Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung

  • Artikel

Letzte Aktualisierung: März 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Zum Konfigurieren von Configuration Manager 2007 für die internetbasierte Clientverwaltung sind häufig einige Netzwerkkonfigurationsschritte notwendig, um den zusätzlichen Verkehr aus dem Internet zu unterstützen. In der Regel erfordert dies die Neukonfiguration von Firewalls zwischen dem Internet und Ihrem Umkreisnetzwerk (auch als DMZ oder überwachtes Subnetz bezeichnet), sowie zwischen dem Umkreisnetzwerk und Ihrem Intranet. Dies kann auch die Konfiguration von Webproxyservern zwischen Sicherheitsgrenzen beinhalten.

Hinweis

Zwischen dem Internet und Umkreisnetzwerken platzierte Firewalls werden oft als „Front-End-Firewalls“ bezeichnet, solche zwischen dem Umkreisnetzwerk und dem Intranet als „Back-End-Firewalls“.

Mit den Netzwerkdiagrammen, die dem von Ihnen ausgewählten unterstützten Szenario für die internetbasierte Clientverwaltung entsprechen, können Sie die Protokolle identifizieren, die Sicherheitsgrenzen überschreiten und daher an Firewalls konfiguriert werden müssen. Eine Liste der unterstützten Szenarien finden Sie unter Unterstützte Szenarien für die internetbasierte Clientverwaltung.

Stellen Sie darüber hinaus sicher, dass mögliche beteiligte Firewalls das Protokoll HTTP 1.1 unterstützen und keinen Verkehr blockieren, der für die internetbasierte Clientverwaltung von Configuration Manager 2007 erforderlich ist. Weitere Informationen zur externen Abhängigkeit für beteiligte Firewalls oder Proxyserver finden Sie unter Voraussetzungen für die internetbasierte Clientverwaltung.

Die folgenden Protokolle können in internetbasierten Clientverwaltungsszenarien eingesetzt werden:

  • RPC

  • SMB

  • Microsoft SQL Server

  • HTTP

  • HTTPS

Remoteprozeduraufrufe (Remote Procedure Calls, RPC) sind für die Standortsysteminstallation und die Installation von Paketen auf Verteilungspunkten erforderlich. Für diese Verbindungen werden normalerweise die Ports UDP und TCP 135 sowie ein dynamischer TCP-Portbereich verwendet.

Server Message Blocks (SMB) sind für die Standortsysteminstallation und -reparatur sowie für das Senden des Standortsystemstatus erforderlich. Diese Verbindungen verwenden in der Regel den Port TCP 445.

Standardmäßig wird für SQL Server-Verbindungen TCP-Port 1433 verwendet. Das Ändern dieser Portnummer wird von Configuration Manager 2007 nicht unterstützt.

Von Clients im Internet wird HTTP für die Verbindung mit dem internetbasierten Fallbackstatuspunkt verwendet. Mithilfe von HTTPS wird eine Verbindung mit dem internetbasierten Verwaltungspunkt, internetbasierten Verteilungspunkten und dem internetbasierten Softwareupdatepunkt hergestellt.

Der internetbasierte Softwareupdatepunkt kommuniziert über HTTPS mit dem aktiven Softwareupdatepunkt, er kann jedoch auch HTTP verwenden. Zum Konfigurieren der WSUS-Einstellungen (Windows Server Update Services) wird der aktive Softwareupdatepunkt über HTTPS mit dem internetbasierten Softwareupdatepunkt verbunden. Beim Synchronisieren der Softwareupdate-Metadaten mit Configuration Manager wird der internetbasierte Softwareupdatepunkt mit dem aktiven Softwareupdatepunkt verbunden. Die meisten Verbindungen verwenden HTTPS. Wenn für die Softwareupdate-Metadaten jedoch Lizenzbedingungen gelten (z. B., wenn das Softwareupdate ein Service Pack ist), verwendet die Verbindung HTTP. Zum Vermeiden dieser eingehenden Verbindungen vom Umkreisnetzwerk zum Intranet verwenden Sie das in Synchronisieren von Updates mittels Export und Import beschriebene Export- und Importverfahren für die Synchronisierung der Softwareupdates.

Falls für Ihre Firewalls die Portnummern für HTTP- und HTTPS-Protokolle erforderlich sind, lauten diese standardmäßig TCP 80 bzw. TCP 443. Sie können diese Portnummern für HTTP- und HTTPS-Verkehr in Configuration Manager 2007 aber auch ändern, was zusätzliche Sicherheit bietet, wenn Sie die internetbasierte Clientverwaltung verwenden.

Gehen Sie wie folgt vor, um die für HTTP- und HTTPS-Verbindungen konfigurierten Portnummern zu identifizieren, damit Sie diese Portinformationen an Firewalls konfigurieren können, mit denen Ihre Netzwerke gegenüber dem Internet geschützt sind.

Wichtig

Ändern Sie die Portnummern in Configuration Manager 2007 nur, wenn Sie sich der Konsequenzen bewusst sind. Das Ändern der Portnummern für die Clientanfragedienste ohne Einhalten der korrekten Prozedur kann beispielsweise dazu führen, dass keiner der Clients am Standort mehr eine Verbindungen mit dem Verwaltungspunkt herstellen kann und daher unverwaltet ist.

So zeigen Sie die Portnummern für Clientanfragen an, die HTTP- und HTTPS-Verbindungen verwenden

  1. Wechseln Sie in der Configuration Manager-Konsole zu System CenterConfiguration Manager > Standortdatenbank > Standortverwaltung.

  2. Klicken Sie mit der rechten Maustaste auf <Standortcode> – <Standortname>, und klicken Sie dann auf Eigenschaften.

  3. Zeigen Sie im Dialogfeld „Standorteigenschaften“ auf der Registerkarte Ports den Abschnitt Aktive Ports an.

  4. Suchen Sie die beiden Dienste namens Clientanfrage-HTTP (TCP). Identifizieren Sie die konfigurierte Portnummer, wenn der Dienst für die Verwendung durch den Standort ausgewählt ist. Sind beide Dienste ausgewählt, müssen Sie evtl. Firewalls für beide Portnummern konfigurieren, wenn einige Clients weiterhin die Standardportnummer verwenden.

  5. Suchen Sie die beiden Dienste namens Clientanfrage-HTTPS (TCP). Identifizieren Sie die konfigurierte Portnummer, wenn der Dienst für die Verwendung durch den Standort ausgewählt ist. Sind beide Dienste ausgewählt, müssen Sie evtl. Firewalls für beide Portnummern konfigurieren, wenn einige Clients weiterhin die Standardportnummer verwenden.

  6. Klicken Sie auf OK.

So zeigen Sie die Portnummern für Softwareupdatepunkte an, die HTTP- und HTTPS-Verbindungen verwenden (Clientanfragen und Synchronisierung mit einem anderen Softwareupdatepunkt)

  1. Wechseln Sie in der Configuration Manager-Konsole zu System CenterConfiguration Manager > Standortdatenbank > Standortverwaltung > <Standortcode> – <Standortname> > Standorteinstellungen > Komponentenkonfiguration.

  2. Klicken Sie mit der rechten Maustaste auf Softwareupdatepunkt-Komponente, und klicken Sie dann auf Eigenschaften.

  3. Suchen Sie auf der Registerkarte Internetbasiert den Abschnitt Geben Sie die Porteinstellungen an, die von diesem WSUS-Server verwendet werden sollen, und identifizieren Sie die konfigurierte Portnummer für Portnummer (für den HTTP-Port) und SSL-Portnummer (für den HTTPS-Port).

  4. Klicken Sie auf OK.

Siehe auch

Tasks

Konfigurieren von Anforderungsports für den Configuration Manager-Client

Konzepte

Implementieren von IPsec in Configuration Manager 2007
Von Configuration Manager verwendete Ports
Unterstützte Szenarien für die internetbasierte Clientverwaltung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com