 2, Windows Server Update Services) |
| Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem při zadání vlastnosti příkazového řádku CCMSetup /source:<Path>. | -- | 445 |
Porty používané při instalaci na základě Zásady skupiny
| Popis | Udp | TCP |
|---|---|---|
| Protokol HTTP (Hypertext Transfer Protocol) z klientského počítače do bodu správy při připojení přes protokol HTTP. | -- | 80 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol HTTPS (Secure Hypertext Transfer Protocol) z klientského počítače do bodu správy, pokud je připojení přes PROTOKOL HTTPS. | -- | 443 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem při zadání vlastnosti příkazového řádku CCMSetup /source:<Path>. | -- | 445 |
Porty, které se používají s ruční instalací a instalací na základě přihlašovacích skriptů
| Popis | Udp | TCP |
|---|---|---|
| Protokol SMB (Server Message Block) mezi klientským počítačem a sdílenou složkou sítě, ze které spouštíte CCMSetup.exe. Při instalaci Configuration Manager se zdrojové soubory instalace klienta zkopírují a automaticky sdílí ze <složky InstallationPath>\Client v bodech správy. Tyto soubory ale můžete zkopírovat a vytvořit novou sdílenou složku na libovolném počítači v síti. Případně můžete tento síťový provoz eliminovat spuštěním CCMSetup.exe místně, například pomocí vyměnitelného média. |
-- | 445 |
| Protokol HTTP (Hypertext Transfer Protocol) z klientského počítače do bodu správy, pokud je připojení přes PROTOKOL HTTP a nezadáte vlastnost příkazového řádku CCMSetup /source:<Path>. | -- | 80 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol HTTPS (Secure Hypertext Transfer Protocol) z klientského počítače do bodu správy, pokud je připojení přes PROTOKOL HTTPS a nezadáte vlastnost příkazového řádku CCMSetup /source:<Path>. | -- | 443 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem při zadání vlastnosti příkazového řádku CCMSetup /source:<Path>. | -- | 445 |
Porty, které se používají s instalací na základě distribuce softwaru
| Popis | Udp | TCP |
|---|---|---|
| Protokol SMB (Server Message Block) mezi distribučním bodem a klientským počítačem. | -- | 445 |
| Protokol HTTP (Hypertext Transfer Protocol) z klienta do distribučního bodu při připojení přes protokol HTTP. | -- | 80 (viz poznámka 1, Alternativní port je k dispozici) |
| Protokol HTTPS (Secure Hypertext Transfer Protocol) z klienta do distribučního bodu, pokud je připojení přes PROTOKOL HTTPS. | -- | 443 (viz poznámka 1, Alternativní port je k dispozici) |
Poznámky
K dispozici je 1 alternativní port. V Configuration Manager můžete pro tuto hodnotu definovat alternativní port. Pokud byl definován vlastní port, při definování informací o filtru IP adres pro zásady protokolu IPsec nebo pro konfiguraci bran firewall nahraďte tento vlastní port.
2 Windows Server Update Services Službu WSUS (Windows Server Update Service) můžete nainstalovat buď na výchozí web (port 80), nebo na vlastní web (port 8530).
Po instalaci můžete port změnit. V celé hierarchii lokality nemusíte používat stejné číslo portu.
Pokud je port HTTP 80, musí být port HTTPS 443.
Pokud je port HTTP něco jiného, musí být port HTTPS o 1 vyšší. Například 8530 a 8531.