Windows tűzfal- és portbeállítások az ügyfelek számára a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Windows tűzfalat futtató Configuration Manager ügyfélszámítógépein gyakran szükség van kivételek konfigurálására a helyükkel való kommunikáció engedélyezéséhez. A konfigurálni kívánt kivételek a Configuration Manager ügyféllel használt felügyeleti funkcióktól függenek.
A következő szakaszokban azonosíthatja ezeket a felügyeleti funkciókat, és további információt kaphat arról, hogyan konfigurálhatja a Windows tűzfalat ezekhez a kivételekhez.
A Windows tűzfal által engedélyezett portok és programok módosítása
Az alábbi eljárással módosíthatja a windowsos tűzfal portait és programjait az Configuration Manager-ügyfélhez.
A Windows tűzfal által engedélyezett portok és programok módosítása
A Windows tűzfalat futtató számítógépen nyissa meg a Vezérlőpult.
Kattintson a jobb gombbal a Windows tűzfal elemre, majd kattintson a Megnyitás parancsra.
Konfigurálja a szükséges kivételeket, valamint a szükséges egyéni programokat és portokat.
Olyan programok és portok, amelyeket Configuration Manager igényel
Az alábbi Configuration Manager funkciók kivételeket igényelnek a Windows tűzfalon:
Lekérdezések
Ha a Configuration Manager-konzolt windowsos tűzfalat futtató számítógépen futtatja, a lekérdezések az első futtatáskor meghiúsulnak, és az operációs rendszer megjelenít egy párbeszédpanelt, amely megkérdezi, hogy szeretné-e feloldani a statview.exe tiltását. Ha feloldja statview.exe tiltását, a jövőbeli lekérdezések hiba nélkül fognak futni. Lekérdezés futtatása előtt manuálisan is hozzáadhat Statview.exe a Windows tűzfal Kivételek lapján található programok és szolgáltatások listájához.
Ügyfél leküldéses telepítése
Ha az ügyfél leküldésével szeretné telepíteni a Configuration Manager-ügyfelet, adja hozzá a következőket kivételként a Windows tűzfalhoz:
Kimenő és bejövő: Fájl- és nyomtatómegosztás
Bejövő: Windows Management Instrumentation (WMI)
Ügyféltelepítés Csoportházirend használatával
Ha Csoportházirend szeretné használni a Configuration Manager-ügyfelet, vegye fel a Fájl- és nyomtatómegosztást kivételként a Windows tűzfalra.
Ügyfélkérések
Ahhoz, hogy az ügyfélszámítógépek kommunikálhassanak Configuration Manager helyrendszerekkel, adja hozzá a következőket kivételként a Windows tűzfalhoz:
Kimenő: 80-ás TCP-port (HTTP-kommunikációhoz)
Kimenő: 443-s TCP-port (HTTPS-kommunikációhoz)
Fontos
Ezek az alapértelmezett portszámok, amelyek módosíthatók Configuration Manager. További információ: Ügyfélkommunikációs portok konfigurálása. Ha ezek a portok módosultak az alapértelmezett értékekről, a Windows tűzfalon is konfigurálnia kell az egyező kivételeket.
Ügyfélértesítés
Ahhoz, hogy a felügyeleti pont értesítse az ügyfélszámítógépeket egy olyan műveletről, amelyet akkor kell végrehajtania, amikor egy rendszergazda felhasználó kiválaszt egy ügyfélműveletet a Configuration Manager konzolon, például számítógép-házirend letöltése vagy kártevő-vizsgálat kezdeményezése során, vegye fel a következőket kivételként a Windows tűzfalra:
Kimenő: 10123-ás TCP-port
Ha ez a kommunikáció nem sikerül, Configuration Manager automatikusan visszaesik a HTTP vagy HTTPS meglévő ügyfél–felügyeleti pont kommunikációs portjának használatára:
Kimenő: 80-ás TCP-port (HTTP-kommunikációhoz)
Kimenő: 443-s TCP-port (HTTPS-kommunikációhoz)
Fontos
Ezek az alapértelmezett portszámok, amelyek módosíthatók Configuration Manager. További információ: Ügyfélkommunikációs portok konfigurálása. Ha ezek a portok módosultak az alapértelmezett értékekről, a Windows tűzfalon is konfigurálnia kell az egyező kivételeket.
Távirányító
A távvezérlés Configuration Manager használatához engedélyezze a következő portot:
- Bejövő: 2701-es TCP-port
Távsegítség és távoli asztal
Ha távsegítséget szeretne kezdeményezni a Configuration Manager-konzolról, adja hozzá az egyéni program Helpsvc.exe és a bejövő tcp 135-ös egyéni portot az ügyfélszámítógépen engedélyezett programok és szolgáltatások listájához a Windows tűzfalon. Engedélyeznie kell a távsegítséget és a távoli asztalt is. Ha az ügyfélszámítógépről kezdeményez távsegítséget, a Windows tűzfal automatikusan konfigurálja és engedélyezi a távsegítséget és a távoli asztalt.
Wake-Up proxy
Ha engedélyezi az ébresztési proxy ügyfélbeállítását, a ConfigMgr ébresztési proxy nevű új szolgáltatás társközi protokollt használ annak ellenőrzésére, hogy más számítógépek ébren vannak-e az alhálózaton, és szükség esetén felébreszti őket. Ez a kommunikáció a következő portokat használja:
Kimenő: 25536-os UDP-port
Kimenő: 9-ös UDP-port
Ezek az alapértelmezett portszámok, amelyek az Configuration Manager-ben módosíthatók az ébresztési proxy portszámának (UDP) és a hálózati ébresztési portszámnak (UDP) az Energiagazdálkodási ügyfelek beállításaival. Ha megadja az energiagazdálkodás: Windows tűzfalkivétel az ébresztési proxy ügyfélbeállítását , ezek a portok automatikusan konfigurálva lesznek a Windows tűzfalon az ügyfelek számára. Ha azonban az ügyfelek más tűzfalat futtatnak, manuálisan kell konfigurálnia a portszámok kivételét.
Ezen portokon kívül az ébresztési proxy az Internet Control Message Protocol (ICMP) echo kérési üzeneteit is használja az egyik ügyfélszámítógépről egy másik ügyfélszámítógépre. Ez a kommunikáció annak ellenőrzésére szolgál, hogy a másik ügyfélszámítógép ébren van-e a hálózaton. Az ICMP-t néha TCP/IP ping parancsnak is nevezik.
Az ébresztési proxyval kapcsolatos további információkért lásd: Az ügyfelek felébresztésére vonatkozó terv.
Windows eseménymegtekintő, Windows Teljesítményfigyelő és Windows-diagnosztika
A Windows eseménymegtekintő, a Windows Teljesítményfigyelő és a Windows-diagnosztika Configuration Manager konzolról való eléréséhez engedélyezze a Fájl- és nyomtatómegosztást kivételként a Windows tűzfalon.
Az ügyféltelepítés Configuration Manager során használt portok
Az alábbi táblázatok az ügyféltelepítési folyamat során használt portokat sorolják fel.
Fontos
Ha tűzfal van a helyrendszer-kiszolgálók és az ügyfélszámítógép között, ellenőrizze, hogy a tűzfal engedélyezi-e a forgalmat a választott ügyféltelepítési módszerhez szükséges portok számára. A tűzfalak például gyakran megakadályozzák az ügyfél leküldéses telepítésének sikerességét, mert blokkolják a kiszolgálói üzenetblokkot (SMB) és a távoli eljáráshívásokat (RPC). Ebben a forgatókönyvben használjon egy másik ügyféltelepítési módszert, például manuális telepítést (CCMSetup.exe) vagy Csoportházirend-alapú ügyféltelepítést. Ezek az alternatív ügyféltelepítési módszerek nem igényelnek SMB-t vagy RPC-t.
A Windows tűzfal ügyfélszámítógépen való konfigurálásával kapcsolatos további információkért lásd : A Windows tűzfal által engedélyezett portok és programok módosítása.
Az összes telepítési módszerhez használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről tartalék állapotkezelő pontra, amikor tartalék állapotpont van hozzárendelve az ügyfélhez. | -- | 80 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
Az ügyfél leküldéses telepítésével használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Kiszolgálói üzenetblokk (SMB) a helykiszolgáló és az ügyfélszámítógép között. | -- | 445 |
| RPC-végpontleképező a helykiszolgáló és az ügyfélszámítógép között. | 135 | 135 |
| Dinamikus RPC-portok a helykiszolgáló és az ügyfélszámítógép között. | -- | DINAMIKUS |
| Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTP-n keresztül történik. | -- | 80 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Biztonságos Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTPS-en keresztül történik. | -- | 443 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
Szoftverfrissítési pontalapú telepítéshez használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről a szoftverfrissítési pontra. | -- | 80 vagy 8530 (lásd a 2. megjegyzést, Windows Server Update Services) |
| Secure Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről a szoftverfrissítési pontra. | -- | 443 vagy 8531 (lásd a 2. megjegyzést, Windows Server Update Services) |
| Kiszolgálói üzenetblokk (SMB) a forráskiszolgáló és az ügyfélszámítógép között a CCMSetup parancssori tulajdonság /source:<Path> megadásakor. | -- | 445 |
Csoportházirend-alapú telepítéshez használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTP-n keresztül történik. | -- | 80 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Biztonságos Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTPS-en keresztül történik. | -- | 443 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Kiszolgálói üzenetblokk (SMB) a forráskiszolgáló és az ügyfélszámítógép között a CCMSetup parancssori tulajdonság /source:<Path> megadásakor. | -- | 445 |
A manuális telepítéshez és a bejelentkezési szkriptalapú telepítéshez használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Kiszolgálói üzenetblokk (SMB) az ügyfélszámítógép és egy olyan hálózati megosztás között, amelyről CCMSetup.exe futtat. A Configuration Manager telepítésekor a rendszer a felügyeleti pontokOn lévő InstallationPath>\Client mappából másolja és automatikusan megosztja az< ügyféltelepítési forrásfájlokat. Ezeket a fájlokat azonban átmásolhatja, és létrehozhat egy új megosztást a hálózat bármely számítógépén. Azt is megteheti, hogy eltávolítja ezt a hálózati forgalmat, ha helyileg futtatja CCMSetup.exe, például cserélhető adathordozó használatával. |
-- | 445 |
| Hypertext Transfer Protocol (HTTP) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTP-n keresztül történik, és nem adja meg a CCMSetup parancssori tulajdonságot /source:<Path>. | -- | 80 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Biztonságos Hypertext Transfer Protocol (HTTPS) az ügyfélszámítógépről egy felügyeleti pontra, ha a kapcsolat HTTPS-en keresztül történik, és nem adja meg a CCMSetup parancssori tulajdonságot /source:<Path>. | -- | 443 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Kiszolgálói üzenetblokk (SMB) a forráskiszolgáló és az ügyfélszámítógép között a CCMSetup parancssori tulajdonság /source:<Path> megadásakor. | -- | 445 |
A szoftverterjesztés-alapú telepítéshez használt portok
| Leírás | Udp | TCP |
|---|---|---|
| Kiszolgálói üzenetblokk (SMB) a terjesztési pont és az ügyfélszámítógép között. | -- | 445 |
| Hypertext Transfer Protocol (HTTP) az ügyfélről egy terjesztési pontra, ha a kapcsolat HTTP-n keresztül történik. | -- | 80 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
| Biztonságos Hypertext Transfer Protocol (HTTPS) az ügyfélről egy terjesztési pontra, ha a kapcsolat HTTPS-en keresztül történik. | -- | 443 (Lásd az 1. megjegyzést: Elérhető alternatív port) |
Megjegyzések:
1 Alternatív port érhető el A Configuration Manager megadhat egy másik portot ehhez az értékhez. Ha egyéni port van definiálva, helyettesítse be ezt az egyéni portot az IPsec-szabályzatok IP-szűrőadatainak megadásakor vagy a tűzfalak konfigurálásakor.
2 Windows Server Update Services Telepítheti a Windows Server Update Service -t (WSUS) az alapértelmezett webhelyre (80-es port) vagy egy egyéni webhelyre (8530-es port).
A telepítés után módosíthatja a portot. Nem kell ugyanazt a portszámot használnia a helyhierarchia egészében.
Ha a HTTP-port 80, a HTTPS-portnak 443-nak kell lennie.
Ha a HTTP-port bármi más, a HTTPS-portnak 1-el magasabbnak kell lennie. Például: 8530 és 8531.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: