インターネット ベースのクライアント管理に必要なポートを特定する
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 をインターネット ベースのクライアント管理用に構成する場合は、インターネットからの追加トラフィックをサポートするネットワーク構成が必要になることがあります。これは通常、インターネットと境界ネットワーク (DMZ、非武装地帯、およびスクリーン サブネットとも呼ばれます) の間のファイアウォールと、境界ネットワークとイントラネットの間のファイアウォールの再構成を必要とします。セキュリティ境界間での Web プロキシ サーバーの構成が含まれる場合もあります。
注意
インターネットと境界ネットワークの間のファイアウォールは "フロントエンド ファイアウォール"、境界ネットワークとイントラネットの間のファイアウォールは "バックエンド ファイアウォール" と呼ばれることもあります。
インターネット ベースのクライアント管理でサポートされるシナリオの選択に対応するネットワーク図を使用して、セキュリティの境界を越えるためにファイアウォールでの構成が必要なプロトコルを特定します。サポートされるシナリオの一覧については、「インターネット ベースのクライアント管理でサポートされるシナリオ」を参照してください。
さらに、ファイアウォールで HTTP 1.1 がサポートされており、Configuration Manager 2007 のインターネット ベースのクライアント管理に必要なトラフィックがそれらによってブロックされないことを確認してください。中間ファイアウォールまたはプロキシ サーバーの外部の依存関係については、「インターネット ベースのクライアント管理の前提条件」を参照してください。
インターネット ベースのクライアント管理シナリオで使用可能なプロトコルは次のとおりです。
RPC
SMB
Microsoft SQL Server
HTTP
HTTPS
リモート プロシージャ コール (RPC) は、サイト システムのインストール、および配布ポイントへのパッケージのインストールに必要です。これらの接続では、一般にポート UDP および TCP 135 および動的 TCP ポート範囲を使用します。
サーバー メッセージ ブロック (SMB) は、サイト システムのインストールと修復、およびサイト システム ステータスの送信に必要です。これらの接続では、一般にポート TCP 445 を使用します。
既定では、SQL Server 接続がポート TCP 1433 を使用しますが、Configuration Manager 2007 はこのポート番号をサポートしていません。
インターネット上のクライアントは、インターネット ベースのフォールバック ステータス ポイントへの接続に HTTP を使用します。インターネット上のクライアントは、インターネット ベースの管理ポイント、インターネット ベースの配布ポイント、およびインターネット ベースのソフトウェアの更新ポイントへの接続に HTTPS を使用します。
インターネット ベースのソフトウェアの更新ポイントがアクティブなソフトウェアの更新ポイントと、HTTPS を使用して通信します。また、HTTP も使用できます。Windows Server Update Services (WSUS) 設定を構成するには、アクティブなソフトウェアの更新ポイントが HTTPS を使用して、インターネット ベースのソフトウェアの更新ポイントに接続します。Configuration Manager がソフトウェアの更新のメタデータを同期すると、インターネット ベースのソフトウェアの更新ポイントはアクティブなソフトウェアの更新ポイントに接続します。ほとんどの接続では HTTPS が使用されます。ただし、ソフトウェアの更新のメタデータに関連するライセンス条項がある場合 (たとえば、ソフトウェアの更新がサービス パックである場合)、接続では HTTP が使用されます。境界ネットワークからイントラネットに向けてこれらの着信接続を行えないようにするには、「エクスポートとインポートを使用した更新の同期方法」の説明にしたがって、ソフトウェアの更新を同期するエクスポートとインポートの方法を使用します。
ファイアウォールで HTTP および HTTPS プロトコルのポート番号が必要な場合、既定ではそれぞれ TCP 80 と TCP 443 を使用します。ただし、Configuration Manager 2007 では、これらの HTTP および HTTPS トラフィック用ポート番号を変更して、インターネット ベースのクライアント管理を使用している場合のセキュリティを強化できます。
HTTP および HTTPS 接続用に構成されたポート番号を特定し、ネットワークをインターネットから保護するファイアウォールでこのポート情報を構成するには、次の手順に従います。
重要
Configuration Manager 2007 でポート番号を変更する場合は、その結果を検討してからにしてください。たとえば、正しい手順に従わずにクライアント要求サービスのポート番号を変更すると、その結果、サイトのすべてのクライアントが管理ポイントに接続できなくなり管理不能になる可能性があります。
HTTP および HTTPS 接続を使用するクライアント要求のポート番号を表示するには
Configuration Manager コンソールで、[System Center Configuration Manager]、[サイト データベース]、[サイトの管理] の順に移動します。
<サイト コード> - <サイト名> を右クリックし、[プロパティ] をクリックします。
サイトのプロパティ ダイアログ ボックスの [ポート] タブで、[アクティブなポート] を参照します。
[クライアントの要求 - HTTP (TCP)] という名前の 2 つのサービスを探します。サイトで使用されるサービスが選択されている場合は、構成されているポート番号を特定します。両方のサービスが選択されており、既定のポート番号を使用しているクライアントが存在する場合は、ファイアウォールを両方のポート番号で構成します。
[クライアントの要求 - HTTPS (TCP)] という名前の 2 つのサービスを探します。サイトで使用されるサービスが選択されている場合は、構成されているポート番号を特定します。両方のサービスが選択されており、既定のポート番号を使用しているクライアントが存在する場合は、ファイアウォールを両方のポート番号で構成します。
[OK] をクリックします。
HTTP 接続や HTTPS 接続を (他のソフトウェアの更新ポイントへのクライアント要求と同期のために) 使用するソフトウェアの更新ポイントのポート番号を表示するには
Configuration Manager コンソールで、[System Center Configuration Manager]、[サイト データベース]、[サイトの管理]、<サイト コード> – <サイト名>、[サイト設定]、[コンポーネントの構成] の順に移動します。
[ソフトウェアの更新ポイント コンポーネント] を右クリックし、[プロパティ] をクリックします。
[インターネット ベース] タブで、[この WSUS サーバーによって使用されるポート設定を指定してください] の [ポート番号] (HTTP ポート用) と [SSL ポート番号] (HTTPS ポート用) に構成されているポート番号を確認します。
[OK] をクリックします。
参照:
タスク
Configuration Manager クライアントの要求ポートの構成方法
概念
Configuration Manager 2007 への IPsec の実装
Configuration Manager で使用されるポート
インターネット ベースのクライアント管理でサポートされるシナリオ
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.