Ustawienia zapory i portu systemu Windows dla klientów w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Komputery klienckie w Configuration Manager z uruchomioną zaporą systemu Windows często wymagają skonfigurowania wyjątków w celu umożliwienia komunikacji z lokacją. Wyjątki, które należy skonfigurować, zależą od funkcji zarządzania używanych z klientem Configuration Manager.
Skorzystaj z poniższych sekcji, aby zidentyfikować te funkcje zarządzania i uzyskać więcej informacji na temat konfigurowania zapory systemu Windows dla tych wyjątków.
Modyfikowanie portów i programów dozwolonych przez zaporę systemu Windows
Użyj poniższej procedury, aby zmodyfikować porty i programy w zaporze systemu Windows dla klienta Configuration Manager.
Aby zmodyfikować porty i programy dozwolone przez zaporę systemu Windows
Na komputerze z uruchomioną zaporą systemu Windows otwórz Panel sterowania.
Kliknij prawym przyciskiem myszy zaporę systemu Windows, a następnie kliknij przycisk Otwórz.
Skonfiguruj wszelkie wymagane wyjątki oraz wszystkie wymagane programy i porty niestandardowe.
Programy i porty, których Configuration Manager wymaga
Następujące funkcje Configuration Manager wymagają wyjątków w zaporze systemu Windows:
Kwerendy
Jeśli uruchomisz konsolę Configuration Manager na komputerze z uruchomioną zaporą systemu Windows, zapytania nie po raz pierwszy zostaną uruchomione, a system operacyjny wyświetli okno dialogowe z pytaniem, czy chcesz odblokować statview.exe. Jeśli odblokujesz statview.exe, przyszłe zapytania będą uruchamiane bez błędów. Możesz również ręcznie dodać Statview.exe do listy programów i usług na karcie Wyjątki zapory systemu Windows przed uruchomieniem zapytania.
Instalacja wypychana klienta
Aby zainstalować klienta Configuration Manager klienta przy użyciu wypychania klienta, dodaj następujące wyjątki jako wyjątki zapory systemu Windows:
Ruch wychodzący i przychodzący: udostępnianie plików i drukarek
Przychodzący: Instrumentacja zarządzania Windows (WMI)
Instalacja klienta przy użyciu zasady grupy
Aby użyć zasady grupy do zainstalowania klienta Configuration Manager, dodaj udostępnianie plików i drukarek jako wyjątek zapory systemu Windows.
Żądania klientów
Aby komputery klienckie komunikować się z systemami lokacji Configuration Manager, dodaj następujące wyjątki jako wyjątki zapory systemu Windows:
Ruch wychodzący: port TCP 80 (do komunikacji HTTP)
Ruch wychodzący: port TCP 443 (do komunikacji HTTPS)
Ważna
Są to domyślne numery portów, które można zmienić w Configuration Manager. Aby uzyskać więcej informacji, zobacz Jak skonfigurować porty komunikacji klienta. Jeśli te porty zostały zmienione z wartości domyślnych, należy również skonfigurować pasujące wyjątki w zaporze systemu Windows.
Powiadomienie klienta
Aby punkt zarządzania powiadamiał komputery klienckie o akcji, którą musi wykonać, gdy użytkownik administracyjny wybierze akcję klienta w konsoli Configuration Manager, taką jak pobieranie zasad komputera lub inicjowanie skanowania złośliwego oprogramowania, dodaj następujący wyjątek do Zapory systemu Windows:
Ruch wychodzący: port TCP 10123
Jeśli ta komunikacja nie powiedzie się, Configuration Manager automatycznie powróci do korzystania z istniejącego portu komunikacji między klientem a punktem zarządzania protokołu HTTP lub HTTPS:
Ruch wychodzący: port TCP 80 (do komunikacji HTTP)
Ruch wychodzący: port TCP 443 (do komunikacji HTTPS)
Ważna
Są to domyślne numery portów, które można zmienić w Configuration Manager. Aby uzyskać więcej informacji, zobacz Jak skonfigurować porty komunikacji klienta. Jeśli te porty zostały zmienione z wartości domyślnych, należy również skonfigurować pasujące wyjątki w zaporze systemu Windows.
Pilota
Aby użyć Configuration Manager zdalnego sterowania, zezwól na następujący port:
- Przychodzący: port TCP 2701
Pomoc zdalna i pulpit zdalny
Aby zainicjować pomoc zdalną z konsoli Configuration Manager, dodaj niestandardowy program Helpsvc.exe i port niestandardowy ruchu przychodzącego TCP 135 do listy dozwolonych programów i usług w zaporze systemu Windows na komputerze klienckim. Należy również zezwolić na pomoc zdalną i pulpit zdalny. Jeśli inicjujesz pomoc zdalną z komputera klienckiego, Zapora systemu Windows automatycznie konfiguruje i zezwala na pomoc zdalną i pulpit zdalny.
serwer proxy Wake-Up
Jeśli włączysz ustawienie klienta serwera proxy wznawiania, nowa usługa o nazwie Serwer proxy wznawiania programu ConfigMgr używa protokołu peer-to-peer, aby sprawdzić, czy inne komputery są wybudzone w podsieci i w razie potrzeby je obudzić. Ta komunikacja używa następujących portów:
Ruch wychodzący: port UDP 25536
Ruch wychodzący: port UDP 9
Są to domyślne numery portów, które można zmienić w Configuration Manager przy użyciu ustawień klientów usługi Power Management numeru portu serwera proxy (UDP) i numeru portu UDP (Wake On LAN). Jeśli określisz wyjątek Zarządzanie energią: Zapora systemu Windows dla ustawienia klienta serwera proxy wznawczania , te porty są automatycznie konfigurowane w zaporze systemu Windows dla klientów. Jeśli jednak klienci uruchamiają inną zaporę, należy ręcznie skonfigurować wyjątki dla tych numerów portów.
Oprócz tych portów serwer proxy wznawiania używa również komunikatów żądań echa protokołu ICMP (Internet Control Message Protocol) z jednego komputera klienckiego do innego komputera klienckiego. Ta komunikacja służy do potwierdzenia, czy drugi komputer kliencki jest wybudzony w sieci. Protokół ICMP jest czasami nazywany poleceniami ping protokołu TCP/IP.
Aby uzyskać więcej informacji na temat serwera proxy wznawczania, zobacz Planowanie sposobu wznawczania klientów.
Windows Podgląd zdarzeń, Windows monitor wydajności i Diagnostyka systemu Windows
Aby uzyskać dostęp do usług Windows Podgląd zdarzeń, Windows monitor wydajności i Diagnostyka systemu Windows z konsoli Configuration Manager, włącz udostępnianie plików i drukarek jako wyjątek w zaporze systemu Windows.
Porty używane podczas wdrażania klienta Configuration Manager
W poniższych tabelach wymieniono porty używane podczas procesu instalacji klienta.
Ważna
Jeśli między serwerami systemu lokacji a komputerem klienckim istnieje zapora, sprawdź, czy zapora zezwala na ruch dla portów wymaganych dla wybranej metody instalacji klienta. Na przykład zapory często uniemożliwiają pomyślne działanie instalacji wypychanej klienta, ponieważ blokują one blok komunikatów serwera (SMB) i zdalne wywołania procedur (RPC). W tym scenariuszu użyj innej metody instalacji klienta, takiej jak instalacja ręczna (uruchomiona CCMSetup.exe) lub instalacja klienta oparta na zasady grupy. Te alternatywne metody instalacji klienta nie wymagają protokołu SMB ani RPC.
Aby uzyskać informacje o sposobie konfigurowania zapory systemu Windows na komputerze klienckim, zobacz Modyfikowanie portów i programów dozwolonych przez zaporę systemu Windows.
Porty używane dla wszystkich metod instalacji
| Opis | UDP | TCP |
|---|---|---|
| Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do rezerwowego punktu stanu, gdy rezerwowy punkt stanu jest przypisany do klienta. | -- | 80 (patrz uwaga 1, dostępny alternatywny port) |
Porty używane z instalacją wypychanej klienta
| Opis | UDP | TCP |
|---|---|---|
| Blok komunikatów serwera (SMB) między serwerem lokacji a komputerem klienckim. | -- | 445 |
| Mapowanie punktu końcowego RPC między serwerem lokacji a komputerem klienckim. | 135 | 135 |
| Dynamiczne porty RPC między serwerem lokacji a komputerem klienckim. | -- | DYNAMICZNE |
| Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP. | -- | 80 (patrz uwaga 1, dostępny alternatywny port) |
| Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS. | -- | 443 (Patrz uwaga 1, dostępny alternatywny port) |
Porty używane z instalacją opartą na punkcie aktualizacji oprogramowania
| Opis | UDP | TCP |
|---|---|---|
| Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. | -- | 80 lub 8530 (patrz uwaga 2, Windows Server Update Services) |
| Bezpieczny protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu aktualizacji oprogramowania. | -- | 443 lub 8531 (patrz uwaga 2, Windows Server Update Services) |
| Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. | -- | 445 |
Porty używane z instalacją opartą na zasady grupy
| Opis | UDP | TCP |
|---|---|---|
| Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP. | -- | 80 (patrz uwaga 1, dostępny alternatywny port) |
| Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS. | -- | 443 (Patrz uwaga 1, dostępny alternatywny port) |
| Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. | -- | 445 |
Porty używane z instalacją ręczną i instalacją opartą na skryptach logowania
| Opis | UDP | TCP |
|---|---|---|
| Blok komunikatów serwera (SMB) między komputerem klienckim a udziałem sieciowym, z którego jest uruchamiany CCMSetup.exe. Podczas instalowania Configuration Manager pliki źródłowe instalacji klienta są kopiowane i automatycznie udostępniane z folderu <InstallationPath>\Client w punktach zarządzania. Można jednak skopiować te pliki i utworzyć nowy udział na dowolnym komputerze w sieci. Możesz też wyeliminować ten ruch sieciowy, uruchamiając CCMSetup.exe lokalnie, na przykład przy użyciu nośnika wymiennego. |
-- | 445 |
| Protokół HTTP (Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTP, i nie określasz właściwości wiersza polecenia CCMSetup /source:<Path>. | -- | 80 (patrz uwaga 1, dostępny alternatywny port) |
| Protokół HTTPS (Secure Hypertext Transfer Protocol) z komputera klienckiego do punktu zarządzania, gdy połączenie jest za pośrednictwem protokołu HTTPS, i nie określasz właściwości wiersza polecenia CCMSetup /source:<Path>. | -- | 443 (Patrz uwaga 1, dostępny alternatywny port) |
| Blok komunikatów serwera (SMB) między serwerem źródłowym a komputerem klienckim po określeniu właściwości wiersza polecenia CCMSetup /source:<Path>. | -- | 445 |
Porty używane z instalacją opartą na dystrybucji oprogramowania
| Opis | UDP | TCP |
|---|---|---|
| Blok komunikatów serwera (SMB) między punktem dystrybucji a komputerem klienckim. | -- | 445 |
| Protokół HTTP (Hypertext Transfer Protocol) z klienta do punktu dystrybucji, gdy połączenie jest za pośrednictwem protokołu HTTP. | -- | 80 (patrz uwaga 1, dostępny alternatywny port) |
| Bezpieczny protokół HTTPS (Hypertext Transfer Protocol) z klienta do punktu dystrybucji, gdy połączenie jest za pośrednictwem protokołu HTTPS. | -- | 443 (Patrz uwaga 1, dostępny alternatywny port) |
Uwagi
1 Dostępny alternatywny port W Configuration Manager możesz zdefiniować alternatywny port dla tej wartości. Jeśli zdefiniowano port niestandardowy, zastąp ten port niestandardowy podczas definiowania informacji filtru ip dla zasad protokołu IPsec lub konfigurowania zapór.
2 Windows Server Update Services Można zainstalować usługę Windows Server Update Service (WSUS) w domyślnej witrynie sieci Web (port 80) lub w niestandardowej witrynie sieci Web (port 8530).
Po instalacji można zmienić port. Nie trzeba używać tego samego numeru portu w hierarchii lokacji.
Jeśli port HTTP to 80, port HTTPS musi mieć wartość 443.
Jeśli port HTTP jest inny, port HTTPS musi być o 1 wyższy. Na przykład 8530 i 8531.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla