Makale
10/26/2015

Configuration Manager'daki İstemci Bilgisayarların Windows Güvenlik Duvarı ve Bağlantı Noktası Ayarları

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Windows Güvenlik Duvarı'nı çalıştıran System Center 2012 Configuration Manager ortamındaki istemci bilgisayarlar çoğunlukla siteleriyle iletişime izin veren özel durumlar yapılandırmanızı gerektirir. Yapılandırmanız gereken bu özel durumlar Configuration Manager istemcisi ile kullandığınız yönetim özelliklerine bağlıdır.

Bu yönetim özelliklerini belirlemek ve Windows Güvenlik Duvarı'nı bu özel durumlarla ilgili yapılandırma hakkında ek bilgi için aşağıdaki bölümleri kullanın.

Windows Güvenlik Duvarı'nın İzin Verdiği Bağlantı Noktalarını ve Programları Değiştirme

Configuration Manager istemcisine yönelik Windows Güvenlik Duvarı'ndaki bağlantı noktalarını ve programları değiştirmek için aşağıdaki yordamı kullanın.

Windows Güvenlik Duvarı'nın izin verdiği bağlantı noktalarını ve programları değiştirmek için

Windows Güvenlik Duvarı'nı çalıştıran bilgisayarda, Denetim Masası'nı açın.
Windows Güvenlik Duvarı'na sağ tıkladıktan sonra Aç'a tıklayın.
Tüm gerekli özel durumları ve ihtiyaç duyduğunuz tüm özel programları ve bağlantı noktalarını yapılandırın.

Configuration Manager İçin Gereken Programlar ve Bağlantı Noktaları

Aşağıdaki Configuration Manager özellikleri için Windows Güvenlik Duvarı'nda özel durumlar gereklidir:

Sorgular

Windows Güvenlik Duvarı'nı çalıştıran bir bilgisayarda Configuration Manager konsolunu çalıştırıyorsanız sorgular ilk çalıştırıldıklarında başarısız olur ve işletim sistemi statview.exe'nin engellemesini kaldırmak isteyip istemediğinizi soran bir iletişim kutusu görüntüler. Statview.exe’yi engellerseniz gelecekteki sorgular hatasız çalışır. Statview.exe'yi bir sorgu çalıştırmadan önce Windows Güvenlik Duvarı'nın Özel Durumlar sekmesine el ile de ekleyebilirsiniz.

İstemci Gönderme Yüklemesi

System Center 2012 Configuration Manager istemcisini yüklemek amacıyla istemci göndermeyi kullanmak için Windows Güvenlik Duvarı'na aşağıdaki özel durumları ekleyin:

Giden ve gelen: Dosya ve Yazıcı Paylaşımı
Gelen: Windows Yönetim Araçları (WMI)

Grup İlkesi Kullanarak İstemci Yükleme

Configuration Manager istemcisini yüklemek üzere Grup İlkesini kullanmak için Dosya ve Yazıcı Paylaşımı'nı bir özel durum olarak Windows Güvenlik Duvarı'na ekleyin.

İstemci İstekleri

İstemci bilgisayarların Configuration Manager sitesi sistemleriyle iletişim kurması için aşağıdakileri özel durum olarak Windows Güvenlik Duvarı'na ekleyin:

Giden: TCP Bağlantı Noktası 80 (HTTP iletişimi için)

Giden: TCP Bağlantı Noktası 443 (HTTPS iletişimi için)

Önemli
Bunlar, Configuration Manager içinde değiştirilebilen varsayılan bağlantı noktası numaralarıdır. Daha fazla bilgi için Configuration Manager'da İstemci İletişim Bağlantı Noktası Numaralarını Yapılandırma konusuna bakın. Bu bağlantı noktaları varsayılan değerlerinden değiştirilmişse, Windows Güvenlik Duvarı'nda da eşleşen özel durumlar yapılandırmanız gerekir.

İstemci Bildirimi

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Bir yönetici kullanıcı Configuration Manager konsolunda bilgisayar ilkesi indirme veya kötü amaçlı yazılım taraması başlatma gibi bir istemci eylemi seçtiğinde yönetim noktasının istemci bilgisayarlara yapmaları gereken işlemi bildirmesi için aşağıdakileri özel durum olarak Windows Güvenlik Duvarı'na ekleyin:

Giden: TCP Bağlantı Noktası 10123

Bu iletişim başarılı olmazsa, Configuration Manager otomatik olarak mevcut istemci-yönetim noktası iletişim bağlantı noktasını (HTTP veya HTTPS) kullanmaya geri döner:

Giden: TCP Bağlantı Noktası 80 (HTTP iletişimi için)

Giden: TCP Bağlantı Noktası 443 (HTTPS iletişimi için)

Önemli
Bunlar, Configuration Manager içinde değiştirilebilen varsayılan bağlantı noktası numaralarıdır. Daha fazla bilgi için, bkz. Configuration Manager'da İstemci İletişim Bağlantı Noktası Numaralarını Yapılandırma. Bu bağlantı noktaları varsayılan değerlerinden değiştirilmişse, Windows Güvenlik Duvarı'nda da eşleşen özel durumlar yapılandırmanız gerekir.

Ağ Erişimi Koruması

İstemci bilgisayarların Sistem Durumu Doğrulayıcısı noktası ile başarıyla iletişim kurmaları için şu bağlantı noktalarına izin verin:

Giden: DHCP için UDP 67 ve UDP 68
Giden: IPsec için TCP 80/443

Uzaktan Denetim

Configuration Manager uzaktan denetimi kullanmak için şu bağlantı noktasına izin verin:

Gelen: TCP Bağlantı Noktası2701

Uzaktan Yardım ve Uzak Masaüstü

Configuration Manager konsolundan uzaktan yardım başlatmak için Helpsvc.exe özel programını ve gelen özel bağlantı noktası TCP 135'i istemci bilgisayardaki Windows Güvenlik Duvarı'nda izin verilen program ve hizmetler listesine ekleyin.Uzaktan Yardım'a ve Uzak Masaüstü'ne de izin vermeniz gerekir. İstemci bilgisayardan Uzaktan Yardım'ı başlattığınızda, Windows Güvenlik Duvarı otomatik olarak Uzaktan Yardım'ı ve Uzak Masaüstü'nü yapılandırır ve izin verir.

Uyandırma Proxy'si

System Center 2012 Configuration Manager SP1 ve sonraki sürümleri için:

Uyandırma proxy'si istemci ayarını etkinleştirirseniz, ConfigMgr Uyandırma Proxy'si adlı yeni bir hizmet eşler arası protokolü kullanarak alt ağdaki diğer bilgisayarların uyanık olup olmadığını denetler ve gerekirse onları uyandırır. Bu iletişim şu bağlantı noktalarını kullanır:

Giden: UDP Bağlantı Noktası 25536

Giden: UDP Bağlantı Noktası 9

Bunlar Uyandırma proxy'si bağlantı noktası numarası (UDP)(UDP) ve Wake On LAN bağlantı noktası numarası (UDP)(UDP)’nın Güç Yönetimi istemcileri ayarları kullanılarak Configuration Manager tarafından değiştirilebilen varsayılan bağlantı noktalarıdır.Güç Yönetimi: Uyandırma proxy'si için Windows Güvenlik Duvarı özel durumu istemci ayarını belirtirseniz, bu bağlantı noktaları otomatik olarak istemciler için Windows Güvenlik Duvarı'nda yapılandırılır. Ancak istemciler farklı bir güvenlik duvarında çalışıyorsa bu bağlantı noktası numaralarının özel durumlarını el ile yapılandırmanız gerekir.

Bu bağlantı noktalarına ek olarak, uyandırma proxy'si aynı zamanda bir istemci bilgisayardan diğer istemci bilgisayara İnternet Denetim İletisi Protokolü (ICMP) yankı isteği mesajlarını kullanır. Bu iletişim, ağdaki diğer istemci bilgisayarın uyanık olup olmadığını doğrulamak için kullanılır. ICMP bazen TCP/IP ping komutları olarak adlandırılır.System Center 2012 Configuration Manager SP1, bu TCP/IP ping komutları için Windows Güvenlik Duvarı'nı yapılandırmaz ve System Center 2012 R2 Configuration Manager çalıştırmadığınız sürece uyandırma proxy'si iletişiminin başarılı olması için bu ICMP trafiğine el ile izin vermeniz gerekir.

System Center 2012 Configuration Manager yerine System Center 2012 R2 Configuration Manager SP1'iniz varsa Windows Güvenlik Duvarı'nı uyandırma proxy'sine yönelik gelen TCP/IP ping komutlarına izin veren bir özel gelen kuralı ile yapılandırmanıza yardımcı olması için aşağıdaki yordamı kullanın.

Windows Güvenlik Duvarı'nı TCP/IP ping komutlarına izin verecek biçimde yapılandırmak için

Windows Güvenlik Duvarı'nın Gelişmiş Güvenlik konsolunda, yeni bir gelen kuralı oluşturun.
Yeni Gelen Kuralı Sihirbazında, Kural Türü sayfasında, Özel'i seçtikten sonra İleri'ye tıklayın.
Program sayfasında, Tüm programlar varsayılan seçimini koruyun ve yine İleri'ye tıklayın.
Protokoller ve Bağlantı Noktaları sayfasında, Protokol türü açılan listesine tıklayın, ICMPv4'ü seçin ve Özelleştir düğmesine tıklayın.
ICMP Ayarlarını Özelleştir iletişim kutusunda, Belirli ICMP türleri'ne tıklayın, Yankı İsteği'ni seçin ve Tamam'a tıklayın.
Yeni Gelen Kuralı Sihirbazında, İleri'ye tıklayın.
Kapsam sayfasında, tüm yerel veya uzak IP adresleri için varsayılan ayarları tutun ve İleri'ye tıklayın.
Eylem sayfasında, Bağlantıya izin ver'in seçildiğinden emin olduktan sonra İleri'ye tıklayın.
Profil sayfasında, uyandırma proxy'sini kullanacak profilleri (örneğin, Etki Alanı) seçin ve İleri'ye tıklayın.
Ad sayfasında, bu özel kuralın adını belirtin ve isteğe bağlı olarak bu kuralın uyandırma proxy'si iletişimi için gerekli olduğunu belirlemeye yardımcı olması için bir açıklama yazın. Ardından Son'a tıklayarak sihirbazı kapatın.

Uyandırma proxy'si hakkında daha fazla bilgi için Configuration Manager'da İletişim Planlaması konusundaki İstemcilerin Nasıl Uyandırılacağını Planlama bölümüne bakın

Windows Olay Görüntüleyicisi, Windows Performans İzleyicisi ve Windows Tanılama

Windows Olay Görüntüleyicisi, Windows Performans İzleyicisi ve Windows Tanılama'ya Configuration Manager konsolundan erişmek için Dosya ve Yazıcı Paylaşımı'nı Windows Güvenlik Duvarı'nda özel durum olarak etkinleştirin.

Configuration Manager İstemci Dağıtımı Sırasında Kullanılan Bağlantı Noktaları

Aşağıdaki tablolarda istemci yükleme işlemi sırasında kullanılan bağlantı noktaları verilmiştir.

Önemli
Site sistemi sunucuları ile istemci bilgisayar arasında güvenlik duvarı varsa, bu güvenlik duvarının seçtiğiniz istemci yükleme yöntemi için gereken bağlantı noktalarına yönelik trafiğe izin verip vermediğini onaylayın. Örneğin, güvenlik duvarları Sunucu İleti Bloğunu (SMB) ve Uzaktan Yordam Çağrılarını (RPC) engellediği için istemci gönderme yüklemesinin başarılı olmasına sıkça engel olur. Bu senaryoda, elle yükleme (CCMSetup.exe'yi çalıştırarak) veya Grup İlkesi kullanarak istemci yükleme gibi farklı bir istemci yükleme yöntemini kullanın. Bu alternatif istemci yükleme yöntemleri SMB veya RPC gerektirmez.

Site sistemi sunucuları ile istemci bilgisayar arasında güvenlik duvarı varsa, bu güvenlik duvarının seçtiğiniz istemci yükleme yöntemi için gereken bağlantı noktalarına yönelik trafiğe izin verip vermediğini onaylayın. Örneğin, güvenlik duvarları Sunucu İleti Bloğunu (SMB) ve Uzaktan Yordam Çağrılarını (RPC) engellediği için istemci gönderme yüklemesinin başarılı olmasına sıkça engel olur. Bu senaryoda, elle yükleme (CCMSetup.exe'yi çalıştırarak) veya Grup İlkesi kullanarak istemci yükleme gibi farklı bir istemci yükleme yöntemini kullanın. Bu alternatif istemci yükleme yöntemleri SMB veya RPC gerektirmez.

İstemci bilgisayarda Windows Güvenlik Duvarı’nı yapılandırma hakkında bilgi edinmek için Windows Güvenlik Duvarı'nın İzin Verdiği Bağlantı Noktalarını ve Programları Değiştirme konusuna bakın.

Tüm yükleme yöntemlerinde kullanılan bağlantı noktaları

Açıklama	UDP	TCP
İstemciye bir geri dönüş durum noktası atandığında istemci bilgisayardan geri dönüş durum noktasına Köprü Metni Aktarım Protokolü (HTTP).	--	80 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)

İstemci gönderme yüklemesinde kullanılan bağlantı noktaları

İstemci gönderme yüklemesi aşağıda listelenen bağlantı noktalarına ek olarak, istemci bilgisayarın ağda kullanılıp kullanılamadığından emin olmak için site sunucusundan istemci bilgisayara İnternet Denetim İletisi Protokolü (ICMP) yankı isteği mesajlarını da kullanır. ICMP bazen TCP/IP ping komutları olarak adlandırılır. ICMP'nin bir UDP veya TCP protokol numarası olmadığından aşağıdaki tabloda listelenmemiştir. Ancak, istemci gönderme yüklemesinin başarılı olması için güvenlik duvarı gibi müdahalede bulunan tüm ağ cihazları ICMP trafiğine izin vermelidir.

Açıklama	UDP	TCP
Site sunucusu ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB).	--	445
Site sunucusu ile istemci bilgisayar arasında RPC bitiş noktası eşleştiricisi.	135	135
Site sunucusu ile istemci bilgisayar arasında RPC dinamik bağlantı noktaları.	--	DİNAMİK
Bağlantı HTTP üzerinden olduğunda istemci bilgisayardan yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP).	--	80 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
Bağlantı HTTPS üzerinden olduğunda istemci bilgisayardan yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS).	--	443 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)

Yazılım güncelleştirme noktası tabanlı yüklemede kullanılan bağlantı noktaları

Açıklama	UDP	TCP
İstemci bilgisayardan yazılım güncelleştirme noktasına Köprü Metni Aktarım Protokolü (HTTP) .	--	80 veya 8530 (bkz. not 2, Windows Server Update Services)
İstemci bilgisayardan yazılım güncelleştirme noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS).	--	443 veya 8531 (bkz. not 2, Windows Server Update Services)
CCMSetup komut satırı /source:<Yol> özelliğini belirttiğinizde kaynak sunucu ile istemci bilgisayar arasındaki Sunucu İleti Bloğu (SMB).	--	445

Grup İlkesi tabanlı yüklemede kullanılan bağlantı noktaları

Açıklama	UDP	TCP
Bağlantı HTTP üzerinden olduğunda istemci bilgisayardan yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP).	--	80 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
Bağlantı HTTPS üzerinden olduğunda istemci bilgisayardan yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS).	--	443 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
CCMSetup komut satırı /source:<Yol> özelliğini belirttiğinizde kaynak sunucu ile istemci bilgisayar arasındaki Sunucu İleti Bloğu (SMB).	--	445

Elle yükleme ve oturum açma betiği tabanlı yüklemede kullanılan bağlantı noktaları

Açıklama	UDP	TCP
İstemci bilgisayar ile CCMSetup.exe'yi çalıştırdığınız ağ paylaşımı arasında Sunucu İleti Bloğu (SMB). Not System Center 2012 Configuration Manager yüklendiğinde, istemci yükleme kaynağı dosyaları kopyalanarak yönetim noktalarındaki <YüklemeYolu>\Client klasöründen otomatik olarak paylaşılır. Ancak, bu dosyaları kopyalayabilir ve ağdaki herhangi bir bilgisayarda yeni bir paylaşım oluşturabilirsiniz. Alternatif olarak, CCMSetup.exe'yi yerel olarak çalıştırma yoluyla, örneğin, çıkarılabilir medyayı kullanarak bu ağ trafiğini ortadan kaldırabilirsiniz.	--	445
Bağlantı HTTP üzerinden olduğunda ve CCMSetup komut satırı özelliği olarak /source:<Yol> belirtilmediğinde istemci bilgisayardan yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP).	--	80 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
Bağlantı HTTPS üzerinden olduğunda ve CCMSetup komut satırı özelliği olarak /source:<Yol> belirtilmediğinde istemci bilgisayardan yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS).	--	443 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
CCMSetup komut satırı /source:<Yol> özelliğini belirttiğinizde kaynak sunucu ile istemci bilgisayar arasındaki Sunucu İleti Bloğu (SMB).	--	445

Yazılım dağıtımı tabanlı yüklemede kullanılan bağlantı noktaları

Açıklama	UDP	TCP
Dağıtım noktası ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB).	--	445
Bağlantı HTTP üzerinden olduğunda istemciden dağıtım noktasına Köprü Metni Aktarım Protokolü (HTTP).	--	80 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)
Bağlantı HTTPS üzerinden olduğunda istemciden dağıtım noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS).	--	443 (bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir)

Notlar

1 Alternatif Bağlantı Noktası Var Configuration Manager'da, bu değer için alternatif bir bağlantı noktası tanımlayabilirsiniz. Özel bağlantı noktası tanımlanmışsa, IPsec ilkelerine veya güvenlik duvarlarını yapılandırmaya yönelik IP filtresi bilgilerini tanımlarken bu özel bağlantı noktasını yerine koyun.

2 Windows Server Update Services Windows Server Update Services'ı (WSUS) varsayılan Web sitesine (bağlantı noktası 80) veya özel Web sitesine (bağlantı noktası 8530) yükleyebilirsiniz.

Yüklemeden sonra bu bağlantı noktasını değiştirebilirsiniz. Site hiyerarşisinin her yerinde aynı bağlantı noktasını kullanmanız gerekmez.

HTTP bağlantı noktası 80 ise HTTPS bağlantı noktası 443 olmalıdır.

HTTP bağlantı noktası başka bir numaraysa HTTPS bağlantı noktası 1 fazlası olmalıdır; örneğin, 8530 ve 8531.

Ayrıca bkz.

Configuration Manager'da İstemci Dağıtımı İçin Teknik Başvuru

Aracılığıyla paylaş