Udostępnij za pośrednictwem


Ustawienia zapory i portu systemu Windows dla klientów w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Komputery klienckie w Configuration Manager z uruchomioną zaporą systemu Windows często wymagają skonfigurowania wyjątków w celu umożliwienia komunikacji z lokacją. Wyjątki, które należy skonfigurować, zależą od funkcji zarządzania używanych z klientem Configuration Manager.

Skorzystaj z poniższych sekcji, aby zidentyfikować te funkcje zarządzania i uzyskać więcej informacji na temat konfigurowania zapory systemu Windows dla tych wyjątków.

Modyfikowanie portów i programów dozwolonych przez zaporę systemu Windows

Użyj poniższej procedury, aby zmodyfikować porty i programy w zaporze systemu Windows dla klienta Configuration Manager.

Aby zmodyfikować porty i programy dozwolone przez zaporę systemu Windows

  1. Na komputerze z uruchomioną zaporą systemu Windows otwórz Panel sterowania.

  2. Kliknij prawym przyciskiem myszy zaporę systemu Windows, a następnie kliknij przycisk Otwórz.

  3. Skonfiguruj wszelkie wymagane wyjątki oraz wszystkie wymagane programy i porty niestandardowe.

Programy i porty, których Configuration Manager wymaga

Następujące funkcje Configuration Manager wymagają wyjątków w zaporze systemu Windows:

Kwerendy

Jeśli uruchomisz konsolę Configuration Manager na komputerze z uruchomioną zaporą systemu Windows, zapytania nie po raz pierwszy zostaną uruchomione, a system operacyjny wyświetli okno dialogowe z pytaniem, czy chcesz odblokować statview.exe. Jeśli odblokujesz statview.exe, przyszłe zapytania będą uruchamiane bez błędów. Możesz również ręcznie dodać Statview.exe do listy programów i usług na karcie Wyjątki zapory systemu Windows przed uruchomieniem zapytania.

Instalacja wypychana klienta

Aby zainstalować klienta Configuration Manager klienta przy użyciu wypychania klienta, dodaj następujące wyjątki jako wyjątki zapory systemu Windows:

  • Ruch wychodzący i przychodzący: udostępnianie plików i drukarek

  • Przychodzący: Instrumentacja zarządzania Windows (WMI)

Instalacja klienta przy użyciu zasady grupy

Aby użyć zasady grupy do zainstalowania klienta Configuration Manager, dodaj udostępnianie plików i drukarek jako wyjątek zapory systemu Windows.

Żądania klientów

Aby komputery klienckie komunikować się z systemami lokacji Configuration Manager, dodaj następujące wyjątki jako wyjątki zapory systemu Windows:

Ruch wychodzący: port TCP 80 (do komunikacji HTTP)

Ruch wychodzący: port TCP 443 (do komunikacji HTTPS)

Ważna

Są to domyślne numery portów, które można zmienić w Configuration Manager. Aby uzyskać więcej informacji, zobacz Jak skonfigurować porty komunikacji klienta. Jeśli te porty zostały zmienione z wartości domyślnych, należy również skonfigurować pasujące wyjątki w zaporze systemu Windows.

Powiadomienie klienta

Aby punkt zarządzania powiadamiał komputery klienckie o akcji, którą musi wykonać, gdy użytkownik administracyjny wybierze akcję klienta w konsoli Configuration Manager, taką jak pobieranie zasad komputera lub inicjowanie skanowania złośliwego oprogramowania, dodaj następujący wyjątek do Zapory systemu Windows:

Ruch wychodzący: port TCP 10123

Jeśli ta komunikacja nie powiedzie się, Configuration Manager automatycznie powróci do korzystania z istniejącego portu komunikacji między klientem a punktem zarządzania protokołu HTTP lub HTTPS:

Ruch wychodzący: port TCP 80 (do komunikacji HTTP)

Ruch wychodzący: port TCP 443 (do komunikacji HTTPS)

Ważna

Są to domyślne numery portów, które można zmienić w Configuration Manager. Aby uzyskać więcej informacji, zobacz Jak skonfigurować porty komunikacji klienta. Jeśli te porty zostały zmienione z wartości domyślnych, należy również skonfigurować pasujące wyjątki w zaporze systemu Windows.

Pilota

Aby użyć Configuration Manager zdalnego sterowania, zezwól na następujący port:

  • Przychodzący: port TCP 2701

Pomoc zdalna i pulpit zdalny

Aby zainicjować pomoc zdalną z konsoli Configuration Manager, dodaj niestandardowy program Helpsvc.exe i port niestandardowy ruchu przychodzącego TCP 135 do listy dozwolonych programów i usług w zaporze systemu Windows na komputerze klienckim. Należy również zezwolić na pomoc zdalną i pulpit zdalny. Jeśli inicjujesz pomoc zdalną z komputera klienckiego, Zapora systemu Windows automatycznie konfiguruje i zezwala na pomoc zdalną i pulpit zdalny.

serwer proxy Wake-Up

Jeśli włączysz ustawienie klienta serwera proxy wznawiania, nowa usługa o nazwie Serwer proxy wznawiania programu ConfigMgr używa protokołu peer-to-peer, aby sprawdzić, czy inne komputery są wybudzone w podsieci i w razie potrzeby je obudzić. Ta komunikacja używa następujących portów:

Ruch wychodzący: port UDP 25536

Ruch wychodzący: port UDP 9

Są to domyślne numery portów, które można zmienić w Configuration Manager przy użyciu ustawień klientów usługi Power Management numeru portu serwera proxy (UDP) i numeru portu UDP (Wake On LAN). Jeśli określisz wyjątek Zarządzanie energią: Zapora systemu Windows dla ustawienia klienta serwera proxy wznawczania , te porty są automatycznie konfigurowane w zaporze systemu Windows dla klientów. Jeśli jednak klienci uruchamiają inną zaporę, należy ręcznie skonfigurować wyjątki dla tych numerów portów.

Oprócz tych portów serwer proxy wznawiania używa również komunikatów żądań echa protokołu ICMP (Internet Control Message Protocol) z jednego komputera klienckiego do innego komputera klienckiego. Ta komunikacja służy do potwierdzenia, czy drugi komputer kliencki jest wybudzony w sieci. Protokół ICMP jest czasami nazywany poleceniami ping protokołu TCP/IP.

Aby uzyskać więcej informacji na temat serwera proxy wznawczania, zobacz Planowanie sposobu wznawczania klientów.

Windows Podgląd zdarzeń, Windows monitor wydajności i Diagnostyka systemu Windows

Aby uzyskać dostęp do usług Windows Podgląd zdarzeń, Windows monitor wydajności i Diagnostyka systemu Windows z konsoli Configuration Manager, włącz udostępnianie plików i drukarek jako wyjątek w zaporze systemu Windows.

Porty używane podczas wdrażania klienta Configuration Manager

W poniższych tabelach wymieniono porty używane podczas procesu instalacji klienta.

Ważna

Jeśli między serwerami systemu lokacji a komputerem klienckim istnieje zapora, sprawdź, czy zapora zezwala na ruch dla portów wymaganych dla wybranej metody instalacji klienta. Na przykład zapory często uniemożliwiają pomyślne działanie instalacji wypychanej klienta, ponieważ blokują one blok komunikatów serwera (SMB) i zdalne wywołania procedur (RPC). W tym scenariuszu użyj innej metody instalacji klienta, takiej jak instalacja ręczna (uruchomiona CCMSetup.exe) lub instalacja klienta oparta na zasady grupy. Te alternatywne metody instalacji klienta nie wymagają protokołu SMB ani RPC.

Aby uzyskać informacje o sposobie konfigurowania zapory systemu Windows na komputerze klienckim, zobacz Modyfikowanie portów i programów dozwolonych przez zaporę systemu Windows.

Porty używane dla wszystkich metod instalacji

Opis UDP TCP
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do rezerwowego punktu stanu, gdy rezerwowy punkt stanu jest przypisany do klienta. -- 80 (patrz uwaga 1, dostępny alternatywny port)

Porty używane z instalacją wypychanej klienta

Opis UDP TCP
Blok komunikatów serwera (SMB) między serwerem lokacji a komputerem klienckim. -- 445
Mapowanie punktu końcowego RPC między serwerem lokacji a komputerem klienckim. 135 135
Dynamiczne porty RPC między serwerem lokacji a komputerem klienckim. -- DYNAMICZNE
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP. -- 80 (patrz uwaga 1, dostępny alternatywny port)
Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS. -- 443 (Patrz uwaga 1, dostępny alternatywny port)

Porty używane z instalacją opartą na punkcie aktualizacji oprogramowania

Opis UDP TCP
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. -- 80 lub 8530 (patrz uwaga 2, Windows Server Update Services)
Bezpieczny protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. -- 443 lub 8531 (patrz uwaga 2, Windows Server Update Services)
Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. -- 445

Porty używane z instalacją opartą na zasady grupy

Opis UDP TCP
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP. -- 80 (patrz uwaga 1, dostępny alternatywny port)
Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS. -- 443 (Patrz uwaga 1, dostępny alternatywny port)
Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. -- 445

Porty używane z instalacją ręczną i instalacją opartą na skryptach logowania

Opis UDP TCP
Blok komunikatów serwera (SMB) między komputerem klienckim a udziałem sieciowym, z którego jest uruchamiany CCMSetup.exe.

Podczas instalowania Configuration Manager pliki źródłowe instalacji klienta są kopiowane i automatycznie udostępniane z folderu <InstallationPath>\Client w punktach zarządzania. Można jednak skopiować te pliki i utworzyć nowy udział na dowolnym komputerze w sieci. Możesz też wyeliminować ten ruch sieciowy, uruchamiając CCMSetup.exe lokalnie, na przykład przy użyciu nośnika wymiennego.
-- 445
Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP, i nie określasz właściwości wiersza polecenia CCMSetup /source:<Path>. -- 80 (patrz uwaga 1, dostępny alternatywny port)
Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS, i nie określasz właściwości wiersza polecenia CCMSetup /source:<Path>. -- 443 (Patrz uwaga 1, dostępny alternatywny port)
Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. -- 445

Porty używane z instalacją opartą na dystrybucji oprogramowania

Opis UDP TCP
Blok komunikatów serwera (SMB) między punktem dystrybucji a komputerem klienckim. -- 445
Protokół HTTP (Hypertext Transfer Protocol) z klienta do punktu dystrybucji, gdy połączenie jest za pośrednictwem protokołu HTTP. -- 80 (patrz uwaga 1, dostępny alternatywny port)
Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z klienta do punktu dystrybucji, gdy połączenie jest za pośrednictwem protokołu HTTPS. -- 443 (Patrz uwaga 1, dostępny alternatywny port)

Uwagi

1 Dostępny alternatywny port W Configuration Manager możesz zdefiniować alternatywny port dla tej wartości. Jeśli zdefiniowano port niestandardowy, zastąp ten port niestandardowy podczas definiowania informacji filtru ip dla zasad protokołu IPsec lub konfigurowania zapór.

2 Windows Server Update Services Można zainstalować usługę Windows Server Update Service (WSUS) w domyślnej witrynie sieci Web (port 80) lub w niestandardowej witrynie sieci Web (port 8530).

Po instalacji można zmienić port. Nie trzeba używać tego samego numeru portu w hierarchii lokacji.

Jeśli port HTTP to 80, port HTTPS musi mieć wartość 443.

Jeśli port HTTP jest inny, port HTTPS musi być o 1 wyższy. Na przykład 8530 i 8531.