Partager via

Exceptions de pare-feu pour System Center Essentials 2010

  • Article

Mis à jour: juillet 2010

S'applique à: System Center Essentials 2010

Si un pare-feu est activé dans l'environnement de déploiement de System Center Essentials 2010, il est nécessaire de créer des exceptions pour que le serveur d'administration Essentials puisse installer des agents sur les ordinateurs gérés et pour que ceux-ci puissent communiquer avec Essentials.

Notes

Si vous avez configuré Essentials 2010 pour qu'il utilise la stratégie de groupe de domaine et que les exceptions de pare-feu ont été configurées au moyen de cette stratégie, il n'est pas nécessaire de créer des exceptions de pare-feu. De plus, les exceptions de pare-feu sont automatiquement configurées par Essentials 2010 pour les ordinateurs exécutant le Pare-feu Windows.

Si vous utilisez un pare-feu commercialisé par un autre fournisseur, consultez la documentation de ce dernier pour obtenir des informations sur la création d'exceptions. En revanche, le nom des ports décrits dans les procédures suivantes demeure identique.

Si l'adresse IP statique du serveur d'administration Essentials a changé ou est attribuée de manière dynamique, vous devez mettre à jour les stratégies de pare-feu des ordinateurs gérés chaque fois que l'adresse change. Cependant, si vous utilisez une stratégie de groupe de domaine, Essentials 2010 vous invite à exécuter l'Assistant Configuration de produit qui se situe dans le résumé de la configuration dans le volet Présentation d'Administration. Vous pouvez y accéder en cliquant sur le lien en regard de Mode de stratégie. Lorsque vous effectuez une mise à jour de la stratégie de groupe en utilisant la nouvelle adresse IP du serveur d'administration Essentials, une exception de pare-feu mise à jour renvoie la nouvelle adresse IP à appliquer aux ordinateurs gérés.

Pour plus d'informations sur les exceptions de pare-feu nécessaires pour la fonctionnalité Virtualization Management, voir Ports et protocoles utilisés par VMM dans la Bibliothèque technique de System Center Virtual Machine Manager 2008 (https://go.microsoft.com/fwlink/?LinkId=163937). Pour plus d'informations sur les exceptions de pare-feu nécessaires à la connexion au serveur d'administration Essentials à partir d'un serveur de rapports Essentials distant, voir Scénarios de Pare-feu pris en charge dans la Bibliothèque technique de System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=163936).

Modification des exceptions de Pare-feu Windows

Les exceptions de Pare-feu Windows dont il s'agit dans la première procédure de cette rubrique sont créées sur le serveur d'administration Essentials à l'installation de Essentials 2010. Procédez comme suit si vous utilisez d'autres logiciels pour gérer les exceptions de pare-feu.

Pour créer des exceptions de Pare-feu Windows sur le serveur d'administration Essentials

  1. Dans le Panneau de configuration, cliquez sur Pare-feu Windows.

  2. Cliquez sur l'onglet Exceptions.

  3. Cliquez sur Ajouter un port, puis créez les exceptions de port TCP suivantes :

    • Nom = Port80 - Numéro du port = 80

    • Nom = Port445 - Numéro du port = 445

    • Nom = Port5723 - Numéro du port = 5723

    • Nom = Port5724 - Numéro du port = 5724

    • Nom = Port8530 - Numéro du port = 8530

    • Nom = Port8531 - Numéro du port = 8531

    • Nom = Port51906 - Numéro du port = 51906

Important

Si vous utilisez Internet Security and Acceleration (ISA) Server ou un pare-feu d'un autre fournisseur, assurez-vous que le port 8531 est ouvert.

Pour créer des exceptions de Pare-feu Windows sur les ordinateurs gérés lorsque les paramètres de stratégie de groupe locale sont utilisés

  1. Sur chacun des ordinateurs dont vous souhaitez que la gestion soit assurée par Essentials 2010, cliquez sur Pare-feu Windows dans le Panneau de configuration.

  2. Cliquez sur l'onglet Exceptions.

  3. Assurez-vous que la case à cocher Partage de fichiers et d'imprimantes est activée.

  4. Cliquez sur Ajouter un port, puis créez les exceptions de port TCP suivantes :

    • Nom = Port135 - Numéro du port = 135

    • Nom = Port139 - Numéro du port = 139

    • Nom = Port445 - Numéro du port = 445

    • Nom = Port6270 - Numéro du port = 6270

  5. Créez les exceptions de port UDP suivantes :

    • Nom = Port137 - Numéro du port = 137

    • Nom = Port138 - Numéro du port = 138

  6. Pour chacune de ces exceptions, procédez comme suit :

    • Cliquez sur Modifier l'étendue.

    • Sélectionnez Liste personnalisée.

    • Limitez l'étendue à l'adresse IP du serveur d'administration Essentials.

Pour permettre aux appels WMI à distance de fonctionner sur un ordinateur géré exécutant Windows XP

  1. Dans la barre des tâches, cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, tapez gpedit.msc, puis cliquez sur OK.

  3. Dans l'Éditeur de stratégie de groupe, sous Racine de la console, développez successivement Configuration ordinateur, Modèle d'administration, puis Réseau. Développez successivement Connexions réseau et Pare-feu Windows, puis cliquez sur Profil de domaine.

  4. Dans le volet Profil de domaine, cliquez avec le bouton droit sur Pare-feu Windows : autoriser l'exception d'administration à distance, puis cliquez sur Propriétés.

  5. Cliquez sur Activé, puis sur OK.

Pour permettre aux appels WMI à distance de fonctionner sur un ordinateur géré exécutant Windows Vista

  1. Dans le Panneau de configuration, cliquez sur Pare-feu Windows.

  2. Cliquez sur l'onglet Exceptions.

  3. Activez la case à cocher Windows Management Instrumentation (WMI).

Pour mettre à jour les exceptions de pare-feu en fonction de la nouvelle adresse IP du serveur d'administration Essentials

  1. Si l'adresse IP du serveur d'administration Essentials est attribuée de manière dynamique et si vous utilisez les paramètres de stratégie de groupe locale pour configurer les ordinateurs gérés, effectuez une mise à jour manuelle de l'exception de pare-feu définie sur chaque client en utilisant la nouvelle adresse IP.

  2. Si vous utilisez les paramètres de stratégie de groupe de domaine pour configurer les ordinateurs gérés, exécutez l'Assistant Configuration du produit qui se situe dans le résumé de la configuration dans le volet Présentation d'Administration. Vous pouvez y accéder en cliquant sur le lien en regard de Mode de stratégie. Lorsque vous effectuez une mise à jour de la stratégie de groupe en utilisant la nouvelle adresse IP du serveur d'administration Essentials, une exception de pare-feu mise à jour renvoie la nouvelle adresse IP à appliquer aux ordinateurs gérés.

Configuration des exceptions de pare-feu ISA Server

Procédez comme suit pour configurer les paramètres de pare-feu dans Internet Security and Acceleration (ISA) Server s'il existe des ordinateurs gérés de l'autre côté du pare-feu.

Pour créer une règle d'accès pour le service d'administration de System Center

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA Server.

  2. Développez le nœud Stratégie de pare-feu situé sous l'ordinateur requis dans le volet de navigation, puis cliquez sur Créer une règle d'accès au groupe dans le volet Tâches.

    1. Entrez la règle d'accès Service d'administration Essentials, puis cliquez sur Suivant.

    2. Dans la page Action de la règle, sélectionnez Autoriser, puis cliquez sur Suivant.

    3. Dans la zone Cette règle s'applique à, sélectionnez Protocoles sélectionnés, puis cliquez sur Ajouter.

    4. Dans la boîte de dialogue Ajouter des protocoles, cliquez sur Nouveau, puis sur Protocole.

    5. Dans l'Assistant Nouvelle définition de protocole, entrez TCP 5723.

    6. Dans la page Informations sur la connexion principale, cliquez sur Nouveau.

    7. Dans la page Nouvelles informations de protocole ou Modifier les informations de protocole, entrez 5723 dans les zones De et À, puis cliquez sur OK.

    8. Dans la page Informations sur la connexion principale, cliquez sur Suivant.

    9. Dans la page Connexions secondaires, cliquez sur Suivant.

    10. Dans la page Fin de l'exécution de l'Assistant, cliquez sur Terminer.

  3. Dans la boîte de dialogue Ajouter des protocoles, développez le dossier Défini par l'utilisateur, sélectionnez TCP 5723, puis cliquez sur Ajouter.

    1. Pour fermer la boîte de dialogue Ajouter des protocoles, cliquez sur Fermer.

    2. Dans la page Protocoles de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    3. Dans la boîte de dialogue Sources de règle d'accès, cliquez sur Ajouter.

    4. Dans la boîte de dialogue Ajouter des protocoles, développez le dossier Réseaux, sélectionnez Interne, puis cliquez sur Ajouter.

    5. Sélectionnez Hôte local, cliquez sur Ajouter, puis sur Fermer.

    6. Dans la page Sources de règle d'accès de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    7. Dans la boîte de dialogue Ajouter des entités réseau, développez le dossier Réseaux, sélectionnez Interne, puis cliquez sur Ajouter.

    8. Sélectionnez Hôte local, cliquez sur Ajouter, puis sur Fermer.

    9. Dans la page Destinations de règle d'accès de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    10. Dans la boîte de dialogue Ensembles d'utilisateurs, cliquez sur Suivant.

    11. Dans la page Fin de l'Assistant Nouvelle règle d'accès, cliquez sur Terminer.

Pour créer une règle d'accès pour le service d'accès aux données de System Center

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA Server.

  2. Sous l'ordinateur sélectionné, développez le nœud Stratégie de pare-feu situé dans le volet de navigation, puis cliquez sur Créer une règle d'accès au groupe dans le volet Tâches.

    1. Entrez la règle d'accès Service d'accès aux données Essentials, puis cliquez sur Suivant.

    2. Dans la page Action de la règle, sélectionnez Autoriser, puis cliquez sur Suivant.

    3. Dans la page Protocoles, en regard de Cette règle s'applique à, sélectionnez Protocoles sélectionnés, puis cliquez sur Ajouter.

    4. Dans la boîte de dialogue Ajouter des protocoles, cliquez sur Nouveau, puis sur Protocole.

    5. Dans l'Assistant Nouvelle définition de protocole, entrez TCP 5724.

    6. Dans la page Informations sur la connexion principale, cliquez sur Nouveau.

    7. Dans la page Nouvelles informations de protocole ou Modifier les informations de protocole, entrez 5724 dans les zones De et À, puis cliquez sur OK.

    8. Dans la page Informations sur la connexion principale, cliquez sur Suivant.

    9. Dans la page Connexions secondaires, cliquez sur Suivant.

    10. Dans la page Fin de l'exécution de l'Assistant, cliquez sur Terminer.

  3. Dans la boîte de dialogue Ajouter des protocoles, développez le dossier Défini par l'utilisateur, sélectionnez TCP 5724, puis cliquez sur Ajouter.

    1. Pour fermer la boîte de dialogue Ajouter des protocoles, cliquez sur Fermer.

    2. Dans la page Protocoles de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    3. Dans la boîte de dialogue Sources de règle d'accès, cliquez sur Ajouter.

    4. Dans la boîte de dialogue Ajouter des protocoles, développez le dossier Réseaux, sélectionnez Interne, puis cliquez sur Ajouter.

    5. Sélectionnez Hôte local, cliquez sur Ajouter, puis sur Fermer.

    6. Dans la page Sources de règle d'accès de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    7. Dans la page Destinations de règle d'accès de l'Assistant Nouvelle règle d'accès, cliquez sur Ajouter.

    8. Dans la boîte de dialogue Ajouter des entités réseau, développez le dossier Réseaux, sélectionnez Interne, puis cliquez sur Ajouter.

    9. Sous le dossier Réseaux, cliquez sur Interne, puis sur Ajouter.

    10. Sélectionnez Hôte local, cliquez sur Ajouter, puis sur Fermer.

    11. Dans la page Destinations de règle d'accès de l'Assistant Nouvelle règle d'accès, cliquez sur Suivant.

    12. Dans la boîte de dialogue Ensembles d'utilisateurs, cliquez sur Suivant.

  4. Dans la page Fin de l'Assistant Nouvelle règle d'accès, cliquez sur Terminer.

Pour publier le serveur Web WSUS

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Programmes, sur Microsoft ISA Server, puis cliquez sur Gestion ISA Server.

  2. Dans le volet de navigation, développez le nœud Stratégie de pare-feu, puis cliquez sur Publier un serveur Web dans le volet Tâches.

    1. Entrez la règle d'accès Serveur Web WSUS Essentials, puis cliquez sur Suivant.

    2. Dans la page Sélectionner l'action de la règle, sélectionnez Autoriser, puis cliquez sur Suivant.

  3. Dans la boîte de dialogue Définissez le site Web à publier, entrez le nom du serveur d'administration Essentials dans la zone Nom ou adresse IP de l'ordinateur.

  4. Entrez /* dans la zone Chemin d'accès, puis cliquez sur Suivant.

  5. Dans la boîte de dialogue Informations sur les noms publics, entrez le nom du serveur d'administration Essentials dans la zone de texte Nom public, puis cliquez sur Suivant.

  6. Dans la boîte de dialogue Sélectionnez le port d'écoute, cliquez sur Nouveau.

    1. Dans la page Assistant Nouveau port d'écoute Web, entrez Port d'écoute Web Essentials, puis cliquez sur Suivant.

    2. Dans la page Adresses IP, activez les cases à cocher Interne et Hôte local, puis cliquez sur Suivant.

  7. Dans la page Spécification de port de l'Assistant Nouveau port d'écoute Web, procédez comme suit :

    1. Activez la case à cocher Activer HTTP.

    2. Entrez 8530 dans Port HTTP.

    3. Activez la case à cocher Activer SSL.

    4. Entrez 8531 dans Port SSL.

    5. Cliquez sur Sélectionner, sélectionnez le certificat correspondant au nom d'hôte du serveur d'administration Essentials, puis cliquez sur OK.

    6. Cliquez sur Suivant.

  8. Dans la page Fin de l'Assistant Nouveau port d'écoute Web, cliquez sur Terminer.

  9. Dans la boîte de dialogue Sélectionnez le port d'écoute :

    1. Sous Port d'écoute Web, sélectionnez Port d'écoute Web Essentials, puis cliquez sur Suivant.

    2. Dans la page Ensembles d'utilisateurs, cliquez sur Suivant.

  10. Dans la page Fin de l'Assistant Nouvelle règle de publication Web, cliquez sur Terminer.

  11. Dans la console ISA Server, cliquez avec le bouton droit sur la règle Serveur Web WSUS Essentials, puis cliquez sur Propriétés.

    1. Cliquez sur l'onglet À.

    2. Sélectionnez Les demandes semblent émaner du client d'origine.

    3. Cliquez sur l'onglet Pontage.

    4. Entrez 8530 dans Rediriger les demandes vers le port HTTP.

    5. Activez la case à cocher Rediriger les demandes au port SSL, puis entrez 8531.

    6. Cliquez sur OK.

  12. Dans la console ISA Server, cliquez sur Appliquer pour enregistrer les modifications et mettre à jour la configuration.

Voir aussi

Concepts

Stratégie locale et stratégie de groupe dans System Center Essentials 2010
Planification du déploiement de System Center Essentials 2010