确定防火墙要支持网络访问保护所需的端口
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
除标准 Configuration Manager 2007 流量之外,Configuration Manager 2007 中的网络访问保护 (NAP) 还将在关联端口生成下列流量。如果有阻止此流量的防火墙或网络外围设备,必须对其重新配置以使网络访问保护与 Configuration Manager 2007 配合工作。
使用下表确定 Configuration Manager 2007 中的网络访问保护使用的端口。有关 Configuration Manager 2007 中使用的所有端口的列表,请参阅“Configuration Manager 使用的端口”。
此外,您还需要确定客户端向系统健康验证程序点发送健康状况所用的端口。这些端口不会直接由 Configuration Manager 使用,但是通过 Windows 网络访问保护建立,并且依赖于所用的强制客户端。例如,DHCP 强制将使用端口 UDP 67 和 68。IPsec 强制将使用用于健康注册机构的端口 TCP 80 或 443,用于 IPsec 协商的端口 UDP 500 以及 IPsec 筛选器所需的其他端口。有关详细信息,请参阅 Windows 网络访问保护文档,有关为 IPsec 配置防火墙的帮助,请参阅 https://go.microsoft.com/fwlink/?LinkId=109499(页面可能为英文)。
| 功能 | 端口 | 描述 |
|---|---|---|
Configuration Manager 2007 站点服务器将 Configuration Manager 健康状况引用发布到 Active Directory 域服务。 |
TCP 389 (LDAP) 或 TCP 636 (LDAPS) |
写入 Active Directory 域服务 |
系统健康验证程序点在 Active Directory 域服务中查询 Configuration Manager 健康状况引用。 |
TCP 3268(全局目录查找)或 TCP 3269(安全的全局目录查找) |
从全局目录服务器中读取 |
安装系统健康验证程序点和当前配置。 |
TCP 445 TCP 135 |
要安装的服务器消息块 (SMB) 配置的远程过程调用 (RPC) |
从系统健康验证程序点到站点服务器的状态消息。 |
TCP 445 |
服务器消息块 (SMB) |
另请参阅
概念
关于网络访问保护中的 NAP 健康状况引用
关于网络访问保护中的系统健康验证程序点
Configuration Manager 使用的端口
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。