通过

确定基于 Internet 的客户端管理所需的端口

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

为基于 Internet 的客户端管理配置 Configuration Manager 2007 通常要求某些网络配置支持来自 Internet 的附加流量。通常,这要求重新配置 Internet 与外围网络(也称为 DMZ、外围安全区域和外围子网)以及外围网络与 Intranet 之间的防火墙。还可能包括配置安全边界之间的 Web 代理服务器。

备注

置于 Internet 和外围网络之间的防火墙通常称为“前端防火墙”,而置于外围网络与 Intranet 之间的防火墙通常称为“后端防火墙”。

使用与基于 Internet 的客户端管理所选支持方案相对应的网络图示来标识安全边界之间的协议,因此将需要对防火墙进行配置。有关支持方案列表,请参阅基于 Internet 的客户端管理支持的方案

此外,请确保所有干扰防火墙均支持 HTTP 1.1,而且不会阻止 Configuration Manager 2007 基于 Internet 的客户端管理所需的流量。有关干扰防火墙或代理服务器的外部依赖关系的信息,请参阅基于 Internet 的客户端管理的先决条件

用于基于 Internet 的客户端管理方案的可能协议列表如下:

  • RPC

  • SMB

  • Microsoft SQL Server

  • HTTP

  • HTTPS

远程过程调用 (RPC) 是站点系统安装和将包安装到分发点所必需的。这些连接通常使用端口 UDP 和 TCP 135 以及动态 TCP 端口范围。

服务器消息块 (SMB) 是站点系统安装和修复以及发送站点系统状态所必需的。这些连接通常使用端口 TCP 445。

默认情况下,SQL Server 连接使用端口 TCP 1433,Configuration Manager 2007 不支持更改此端口号。

Internet 上的客户端使用 HTTP 来连接到其基于 Internet 的回退状态点。Internet 上的客户端使用 HTTPS 来连接到其基于 Internet 的管理点、基于 Internet 的分发点和基于 Internet 的软件更新点。

基于 Internet 的软件更新点使用 HTTPS 与活动的软件更新点进行通信,此外也可使用 HTTP。为了配置 Windows Server Update Services (WSUS) 设置,活动的软件更新点使用 HTTPS 连接到基于 Internet 的软件更新点。当 Configuration Manager 同步软件更新元数据时,基于 Internet 的软件更新点会连接到活动的软件更新点。大多数连接将使用 HTTPS。但是,当软件更新元数据具有关联的许可条款(例如,如果软件更新是一个 Service Pack)时,连接将使用 HTTP。要避免这些从外围网络到 Intranet 的入站连接,请使用如何使用导出和导入同步更新中所述的导出和导入方法同步软件更新。

如果防火墙需要 HTTP 协议和 HTTPS 协议的端口号,则在默认情况下,它们分别是 TCP 80 和 TCP 443。但是,如果您使用的是基于 Internet 的客户端管理,则在 Configuration Manager 2007 中,您可以更改 HTTP 和 HTTPS 流量的这些端口号以额外增加安全性。

使用下列过程标识为 HTTP 连接和 HTTPS 连接配置的端口号,以便您能够在保护网络免受 Internet 攻击的防火墙上配置此端口信息。

重要

不要在不了解后果的情况下更改 Configuration Manager 2007 中的端口号。例如,不按正确过程更改客户端请求服务的端口号可能会导致站点中的所有客户端不能连接到其管理点,并因此不受管理。

查看使用 HTTP 和 HTTPS 连接的客户端请求的端口号

  1. 在 Configuration Manager 控制台中,导航到“System Center Configuration Manager/站点数据库/站点管理”。

  2. 右键单击“<站点代码> – <站点名称>”,然后单击“属性”。

  3. 在站点属性对话框的“端口”选项卡上,查看“活动端口”部分。

  4. 找到名为“客户端请求-HTTP (TCP)”的两个服务。如果选择了服务以供站点使用,则标识已配置的端口号。如果选中了两个服务,则可能需要为两个端口号配置防火墙(如果某些客户端仍然使用默认端口号的话)。

  5. 找到名为“客户端请求-HTTPS (TCP)”的两个服务。如果选择了服务以供站点使用,则标识已配置的端口号。如果选中了两个服务,则可能需要为两个端口号配置防火墙(如果某些客户端仍然使用默认端口号的话)。

  6. 单击“确定”。

查看使用 HTTP 和 HTTPS 连接(客户端请求和与其他软件更新点的同步)的软件更新点的端口号

  1. 在 Configuration Manager 控制台中,导航到“System Center Configuration Manager/站点数据库/站点管理/<站点代码> – <站点名称>/站点设置/组件配置”。

  2. 右键单击“软件更新点组件”,然后单击“属性”。

  3. 在“基于 Internet”选项卡上,找到“指定此 WSUS 服务器使用的端口设置”部分,然后标识“端口号”(对于 HTTP 端口)和“SSL 端口号”(对于 HTTPS 端口)的配置端口号。

  4. 单击“确定”。

另请参阅

任务

如何为 Configuration Manager 客户端配置请求端口

概念

在 Configuration Manager 2007 中实施 IPsec
Configuration Manager 使用的端口
基于 Internet 的客户端管理支持的方案

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。