Bestimmen der von Firewalls zur Unterstützung des Netzwerkzugriffsschutzes benötigten Ports
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Letzte Aktualisierung des Themas – März 2008
Zusätzlich zum Configuration Manager 2007-Standardverkehr generiert der Netzwerkzugriffsschutz (Network Access Protection, NAP) in Configuration Manager 2007 folgenden Verkehr mit den zugehörigen Ports. Wenn Firewalls oder Umkreisnetzwerkgeräte vorhanden sind, die diesen Verkehr blockieren, müssen diese neu für den Netzwerkzugriffsschutz konfiguriert werden, um mit Configuration Manager 2007 zu arbeiten.
Anhand der folgenden Tabelle können Sie die Ports identifizieren, die vom Netzwerkzugriffsschutz in Configuration Manager 2007 verwendet werden. Eine Liste aller in Configuration Manager 2007 verwendeten Ports finden Sie unter „Von Configuration Manager verwendete Ports“.
Zusätzlich müssen Sie noch die vom Client verwendeten Ports für den Systemintegritätsprüfungspunkt identifizieren. Diese Ports werden nicht direkt von Configuration Manager verwendet, sie werden aber vom Windows-Netzwerkzugriffsschutz eingerichtet und sind vom verwendeten Erzwingungsclient abhängig. Beispielsweise werden für DHCP-Erzwingung die Ports UDP 67 und 68 verwendet. IPsec-Erzwingung verwendet die Ports TCP 80 oder 443 zur Integritätsregistrierungsstelle, Port UDP 500 für die IPsec-Aushandlung und die zusätzlichen für die IPsec-Filter notwendigen Ports. Weitere Informationen finden Sie in der Dokumentation zum Windows-Netzwerkzugriffsschutz, und Informationen zur Konfiguration von Firewalls für IPsec finden Sie unter https://go.microsoft.com/fwlink/?LinkId=109499 (möglicherweise in englischer Sprache).
| Funktion | Ports | Beschreibung |
|---|---|---|
Configuration Manager 2007-Standortserver, der die Configuration Manager-Integritätszustandsreferenz in den Active Directory-Domänendiensten veröffentlicht |
TCP 389 (LDAP) oder TCP 636 (LDAPS) |
Schreiben in die Active Directory-Domänendienste |
Systemintegritätsprüfungspunkt fragt die Configuration Manager-Integritätszustandsreferenz von den Active Directory-Domänendiensten ab |
TCP 3268 (Suche im globalen Katalog) oder TCP 3269 (sichere Suche im globalen Katalog) |
Lesen aus einem globalen Katalogserver |
Installieren des Systemintegritätsprüfungspunkt und laufende Konfiguration |
TCP 445 TCP 135 |
Server Message Blocks (SMB) müssen installiert werden Remoteprozeduraufrufe (Remote Procedure Call, RPC) für die Konfiguration |
Statusmeldungen vom Systemintegritätsprüfungspunkt zum Standortserver |
TCP 445 |
Server Message Blocks (SMB) |
Siehe auch
Konzepte
Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Von Configuration Manager verwendete Ports
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com