A Windows tűzfal- és portbeállítások beállításait a System Center Configuration ManagerbenWindows Firewall and port settings for clients in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Gyakran a Windows tűzfalat futtató ügyfélszámítógépek a System Center Configuration Managerben kell beállítani a kivételeket úgy, hogy a hellyel való kommunikációt.Client computers in System Center Configuration Manager that run Windows Firewall often require you to configure exceptions to allow communication with their site. A beállítandó kivételek a felügyeleti szolgáltatásokat, amelyet a Configuration Manager-ügyfél függ.The exceptions that you must configure depend on the management features that you use with the Configuration Manager client.

Az alábbi részekből megismerheti ezeket a felügyeleti funkciókat, illetve további információt kaphat a Windows tűzfalnak a leírt kivételekhez történő beállításáról.Use the following sections to identify these management features and for more information about how to configure Windows Firewall for these exceptions.

A Windows tűzfal által engedélyezett portok és programok módosításaModifying the Ports and Programs Permitted by Windows Firewall

A következő eljárással módosíthatja a portokat és programokat a Windows tűzfalat a Configuration Manager-ügyfél.Use the following procedure to modify the ports and programs on Windows Firewall for the Configuration Manager client.

A Windows tűzfal által engedélyezett portok és programok módosításaTo modify the ports and programs permitted by Windows Firewall

  1. Nyissa meg a Vezérlőpultot a Windows tűzfalat futtató számítógépen.On the computer that runs Windows Firewall, open Control Panel.

  2. Kattintson a jobb gombbal a Windows tűzfalelemre, majd kattintson a Megnyitásparancsra.Right-click Windows Firewall, and then click Open.

  3. Állítsa be a szükséges kivételeket, illetve az egyéni programokat és portokat kívánság szerint.Configure any required exceptions and any custom programs and ports that you require.

A Configuration Managerhez szükséges programok és portokPrograms and Ports that Configuration Manager Requires

A következő Configuration Manager-szolgáltatásokat kivételek meglétét kívánják meg a Windows tűzfalhoz:The following Configuration Manager features require exceptions on the Windows Firewall:

LekérdezésekQueries

Ha a Windows tűzfalat futtató számítógépen futtatja a Configuration Manager konzolon, futnak az első alkalommal sikertelen, és az operációs rendszer statview.exe feloldására rákérdező párbeszédpanelt jelenít meg.If you run the Configuration Manager console on a computer that runs Windows Firewall, queries fail the first time that they are run and the operating system displays a dialog box asking if you want to unblock statview.exe. A statview.exe letiltásának feloldása után a rendszer hibák nélkül hajtja végre a lekérdezéseket.If you unblock statview.exe, future queries will run without errors. A statview.exe fájlt lekérdezés indítása előtt kézzel is hozzáadhatja a Windows tűzfal program- és szolgáltatáslistájához a Kivételek lapon.You can also manually add Statview.exe to the list of programs and services on the Exceptions tab of the Windows Firewall before you run a query.

Ügyfélleküldéses telepítésClient Push Installation

Leküldéses ügyféltelepítés használatához a Configuration Manager-ügyfél telepítéséhez, adja hozzá a felsorolt kivételeket a Windows tűzfalhoz:To use client push to install the Configuration Manager client, add the following as exceptions to the Windows Firewall:

  • Kimenő és bejövő: Fájl- és nyomtatómegosztásOutbound and inbound: File and Printer Sharing

  • Bejövő: A Windows Management Instrumentation (WMI)Inbound: Windows Management Instrumentation (WMI)

Ügyfélszoftver-telepítés csoportházirenddelClient Installation by Using Group Policy

A Configuration Manager-ügyfél telepítése a csoportházirend segítségével, vegye fel a fájl- és nyomtatómegosztás kivételként a Windows tűzfalon.To use Group Policy to install the Configuration Manager client, add File and Printer Sharing as an exception to the Windows Firewall.

ÜgyfélkérésekClient Requests

Az ügyfélszámítógépek számára, hogy a Configuration Manager-helyrendszerekkel kommunikálnak adja hozzá a felsorolt kivételeket a Windows tűzfalhoz:For client computers to communicate with Configuration Manager site systems, add the following as exceptions to the Windows Firewall:

Kimenő: TCP-Port 80 (a HTTP-kommunikációt)Outbound: TCP Port 80 (for HTTP communication)

Kimenő: TCP-Port 443-as (HTTPS-kommunikációhoz)Outbound: TCP Port 443 (for HTTPS communication)

Fontos

Ezek a alapértelmezett portszámok, amelyek módosíthatók a Configuration Manager alkalmazásban.These are default port numbers that can be changed in Configuration Manager. További információkért lásd: hogyan ügyfél-kommunikációs portok konfigurálása a System Center Configuration Managerben.For more information, see How to How to configure client communication ports in System Center Configuration Manager. Ha a portok száma módosult az alapértékükhöz képest, a számukkal megegyező kivételeket szintén konfigurálni kell a Windows tűzfalon.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

ÜgyfélértesítésClient Notification

A felügyeleti pont értesítse az ügyfélszámítógépeket azokról a műveletekről, amelyek olyankor kell végrehajtaniuk, amikor egy rendszergazda felhasználó kiválaszt egy ügyfélműveletet a Configuration Manager konzolon, többek között a számítógép-házirend letöltése vagy egy kártevő-ellenőrzés indítása adja hozzá a következő elemet kivételként a Windows tűzfalhoz:For the management point to notify client computers about an action that it must take when an administrative user selects a client action in the Configuration Manager console, such as download computer policy or initiate a malware scan, add the following as an exception to the Windows Firewall:

Kimenő: TCP-Port 10123Outbound: TCP Port 10123

Ha ez a kommunikáció nem sikerül, a Configuration Manager automatikusan visszaáll a meglévő ügyfél-felügyeleti pont kommunikációs port HTTP vagy HTTPS PROTOKOLLT használ:If this communication does not succeed, Configuration Manager automatically falls back to using the existing client-to-management point communication port of HTTP, or HTTPS:

Kimenő: TCP-Port 80 (a HTTP-kommunikációt)Outbound: TCP Port 80 (for HTTP communication)

Kimenő: TCP-Port 443-as (HTTPS-kommunikációhoz)Outbound: TCP Port 443 (for HTTPS communication)

Fontos

Ezek a alapértelmezett portszámok, amelyek módosíthatók a Configuration Manager alkalmazásban.These are default port numbers that can be changed in Configuration Manager. További információkért lásd: ügyfél-kommunikációs portok konfigurálása a System Center Configuration Managerben.For more information, see How to configure client communication ports in System Center Configuration Manager. Ha a portok száma módosult az alapértékükhöz képest, a számukkal megegyező kivételeket szintén konfigurálni kell a Windows tűzfalon.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

TávvezérlésRemote Control

A Configuration Manager Távvezérlés használatához engedélyezze a következő portot:To use Configuration Manager remote control, allow the following port:

  • Bejövő: TCP-Port2701Inbound: TCP Port2701

Távsegítség és távoli asztalRemote Assistance and Remote Desktop

Távsegítséget szeretne kezdeményezni a Configuration Manager konzolról, adja hozzá az egyéni program Helpsvc.exe és a bejövő egyéni TCP-portot 135-ös az engedélyezett programok és szolgáltatások a Windows tűzfal az ügyfélszámítógépen listájához.To initiate Remote Assistance from the Configuration Manager console, add the custom program Helpsvc.exe and the inbound custom port TCP 135 to the list of permitted programs and services in Windows Firewall on the client computer. A Távsegítség és a Távoli asztalfunkciókat is engedélyeznie kell.You must also permit Remote Assistance and Remote Desktop. Ha távsegítséget kezdeményez az ügyfélszámítógépről, a Windows tűzfal automatikusan beállítja és engedélyezi a Távsegítség és a Távoli asztalfunkciókat.If you initiate Remote Assistance from the client computer, Windows Firewall automatically configures and permits Remote Assistance and Remote Desktop.

Ébresztési proxyWake-Up Proxy

Ha engedélyezi az ébresztési proxy ügyfélbeállítást, egy új, ConfigMgr ébresztési proxy nevű szolgáltatás társ-társ (peer-to-peer) protokollt használ annak ellenőrzésére, hogy az alhálózat más számítógépei ébren vannak-e, illetve szükség esetén a felébresztésükre.If you enable the wake-up proxy client setting, a new service named ConfigMgr Wake-up Proxy uses a peer-to-peer protocol to check whether other computers are awake on the subnet and to wake them up if necessary. Ez a kommunikációtípus a következő portokat használja:This communication uses the following ports:

Kimenő: UDP-Port 25536Outbound: UDP Port 25536

Kimenő: UDP-Port 9Outbound: UDP Port 9

Ezek azok az alapértelmezett portszámok, amelyek módosíthatók a Configuration Manager használatával a energiagazdálkodás ügyfelek beállításait az ébresztési proxy portszáma (UDP) és hálózati ébresztés portszáma (UDP).These are the default port numbers that can be changed in Configuration Manager by using the Power Management clients settings of Wake-up proxy port number (UDP) and Wake On LAN port number (UDP). Ha megadja a energiagazdálkodás: A Windows tűzfal-kivétel az ébresztési proxy ügyfél beállítása, ezeket a portokat automatikusan konfigurálja a Windows tűzfal ügyfelek.If you specify the Power Management: Windows Firewall exception for wake-up proxy client setting, these ports are automatically configured in Windows Firewall for clients. Ha azonban az ügyfélszoftverekhez másik tűzfal tartozik, a felsorolt portszámokhoz tartozó kivételeket kézzel kell megadni.However, if clients run a different firewall, you must manually configure the exceptions for these port numbers.

A felsorolt portokon kívül az ébresztési proxy ICMP (Internet Control Message Protocol) echo kérési üzeneteket is küld az egyik ügyfélszámítógépről egy másikra.In addition to these ports, wake-up proxy also uses Internet Control Message Protocol (ICMP) echo request messages from one client computer to another client computer. Ezzel a kommunikációval ellenőrizhető, hogy a másik ügyfélszámítógép ébrenléti állapotban van-e a hálózatban.This communication is used to confirm whether the other client computer is awake on the network. Az ICMP-t néha TCP/IP ping parancsnak is nevezik.ICMP is sometimes referred to as TCP/IP ping commands.

Az ébresztési proxyval kapcsolatos további információkért lásd: tervezése a System Center Configuration Manager ügyfelek felébresztése.For more information about wake-up proxy, see Plan how to wake up clients in System Center Configuration Manager.

A Windows eseménynapló, a Windows teljesítményfigyelő és a Windows diagnosztikaWindows Event Viewer, Windows Performance Monitor, and Windows Diagnostics

Fér hozzá a Windows Eseménynapló, a Windows Teljesítményfigyelőt és a Windows diagnosztika a Configuration Manager konzolról, engedélyezze a fájl- és nyomtatómegosztás elemet kivételként a Windows tűzfalon.To access Windows Event Viewer, Windows Performance Monitor, and Windows Diagnostics from the Configuration Manager console, enable File and Printer Sharing as an exception on the Windows Firewall.

A Configuration Manager-ügyfelek központi telepítése során használt portokPorts Used During Configuration Manager Client Deployment

Az alábbi táblázatok felsorolják az ügyféltelepítés során használt portokat.The following tables list the ports that are used during the client installation process.

Fontos

Ha a helyrendszer-kiszolgálók és az ügyfélszámítógép között tűzfal található, ellenőrizze, hogy a tűzfal engedélyezi-e a forgalmat a kiválasztott ügyfél-telepítési módszerhez szükséges portokon.If there is a firewall between the site system servers and the client computer, confirm whether the firewall permits traffic for the ports that are required for the client installation method that you choose. A tűzfalak miatt például gyakran sikertelen az ügyfélleküldéses telepítés, mivel letiltják a kiszolgálói üzenetblokkot (SMB) és a távoli eljáráshívásokat (RPC).For example, firewalls often prevent client push installation from succeeding because they block Server Message Block (SMB) and Remote Procedure Calls (RPC). Ebben az esetben válasszon másik ügyfél-telepítési módszert, például kézi telepítést (a CCMSetup.exe futtatásával), illetve csoportházirend-alapú ügyféltelepítést.In this scenario, use a different client installation method, such as manual installation (running CCMSetup.exe) or Group Policy-based client installation. Ezekhez az alternatív ügyfél-telepítési eljárásokhoz nem szükséges SMB vagy RPC.These alternative client installation methods do not require SMB or RPC.

További információ a Windows tűzfal konfigurálásáról az ügyfélszámítógépen: A Windows tűzfal által engedélyezett portok és programok módosítása.For information about how to configure Windows Firewall on the client computer, see Modifying the Ports and Programs Permitted by Windows Firewall.

Az összes telepítési módszer során használt portokPorts that are used for all installation methods

LeírásDescription UDPUDP TCPTCP
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a tartalék állapotkezelő pontba, amennyiben a tartalék állapotkezelő pont az ügyfélhez van rendelve.Hypertext Transfer Protocol (HTTP) from the client computer to a fallback status point, when a fallback status point is assigned to the client. -- 80 (Lásd az 1. megjegyzést: Elérhető alternatív port)80 (See note 1, Alternate Port Available)

Az ügyfélleküldéses telepítés során használt portokPorts that are used with client push installation

A következő táblázatban felsorolt portokon kívül az ügyfélleküldéses telepítés ICMP (Internet Control Message Protocol) echo kérési üzeneteket is küld a helykiszolgálóról az ügyfélszámítógépre, hogy ellenőrizze az ügyfélszámítógép elérhetőségét a hálózaton.In addition to the ports listed in the following table, client push installation also uses Internet Control Message Protocol (ICMP) echo request messages from the site server to the client computer to confirm whether the client computer is available on the network. Az ICMP-t néha TCP/IP ping parancsnak is nevezik.ICMP is sometimes referred to as TCP/IP ping commands. Az ICMP-hez nem tartozik UDP- vagy TCP-protokollszám, és ezért nincs felsorolva a következő táblázatban.ICMP does not have a UDP or TCP protocol number, and so it is not listed in the following table. A beavatkozó hálózati eszközöknek, például a tűzfalaknak azonban engedélyezniük kell az ICMP-forgalmat az ügyfélleküldéses telepítés sikeressége érdekében.However, any intervening network devices, such as firewalls, must permit ICMP traffic for client push installation to succeed.

LeírásDescription UDPUDP TCPTCP
Kiszolgálói üzenetblokk (SMB) a helykiszolgáló és az ügyfélszámítógép között.Server Message Block (SMB) between the site server and client computer. -- 445445
RPC végpontleképező a helykiszolgáló és az ügyfélszámítógép között.RPC endpoint mapper between the site server and the client computer. 135135 135135
RPC dinamikus portok a helykiszolgáló és az ügyfélszámítógép között.RPC dynamic ports between the site server and the client computer. -- DINAMIKUSDYNAMIC
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP-alapú.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (Lásd az 1. megjegyzést: Elérhető alternatív port)80 (See note 1, Alternate Port Available)
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a felügyeleti pontba, amennyiben a kapcsolat HTTPS-alapú.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (Lásd az 1. megjegyzést: Elérhető alternatív port)443 (See note 1, Alternate Port Available)

Szoftverfrissítésipont-alapú telepítéshez használt portokPorts that are used with software update point-based installation

LeírásDescription UDPUDP TCPTCP
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a szoftverfrissítési pontba.Hypertext Transfer Protocol (HTTP) from the client computer to the software update point. -- 80 vagy 8530 (Lásd a 2. megjegyzést: Windows Server Update Services)80 or 8530 (See note 2, Windows Server Update Services)
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a szoftverfrissítési pontba.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to the software update point. -- 443 vagy 8531 (Lásd a 2. megjegyzést: Windows Server Update Services)443 or 8531 (See note 2, Windows Server Update Services)
Server Message Block (SMB) a forráskiszolgáló és a CCMSetup parancssori tulajdonság megadása esetén az ügyfélszámítógép között /source:<elérési>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Csoportházirend-alapú telepítéshez használt portokPorts that are used with Group Policy-based installation

LeírásDescription UDPUDP TCPTCP
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP-alapú.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (Lásd az 1. megjegyzést: Elérhető alternatív port)80 (See note 1, Alternate Port Available)
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a felügyeleti pontba, amennyiben a kapcsolat HTTPS-alapú.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (Lásd az 1. megjegyzést: Elérhető alternatív port)443 (See note 1, Alternate Port Available)
Server Message Block (SMB) a forráskiszolgáló és a CCMSetup parancssori tulajdonság megadása esetén az ügyfélszámítógép között /source:<elérési>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Kézi és bejelentkezési parancsprogramfájlokon alapuló telepítéshez használt portokPorts that are used with manual installation and logon script-based installation

LeírásDescription UDPUDP TCPTCP
Kiszolgálói üzenetblokk (SMB) az ügyfélszámítógép és azon hálózati megosztás között, amelyen a CCMSetup.exe fájl fut.Server Message Block (SMB) between the client computer and a network share from which you run CCMSetup.exe.

Amikor telepíti a Configuration Manager, az ügyfél-telepítési forrásfájlok másolta, és automatikusan a <Telepítésiútvonal> \Client mappából a felügyeleti pontokon.When you install Configuration Manager, the client installation source files are copied and automatically shared from the <InstallationPath> \Client folder on management points. Ezek a fájlok azonban lemásolhatók és újonnan megoszthatók a hálózatban lévő számítógépeken.However, you can copy these files and create a new share on any computer on the network. Másik lehetőségként a CCMSetup.exe fájl helyi, például cserélhető adathordozón történő futtatásával meg is szüntethető ez a hálózati forgalom.Alternatively, you can eliminate this network traffic by running CCMSetup.exe locally, for example, by using removable media.
-- 445445
Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontba, amennyiben a kapcsolat HTTP Protokollon keresztül, és nincs megadva a CCMSetup parancssori tulajdonság /source:<elérési>.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP, and you do not specify the CCMSetup command-line property /source:<Path>. -- 80 (Lásd az 1. megjegyzést: Elérhető alternatív port)80 (See note 1, Alternate Port Available)
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről egy felügyeleti ponthoz, amikor a kapcsolat HTTPS-en keresztül, és nincs megadva a CCMSetup parancssori tulajdonság /source:<elérési>.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS, and you do not specify the CCMSetup command-line property /source:<Path>. -- 443 (Lásd az 1. megjegyzést: Elérhető alternatív port)443 (See note 1, Alternate Port Available)
Server Message Block (SMB) a forráskiszolgáló és a CCMSetup parancssori tulajdonság megadása esetén az ügyfélszámítógép között /source:<elérési>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Szoftverterjesztés-alapú telepítéshez használt portokPorts that are used with software distribution-based installation

LeírásDescription UDPUDP TCPTCP
Kiszolgálói üzenetblokk (SMB) a terjesztési pont és az ügyfélszámítógép között.Server Message Block (SMB) between the distribution point and the client computer. -- 445445
Hypertext Transfer Protocol (HTTP) az ügyfélről egy terjesztési pontba, amennyiben a kapcsolat HTTP-alapú.Hypertext Transfer Protocol (HTTP) from the client to a distribution point when the connection is over HTTP. -- 80 (Lásd az 1. megjegyzést: Elérhető alternatív port)80 (See note 1, Alternate Port Available)
Secure Hypertext Transfer Protocol (HTTPS) az ügyfélről egy terjesztési pontba, amennyiben a kapcsolat HTTPS-alapú.Secure Hypertext Transfer Protocol (HTTPS) from the client to a distribution point when the connection is over HTTPS. -- 443 (Lásd az 1. megjegyzést: Elérhető alternatív port)443 (See note 1, Alternate Port Available)

MegjegyzésekNotes

1 elérhető alternatív Port a Configuration Managerben, megadhatja ezt az értéket az alternatív port.1 Alternate Port Available In Configuration Manager, you can define an alternate port for this value. Egyéni port definiálása esetén helyettesítse be ezt az egyéni portot az IPsec-házirendek IP-szűrési adatainak definiálásakor vagy a tűzfalak konfigurálásakor.If a custom port has been defined, substitute that custom port when you define the IP filter information for IPsec policies or for configuring firewalls.

2 Windows Server Update Services A Windows Server Update Services (WSUS) az alapértelmezett webhelyre (80-as port) vagy egyéni webhelyre (8530-as port) telepíthető.2 Windows Server Update Services You can install Windows Server Update Service (WSUS) either on the default Web site (port 80) or a custom Web site (port 8530).

Telepítés után a port módosítható.After installation, you can change the port. Nem kell ugyanazt a portszámot használni a teljes helyhierarchiában.You do not have to use the same port number throughout the site hierarchy.

Ha a HTTP-port a 80-as, akkor a HTTPS-portnak a 443-asnak kell lennie.If the HTTP port is 80, the HTTPS port must be 443.

Ha a HTTP-port bármi más, a HTTPS-portnak 1-gyel nagyobbnak kell lennie.If the HTTP port is anything else, the HTTPS port must be 1 higher. Például 8530-as és 8531-es.For example, 8530 and 8531.