Paramètres de port et de pare-feu Windows pour les clients dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Les ordinateurs clients dans Configuration Manager qui exécutent le Pare-feu Windows vous obligent souvent à configurer des exceptions pour autoriser la communication avec leur site. Les exceptions que vous devez configurer dépendent des fonctionnalités de gestion que vous utilisez avec le client Configuration Manager.
Utilisez les sections suivantes pour identifier ces fonctionnalités de gestion et pour plus d’informations sur la configuration du Pare-feu Windows pour ces exceptions.
Modification des ports et programmes autorisés par le Pare-feu Windows
Utilisez la procédure suivante pour modifier les ports et les programmes sur le Pare-feu Windows pour le client Configuration Manager.
Pour modifier les ports et les programmes autorisés par le Pare-feu Windows
Sur l’ordinateur qui exécute le Pare-feu Windows, ouvrez Panneau de configuration.
Cliquez avec le bouton droit sur Pare-feu Windows, puis cliquez sur Ouvrir.
Configurez toutes les exceptions requises et tous les programmes et ports personnalisés dont vous avez besoin.
Programmes et ports requis Configuration Manager
Les fonctionnalités Configuration Manager suivantes nécessitent des exceptions sur le Pare-feu Windows :
Requêtes
Si vous exécutez la console Configuration Manager sur un ordinateur qui exécute le Pare-feu Windows, les requêtes échouent la première fois qu’elles sont exécutées et le système d’exploitation affiche une boîte de dialogue vous demandant si vous souhaitez débloquer statview.exe. Si vous débloquez statview.exe, les requêtes futures s’exécuteront sans erreur. Vous pouvez également ajouter manuellement Statview.exe à la liste des programmes et services sous l’onglet Exceptions du Pare-feu Windows avant d’exécuter une requête.
Client Push Installation
Pour utiliser l’envoi (push) du client afin d’installer le client Configuration Manager, ajoutez les éléments suivants comme exceptions au Pare-feu Windows :
Sortant et entrant : partage de fichiers et d’imprimantes
Entrant : WMI (Windows Management Instrumentation)
Installation du client à l’aide de stratégie de groupe
Pour utiliser stratégie de groupe pour installer le client Configuration Manager, ajoutez le partage de fichiers et d’imprimantes en tant qu’exception au Pare-feu Windows.
Demandes du client
Pour que les ordinateurs clients communiquent avec Configuration Manager systèmes de site, ajoutez les éléments suivants comme exceptions au Pare-feu Windows :
Sortant : port TCP 80 (pour la communication HTTP)
Sortant : port TCP 443 (pour la communication HTTPS)
Importante
Il s’agit de numéros de port par défaut qui peuvent être modifiés dans Configuration Manager. Pour plus d’informations, consultez Guide pratique pour configurer des ports de communication client. Si ces ports ont été modifiés à partir des valeurs par défaut, vous devez également configurer des exceptions correspondantes sur le Pare-feu Windows.
Client Notification
Pour que le point de gestion informe les ordinateurs clients d’une action qu’il doit effectuer lorsqu’un utilisateur administratif sélectionne une action client dans la console Configuration Manager, par exemple télécharger une stratégie d’ordinateur ou lancer une analyse de programmes malveillants, ajoutez les éléments suivants comme exception au Pare-feu Windows :
Sortant : port TCP 10123
Si cette communication échoue, Configuration Manager revient automatiquement à utiliser le port de communication client-point de gestion existant de HTTP ou HTTPS :
Sortant : port TCP 80 (pour la communication HTTP)
Sortant : port TCP 443 (pour la communication HTTPS)
Importante
Il s’agit de numéros de port par défaut qui peuvent être modifiés dans Configuration Manager. Pour plus d’informations, consultez Guide pratique pour configurer des ports de communication client. Si ces ports ont été modifiés à partir des valeurs par défaut, vous devez également configurer des exceptions correspondantes sur le Pare-feu Windows.
Télécommande
Pour utiliser Configuration Manager contrôle à distance, autorisez le port suivant :
- Entrant : Port TCP 2701
Assistance à distance et Bureau à distance
Pour lancer l’assistance à distance à partir de la console Configuration Manager, ajoutez le programme personnaliséHelpsvc.exe et le port personnalisé entrant TCP 135 à la liste des programmes et services autorisés dans le Pare-feu Windows sur l’ordinateur client. Vous devez également autoriser l’assistance à distance et le Bureau à distance. Si vous lancez l’assistance à distance à partir de l’ordinateur client, le Pare-feu Windows configure et autorise automatiquement l’Assistance à distance et le Bureau à distance.
proxy Wake-Up
Si vous activez le paramètre client du proxy de mise en éveil, un nouveau service nommé Proxy de mise en éveil ConfigMgr utilise un protocole d’égal à égal pour vérifier si d’autres ordinateurs sont éveillés sur le sous-réseau et pour les mettre en veille si nécessaire. Cette communication utilise les ports suivants :
Sortant : port UDP 25536
Sortant : port UDP 9
Il s’agit des numéros de port par défaut qui peuvent être modifiés dans Configuration Manager à l’aide des paramètres des clients de gestion de l’alimentation du numéro de port du proxy de mise en éveil (UDP) et numéro de port Wake On LAN (UDP). Si vous spécifiez le paramètre de client Gestion del’alimentation : Exception de pare-feu Windows pour le proxy de mise en éveil , ces ports sont automatiquement configurés dans le Pare-feu Windows pour les clients. Toutefois, si les clients exécutent un autre pare-feu, vous devez configurer manuellement les exceptions pour ces numéros de port.
En plus de ces ports, le proxy de mise en éveil utilise également les messages de demande d’écho ICMP (Internet Control Message Protocol) d’un ordinateur client vers un autre ordinateur client. Cette communication est utilisée pour vérifier si l’autre ordinateur client est éveillé sur le réseau. ICMP est parfois appelé commandes ping TCP/IP.
Pour plus d’informations sur le proxy de mise en éveil, consultez Planifier la mise en éveil des clients.
Windows observateur d'événements, Windows Analyseur de performances et Diagnostics Windows
Pour accéder à Windows observateur d'événements, Windows Analyseur de performances et Diagnostics Windows à partir de la console Configuration Manager, activez le partage de fichiers et d’imprimantes comme exception sur le Pare-feu Windows.
Ports utilisés lors du déploiement du client Configuration Manager
Les tableaux suivants répertorient les ports utilisés pendant le processus d’installation du client.
Importante
S’il existe un pare-feu entre les serveurs de système de site et l’ordinateur client, vérifiez si le pare-feu autorise le trafic pour les ports requis pour la méthode d’installation du client que vous choisissez. Par exemple, les pare-feu empêchent souvent l’installation push du client de réussir, car ils bloquent le blocage SMB (Server Message Block) et les appels de procédure distante (RPC). Dans ce scénario, utilisez une autre méthode d’installation du client, telle qu’une installation manuelle (en exécutant CCMSetup.exe) ou une installation cliente basée sur stratégie de groupe. Ces méthodes d’installation de client alternatives ne nécessitent pas SMB ou RPC.
Pour plus d’informations sur la configuration du Pare-feu Windows sur l’ordinateur client, consultez Modification des ports et programmes autorisés par le Pare-feu Windows.
Ports utilisés pour toutes les méthodes d’installation
| Description | UDP | TCP |
|---|---|---|
| Http (Hypertext Transfer Protocol) de l’ordinateur client vers un point d’état de secours, lorsqu’un point d’état de secours est attribué au client. | -- | 80 (Voir la remarque 1, Autre port disponible) |
Ports utilisés avec l’installation push du client
| Description | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre le serveur de site et l’ordinateur client. | -- | 445 |
| Mappeur de point de terminaison RPC entre le serveur de site et l’ordinateur client. | 135 | 135 |
| Ports dynamiques RPC entre le serveur de site et l’ordinateur client. | -- | DYNAMIQUE |
| Http (Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTP. | -- | 80 (Voir la remarque 1, Autre port disponible) |
| Protocole HTTPS (Secure Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTPS. | -- | 443 (Voir la remarque 1, Autre port disponible) |
Ports utilisés avec l’installation basée sur un point de mise à jour logicielle
| Description | UDP | TCP |
|---|---|---|
| Http (Hypertext Transfer Protocol) de l’ordinateur client vers le point de mise à jour logicielle. | -- | 80 ou 8530 (voir la note 2, Windows Server Update Services) |
| Protocole HTTPS (Secure Hypertext Transfer Protocol) de l’ordinateur client au point de mise à jour logicielle. | -- | 443 ou 8531 (voir la note 2, Windows Server Update Services) |
| Server Message Block (SMB) entre le serveur source et l’ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<Path>. | -- | 445 |
Ports utilisés avec une installation basée sur stratégie de groupe
| Description | UDP | TCP |
|---|---|---|
| Http (Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTP. | -- | 80 (Voir la remarque 1, Autre port disponible) |
| Protocole HTTPS (Secure Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTPS. | -- | 443 (Voir la remarque 1, Autre port disponible) |
| Server Message Block (SMB) entre le serveur source et l’ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<Path>. | -- | 445 |
Ports utilisés avec l’installation manuelle et l’installation basée sur un script d’ouverture de session
| Description | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre l’ordinateur client et un partage réseau à partir duquel vous exécutez CCMSetup.exe. Lorsque vous installez Configuration Manager, les fichiers sources d’installation du client sont copiés et partagés automatiquement à partir du <dossier InstallationPath>\Client sur les points de gestion. Toutefois, vous pouvez copier ces fichiers et créer un partage sur n’importe quel ordinateur du réseau. Vous pouvez également éliminer ce trafic réseau en exécutant CCMSetup.exe localement, par exemple à l’aide d’un média amovible. |
-- | 445 |
| Http (Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTP et que vous ne spécifiez pas la propriété de ligne de commande CCMSetup /source:<Path>. | -- | 80 (Voir la remarque 1, Autre port disponible) |
| Protocole HTTPS (Secure Hypertext Transfer Protocol) de l’ordinateur client vers un point de gestion lorsque la connexion est via HTTPS et que vous ne spécifiez pas la propriété de ligne de commande CCMSetup /source:<Path>. | -- | 443 (Voir la remarque 1, Autre port disponible) |
| Server Message Block (SMB) entre le serveur source et l’ordinateur client lorsque vous spécifiez la propriété de ligne de commande CCMSetup /source:<Path>. | -- | 445 |
Ports utilisés avec l’installation basée sur la distribution de logiciels
| Description | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre le point de distribution et l’ordinateur client. | -- | 445 |
| Http (Hypertext Transfer Protocol) du client vers un point de distribution lorsque la connexion est via HTTP. | -- | 80 (Voir la remarque 1, Autre port disponible) |
| Protocole HTTPS (Secure Hypertext Transfer Protocol) du client vers un point de distribution lorsque la connexion est via HTTPS. | -- | 443 (Voir la remarque 1, Autre port disponible) |
Remarques
1 Autre port disponible Dans Configuration Manager, vous pouvez définir un autre port pour cette valeur. Si un port personnalisé a été défini, remplacez ce port personnalisé lorsque vous définissez les informations de filtre IP pour les stratégies IPsec ou pour la configuration des pare-feu.
2 Windows Server Update Services Vous pouvez installer Windows Server Update Service (WSUS) sur le site Web par défaut (port 80) ou sur un site Web personnalisé (port 8530).
Après l’installation, vous pouvez modifier le port. Vous n’avez pas besoin d’utiliser le même numéro de port dans toute la hiérarchie de site.
Si le port HTTP est 80, le port HTTPS doit être 443.
Si le port HTTP est autre chose, le port HTTPS doit être supérieur à 1. Par exemple, 8530 et 8531.