Configurações de firewall e porta do Windows para clientes no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Computadores cliente em Configuration Manager que executam o Firewall do Windows geralmente exigem que você configure exceções para permitir a comunicação com seu site. As exceções que você deve configurar dependem dos recursos de gerenciamento que você usa com o cliente Configuration Manager.
Use as seções a seguir para identificar esses recursos de gerenciamento e para obter mais informações sobre como configurar o Firewall do Windows para essas exceções.
Modificando as portas e programas permitidos pelo Firewall do Windows
Use o procedimento a seguir para modificar as portas e programas no Firewall do Windows para o cliente Configuration Manager.
Para modificar as portas e os programas permitidos pelo Firewall do Windows
No computador que executa o Firewall do Windows, abra Painel de Controle.
Clique com o botão direito do mouse no Firewall do Windows e clique em Abrir.
Configure quaisquer exceções necessárias e quaisquer programas e portas personalizados necessários.
Programas e portas que Configuration Manager requer
Os seguintes recursos de Configuration Manager exigem exceções no Firewall do Windows:
Consultas
Se você executar o console Configuration Manager em um computador que executa o Firewall do Windows, as consultas falharão na primeira vez em que são executadas e o sistema operacional exibirá uma caixa de diálogo perguntando se você deseja desbloquear statview.exe. Se você desbloquear statview.exe, as consultas futuras serão executadas sem erros. Você também pode adicionar manualmente Statview.exe à lista de programas e serviços na guia Exceções do Firewall do Windows antes de executar uma consulta.
Instalação por push do cliente
Para usar o push do cliente para instalar o cliente Configuration Manager, adicione o seguinte como exceções ao Firewall do Windows:
Saída e entrada: Compartilhamento de arquivos e impressoras
Entrada: WMI (Instrumentação de Gerenciamento do Windows)
Instalação do cliente usando Política de Grupo
Para usar Política de Grupo para instalar o cliente Configuration Manager, adicione o Compartilhamento de Arquivos e Impressora como uma exceção ao Firewall do Windows.
Solicitações do cliente
Para que os computadores cliente se comuniquem com Configuration Manager sistemas de site, adicione o seguinte como exceções ao Firewall do Windows:
Saída: Porta TCP 80 (para comunicação HTTP)
Saída: Porta TCP 443 (para comunicação HTTPS)
Importante
São números de porta padrão que podem ser alterados em Configuration Manager. Para obter mais informações, consulte Como configurar as portas de comunicação do cliente. Se essas portas tiverem sido alteradas dos valores padrão, você também deverá configurar exceções correspondentes no Firewall do Windows.
Notificação do cliente
Para que o ponto de gerenciamento notifique os computadores cliente sobre uma ação que deve ser executada quando um usuário administrativo seleciona uma ação do cliente no console Configuration Manager, como baixar a política do computador ou iniciar uma verificação de malware, adicione o seguinte como uma exceção ao Firewall do Windows:
Saída: Porta TCP 10123
Se essa comunicação não tiver êxito, Configuration Manager retornará automaticamente ao uso da porta de comunicação ponto cliente a gerenciamento existente de HTTP ou HTTPS:
Saída: Porta TCP 80 (para comunicação HTTP)
Saída: Porta TCP 443 (para comunicação HTTPS)
Importante
São números de porta padrão que podem ser alterados em Configuration Manager. Para obter mais informações, consulte Como configurar as portas de comunicação do cliente. Se essas portas tiverem sido alteradas dos valores padrão, você também deverá configurar exceções correspondentes no Firewall do Windows.
Controle Remoto
Para usar Configuration Manager controle remoto, permita a seguinte porta:
- Entrada: Porta TCP 2701
Assistência Remota e Área de Trabalho Remota
Para iniciar a Assistência Remota do console Configuration Manager, adicione o programa personalizado Helpsvc.exe e a porta personalizada de entrada TCP 135 à lista de programas e serviços permitidos no Firewall do Windows no computador cliente. Você também deve permitir Assistência Remota e Área de Trabalho Remota. Se você iniciar a Assistência Remota do computador cliente, o Firewall do Windows configurará automaticamente e permitirá Assistência Remota e Área de Trabalho Remota.
Proxy Wake-Up
Se você habilitar a configuração do cliente proxy de despertar, um novo serviço chamado ConfigMgr Wake-up Proxy usará um protocolo ponto a ponto para verificar se outros computadores estão acordados na sub-rede e acordá-los, se necessário. Essa comunicação usa as seguintes portas:
Saída: Porta UDP 25536
Saída: Porta UDP 9
Estes são os números de porta padrão que podem ser alterados em Configuration Manager usando as configurações de clientes do Power Management de UDP (número da porta proxy de despertar) e número de porta LAN wake on (UDP). Se você especificar a exceção do Power Management: Firewall do Windows para configuração de cliente proxy de despertar , essas portas serão configuradas automaticamente no Firewall do Windows para clientes. No entanto, se os clientes executarem um firewall diferente, você deverá configurar manualmente as exceções para esses números de porta.
Além dessas portas, o proxy de despertar também usa mensagens de solicitação de eco do Protocolo de Mensagem de Controle da Internet (ICMP) de um computador cliente para outro computador cliente. Essa comunicação é usada para confirmar se o outro computador cliente está acordado na rede. Às vezes, o ICMP é chamado de comandos de ping TCP/IP.
Para obter mais informações sobre o proxy de despertar, consulte Planejar como acordar clientes.
Diagnóstico do Windows Visualizador de Eventos, Windows Monitor de Desempenho e Windows
Para acessar o Windows Visualizador de Eventos, o Windows Monitor de Desempenho e o Windows Diagnostics do console Configuration Manager, habilite o Compartilhamento de Arquivos e Impressoras como uma exceção no Firewall do Windows.
Portas usadas durante Configuration Manager implantação do cliente
As tabelas a seguir listam as portas usadas durante o processo de instalação do cliente.
Importante
Se houver um firewall entre os servidores do sistema de site e o computador cliente, confirme se o firewall permite o tráfego para as portas necessárias para o método de instalação do cliente escolhido. Por exemplo, os firewalls geralmente impedem que a instalação por push do cliente tenha êxito porque bloqueiam o SMB (Server Message Block) e o RPC (Remote Procedure Calls). Nesse cenário, use um método de instalação de cliente diferente, como instalação manual (executando CCMSetup.exe) ou instalação de cliente baseada em Política de Grupo. Esses métodos alternativos de instalação do cliente não exigem SMB ou RPC.
Para obter informações sobre como configurar o Firewall do Windows no computador cliente, consulte Modificando as portas e programas permitidos pelo Firewall do Windows.
Portas usadas para todos os métodos de instalação
Descrição | UDP | TCP |
---|---|---|
HTTP (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de status de fallback, quando um ponto de status de fallback é atribuído ao cliente. | -- | 80 (Confira a nota 1, Porta Alternativa Disponível) |
Portas usadas com a instalação de push do cliente
Descrição | UDP | TCP |
---|---|---|
SMB (Bloco de Mensagens do Servidor) entre o servidor do site e o computador cliente. | -- | 445 |
Mapeador de ponto de extremidade RPC entre o servidor do site e o computador cliente. | 135 | 135 |
Portas dinâmicas RPC entre o servidor do site e o computador cliente. | -- | DINÂMICO |
HTTP (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão é sobre HTTP. | -- | 80 (Confira a nota 1, Porta Alternativa Disponível) |
Proteger o HTTPS (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão for por https. | -- | 443 (Confira a nota 1, Porta Alternativa Disponível) |
Portas usadas com instalação baseada em ponto de atualização de software
Descrição | UDP | TCP |
---|---|---|
HTTP (Protocolo de Transferência de Hipertexto) do computador cliente para o ponto de atualização de software. | -- | 80 ou 8530 (Confira a nota 2, Windows Server Update Services) |
Proteger o HTTPS (Protocolo de Transferência de Hipertexto) do computador cliente para o ponto de atualização de software. | -- | 443 ou 8531 (Ver nota 2, Windows Server Update Services) |
SMB (Server Message Block) entre o servidor de origem e o computador cliente quando você especifica a propriedade da linha de comando CCMSetup /source:<Path>. | -- | 445 |
Portas usadas com instalação baseada em Política de Grupo
Descrição | UDP | TCP |
---|---|---|
HTTP (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão é sobre HTTP. | -- | 80 (Confira a nota 1, Porta Alternativa Disponível) |
Proteger o HTTPS (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão for por https. | -- | 443 (Confira a nota 1, Porta Alternativa Disponível) |
SMB (Server Message Block) entre o servidor de origem e o computador cliente quando você especifica a propriedade da linha de comando CCMSetup /source:<Path>. | -- | 445 |
Portas usadas com instalação manual e instalação baseada em script de logon
Descrição | UDP | TCP |
---|---|---|
SMB (Server Message Block) entre o computador cliente e um compartilhamento de rede do qual você executa CCMSetup.exe. Quando você instala Configuration Manager, os arquivos de origem da instalação do cliente são copiados e compartilhados automaticamente da <pasta InstallationPath>\Client em pontos de gerenciamento. No entanto, você pode copiar esses arquivos e criar um novo compartilhamento em qualquer computador na rede. Como alternativa, você pode eliminar esse tráfego de rede executando CCMSetup.exe localmente, por exemplo, usando mídia removível. |
-- | 445 |
HTTP (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão é sobre HTTP e você não especifica a propriedade da linha de comando CCMSetup /source:<Path>. | -- | 80 (Confira a nota 1, Porta Alternativa Disponível) |
Proteja o HTTPS (Protocolo de Transferência de Hipertexto) do computador cliente para um ponto de gerenciamento quando a conexão estiver sobre HTTPS e você não especifique a propriedade de linha de comando CCMSetup /source:<Path>. | -- | 443 (Confira a nota 1, Porta Alternativa Disponível) |
SMB (Server Message Block) entre o servidor de origem e o computador cliente quando você especifica a propriedade da linha de comando CCMSetup /source:<Path>. | -- | 445 |
Portas usadas com instalação baseada em distribuição de software
Descrição | UDP | TCP |
---|---|---|
SMB (Server Message Block) entre o ponto de distribuição e o computador cliente. | -- | 445 |
HTTP (Protocolo de Transferência de Hipertexto) do cliente para um ponto de distribuição quando a conexão é sobre HTTP. | -- | 80 (Confira a nota 1, Porta Alternativa Disponível) |
Proteja o HTTPS (Protocolo de Transferência de Hipertexto) do cliente para um ponto de distribuição quando a conexão estiver sobre HTTPS. | -- | 443 (Confira a nota 1, Porta Alternativa Disponível) |
Observações
1 Porta Alternativa Disponível Em Configuration Manager, você pode definir uma porta alternativa para esse valor. Se uma porta personalizada tiver sido definida, substitua essa porta personalizada quando você definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.
2 Windows Server Update Services Você pode instalar o WSUS (Serviço de Atualização do Windows Server) no site padrão (porta 80) ou em um site personalizado (porta 8530).
Após a instalação, você pode alterar a porta. Você não precisa usar o mesmo número de porta em toda a hierarquia do site.
Se a porta HTTP for 80, a porta HTTPS deverá ser 443.
Se a porta HTTP for outra coisa, a porta HTTPS deverá ser 1 maior. Por exemplo, 8530 e 8531.