Eccezioni firewall per System Center Essentials 2010

  • Articolo

Aggiornamento: luglio 2010

Si applica a: System Center Essentials 2010

Se nell'ambiente di distribuzione di System Center Essentials 2010 è attivato un firewall, è necessario creare eccezioni per consentire al server di gestione Essentials di installare gli agenti nei computer gestiti in modo tale che possano comunicare con Essentials.

Nota

Se Essentials 2010 è stato configurato per l'uso di Criteri di gruppo basati sul dominio e sono state configurate eccezioni firewall mediante Criteri di gruppo basati sul dominio, non sarà necessario creare delle eccezioni firewall. Inoltre, le eccezioni firewall per i computer che usano Windows Firewall sono configurate automaticamente da Essentials 2010.

Se nei computer viene utilizzato il firewall di un altro produttore, vedere la documentazione fornita dal produttore per creare le eccezioni. I nomi delle porte descritti nelle seguenti procedure rimangono invariati.

Se l'indirizzo IP del server di gestione Essentials è cambiato o è assegnato dinamicamente, è necessario aggiornare i criteri del firewall nei computer gestiti quando si modifica l'indirizzo IP. Tuttavia, se si usano Criteri di gruppo basati sul dominio, Essentials 2010 richiede l'esecuzione di Configurazione guidata del prodotto, selezionabile nella sezione di riepilogo di Configurazione del riquadro Panoramica amministrazione. Per accedere alla procedura, fare clic sul collegamento accanto a Modalità criteri. Quando si modifica l'indirizzo IP del server di gestione di Essentials all'interno di Criteri di gruppo, viene restituita un'eccezione firewall aggiornata contenente il nuovo indirizzo IP da applicare a tutti i computer gestiti.

Per informazioni dettagliate sulle eccezioni firewall necessarie per Virtualization Management, vedere Porte e protocolli in VMM nella Libreria TechNet di System Center Virtual Machine Manager 2008 (https://go.microsoft.com/fwlink/?LinkId=163937). Per informazioni dettagliate sulle eccezioni firewall necessarie per collegarsi al server di gestione di Essentials da un server di report di Essentials remoto, vedere “Scenari firewall supportati” nella Libreria TechNet di System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=163936).

Modifica delle eccezioni di Windows Firewall

Le eccezioni di Windows Firewall descritte nella prima procedura di questo argomento sono create nel server di gestione di Essentials all'installazione di Essentials 2010. Utilizzare queste procedure se la gestione delle eccezioni avviene mediante un software diverso.

Per creare le eccezioni di Windows Firewall nel server di gestione di Essentials

  1. Nel Pannello di controllo, fare clic su Windows Firewall.

  2. Fare clic sulla scheda Eccezioni.

  3. Scegliere Aggiungi porta e creare le seguenti eccezioni per la porta TCP:

    • Nome=Port80; Numero porta=80

    • Nome=Port445; Numero porta=445

    • Nome=Port5723; Numero porta=5723

    • Nome=Port5724; Numero porta=5724

    • Nome=Port8530; Numero porta=8530

    • Nome=Port8531; Numero porta=8531

    • Nome=Port51906; Numero porta=51906

Importante

Se si utilizza il server ISA (Internet Security and Acceleration) o software firewall di altri produttori, assicurarsi che la porta 8531 sia aperta.

Per creare le eccezioni di Windows Firewall su computer gestiti quando si usano impostazioni di Criteri di gruppo locali

  1. Su ogni computer che dovrà essere gestito da Essentials 2010, aprire il Pannello di controllo e fare clic su Windows Firewall.

  2. Fare clic sulla scheda Eccezioni.

  3. Verificare che la casella di controllo Condivisione file e stampanti sia selezionata.

  4. Scegliere Aggiungi porta e creare le seguenti eccezioni per la porta TCP:

    • Nome=Port135; Numero porta=135

    • Nome=Port139; Numero porta=139

    • Nome=Port445; Numero porta=445

    • Nome=Port6270; Numero porta=6270

  5. Creare le seguenti eccezioni per la porta UDP:

    • Nome=Port137; Numero porta=137

    • Nome=Port138; Numero porta=138

  6. Per ciascuna di queste eccezioni, eseguire le operazioni descritte di seguito:

    • Scegliere Cambia ambito.

    • Selezionare Elenco personalizzato.

    • Limitare l'ambito all'indirizzo IP del server di gestione di Essentials.

Per attivare il funzionamento delle chiamate WMI remote in un computer gestito che esegue Windows XP

  1. Sulla barra delle applicazioni, fare clic su Start e scegliere Esegui.

  2. Nella finestra di dialogo Esegui, inserire il comando gpedit.msc e scegliere OK.

  3. Nell'editor Criteri gruppo locale, sotto Directory principale, espandere Configurazione computer, espandere Modelli amministrativi e infine espandere Rete. Espandere Connessioni di rete, espandere Windows Firewall e poi fare clic su Profilo di dominio.

  4. Nel riquadro Profilo di dominio, fare clic con il pulsante destro del mouse su Windows Firewall: consenti eccezione per amministrazione remota e fare clic su Proprietà.

  5. Scegliere Attivato, quindi OK.

Per attivare il funzionamento delle chiamate WMI remote in un computer gestito che esegue Windows Vista

  1. Nel Pannello di controllo, fare clic su Windows Firewall.

  2. Fare clic sulla scheda Eccezioni.

  3. Selezionare la casella di controllo Strumentazione gestione Windows (WMI).

Per aggiornare le eccezioni del firewall per un nuovo indirizzo IP del server di gestione di Essentials

  1. Se l'indirizzo IP del server di gestione di Essentials è assegnato dinamicamente e si utilizzano le impostazioni di Criteri di gruppo locali per configurare i computer gestiti, aggiornare manualmente le eccezioni firewall su ciascun client mediante il nuovo indirizzo IP.

  2. Tuttavia, se si usano Criteri di gruppo basati sul dominio per configurare i computer gestiti, eseguire Configurazione guidata del prodotto, selezionabile nella sezione di riepilogo di Configurazione del riquadro Panoramica di amministrazione. Per accedere alla procedura, fare clic sul collegamento accanto a Modalità criteri. Quando si modifica l'indirizzo IP del server di gestione di Essentials all'interno di Criteri di gruppo, viene restituita un'eccezione firewall aggiornata contenente il nuovo indirizzo IP da applicare a tutti i computer gestiti.

Configurazione delle eccezioni del firewall ISA Server

Utilizzare la seguente procedura per configurare le impostazioni firewall del server ISA (Internet Security and Acceleration) se vi sono computer gestiti dall'altro lato del firewall.

Per creare una nuova regola di accesso per il servizio di gestione System Center

  1. Sulla barra delle applicazioni, fare clic su Start, scegliere Programmi, Microsoft ISA Server, quindi Gestione di ISA Server.

  2. Espandere il nodo Criterio firewall del computer desiderato nel riquadro di spostamento, quindi scegliere Crea regola accesso array nel riquadro Attività.

    1. Immettere la regola di accesso Servizio di gestione Essentials, quindi fare clic su Avanti.

    2. Nella pagina Azione regola, selezionare Consenti e fare clic su Avanti.

    3. Nella casella Questa regola si applica a, selezionare Protocolli selezionati e scegliere Aggiungi.

    4. Nella finestra di dialogo Aggiungi protocolli, scegliere Nuovo, quindi Protocollo.

    5. In Creazione guidata definizione nuovo protocollo, immettere TCP 5723.

    6. Nella pagina Informazioni connessione primaria, scegliere Nuovo.

    7. Nella pagina Nuove/Modifica informazioni protocollo, immettere 5723 in entrambe le caselle Da e A, quindi scegliere OK.

    8. Nella pagina Informazioni connessione primaria, fare clic su Avanti.

    9. Nella pagina Connessioni secondarie, fare clic su Avanti.

    10. Nella pagina Completamento della Creazione guidata definizione protocollo, scegliere Fine.

  3. Nella finestra di dialogo Aggiungi protocolli, espandere la cartella Definito dall'utente, selezionare TCP 5723, quindi scegliere Aggiungi.

    1. Per chiudere la finestra di dialogo Aggiungi protocolli, fare clic su Chiudi.

    2. Nella pagina Protocolli della Creazione guidata regola di accesso, fare clic su Avanti.

    3. Nella finestra di dialogo Origini regole di accesso, scegliere Aggiungi.

    4. Nella finestra di dialogo Aggiungi protocolli, espandere la cartella Reti, selezionare Interna, quindi Aggiungi.

    5. Selezionare Host locale, scegliere Aggiungi, infine Chiudi.

    6. Nella pagina Origini regole di accesso della Creazione guidata regola di accesso, fare clic su Avanti.

    7. Nella finestra di dialogo Aggiungi entità di rete, espandere la cartella Reti, selezionare Interna, quindi scegliere Aggiungi.

    8. Selezionare Host locale, scegliere Aggiungi, infine Chiudi.

    9. Nella pagina Destinazioni regole di accesso della Creazione guidata regola di accesso, fare clic su Avanti.

    10. Nella finestra di dialogo Gruppi di utenti, fare clic su Avanti.

    11. Nella pagina Completamento della Creazione guidata regola di accesso, scegliere Fine.

Per creare una nuova regola di accesso per il servizio System Center Data Access

  1. Sulla barra delle applicazioni, fare clic su Start, scegliere Programmi, Microsoft ISA Server, quindi Gestione di ISA Server.

  2. Espandere il nodo Criterio firewall del computer selezionato nel riquadro di spostamento, quindi scegliere Crea regola accesso array nel riquadro Attività.

    1. Immettere la regola di accesso Servizio Essentials Data Access, quindi fare clic su Avanti.

    2. Nella pagina Azione regola, scegliere Consenti, fare clic su Avanti.

    3. Nella pagina Protocolli, in Questa regola si applica a, selezionare Protocolli selezionati e scegliere Aggiungi.

    4. Nella finestra di dialogo Aggiungi protocolli, scegliere Nuovo, quindi Protocollo.

    5. In Creazione guidata definizione nuovo protocollo, immettere TCP 5724.

    6. Nella pagina Informazioni connessione primaria, scegliere Nuovo.

    7. Nella pagina Nuove/Modifica informazioni protocollo, immettere 5724 in entrambe le caselle Da e A, quindi scegliere OK.

    8. Nella pagina Informazioni connessione primaria, fare clic su Avanti.

    9. Nella pagina Connessioni secondarie, fare clic su Avanti.

    10. Nella pagina Completamento della Creazione guidata definizione protocollo, scegliere Fine.

  3. Nella finestra di dialogo Aggiungi protocolli, espandere la cartella Definito dall'utente, selezionare TCP 5724, quindi scegliere Aggiungi.

    1. Per chiudere la finestra di dialogo Aggiungi protocolli, fare clic su Chiudi.

    2. Nella pagina Protocolli della Creazione guidata regola di accesso, fare clic su Avanti.

    3. Nella finestra di dialogo Origini regole di accesso, scegliere Aggiungi.

    4. Nella finestra di dialogo Aggiungi protocolli, espandere la cartella Reti, selezionare Interna, quindi Aggiungi.

    5. Selezionare Host locale, scegliere Aggiungi, infine Chiudi.

    6. Nella pagina Origini regole di accesso della Creazione guidata regola di accesso, fare clic su Avanti.

    7. Nella pagina Destinazioni regole di accesso della Creazione guidata regola di accesso, scegliere Avanti.

    8. Nella finestra di dialogo Aggiungi entità di rete, espandere la cartella Reti, selezionare Interna, quindi scegliere Aggiungi.

    9. Nella cartella Reti, selezionare Interna e scegliere Aggiungi.

    10. Selezionare Host locale, scegliere Aggiungi, infine Chiudi.

    11. Nella pagina Destinazioni regole di accesso della Creazione guidata regola di accesso, fare clic su Avanti.

    12. Nella finestra di dialogo Gruppi di utenti, fare clic su Avanti.

  4. Nella pagina Completamento della Creazione guidata regola di accesso, scegliere Fine.

Per pubblicare il server Web WSUS

  1. Sulla barra delle applicazioni, fare clic su Start, scegliere Programmi, Microsoft ISA Server, quindi Gestione di ISA Server.

  2. Nel riquadro di spostamento, espandere il nodo Criterio firewall e nel riquadro Attività, fare clic su Pubblica su server Web.

    1. Immettere la regola di accesso Server Web WSUS Essentials, quindi fare clic su Avanti.

    2. Nella pagina Seleziona azione regola, selezionare Consenti e fare clic su Avanti.

  3. Nella finestra di dialogo Definisci sito Web da pubblicare, immettere il nome del server di gestione di Essentials nella casella Indirizzo IP o nome computer.

  4. Immettere /* nella casella Percorsi, quindi fare clic su Avanti.

  5. Nella casella di dialogo Dettagli nome pubblico immettere il nome del server di gestione di Essentials nella casella di testo Nome pubblico e fare clic su Avanti.

  6. Nella finestra di dialogo Scegliere Listener Web, scegliere Nuovo.

    1. Nella pagina Creazione guidata listener Web, immettere Listener Web Essentials e fare clic su Avanti.

    2. Nella pagina Indirizzi IP, selezionare le caselle di controllo Interno e Host locale, quindi fare clic su Avanti.

  7. Nella pagina Specifica porta della creazione guidata listener Web, procedere come segue:

    1. Selezionare la casella di controllo Attiva HTTP.

    2. Immettere 8530 in Porta HTTP.

    3. Selezionare la casella di controllo Attiva SSL.

    4. Immettere 8531 in Porta SSL.

    5. Scegliere Seleziona, selezionare il certificato corrispondente al nome host del server di gestione di Essentials, quindi scegliere OK.

    6. Fare clic su Avanti.

  8. Nella pagina Completamento della Creazione guidata listener Web, scegliere Fine.

  9. Nella finestra di dialogo Scegliere Listener Web:

    1. In Listener Web, selezionare Listener Web Essentials e fare clic su Avanti.

    2. Nella pagina Gruppi di utenti, fare clic su Avanti.

  10. Nella pagina Completamento procedura guidata nuova regola pubblicazione Web, scegliere Fine.

  11. Nella console ISA Server, fare clic con il pulsante destro del mouse sulla regola Server Web WSUS Essentials, quindi scegliere Proprietà.

    1. Scegliere la scheda A.

    2. Selezionare Le richieste sembrano provenire dal client originale.

    3. Scegliere la scheda Bridging.

    4. Immettere 8530 in Reindirizza richieste alla porta HTTP.

    5. Selezionare la casella di controllo Reindirizza richieste alla porta SSL, quindi immettere 8531.

    6. Scegliere OK.

  12. Nella console ISA Server, scegliere Applica per salvare le modifiche e aggiornare la configurazione.

Vedere anche

Concetti

Criteri locali e Criteri di gruppo in System Center Essentials 2010
Pianificazione della distribuzione di System Center Essentials 2010