Inställningar för Windows-brandvägg och portar för klientdatorer i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Klientdatorer i System Center 2012 Configuration Managermed Windows-brandvägg kräver ofta att du konfigurerar undantag för att tillåta kommunikation med deras plats. Vilka undantag du måste konfigurera beror på de hanteringsfunktioner du använder med Configuration Manager-klienten.
Använd följande avsnitt för att identifiera dessa hanteringsfunktioner och för mer information om hur du konfigurerar Windows-brandväggen för de här undantagen.
Ändra vilka portar och program som tillåts av Windows-brandväggen
Använd följande procedur för att ändra portar och program i Windows-brandväggen för Configuration Manager-klienten.
Ändra vilka portar och program som tillåts av Windows-brandväggen
-
Öppna Kontrollpanelen på den dator där Windows-brandväggen körs.
-
Högerklicka på Windows-brandväggen och klicka sedan på Öppna.
-
Konfigurera eventuella undantag som krävs och eventuella anpassade program och portar som du vill ha.
Program och portar som krävs för Configuration Manager
Följande Configuration Manager-funktioner kräver undantag i Windows-brandväggen:
Frågor
Om du kör Configuration Manager-konsolen på en dator där Windows-brandväggen körs misslyckas frågor första gången de körs, och operativsystemet visar en dialogruta där du tillfrågas om du vill avblockera statview.exe. Om du avblockerar statview.exe körs kommande frågor utan problem. Du kan även manuellt lägga till Statview.exe i listan med program och tjänster på fliken Undantag i Windows-brandväggen innan du kör en fråga.
Push-installation av klient
Om du vill använda push-installation för System Center 2012 Configuration Manager-klienten lägger du till följande som undantag till Windows-brandväggen:
Utgående och inkommande: Fil- och skrivardelning
Inkommande: WMI (Windows Management Instrumentation)
Klientinstallation med grupprincip
Om du vill använda en grupprincip för att installera Configuration Manager-klienten lägger du till Fil- och skrivardelning som undantag till Windows-brandväggen.
Klientbegäranden
För att klientdatorer ska kunna kommunicera med Configuration Manager-platssystem lägger du till följande som undantag till Windows-brandväggen:
Utgående: TCP-port 80 (för HTTP-kommunikation)
Utgående: TCP-port 443 (för HTTPS-kommunikation)
.jpeg "System_CAPS_important"){kind=icon} Viktigt |
|---|
Detta är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Konfigurera portnummer för klientkommunikation i Configuration Manager. Om de här portarna har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen. |
Klientmeddelande
För System Center 2012 Configuration Manager SP1 och senare:
Om du vill att hanteringsplatsen ska meddela klientdatorer om åtgärder som måste vidtas när en administrativ användare väljer en klientåtgärd i Configuration Manager-konsolen, t.ex. att ladda ned datorprincip eller aktivera en sökning efter skadlig kod, lägger du till följande som ett undantag i Windows-brandväggen:
Utgående: TCP-port 10123
Om den här kommunikationen misslyckas faller Configuration Manager automatiskt tillbaka på att använda den befintliga porten för kommunikation från klient till hantering för HTTP eller HTTPS:
Utgående: TCP-port 80 (för HTTP-kommunikation)
Utgående: TCP-port 443 (för HTTPS-kommunikation)
| Viktigt |
|---|
Detta är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Konfigurera portnummer för klientkommunikation i Configuration Manager. Om de här portarna har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen. |
NAP (Network Access Protection)
För att klientdatorerna ska kunna kommunicera med Systemhälsoverifieraren måste du tillåta följande portar:
Utgående: UDP 67 och UDP 68 för DHCP
Utgående: TCP 80/443 för IPsec
Fjärrstyrning
Om du vill använda fjärrstyrning för Configuration Manager tillåter du följande port:
- Inkommande: TCP-port 2701
Fjärrhjälp och fjärrskrivbord
Om du vill starta Fjärrhjälp från Configuration Manager-konsolen lägger du till det anpassade programmet Helpsvc.exe och den inkommande anpassade porten TCP 135 till listan med tillåtna program och tjänster i Windows-brandväggen på klientdatorn. Du måste även tillåta Fjärrhjälp och Fjärrskrivbord. Om du startar Fjärrhjälp från klientdatorn konfigurerar och Windows-brandväggen automatiskt Fjärrhjälp och Fjärrskrivbord.
Aktiveringsproxy
För System Center 2012 Configuration Manager SP1 och senare:
Om du aktiverar klientinställningen för aktiveringsproxy använder den nya tjänsten ConfigMgr-aktiveringsproxy ett peer-to-peer-protokoll för att kontrollera om andra datorer är aktiva på undernätet och aktivera dem vid behov. Den här kommunikationen använder följande portar:
Utgående: UDP-port 25536
Utgående: UDP-port 9
Det här är standardportnumren. De kan ändras i Configuration Manager med klientinställningarna för Energisparfunktioner inställda till Portnummer för aktiveringsproxy (UDP) och Portnummer för Wake On LAN (UDP). Om du anger klientinställningen Energisparfunktioner: Undantag för aktiveringsproxy i Windows-brandväggen konfigureras de här portarna automatiskt i Windows-brandväggen för klienter. Om en annan brandvägg körs på klienten måste du dock konfigurera undantagen för dessa portnummer manuellt.
Förutom dessa portar använder aktiveringsproxyn även ICMP (Internet Control Message Protocol) meddelanden om ekobegäranden från en klientdator till en annan. Den här kommunikationen används för att bekräfta huruvida den andra klientdatorn är aktiv i nätverket. ICMP kallas ibland TCP/IP-pingkommandon. System Center 2012 Configuration Manager SP1 konfigurerar inte Windows-brandväggen för dessa TCP/IP-pingkommandon, och om du inte kör System Center 2012 R2 Configuration Manager måste du tillåta den här ICMP-trafiken manuellt för att aktiveringsproxykommunikationen ska fungera.
Om du har System Center 2012 Configuration Manager SP1 i stället för System Center 2012 R2 Configuration Manager använder du följande procedur för att hjälpa dig att konfigurera Windows-brandväggen med en anpassad inkommande regel som tillåter inkommande TCP/IP-pingkommandon för aktiveringsproxy.
Konfigurera Windows-brandväggen för att tillåta TCP/IP-pingkommandon
-
I konsolen Windows-brandväggen med avancerad säkerhet skapar du en ny inkommande regel.
-
På sidan Regeltyp i guiden Ny regel för inkommande trafik väljer du Anpassad och klickar sedan på Nästa.
-
På sidan Program behåller du standardvärdet Alla program. Klicka på Nästa.
-
På sidan Protokoll och portar klickar du på kombinationsrutan Protokolltyp. Välj ICMPv4 och klicka på knappen Anpassa.
-
I dialogrutan Anpassa ICMP-inställningar klickar du på Särskilda ICMP-typer. Välj Ekobegäran och klicka på OK.
-
I guiden Ny regel för inkommande trafik klickar du på Nästa.
-
På sidan Omfång behåller du standardinställningarna för eventuella lokala IP-adresser och fjärr-IP-adresser och klickar på Nästa.
-
På sidan Åtgärd kontrollerar du att Tillåt anslutningen markerats och klickar sedan på Nästa.
-
På sidan Profil väljer du de profiler som ska använda aktiveringsproxy (t.ex. Domän) och klickar sedan på Nästa.
-
På sidan Namn anger du ett namn på den anpassade regeln. Om du vill kan du även ange en beskrivning som hjälper till att visa att regeln krävs för kommunikation med aktiveringsproxy. Klicka på Slutför så stängs guiden.
Mer information om aktiveringsproxy finns i stycket Planera för aktivering av klienter i avsnittet Planera kommunikation i Configuration Manager.
Windows Loggboken, Windows Prestandaövervakaren samt Windows Diagnostik
Om du vill komma åt Windows Loggboken, Windows Prestandaövervakaren och Windows Diagnostik från Configuration Manager-konsolen aktiverar du Fil- och skrivardelning som ett undantag i Windows-brandväggen.
Portar som används vid klientdistribution med Configuration Manager
Följande tabeller visar vilka portar som används under klientinstallationen.
| Viktigt |
|---|
Om det finns en brandvägg mellan platsens systemservrar och klientdatorn måste du bekräfta att brandväggen tillåter trafik för de portar som krävs för den klientinstallationsmetod du valt. Brandväggar förhindrar t.ex. ofta push-installation av klienter eftersom de blockerar SMB (Server Message Block) och RPC (Remote Procedure Calls). I en sådan situation använder du en annan metod för klientinstallation, t.ex. manuell installation (kör CCMSetup.exe) eller klientinstallation baserad på grupprincip. Dessa metoder för klientinstallation kräver inte SMB eller RPC. |
Information om hur du konfigurerar Windows-brandväggen på klientdatorn finns i Ändra vilka portar och program som tillåts av Windows-brandväggen.
Portar som används för alla installationsmetoder
Beskrivning |
UDP |
TCP |
|---|---|---|
HTTP (Hypertext Transfer Protocol) från klientdatorn till en återställningsstatusplats, om en återställningsstatusplats tilldelats klienten. |
-- |
80 (Se anteckning 1, Alternativ port tillgänglig) |
Portar som används med push-installation av klienter
Förutom de portar som visas i följande tabell använder push-installation av klienter även ICMP-ekobegäransmeddelanden (Internet Control Message Protocol) från platsservern till klientdatorn för att bekräfta att klientdatorn är tillgänglig i nätverket. ICMP kallas ibland TCP/IP-pingkommandon. ICMP har inte ett UDP- eller TCP-protokollnummer, och finns därför inte i följande tabell. Dock måste alla mellanliggande nätverksenheter, t.ex. brandväggar, tillåta ICMP-trafik för att push-installation av klienter ska kunna genomföras.
Beskrivning |
UDP |
TCP |
|---|---|---|
SMB (Server Message Block) mellan platsservern och klientdatorn. |
-- |
445 |
RPC-slutpunktsavbildare mellan platsservern och klientdatorn. |
135 |
135 |
Dynamiska RPC-portar mellan platsservern och klientdatorn. |
-- |
DYNAMIC |
HTTP (Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTP. |
-- |
80 (Se anteckning 1, Alternativ port tillgänglig) |
HTTPS (säkert Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS. |
-- |
443 (Se anteckning 1, Alternativ port tillgänglig) |
Portar som används med installation baserad på programuppdateringsplats
Beskrivning |
UDP |
TCP |
||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
HTTP (Hypertext Transfer Protocol) från klientdatorn till programuppdateringsplatsen. |
-- |
80 eller 8530 (Se anteckning 2, Windows Server Update Services) |
||||||||||||||||||||||||||
HTTPS (säkert Hypertext Transfer Protocol) från klientdatorn till programuppdateringsplatsen. |
-- |
443 eller 8531 (Se anteckning 2, Windows Server Update Services) |
||||||||||||||||||||||||||
SMB (Server Message Block) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source: Portar som används med installation baserad på grupprincip
|
.jpeg "System_CAPS_note"){kind=icon}
Information