Windows tűzfal- és portbeállítások ügyfélgépekhez a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
A System Center 2012 Configuration Managerben található, Windows tűzfalat futtató ügyfél-számítógépeken gyakran kell kivételeket beállítani a számítógép és a hely közötti kommunikáció biztosítása érdekében. A beállítandó kivételek a Configuration Manager-ügyfélszoftverrel együtt alkalmazott felügyeleti funkcióktól függenek.
Az alábbi részekből megismerheti ezeket a felügyeleti funkciókat, illetve további információt kaphat a Windows tűzfalnak a leírt kivételekhez történő beállításáról.
A Windows tűzfal által engedélyezett portok és programok módosítása
A következő művelet végrehajtásával módosíthatja a Windows tűzfalon található portokat és programokat a Configuration Manager-ügyfélszoftvernek megfelelően.
A Windows tűzfal által engedélyezett portok és programok módosítása
-
Nyissa meg a Vezérlőpultot a Windows tűzfalat futtató számítógépen.
-
Kattintson a jobb gombbal a Windows tűzfal elemre, majd kattintson a Megnyitás parancsra.
-
Állítsa be a szükséges kivételeket, illetve az egyéni programokat és portokat kívánság szerint.
A Configuration Managerhez szükséges programok és portok
A Configuration Manager felsorolt funkciói kivételek meglétét kívánják meg a Windows tűzfalon:
Lekérdezések
Ha egy Windows tűzfallal rendelkező számítógépen futtatja a Configuration Manager-konzolt, a lekérdezések végrehajtása az első alkalommal sikertelen, az operációs rendszer pedig megjelenít egy, a statview.exe fájl letiltásának feloldására rákérdező párbeszédpanelt. A statview.exe letiltásának feloldása után a rendszer hibák nélkül hajtja végre a lekérdezéseket. A statview.exe fájlt lekérdezés indítása előtt kézzel is hozzáadhatja a Windows tűzfal program- és szolgáltatáslistájához a Kivételek lapon.
Ügyfélleküldéses telepítés
Ha ügyfélleküldést szeretne használni a System Center 2012 Configuration Manager-ügyfélszoftver telepítéséhez, adja hozzá a felsorolt kivételeket a Windows tűzfalhoz:
Kimenő és bejövő: Fájl- és nyomtatómegosztás
Bejövő: Windows Management Instrumentation (WMI)
Ügyfélszoftver-telepítés csoportházirenddel
Ha csoportházirendet szeretne használni a Configuration Manager-ügyfélszoftver telepítéséhez, adja hozzá a Fájl- és nyomtatómegosztás elemet kivételként a Windows tűzfalhoz.
Ügyfélkérések
Ha azt szeretné, hogy ügyfélszámítógépek Configuration Manager-helyrendszerekkel kommunikáljanak, adja hozzá a felsorolt kivételeket a Windows tűzfalhoz:
Kimenő: 80-as TCP-port (HTTP-kommunikációhoz)
Kimenő: 443-as TCP-port (HTTPS-kommunikációhoz)
.jpeg "System_CAPS_important") Fontos |
|---|
Ezek azok az alapértelmezett portszámok, amelyek módosíthatók a Configuration Managerben. További információ: Az ügyfélszoftverek kommunikációjához használt portok számának konfigurálása a Configuration Managerben. Ha a portok száma módosult az alapértékükhöz képest, a számukkal megegyező kivételeket szintén konfigurálni kell a Windows tűzfalon. |
Ügyfélértesítés
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
Ha azt szeretné, hogy a felügyeleti pont értesítse az ügyfélszámítógépeket azokról a műveletekről, amelyeket olyankor kell végrehajtaniuk, amikor egy rendszergazda felhasználó kiválaszt egy ügyfélműveletet a Configuration Manager-konzolon, ami lehet például egy számítógép-házirend letöltése vagy egy kártevő-ellenőrzés indítása, adja hozzá kivételként a következőt a Windows tűzfalhoz:
Kimenő: 10123-as TCP-port
Ha ez a kommunikációtípus sikertelen, a Configuration Manager automatikusan visszatér a létrejött HTTP- vagy HTTPS-alapú ügyfél és felügyeleti pont közötti kommunikációs port használatára:
Kimenő: 80-as TCP-port (HTTP-kommunikációhoz)
Kimenő: 443-as TCP-port (HTTPS-kommunikációhoz)
| Fontos |
|---|
Ezek azok az alapértelmezett portszámok, amelyek módosíthatók a Configuration Managerben. További információ: Az ügyfélszoftverek kommunikációjához használt portok számának konfigurálása a Configuration Managerben. Ha a portok száma módosult az alapértékükhöz képest, a számukkal megegyező kivételeket szintén konfigurálni kell a Windows tűzfalon. |
Hálózatelérés védelme
Annak érdekében, hogy az ügyfélszámítógépek sikeresen tudjanak kommunikálni a rendszerállapot-érvényesítési ponttal, engedélyezze a következő portokat:
Kimenő: 67-es UDP és 68-as UDP DHCP-kommunikációhoz
Kimenő: 80/443-as TCP IPsec-kommunikációhoz
Távvezérlés
A Configuration Manager-távvezérlő használata érdekében engedélyezze a következő portot:
- Bejövő: 2701-es TCP-port
Távsegítség és távoli asztal
Ha távsegítséget szeretne kezdeményezni a Configuration Manager-konzolról, adja hozzá az egyéni Helpsvc.exe programot és a 135-ös egyéni bejövő TCP-portot az engedélyezett programok és szolgáltatások listájához az ügyfélszámítógépen futó Windows tűzfalon. A Távsegítség és a Távoli asztal funkciókat is engedélyeznie kell. Ha távsegítséget kezdeményez az ügyfélszámítógépről, a Windows tűzfal automatikusan beállítja és engedélyezi a Távsegítség és a Távoli asztal funkciókat.
Ébresztési proxy
A System Center 2012 Configuration Manager SP1 és újabb verziók esetén:
Ha engedélyezi az ébresztési proxy ügyfélbeállítást, egy új, ConfigMgr ébresztési proxy nevű szolgáltatás társ-társ (peer-to-peer) protokollt használ annak ellenőrzésére, hogy az alhálózat más számítógépei ébren vannak-e, illetve szükség esetén a felébresztésükre. Ez a kommunikációtípus a következő portokat használja:
Kimenő: 25536-os UDP-port
Kimenő: 9-es UDP-port
Ezek az alapértelmezett portszámok a Configuration Managerben az Energiagazdálkodás pont Ébresztési proxy portszáma (UDP) és Helyi hálózati ébresztés portszáma (UDP) ügyfélbeállításai között módosíthatók. Ha az Energiagazdálkodás: Windows tűzfal-kivétel az ébresztési proxy részére ügyfélbeállítást adja meg, a portok beállítása automatikusan megtörténik az ügyfélszoftverekhez a Windows tűzfalon. Ha azonban az ügyfélszoftverekhez másik tűzfal tartozik, a felsorolt portszámokhoz tartozó kivételeket kézzel kell megadni.
A felsorolt portokon kívül az ébresztési proxy ICMP (Internet Control Message Protocol) echo kérési üzeneteket is küld az egyik ügyfélszámítógépről egy másikra. Ezzel a kommunikációval ellenőrizhető, hogy a másik ügyfélszámítógép ébrenléti állapotban van-e a hálózatban. Az ICMP-t néha TCP/IP ping parancsnak is nevezik. A System Center 2012 Configuration Manager SP1-es verziója nem konfigurálja a Windows tűzfalat ezekhez a TCP/IP ping parancsokhoz, és amennyiben a rendszeren nem a System Center 2012 R2 Configuration Manager fut, a sikeres ébresztésiproxy-kommunikáció érdekében ezt az ICMP-forgalmat kézzel kell engedélyezni.
Ha a rendszeren a System Center 2012 Configuration Manager SP1-es verziója, nem pedig System Center 2012 R2 Configuration Manager fut, az alábbi eljárással tud olyan egyéni bejövő szabályt beállítani a Windows tűzfalon, amely engedélyezi a bejövő TCP/IP ping parancsokat az ébresztési proxyhoz.
TCP/IP ping parancsok engedélyezésének beállítása a Windows tűzfalon
-
Hozzon létre új bejövő szabályt a fokozott biztonságú Windows tűzfal konzolján.
-
Az Új bejövő szabály varázsló Szabály típusa lapján jelölje be az Egyéni lehetőséget, majd kattintson a Tovább parancsra.
-
Őrizze meg a Minden program beállítás alapértékét a Program lapon, majd kattintson a Tovább parancsra.
-
A Protokollok és portok lap Protokolltípusok legördülő listájára kattintva válassza az ICMPv4 elemet, majd kattintson a Testreszabás gombra.
-
Az ICMP-beállítások testreszabása párbeszédpanelen kattintson a Csak az alábbi ICMP-üzenettípusok elemre, válassza az Echo kérés lehetőséget, majd kattintson az OK gombra.
-
Kattintson a Tovább gombra az Új bejövő szabály varázslóban.
-
A Hatókör lapon őrizze meg a helyi és távoli IP-címekhez tartozó alapértelmezett beállításokat, majd kattintson a Tovább gombra.
-
A Művelet lapon ellenőrizze, hogy be van-e jelölve az Engedélyezze a kapcsolatot lehetőség, majd kattintson a Tovább gombra.
-
A Profil lapon válassza ki azokat a profilokat, amelyek ébresztési proxyt fognak használni (ilyen például a Tartomány), majd kattintson a Tovább gombra.
-
A Név lapon adjon nevet ennek az egyéni szabálynak, illetve (ha szeretne) készítsen hozzá leírást, amelyből kiderül, hogy a szabály ébresztésiproxy-kommunikációhoz szükséges. A varázslót a Befejezés parancsra kattintva zárhatja be.
Az ébresztési proxykról az Ügyfelek felébresztése című rész tartalmaz további információt a A kommunikáció tervezése a Configuration Manager alkalmazásban témakörben.
A Windows eseménynapló, a Windows teljesítményfigyelő és a Windows diagnosztika
Ha el szeretné érni a Windows eseménynaplót, a Windows teljesítményfigyelőt és a Windows diagnosztika szolgáltatást a Configuration Manager-konzolról, engedélyezze a Fájl- és nyomtatómegosztás elemet kivételként a Windows tűzfalon.
A Configuration Manager-ügyfelek központi telepítése során használt portok
Az alábbi táblázatok felsorolják az ügyféltelepítés során használt portokat.
| Fontos |
|---|
Ha a helyrendszer-kiszolgálók és az ügyfélszámítógép között tűzfal található, ellenőrizze, hogy a tűzfal engedélyezi-e a forgalmat a kiválasztott ügyfél-telepítési módszerhez szükséges portokon. A tűzfalak miatt például gyakran sikertelen az ügyfélleküldéses telepítés, mivel letiltják a kiszolgálói üzenetblokkot (SMB) és a távoli eljáráshívásokat (RPC). Ebben az esetben válasszon másik ügyfél-telepítési módszert, például kézi telepítést (a CCMSetup.exe futtatásával), illetve csoportházirend-alapú ügyféltelepítést. Ezekhez az alternatív ügyfél-telepítési eljárásokhoz nem szükséges SMB vagy RPC. |
További információ a Windows tűzfal konfigurálásáról az ügyfélszámítógépen: A Windows tűzfal által engedélyezett portok és programok módosítása.
Az összes telepítési módszer során használt portok
Leírás |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a tartalék állapotkezelő pontba, amennyiben a tartalék állapotkezelő pont az ügyfélhez van rendelve. |
-- |
80 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Az ügyfélleküldéses telepítés során használt portok
A következő táblázatban felsorolt portokon kívül az ügyfélleküldéses telepítés ICMP (Internet Control Message Protocol) echo kérési üzeneteket is küld a helykiszolgálóról az ügyfélszámítógépre, hogy ellenőrizze az ügyfélszámítógép elérhetőségét a hálózaton. Az ICMP-t néha TCP/IP ping parancsnak is nevezik. Az ICMP-hez nem tartozik UDP- vagy TCP-protokollszám, és ezért nincs felsorolva a következő táblázatban. A beavatkozó hálózati eszközöknek, például a tűzfalaknak azonban engedélyezniük kell az ICMP-forgalmat az ügyfélleküldéses telepítés sikeressége érdekében.
Leírás |
UDP |
TCP |
|---|---|---|
Kiszolgálói üzenetblokk (SMB) a helykiszolgáló és az ügyfélszámítógép között. |
-- |
445 |
RPC végpontleképező a helykiszolgáló és az ügyfélszámítógép között. |
135 |
135 |
RPC dinamikus portok a helykiszolgáló és az ügyfélszámítógép között. |
-- |
DINAMIKUS |
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP-alapú. |
-- |
80 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a felügyeleti pontba, amennyiben a kapcsolat HTTPS-alapú. |
-- |
443 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Szoftverfrissítésipont-alapú telepítéshez használt portok
Leírás |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a szoftverfrissítési pontba. |
-- |
80 vagy 8530 (Lásd a 2. megjegyzést: Windows Server Update Services) |
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a szoftverfrissítési pontba. |
-- |
443 vagy 8531 (Lásd a 2. megjegyzést: Windows Server Update Services) |
SMB protokoll a forráskiszolgáló és az ügyfélgép között a CCMSetup parancssori tulajdonság megadása esetén: /forrás:<Útvonal>. |
-- |
445 |
Csoportházirend-alapú telepítéshez használt portok
Leírás |
UDP |
TCP |
|---|---|---|
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP-alapú. |
-- |
80 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a felügyeleti pontba, amennyiben a kapcsolat HTTPS-alapú. |
-- |
443 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
SMB protokoll a forráskiszolgáló és az ügyfélgép között a CCMSetup parancssori tulajdonság megadása esetén: /forrás:<Útvonal>. |
-- |
445 |
Kézi és bejelentkezési parancsprogramfájlokon alapuló telepítéshez használt portok
Leírás |
UDP |
TCP |
||
|---|---|---|---|---|
Kiszolgálói üzenetblokk (SMB) az ügyfélszámítógép és azon hálózati megosztás között, amelyen a CCMSetup.exe fájl fut.
|
-- |
445 |
||
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP-alapú, és nincs megadva a(z) /forrás:<Útvonal> CCMSetup parancssori tulajdonság. |
-- |
80 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
||
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a felügyeleti pontba, amennyiben a kapcsolat HTTPS-alapú, és nincs megadva a /forrás:<Útvonal> CCMSetup parancssori tulajdonság. |
-- |
443 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
||
SMB protokoll a forráskiszolgáló és az ügyfélgép között a CCMSetup parancssori tulajdonság megadása esetén: /forrás:<Útvonal>. |
-- |
445 |
.jpeg "System_CAPS_note")
MegjegyzésSzoftverterjesztés-alapú telepítéshez használt portok
Leírás |
UDP |
TCP |
|---|---|---|
Kiszolgálói üzenetblokk (SMB) a terjesztési pont és az ügyfélszámítógép között. |
-- |
445 |
Hypertext Transfer Protocol (HTTP) az ügyfélről egy terjesztési pontba, amennyiben a kapcsolat HTTP-alapú. |
-- |
80 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélről egy terjesztési pontba, amennyiben a kapcsolat HTTPS-alapú. |
-- |
443 (Lásd a 1. megjegyzést: Elérhető alternatív port) |
Megjegyzések
1 Elérhető alternatív port A Configuration Managerben ehhez az értékhez megadható egy alternatív port. Egyéni port definiálása esetén helyettesítse be ezt az egyéni portot az IPsec-házirendek IP-szűrési adatainak definiálásakor vagy a tűzfalak konfigurálásakor.
2 Windows Server Update Services A Windows Server Update Services (WSUS) az alapértelmezett webhelyre (80-as port) vagy egyéni webhelyre (8530-as port) telepíthető.
Telepítés után a port módosítható. Nem kell ugyanazt a portszámot használni a teljes helyhierarchiában.
Ha a HTTP-port a 80-as, akkor a HTTPS-portnak a 443-asnak kell lennie.
Ha a HTTP-port egy másik számú port, akkor a HTTPS-portnak 1-gyel nagyobbnak kell lennie; például 8530-as és 8531-es.