Firewall-Einstellungen für Configuration Manager-Clients

  • Artikel

Letzte Aktualisierung: Februar 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung – August 2008

Für Clientcomputer, auf denen eine Windows-Firewall ausgeführt wird, müssen möglicherweise Ausnahmen definiert werden, damit die Kommunikation zwischen den Microsoft System Center Configuration Manager 2007-Standortsystemen erfolgen kann. Diese Ausnahmen sind je nachdem, welche Features von Configuration Manager 2007 Sie zu verwenden beabsichtigen, unterschiedlich.

In den folgenden Abschnitten sind die Features von Configuration Manager 2007 aufgeführt, für die an der Windows-Firewall Ausnahmen erstellt werden müssen. Zusätzlich wird eine Vorgehensweise zum Konfigurieren dieser Ausnahmen angeboten.

Ändern der von der Windows-Firewall zugelassenen Ports und Programme

So ändern Sie die von der Windows-Firewall zugelassenen Ports und Programme

  1. Öffnen Sie auf dem Computer, auf dem die Windows-Firewall ausgeführt wird, die Systemsteuerung.

  2. Klicken Sie mit der rechten Maustaste auf Windows-Firewall, und klicken Sie auf Öffnen.

  3. Wählen Sie im Listenfeld des Dialogfelds Windows-Firewalleinstellungen auf der Registerkarte Ausnahmen die erforderlichen Ausnahmen aus, oder klicken Sie auf „Programm hinzufügen“ oder „Port hinzufügen“, um benutzerdefinierte Programme oder Ports zu erstellen.

Von Configuration Manager 2007 benötigte Programme und Ports

Für die folgenden Configuration Manager 2007-Features sind Ausnahmen in der Windows-Firewall zu erstellen:

Abfragen

Wenn Sie die Configuration Manager-Konsole auf einem Computer mit der Windows-Firewall ausführen, tritt beim ersten Ausführen der Abfrage ein Fehler auf.

Danach wird ein Dialogfeld angezeigt, in dem Sie gefragt werden, ob die Datei „statview.exe“ blockiert werden soll. Wenn Sie die Datei „statview.exe“ zulassen, werden künftige Abfragen fehlerfrei ausgeführt. Sie können die Datei „statview.exe“ auch vor dem Ausführen einer Abfrage manuell zur Liste mit den Programmen und Diensten auf der Registerkarte Ausnahmen der Windows-Firewall hinzufügen.

Clientpushinstallation

Zur erfolgreichen Verwendung der Clientpushinstallation für die Installation des Configuration Manager 2007-Clients sind die folgenden Ausnahmen zur Windows-Firewall hinzuzufügen:

  • Datei- und Druckerfreigabe

  • Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)

Clientinstallation mithilfe des Tools „Gruppenrichtlinie“

Zur erfolgreichen Verwendung des Tools „Gruppenrichtlinie“ für die Installation des Configuration Manager 2007-Clients müssen Sie die Datei- und Druckerfreigabe als eine Ausnahme der Windows-Firewall hinzufügen.

Clientanfragen

Damit die Kommunikation zwischen Clientcomputern und Configuration Manager 2007-Standortsystemen erfolgen kann, müssen folgende Ausnahmen zur Windows-Firewall hinzugefügt werden:

TCP-Port 80 (für die HTTP-Kommunikation)

TCP-Port 443 (für die HTTPS-Kommunikation)

Wichtig

Es handelt sich dabei um Standardportnummern, die in Configuration Manager 2007 geändert werden können. Weitere Informationen finden Sie unter Konfigurieren von Anforderungsports für den Configuration Manager-Client. Wurden diese Ports geändert, müssen Sie außerdem entsprechende Ausnahmen in der Windows-Firewall konfigurieren.

Netzwerkzugriffsschutz

Für eine erfolgreiche Kommunikation der Clientcomputer mit dem Systemintegritätsprüfungspunkt müssen Sie folgende Ports zulassen:

  • UDP 67 und UDP 68 für DHCP

  • TCP 80/443 für IPSec

Remotesteuerung

Damit die Features „Remotetools“ von Configuration Manager 2007 verwendet werden können, müssen Sie folgende Ports zulassen:

  • TCP-Port 2701

  • TCP-Port 2702

  • TCP-Port 135

Remoteunterstützung und Remotedesktop

Um die Initiierung der Remoteunterstützung von der SMS-Administratorkonsole aus zu ermöglichen, müssen Sie das benutzerdefinierte Programm helpsvc.exe und den benutzerdefinierten Port TCP 135 zur Liste der zugelassenen Programme und Dienste der Windows-Firewall auf dem Clientcomputer hinzufügen. Die Windows-Firewall muss außerdem so konfiguriert sein, dass Remoteunterstützung und Remotedesktop zugelassen werden. Wenn ein Benutzer eine Remoteunterstützungsanforderung von diesem Computer initiiert, wird die Windows-Firewall automatisch für das Zulassen der Remoteunterstützung und des Remotedesktops konfiguriert.

Windows-Ereignisanzeige, Windows-Systemmonitor und Windows-Diagnose

Um den Zugriff auf die Windows-Ereignisanzeige, den Windows-Systemmonitor und die Windows-Diagnose von der Configuration Manager-Konsole aus zu ermöglichen, müssen Sie die Datei- und Druckerfreigabe als eine Ausnahme in der Windows-Firewall aktivieren.

Siehe auch

Tasks

Konfigurieren von Anforderungsports für den Configuration Manager-Client

Konzepte

Übersicht über die Bereitstellung von Configuration Manager-Clients
Bestimmen der erforderlichen Ports für die internetbasierte Clientverwaltung
Bestimmen der von Firewalls zur Unterstützung des Netzwerkzugriffsschutzes benötigten Ports
Von Configuration Manager verwendete Ports

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com