Windows Firewall- en poortinstellingen voor clients in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Voor clientcomputers in Configuration Manager waarop Windows Firewall wordt uitgevoerd, moet u vaak uitzonderingen configureren om communicatie met hun site mogelijk te maken. De uitzonderingen die u moet configureren, zijn afhankelijk van de beheerfuncties die u gebruikt met de Configuration Manager-client.
Gebruik de volgende secties om deze beheerfuncties te identificeren en voor meer informatie over het configureren van Windows Firewall voor deze uitzonderingen.
De poorten en programma's wijzigen die zijn toegestaan door Windows Firewall
Gebruik de volgende procedure om de poorten en programma's op Windows Firewall voor de Configuration Manager-client te wijzigen.
De poorten en programma's wijzigen die zijn toegestaan door Windows Firewall
Open Configuratiescherm op de computer waarop Windows Firewall wordt uitgevoerd.
Klik met de rechtermuisknop op Windows Firewall en klik vervolgens op Openen.
Configureer alle vereiste uitzonderingen en eventuele aangepaste programma's en poorten die u nodig hebt.
Programma's en poorten die Configuration Manager Vereist
Voor de volgende Configuration Manager functies zijn uitzonderingen vereist op de Windows Firewall:
Query 's
Als u de Configuration Manager-console uitvoert op een computer waarop Windows Firewall wordt uitgevoerd, mislukken query's de eerste keer dat ze worden uitgevoerd en wordt in het besturingssysteem een dialoogvenster weergegeven waarin wordt gevraagd of u de blokkering van statview.exe wilt opheffen. Als u statview.exe deblokkert, worden toekomstige query's zonder fouten uitgevoerd. U kunt ook handmatig Statview.exe toevoegen aan de lijst met programma's en services op het tabblad Uitzonderingen van de Windows Firewall voordat u een query uitvoert.
Clientpushinstallatie
Als u clientpush wilt gebruiken om de Configuration Manager-client te installeren, voegt u het volgende toe als uitzonderingen aan de Windows Firewall:
Uitgaand en binnenkomend: bestanden en printer delen
Inkomend: Windows Management Instrumentation (WMI)
Clientinstallatie met behulp van groepsbeleid
Als u groepsbeleid wilt gebruiken om de Configuration Manager-client te installeren, voegt u Bestands- en printerdeling als uitzondering toe aan de Windows Firewall.
Clientaanvragen
Voor clientcomputers om te communiceren met Configuration Manager sitesystemen, voegt u het volgende toe als uitzonderingen aan de Windows Firewall:
Uitgaand: TCP-poort 80 (voor HTTP-communicatie)
Uitgaand: TCP-poort 443 (voor HTTPS-communicatie)
Belangrijk
Dit zijn standaardpoortnummers die kunnen worden gewijzigd in Configuration Manager. Zie How to How to configure client communication ports (Clientcommunicatiepoorten configureren) voor meer informatie. Als deze poorten zijn gewijzigd van de standaardwaarden, moet u ook overeenkomende uitzonderingen configureren op de Windows Firewall.
Clientmelding
Als u wilt dat het beheerpunt clientcomputers op de hoogte stelt van een actie die moet worden uitgevoerd wanneer een gebruiker met beheerdersrechten een clientactie selecteert in de Configuration Manager-console, zoals het downloaden van computerbeleid of het initiëren van een malwarescan, voegt u het volgende toe als uitzondering op de Windows Firewall:
Uitgaand: TCP-poort 10123
Als deze communicatie niet lukt, valt Configuration Manager automatisch terug op het gebruik van de bestaande client-naar-beheerpuntcommunicatiepoort van HTTP of HTTPS:
Uitgaand: TCP-poort 80 (voor HTTP-communicatie)
Uitgaand: TCP-poort 443 (voor HTTPS-communicatie)
Belangrijk
Dit zijn standaardpoortnummers die kunnen worden gewijzigd in Configuration Manager. Zie Clientcommunicatiepoorten configureren voor meer informatie. Als deze poorten zijn gewijzigd van de standaardwaarden, moet u ook overeenkomende uitzonderingen configureren op de Windows Firewall.
Afstandsbediening
Als u Configuration Manager afstandsbediening wilt gebruiken, staat u de volgende poort toe:
- Binnenkomend: TCP-poort 2701
Hulp op afstand en Extern bureaublad
Als u Hulp op afstand wilt initiëren vanuit de Configuration Manager-console, voegt u het aangepaste programma Helpsvc.exe en de binnenkomende aangepaste poort TCP 135 toe aan de lijst met toegestane programma's en services in Windows Firewall op de clientcomputer. U moet ook Hulp op afstand en Extern bureaublad toestaan. Als u Hulp op afstand vanaf de clientcomputer initieert, configureert En staat Windows Firewall hulp op afstand en Extern bureaublad automatisch toe.
Wake-Up proxy
Als u de instelling voor de wake-up proxy-client inschakelt, gebruikt een nieuwe service met de naam ConfigMgr Wake-up Proxy een peer-to-peer-protocol om te controleren of andere computers in het subnet zijn geactiveerd en om ze zo nodig te activeren. Deze communicatie maakt gebruik van de volgende poorten:
Uitgaand: UDP-poort 25536
Uitgaand: UDP-poort 9
Dit zijn de standaardpoortnummers die kunnen worden gewijzigd in Configuration Manager met behulp van de instellingen voor PowerManagement-clients van Wake-up proxypoortnummer (UDP) en Wake On LAN-poortnummer (UDP). Als u de instelling Power Management: Windows Firewall-uitzondering voor wake-up proxy client opgeeft, worden deze poorten automatisch geconfigureerd in Windows Firewall voor clients. Als clients echter een andere firewall uitvoeren, moet u de uitzonderingen voor deze poortnummers handmatig configureren.
Naast deze poorten maakt de wake-up proxy ook gebruik van ICMP-echo-aanvraagberichten (Internet Control Message Protocol) van de ene clientcomputer naar een andere clientcomputer. Deze communicatie wordt gebruikt om te bevestigen of de andere clientcomputer in het netwerk is ingeschakeld. ICMP wordt ook wel TCP/IP-pingopdrachten genoemd.
Zie Plan how to wake up clients (Clients activeren plannen) voor meer informatie over wake-up proxy.
Windows Logboeken, Windows Performance Monitor en Windows Diagnostics
Als u toegang wilt krijgen tot Windows Logboeken, Windows Performance Monitor en Windows Diagnostics vanuit de Configuration Manager-console, schakelt u Bestands- en printerdeling in als uitzondering op de Windows Firewall.
Poorten die worden gebruikt tijdens Configuration Manager clientimplementatie
De volgende tabellen bevatten de poorten die worden gebruikt tijdens het clientinstallatieproces.
Belangrijk
Als er een firewall is tussen de sitesysteemservers en de clientcomputer, controleert u of de firewall verkeer toestaat voor de poorten die vereist zijn voor de clientinstallatiemethode die u kiest. Firewalls voorkomen bijvoorbeeld vaak dat clientpushinstallatie slaagt omdat ze Server Message Block (SMB) en Remote Procedure Calls (RPC) blokkeren. Gebruik in dit scenario een andere clientinstallatiemethode, zoals handmatige installatie (CCMSetup.exe uitvoeren) of groepsbeleid clientinstallatie. Voor deze alternatieve clientinstallatiemethoden is geen SMB of RPC vereist.
Poorten die worden gebruikt voor alle installatiemethoden
| Beschrijving | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een terugvalstatuspunt, wanneer een terugvalstatuspunt wordt toegewezen aan de client. | -- | 80 (zie opmerking 1, alternatieve poort beschikbaar) |
Poorten die worden gebruikt met clientpushinstallatie
| Beschrijving | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) tussen de siteserver en de clientcomputer. | -- | 445 |
| RPC-eindpunttoewijzing tussen de siteserver en de clientcomputer. | 135 | 135 |
| Dynamische RPC-poorten tussen de siteserver en de clientcomputer. | -- | DYNAMISCHE |
| Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTP is. | -- | 80 (zie opmerking 1, alternatieve poort beschikbaar) |
| Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTPS is. | -- | 443 (zie opmerking 1, alternatieve poort beschikbaar) |
Poorten die worden gebruikt met installatie op basis van software-updatepunten
| Beschrijving | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) van de clientcomputer naar het software-updatepunt. | -- | 80 of 8530 (zie noot 2, Windows Server Update Services) |
| Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar het software-updatepunt. | -- | 443 of 8531 (zie noot 2, Windows Server Update Services) |
| Server Message Block (SMB) tussen de bronserver en de clientcomputer wanneer u de CCMSetup opdrachtregeleigenschap /source:<Path> opgeeft. | -- | 445 |
Poorten die worden gebruikt met installatie op basis van groepsbeleid
| Beschrijving | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTP is. | -- | 80 (zie opmerking 1, alternatieve poort beschikbaar) |
| Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTPS is. | -- | 443 (zie opmerking 1, alternatieve poort beschikbaar) |
| Server Message Block (SMB) tussen de bronserver en de clientcomputer wanneer u de CCMSetup opdrachtregeleigenschap /source:<Path> opgeeft. | -- | 445 |
Poorten die worden gebruikt met handmatige installatie en installatie op basis van aanmeldingsscripts
| Beschrijving | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) tussen de clientcomputer en een netwerkshare van waaruit u CCMSetup.exe uitvoert. Wanneer u Configuration Manager installeert, worden de bronbestanden van de clientinstallatie gekopieerd en automatisch gedeeld vanuit de <map InstallationPath>\Client op beheerpunten. U kunt deze bestanden echter kopiëren en een nieuwe share maken op elke computer in het netwerk. U kunt dit netwerkverkeer ook elimineren door CCMSetup.exe lokaal uit te voeren, bijvoorbeeld door verwisselbare media te gebruiken. |
-- | 445 |
| Hypertext Transfer Protocol (HTTP) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTP is en u niet de CCMSetup-opdrachtregeleigenschap /source:<Path> opgeeft. | -- | 80 (zie opmerking 1, alternatieve poort beschikbaar) |
| Secure Hypertext Transfer Protocol (HTTPS) van de clientcomputer naar een beheerpunt wanneer de verbinding via HTTPS is en u niet de CCMSetup-opdrachtregeleigenschap /source:<Path> opgeeft. | -- | 443 (zie opmerking 1, alternatieve poort beschikbaar) |
| Server Message Block (SMB) tussen de bronserver en de clientcomputer wanneer u de CCMSetup opdrachtregeleigenschap /source:<Path> opgeeft. | -- | 445 |
Poorten die worden gebruikt voor installatie op basis van softwaredistributie
| Beschrijving | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) tussen het distributiepunt en de clientcomputer. | -- | 445 |
| Hypertext Transfer Protocol (HTTP) van de client naar een distributiepunt wanneer de verbinding via HTTP is. | -- | 80 (zie opmerking 1, alternatieve poort beschikbaar) |
| Secure Hypertext Transfer Protocol (HTTPS) van de client naar een distributiepunt wanneer de verbinding via HTTPS is. | -- | 443 (zie opmerking 1, alternatieve poort beschikbaar) |
Opmerkingen
1 alternatieve poort beschikbaar In Configuration Manager kunt u een alternatieve poort voor deze waarde definiëren. Als er een aangepaste poort is gedefinieerd, vervangt u die aangepaste poort wanneer u de IP-filterinformatie definieert voor IPsec-beleid of voor het configureren van firewalls.
2 Windows Server Update Services U kunt WSUS (Windows Server Update Service) installeren op de standaardwebsite (poort 80) of een aangepaste website (poort 8530).
Na de installatie kunt u de poort wijzigen. U hoeft niet hetzelfde poortnummer te gebruiken in de sitehiërarchie.
Als de HTTP-poort 80 is, moet de HTTPS-poort 443 zijn.
Als de HTTP-poort iets anders is, moet de HTTPS-poort 1 hoger zijn. Bijvoorbeeld 8530 en 8531.