Firewall de Windows y configuración de puertos para clientes de Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Los equipos cliente de Configuration Manager que ejecutan Firewall de Windows suelen requerir que configure excepciones para permitir la comunicación con su sitio. Las excepciones que debe configurar dependen de las características de administración que use con el cliente Configuration Manager.

Use las secciones siguientes para identificar estas características de administración y para obtener más información sobre cómo configurar Firewall de Windows para estas excepciones.

Modificación de los puertos y programas permitidos por firewall de Windows

Use el procedimiento siguiente para modificar los puertos y programas del Firewall de Windows para el cliente de Configuration Manager.

Para modificar los puertos y programas permitidos por Firewall de Windows

  1. En el equipo que ejecuta Firewall de Windows, abra Panel de control.

  2. Haga clic con el botón derecho en Firewall de Windows y, a continuación, haga clic en Abrir.

  3. Configure las excepciones necesarias y los programas y puertos personalizados que necesite.

Programas y puertos que Configuration Manager requiere

Las siguientes características Configuration Manager requieren excepciones en el Firewall de Windows:

Consultas

Si ejecuta la consola de Configuration Manager en un equipo que ejecuta Firewall de Windows, las consultas producirán un error la primera vez que se ejecuten y el sistema operativo mostrará un cuadro de diálogo que le preguntará si desea desbloquear statview.exe. Si desbloquea statview.exe, las consultas futuras se ejecutarán sin errores. También puede agregar manualmente Statview.exe a la lista de programas y servicios en la pestaña Excepciones del Firewall de Windows antes de ejecutar una consulta.

Instalación de inserción de cliente

Para usar la inserción de cliente para instalar el cliente de Configuration Manager, agregue lo siguiente como excepciones al Firewall de Windows:

  • Saliente y entrante: Uso compartido de archivos e impresoras

  • Entrante: Instrumental de administración de Windows (WMI)

Instalación de cliente mediante directiva de grupo

Para usar directiva de grupo para instalar el cliente de Configuration Manager, agregue Uso compartido de archivos e impresoras como una excepción al Firewall de Windows.

Solicitudes de cliente

Para que los equipos cliente se comuniquen con Configuration Manager sistemas de sitio, agregue lo siguiente como excepciones al Firewall de Windows:

Saliente: puerto TCP 80 (para la comunicación HTTP)

Saliente: puerto TCP 443 (para la comunicación HTTPS)

Importante

Estos son números de puerto predeterminados que se pueden cambiar en Configuration Manager. Para obtener más información, vea Cómo configurar puertos de comunicación de cliente. Si estos puertos se han cambiado de los valores predeterminados, también debe configurar excepciones coincidentes en el Firewall de Windows.

Notificación de cliente

Para que el punto de administración notifique a los equipos cliente una acción que debe realizar cuando un usuario administrativo selecciona una acción de cliente en la consola de Configuration Manager, como descargar la directiva de equipo o iniciar un examen de malware, agregue lo siguiente como una excepción al Firewall de Windows:

Saliente: puerto TCP 10123

Si esta comunicación no se realiza correctamente, Configuration Manager recurre automáticamente al uso del puerto de comunicación de punto de administración a cliente existente de HTTP o HTTPS:

Saliente: puerto TCP 80 (para la comunicación HTTP)

Saliente: puerto TCP 443 (para la comunicación HTTPS)

Importante

Estos son números de puerto predeterminados que se pueden cambiar en Configuration Manager. Para obtener más información, consulte Configuración de puertos de comunicación de cliente. Si estos puertos se han cambiado de los valores predeterminados, también debe configurar excepciones coincidentes en el Firewall de Windows.

Teledirigido

Para usar Configuration Manager control remoto, permita el puerto siguiente:

  • Entrante: puerto TCP 2701

Asistencia remota y Escritorio remoto

Para iniciar asistencia remota desde la consola de Configuration Manager, agregue el programa personalizado Helpsvc.exe y el puerto personalizado de entrada TCP 135 a la lista de programas y servicios permitidos en Firewall de Windows en el equipo cliente. También debe permitir asistencia remota y Escritorio remoto. Si inicia asistencia remota desde el equipo cliente, Firewall de Windows configura y permite automáticamente asistencia remota y Escritorio remoto.

proxy de Wake-Up

Si habilita la configuración de cliente de proxy de reactivación, un nuevo servicio denominado Proxy de reactivación de Configuration Manager usa un protocolo punto a punto para comprobar si otros equipos están despiertos en la subred y reactivarlos si es necesario. Esta comunicación usa los siguientes puertos:

Saliente: puerto UDP 25536

Saliente: puerto UDP 9

Estos son los números de puerto predeterminados que se pueden cambiar en Configuration Manager mediante la configuración de clientes de Power Management de Número de puerto de proxy de reactivación (UDP) y Número de puerto de Wake On LAN (UDP). Si especifica la opción Power Management: Excepción de Firewall de Windows para el cliente proxy de reactivación , estos puertos se configuran automáticamente en Firewall de Windows para clientes. Sin embargo, si los clientes ejecutan un firewall diferente, debe configurar manualmente las excepciones para estos números de puerto.

Además de estos puertos, el proxy de reactivación también usa mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) de un equipo cliente a otro equipo cliente. Esta comunicación se usa para confirmar si el otro equipo cliente está activo en la red. ICMP a veces se conoce como comandos de ping TCP/IP.

Para obtener más información sobre el proxy de reactivación, vea Planear cómo reactivar clientes.

Windows Visor de eventos, Windows Monitor de rendimiento y Windows Diagnostics

Para acceder a Windows Visor de eventos, Windows Monitor de rendimiento y Windows Diagnostics desde la consola de Configuration Manager, habilite Compartir archivos e impresoras como una excepción en el Firewall de Windows.

Puertos usados durante la implementación de Configuration Manager cliente

En las tablas siguientes se enumeran los puertos que se usan durante el proceso de instalación del cliente.

Importante

Si hay un firewall entre los servidores del sistema de sitio y el equipo cliente, confirme si el firewall permite el tráfico de los puertos necesarios para el método de instalación de cliente que elija. Por ejemplo, los firewalls a menudo impiden que la instalación de inserción de cliente se realice correctamente porque bloquean el bloque de mensajes del servidor (SMB) y las llamadas a procedimiento remoto (RPC). En este escenario, use un método de instalación de cliente diferente, como la instalación manual (en ejecución CCMSetup.exe) o la instalación de cliente basada en directiva de grupo. Estos métodos de instalación de cliente alternativos no requieren SMB ni RPC.

Para obtener información sobre cómo configurar Firewall de Windows en el equipo cliente, consulte Modificación de los puertos y programas permitidos por firewall de Windows.

Puertos que se usan para todos los métodos de instalación

Descripción UDP TCP
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de estado de reserva, cuando se asigna un punto de estado de reserva al cliente. -- 80 (Véase la nota 1, Puerto alternativo disponible)

Puertos que se usan con la instalación de inserción de cliente

Descripción UDP TCP
Bloque de mensajes del servidor (SMB) entre el servidor de sitio y el equipo cliente. -- 445
Asignador de puntos de conexión RPC entre el servidor de sitio y el equipo cliente. 135 135
Puertos dinámicos RPC entre el servidor de sitio y el equipo cliente. -- DINÁMICA
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión se realiza a través de HTTP. -- 80 (Véase la nota 1, Puerto alternativo disponible)
Proteja el protocolo de transferencia de hipertexto (HTTPS) desde el equipo cliente a un punto de administración cuando la conexión se realiza a través de HTTPS. -- 443 (Véase la nota 1, Puerto alternativo disponible)

Puertos que se usan con la instalación basada en punto de actualización de software

Descripción UDP TCP
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente al punto de actualización de software. -- 80 o 8530 (véase la nota 2, Windows Server Update Services)
Proteja el protocolo de transferencia de hipertexto (HTTPS) desde el equipo cliente al punto de actualización de software. -- 443 u 8531 (véase la nota 2, Windows Server Update Services)
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente al especificar la propiedad de línea de comandos de CCMSetup /source:<Path>. -- 445

Puertos que se usan con la instalación basada en directiva de grupo

Descripción UDP TCP
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión se realiza a través de HTTP. -- 80 (Véase la nota 1, Puerto alternativo disponible)
Proteja el protocolo de transferencia de hipertexto (HTTPS) desde el equipo cliente a un punto de administración cuando la conexión se realiza a través de HTTPS. -- 443 (Véase la nota 1, Puerto alternativo disponible)
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente al especificar la propiedad de línea de comandos de CCMSetup /source:<Path>. -- 445

Puertos que se usan con la instalación manual y la instalación basada en scripts de inicio de sesión

Descripción UDP TCP
Bloque de mensajes del servidor (SMB) entre el equipo cliente y un recurso compartido de red desde el que se ejecuta CCMSetup.exe.

Al instalar Configuration Manager, los archivos de origen de instalación del cliente se copian y comparten automáticamente desde la <carpeta InstallationPath>\Client en los puntos de administración. Sin embargo, puede copiar estos archivos y crear un recurso compartido en cualquier equipo de la red. Como alternativa, puede eliminar este tráfico de red ejecutando CCMSetup.exe localmente, por ejemplo, mediante medios extraíbles.
-- 445
Protocolo de transferencia de hipertexto (HTTP) desde el equipo cliente a un punto de administración cuando la conexión se realiza a través de HTTP y no se especifica la propiedad de línea de comandos de CCMSetup /source:<Path>. -- 80 (Véase la nota 1, Puerto alternativo disponible)
Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS, and you do not specify the CCMSetup command-line property /source:<Path>. -- 443 (Véase la nota 1, Puerto alternativo disponible)
Bloque de mensajes del servidor (SMB) entre el servidor de origen y el equipo cliente al especificar la propiedad de línea de comandos de CCMSetup /source:<Path>. -- 445

Puertos que se usan con la instalación basada en distribución de software

Descripción UDP TCP
Bloque de mensajes del servidor (SMB) entre el punto de distribución y el equipo cliente. -- 445
Protocolo de transferencia de hipertexto (HTTP) desde el cliente a un punto de distribución cuando la conexión se realiza a través de HTTP. -- 80 (Véase la nota 1, Puerto alternativo disponible)
Proteja el protocolo de transferencia de hipertexto (HTTPS) del cliente a un punto de distribución cuando la conexión se realiza a través de HTTPS. -- 443 (Véase la nota 1, Puerto alternativo disponible)

Notas

1 puerto alternativo disponible En Configuration Manager, puede definir un puerto alternativo para este valor. Si se ha definido un puerto personalizado, sustituya ese puerto personalizado al definir la información de filtro IP para las directivas IPsec o para configurar firewalls.

2 Windows Server Update Services Puede instalar Windows Server Update Service (WSUS) en el sitio web predeterminado (puerto 80) o en un sitio web personalizado (puerto 8530).

Después de la instalación, puede cambiar el puerto. No es necesario usar el mismo número de puerto en toda la jerarquía de sitio.

Si el puerto HTTP es 80, el puerto HTTPS debe ser 443.

Si el puerto HTTP es cualquier otra cosa, el puerto HTTPS debe ser 1 superior. Por ejemplo, 8530 y 8531.