Nastavení brány Windows Firewall a portů pro klientské počítače v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Klientské počítače v nástroji System Center 2012 Configuration Manager, které používají bránu Windows Firewall, často vyžadují, abyste nakonfigurovali výjimky umožňující počítačům komunikovat s lokalitou. Výjimky, které je nutné nakonfigurovat, závisí na funkcích správy, které používáte s klientem nástroje Configuration Manager.
Následující části vám umožní zjistit tyto funkce správy a získat další informace o konfiguraci těchto výjimek v bráně Windows Firewall.
Změna nastavení portů a programů povolených bránou Windows Firewall
Pomocí následujícího postupu změníte nastavení portů a programů v bráně Windows Firewall pro klienta nástroje Configuration Manager.
Změna nastavení portů a programů povolených bránou Windows Firewall
V počítači používajícím bránu Windows Firewall otevřete část Ovládací panely.
Klikněte pravým tlačítkem na položku Brána Windows Firewall a poté klikněte na tlačítko Otevřít.
Nakonfigurujte jakékoli vyžadované výjimky a vlastní programy a porty.
Programy a porty vyžadované nástrojem Configuration Manager
Následující funkce nástroje Configuration Manager vyžadují výjimky v bráně Windows Firewall:
Dotazy
Pokud spustíte konzolu nástroje Configuration Manager v počítači používajícím bránu Windows Firewall, budou dotazy při prvním spuštění neúspěšné a operační systém zobrazí dialogové okno s dotazem, zda chcete odblokovat soubor statview.exe. Pokud odblokujete soubor statview.exe, budoucí dotazy se spustí bez chyb. Před spuštěním dotazu lze na kartě Výjimky brány Windows Firewall také přidat soubor Statview.exe do seznamu programů a služeb ručně.
Klientská nabízená instalace
Chcete-li použít klientskou nabízenou instalaci k instalaci klienta nástroje System Center 2012 Configuration Manager, přidejte následující položky jako výjimky do brány Windows Firewall:
Odchozí a příchozí: Sdílení souborů a tiskáren
Příchozí: Windows Management Instrumentation (WMI)
Instalace klienta pomocí zásad skupiny
Chcete-li použít zásady skupiny k instalaci klienta nástroje Configuration Manager, přidejte položku Sdílení souborů a tiskáren jako výjimku do brány Windows Firewall.
Požadavky klientů
Aby klientské počítače komunikovaly se systémy lokality nástroje Configuration Manager, přidejte následující položky jako výjimky do brány Windows Firewall:
Odchozí: Port TCP 80 (pro komunikaci protokolem HTTP)
Odchozí: Port TCP 443 (pro komunikaci protokolem HTTPS)
.jpeg "System_CAPS_important") Důležité |
|---|
Toto jsou výchozí čísla portů, která lze změnit v nástroji Configuration Manager. Další informace naleznete v tématu Konfigurace čísel portů pro komunikaci klientů v nástroji Configuration Manager. Pokud jsou změněny výchozí hodnoty těchto portů, je nutné také nakonfigurovat odpovídající výjimky v bráně Windows Firewall. |
Klientské oznámení
Pro System Center 2012 Configuration Manager SP1 a novější:
Aby bod správy informoval klientské počítače o akci, kterou musí provést v případě, že uživatel vybere akci klienta v konzole nástroje Configuration Manager, například stažení zásady počítače nebo zahájení prohledávání malwaru, přidejte následující položky jako výjimku do brány Windows Firewall:
Odchozí: Port TCP 10123
Pokud nebude tato komunikace úspěšná, nástroj Configuration Manager se automaticky vrátí k používání existujícího portu pro komunikaci klienta s bodem správy protokolu HTTP nebo HTTPS:
Odchozí: Port TCP 80 (pro komunikaci protokolem HTTP)
Odchozí: Port TCP 443 (pro komunikaci protokolem HTTPS)
| Důležité |
|---|
Toto jsou výchozí čísla portů, která lze změnit v nástroji Configuration Manager. Další informace naleznete v tématu Konfigurace čísel portů pro komunikaci klientů v nástroji Configuration Manager. Pokud jsou změněny výchozí hodnoty těchto portů, je nutné také nakonfigurovat odpovídající výjimky v bráně Windows Firewall. |
Architektura NAP (Network Access Protection)
Aby klientské počítače úspěšně komunikovaly s bodem validátoru stavu systému, povolte následující porty:
Odchozí: UDP 67 a UDP 68 pro protokol DHCP
Odchozí: TCP 80/443 pro protokol IPsec
Vzdálené řízení
Chcete-li použít vzdálené řízení nástroje Configuration Manager, povolte následující port:
- Příchozí: Port TCP 2701
Funkce Vzdálená pomoc a Vzdálená plocha
Chcete-li spustit funkci Vzdálená pomoc z konzoly nástroje Configuration Manager, přidejte vlastní program Helpsvc.exe a příchozí vlastní port TCP 135 do seznamu povolených programů a služeb v bráně Windows Firewall v klientském počítači. Je také nutné povolit funkci Vzdálená pomoc a Vzdálená plocha. Pokud spustíte funkci Vzdálená pomoc z klientského počítače, brána Windows Firewall automaticky nakonfiguruje a povolí funkci Vzdálená pomoc a Vzdálená plocha.
Proxy probuzení
Pro System Center 2012 Configuration Manager SP1 a novější:
Pokud povolíte nastavení proxy probuzení v klientovi, použije nová služba s názvem Proxy probuzení nástroje ConfigMgr protokol peer-to-peer, aby zkontrolovala, zda běží ostatní počítače v podsíti, a aby je v případě potřeby probudila. Tato komunikace používá následující porty:
Odchozí: Port UDP 25536
Odchozí: Port UDP 9
Toto jsou výchozí čísla portů, která lze změnit v nástroji Configuration Manager pomocí nastavení klienta Řízení spotřeby v možnosti Číslo portu proxy probuzení (UDP) a Číslo portu Wake On LAN (UDP). Pokud zadáte nastavení klienta Řízení spotřeby: Výjimka brány Windows Firewall pro proxy probuzení, tyto porty se automaticky nakonfigurují v bráně Windows Firewall pro klienty. Pokud však klienti používají jinou bránu firewall, je nutné nakonfigurovat výjimky pro tato čísla portů ručně.
Proxy probuzení používá kromě těchto portů také žádosti o odezvu protokolu ICMP (Internet Control Message Protocol) od jednoho klientského počítače do jiného klientského počítače. Tato komunikace se používá pro potvrzení, zda počítač jiného klienta běží na síti. ICMP se někdy označuje příkazy ping TCP/IP. Nástroj System Center 2012 Configuration Manager SP1 nenakonfiguruje bránu Windows Firewall pro tyto příkazy Ping protokolu TCP/IP, a pokud nepoužíváte nástroj System Center 2012 R2 Configuration Manager, je nutné ručně povolit tento provoz protokolu ICMP, aby komunikace proxy probuzení mohla úspěšně probíhat.
Pokud máte místo nástroje System Center 2012 R2 Configuration Manager nástroj System Center 2012 Configuration Manager SP1, následující postup vám pomůže nakonfigurovat bránu Windows Firewall pravidlem pro příchozí spojení, které u proxy probuzení povolí příkazy Ping protokolu TCP/IP pro příchozí spojení.
Konfigurace povolení příkazů Ping protokolu TCP/IP v bráně Windows Firewall
V bráně Windows Firewall s konzolou pro rozšířené zabezpečení vytvořte nové pravidlo pro příchozí spojení.
V nástroji Průvodce vytvořením nového příchozího pravidla vyberte na stránce Typ pravidla možnost Vlastní a poté klikněte na tlačítko Další.
Na stránce Program zachovejte výchozí nastavení Všechny programy a poté klikněte na tlačítko Další.
Na stránce Protokoly a porty klikněte na rozevírací seznam položky Typ protokolu, vyberte možnost ICMPv4 a poté klikněte na tlačítko Přizpůsobit.
V dialogovém okně Vlastní nastavení protokolu ICMP klikněte na položku Určité typy ICMP, vyberte možnost Žádost o odezvu a poté klikněte na tlačítko OK.
V nástroji Průvodce vytvořením nového příchozího pravidla klikněte na tlačítko Další.
Na stránce Obor zachovejte výchozí nastavení jakékoli místní nebo vzdálené IP adresy a klikněte na tlačítko Další.
Ověřte, zda je na kartě Akce vybrána možnost Povolit připojení, a poté klikněte na tlačítko Další.
Na stránce Profil vyberte profily, které použijí proxy probuzení (například Doména), a poté klikněte na tlačítko Další.
Na stránce Název zadejte název tohoto vlastního pravidla a volitelně zadejte popis, který vám pomůže zjistit, že toto pravidlo je vyžadováno pro komunikaci proxy probuzení. Poté klikněte na tlačítko Dokončit, čímž zavřete průvodce.
Další informace o proxy probuzení naleznete v části Plánování probuzení klientů v tématu Plánování komunikací v Configuration Manageru.
Nástroj Prohlížeč událostí systému Windows, Monitor výkonu systému Windows a Diagnostika systému Windows
Chcete-li získat přístup k nástroji Prohlížeč událostí systému Windows, Monitor výkonu systému Windows a Diagnostika systému Windows z konzoly nástroje Configuration Manager, povolte položku Sdílení souborů a tiskáren jako výjimku v bráně Windows Firewall.
Porty používané během nasazení klienta nástroje Configuration Manager
Následující tabulky uvádí porty, které se používají během instalace klienta.
| Důležité |
|---|
Pokud je mezi servery systému lokality a klientským počítačem brána firewall, potvrďte, zda brána firewall povolí provoz pro porty, které jsou vyžadovány pro vybranou metodu instalace klienta. Brány firewall například často zamezí úspěšné klientské nabízené instalaci, protože blokují protokol SMB (Server Message Block) a RPC (Remote Procedure Calls). V případě tohoto scénáře použijte odlišnou metodu instalace klienta, například ruční instalaci (spuštěním souboru CCMSetup.exe) nebo instalaci klienta na základě zásad skupiny. Tyto alternativní metody instalace klienta nevyžadují protokol SMB ani RPC. |
Informace o konfiguraci brány Windows Firewall v klientském počítači naleznete v části Změna nastavení portů a programů povolených bránou Windows Firewall.
Porty používané pro všechny metody instalace
Popis |
UDP |
TCP |
|---|---|---|
Protokol HTTP (Hypertext Transfer Protocol) od klientského počítače do bodu záložního stavu, pokud je ke klientovi přiřazen bod záložního stavu. |
-- |
80 (viz poznámku 1, Alternativní port dostupný) |
Porty používané při klientské nabízené instalaci
Kromě portů uvedených v následující tabulce používá klientská nabízená instalace také žádosti o odezvu protokolu ICMP (Internet Control Message Protocol) od serveru lokality do klientského počítače pro potvrzení, zda je klientský počítač dostupný na síti. ICMP se někdy označuje příkazy ping TCP/IP. ICMP nemá číslo protokolu UDP nebo TCP, proto není v následující tabulce uveden. Jakákoli síťová zařízení, například brány firewall, však musí povolit provoz protokolu ICMP, aby klientská nabízená instalace mohla úspěšně probíhat.
Popis |
UDP |
TCP |
|---|---|---|
Protokol SMB (Server Message Block) mezi serverem lokality a klientským počítačem |
-- |
445 |
Mapovač koncových bodů protokolu RPC mezi serverem lokality a klientským počítačem |
135 |
135 |
Dynamické porty RPC mezi serverem lokality a klientským počítačem |
-- |
DYNAMIC |
Protokol HTTP (Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTP |
-- |
80 (viz poznámku 1, Alternativní port dostupný) |
Protokol HTTPS (Secure Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTPS |
-- |
443 (viz poznámku 1, Alternativní port dostupný) |
Porty používané při instalaci aktualizace softwaru z bodu
Popis |
UDP |
TCP |
|---|---|---|
Protokol HTTP (Hypertext Transfer Protocol) od klientského počítače do bodu aktualizace softwaru |
-- |
80 nebo 8530 (viz poznámku 2, Služba Windows Server Update Services) |
Protokol HTTPS (Secure Hypertext Transfer Protocol) od klientského počítače do bodu aktualizace softwaru |
-- |
443 nebo 8531 (viz poznámku 2, Služba Windows Server Update Services) |
Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem po zadání vlastnosti příkazového řádku služby CCMSetup /source:<Path>. |
-- |
445 |
Porty používané při instalaci na základě zásad skupiny
Popis |
UDP |
TCP |
|---|---|---|
Protokol HTTP (Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTP |
-- |
80 (viz poznámku 1, Alternativní port dostupný) |
Protokol HTTPS (Secure Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTPS |
-- |
443 (viz poznámku 1, Alternativní port dostupný) |
Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem po zadání vlastnosti příkazového řádku služby CCMSetup /source:<Path>. |
-- |
445 |
Porty používané při ruční instalaci a instalaci na základě přihlašovacího skriptu
Popis |
UDP |
TCP |
|---|---|---|
Protokol SMB (Server Message Block) mezi klientským počítačem a sdílenou síťovou složkou, ze které lze spustit soubor CCMSetup.exe. Poznámka Když nainstalujete nástroj System Center 2012 Configuration Manager, zdrojové instalační soubory klienta jsou zkopírovány a automaticky sdíleny ze složky <InstalačníCesta>\Client v bodech správy. Tyto soubory však můžete zkopírovat a můžete vytvořit novou sdílenou složku v jakémkoli počítači v síti. Případně můžete omezit tento síťový provoz místním spuštěním souboru CCMSetup.exe, například pomocí vyměnitelného média. |
-- |
445 |
Protokol HTTP (Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTP, a pokud nezadáte vlastnost příkazového řádku služby CCMSetup /source:<Cesta>. |
-- |
80 (viz poznámku 1, Alternativní port dostupný) |
Protokol HTTPS (Secure Hypertext Transfer Protocol) od klientského počítače do bodu správy v případě připojení prostřednictvím protokolu HTTPS, a pokud nezadáte vlastnost příkazového řádku služby CCMSetup /source:<Cesta>. |
-- |
443 (viz poznámku 1, Alternativní port dostupný) |
Protokol SMB (Server Message Block) mezi zdrojovým serverem a klientským počítačem po zadání vlastnosti příkazového řádku služby CCMSetup /source:<Path>. |
-- |
445 |
Porty používané při instalaci na základě distribuce softwaru
Popis |
UDP |
TCP |
|---|---|---|
Protokol SMB (Server Message Block) mezi distribučním bodem a klientským počítačem |
-- |
445 |
Protokol HTTP (Hypertext Transfer Protocol) od klienta do distribučního bodu v případě připojení prostřednictvím protokolu HTTP |
-- |
80 (viz poznámku 1, Alternativní port dostupný) |
Protokol HTTPS (Secure Hypertext Transfer Protocol) od klienta do distribučního bodu v případě připojení prostřednictvím protokolu HTTPS |
-- |
443 (viz poznámku 1, Alternativní port dostupný) |
Poznámky
1 Alternativní port dostupný V nástroji Configuration Manager lze definovat alternativní port pro tuto hodnotu. Jestliže byl nadefinován vlastní port, dosaďte tento vlastní port při definování informací IP filtru pro zásady protokolu IPsec nebo pro konfigurování bran firewall.
2 Služba Windows Server Update Services Službu WSUS (Windows Server Update Service) lze instalovat buď na výchozí web (port 80), nebo na vlastní web (port 8530).
Po instalaci můžete port změnit. Nemusíte používat stejné číslo portu v celé hierarchii webu.
Jestliže port HTTP je 80, port HTTPS musí být 443.
Jestliže port HTTP je jakýkoli jiný, port HTTPS musí být o 1 vyšší – např. 8530 a 8531.
Viz také
Technické informace o nasazení klientů v nástroji Configuration Manager