Impostazioni di Windows Firewall e porta per i client in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
I computer client in Configuration Manager che eseguono Windows Firewall spesso richiedono la configurazione di eccezioni per consentire la comunicazione con il sito. Le eccezioni che è necessario configurare dipendono dalle funzionalità di gestione usate con il client Configuration Manager.
Usare le sezioni seguenti per identificare queste funzionalità di gestione e per altre informazioni su come configurare Windows Firewall per queste eccezioni.
Modifica delle porte e dei programmi consentiti da Windows Firewall
Usare la procedura seguente per modificare le porte e i programmi in Windows Firewall per il client Configuration Manager.
Per modificare le porte e i programmi consentiti da Windows Firewall
Nel computer che esegue Windows Firewall aprire Pannello di controllo.
Fare clic con il pulsante destro del mouse su Windows Firewall e quindi scegliere Apri.
Configurare le eccezioni necessarie e tutti i programmi e le porte personalizzati necessari.
Programmi e porte che Configuration Manager richiedono
Le funzionalità di Configuration Manager seguenti richiedono eccezioni in Windows Firewall:
Query
Se si esegue la console Configuration Manager in un computer che esegue Windows Firewall, le query hanno esito negativo la prima volta che vengono eseguite e il sistema operativo visualizza una finestra di dialogo che chiede se si desidera sbloccare statview.exe. Se si sblocca statview.exe, le query future verranno eseguite senza errori. È anche possibile aggiungere manualmente Statview.exe all'elenco di programmi e servizi nella scheda Eccezioni di Windows Firewall prima di eseguire una query.
Installazione push client
Per usare il push client per installare il client Configuration Manager, aggiungere quanto segue come eccezioni a Windows Firewall:
In uscita e in ingresso: Condivisione file e stampanti
In ingresso: Strumentazione gestione Windows (WMI)
Installazione client tramite Criteri di gruppo
Per usare Criteri di gruppo per installare il client Configuration Manager, aggiungere Condivisione file e stampanti come eccezione a Windows Firewall.
Richieste client
Per consentire ai computer client di comunicare con Configuration Manager sistemi del sito, aggiungere quanto segue come eccezioni a Windows Firewall:
In uscita: porta TCP 80 (per la comunicazione HTTP)
In uscita: porta TCP 443 (per la comunicazione HTTPS)
Importante
Si tratta di numeri di porta predefiniti che possono essere modificati in Configuration Manager. Per altre informazioni, vedere Come configurare le porte di comunicazione client. Se queste porte sono state modificate rispetto ai valori predefiniti, è necessario configurare anche le eccezioni corrispondenti in Windows Firewall.
Notifica client
Affinché il punto di gestione informi i computer client di un'azione che deve essere eseguita quando un utente amministratore seleziona un'azione client nella console di Configuration Manager, ad esempio scaricare i criteri del computer o avviare un'analisi malware, aggiungere quanto segue come eccezione a Windows Firewall:
In uscita: porta TCP 10123
Se questa comunicazione non ha esito positivo, Configuration Manager esegue automaticamente il backback all'uso della porta di comunicazione da client a punto di gestione esistente di HTTP o HTTPS:
In uscita: porta TCP 80 (per la comunicazione HTTP)
In uscita: porta TCP 443 (per la comunicazione HTTPS)
Importante
Si tratta di numeri di porta predefiniti che possono essere modificati in Configuration Manager. Per altre informazioni, vedere Come configurare le porte di comunicazione client. Se queste porte sono state modificate rispetto ai valori predefiniti, è necessario configurare anche le eccezioni corrispondenti in Windows Firewall.
Telecomando
Per usare Configuration Manager controllo remoto, consentire la porta seguente:
- In ingresso: porta TCP 2701
Assistenza remota e Desktop remoto
Per avviare Assistenza remota dalla console Configuration Manager, aggiungere il programma personalizzato Helpsvc.exe e la porta personalizzata in ingresso TCP 135 all'elenco di programmi e servizi consentiti in Windows Firewall nel computer client. È inoltre necessario consentire Assistenza remota e Desktop remoto. Se si avvia Assistenza remota dal computer client, Windows Firewall configura e consente automaticamente Assistenza remota e Desktop remoto.
proxy Wake-Up
Se si abilita l'impostazione del client proxy di riattivazione, un nuovo servizio denominato ConfigMgr Wake-up Proxy usa un protocollo peer-to-peer per verificare se altri computer sono attivi nella subnet e riattivarli, se necessario. Questa comunicazione usa le porte seguenti:
In uscita: porta UDP 25536
In uscita: porta UDP 9
Questi sono i numeri di porta predefiniti che possono essere modificati in Configuration Manager usando le impostazioni dei client power management di numero di porta proxy di riattivazione (UDP) e numero di porta lan di riattivazione (UDP). Se si specifica l'impostazione power management: eccezione di Windows Firewall per il client proxy di riattivazione , queste porte vengono configurate automaticamente in Windows Firewall per i client. Tuttavia, se i client eseguono un firewall diverso, è necessario configurare manualmente le eccezioni per questi numeri di porta.
Oltre a queste porte, il proxy di riattivazione usa anche messaggi di richiesta echo ICMP (Internet Control Message Protocol) da un computer client a un altro computer client. Questa comunicazione viene usata per verificare se l'altro computer client è attivo nella rete. ICMP viene talvolta definito comandi ping TCP/IP.
Per altre informazioni sul proxy di riattivazione, vedere Pianificare la riattivazione dei client.
Windows Visualizzatore eventi, Windows Monitor prestazioni e Diagnostica Windows
Per accedere a Windows Visualizzatore eventi, Windows Monitor prestazioni e Diagnostica Windows dalla console di Configuration Manager, abilitare Condivisione file e stampanti come eccezione in Windows Firewall.
Porte usate durante la distribuzione client Configuration Manager
Le tabelle seguenti elencano le porte usate durante il processo di installazione client.
Importante
Se è presente un firewall tra i server del sistema del sito e il computer client, verificare se il firewall consente il traffico per le porte necessarie per il metodo di installazione client scelto. Ad esempio, i firewall spesso impediscono che l'installazione push client abbia esito positivo perché bloccano le chiamate RPC (Server Message Block) e REMOTE Procedure Call (RPC). In questo scenario usare un metodo di installazione client diverso, ad esempio l'installazione manuale (in esecuzione CCMSetup.exe) o l'installazione client basata su Criteri di gruppo. Questi metodi di installazione client alternativi non richiedono SMB o RPC.
Per informazioni su come configurare Windows Firewall nel computer client, vedere Modifica delle porte e dei programmi consentiti da Windows Firewall.
Porte usate per tutti i metodi di installazione
| Descrizione | UDP | TCP |
|---|---|---|
| Http (Hypertext Transfer Protocol) dal computer client a un punto di stato di fallback, quando al client viene assegnato un punto di stato di fallback. | -- | 80 (vedere la nota 1, porta alternativa disponibile) |
Porte usate con l'installazione push client
| Descrizione | UDP | TCP |
|---|---|---|
| SMB (Server Message Block) tra il server del sito e il computer client. | -- | 445 |
| Mapper dell'endpoint RPC tra il server del sito e il computer client. | 135 | 135 |
| Porte dinamiche RPC tra il server del sito e il computer client. | -- | DINAMICO |
| Hypertext Transfer Protocol (HTTP) dal computer client a un punto di gestione quando la connessione è su HTTP. | -- | 80 (vedere la nota 1, porta alternativa disponibile) |
| Secure Hypertext Transfer Protocol (HTTPS) dal computer client a un punto di gestione quando la connessione è su HTTPS. | -- | 443 (vedere la nota 1, porta alternativa disponibile) |
Porte usate con l'installazione basata su punto di aggiornamento software
| Descrizione | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) dal computer client al punto di aggiornamento software. | -- | 80 o 8530 (vedere la nota 2, Windows Server Update Services) |
| Secure Hypertext Transfer Protocol (HTTPS) dal computer client al punto di aggiornamento software. | -- | 443 o 8531 (vedere la nota 2, Windows Server Update Services) |
| SMB (Server Message Block) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<Path>. | -- | 445 |
Porte usate con l'installazione basata su Criteri di gruppo
| Descrizione | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) dal computer client a un punto di gestione quando la connessione è su HTTP. | -- | 80 (vedere la nota 1, porta alternativa disponibile) |
| Secure Hypertext Transfer Protocol (HTTPS) dal computer client a un punto di gestione quando la connessione è su HTTPS. | -- | 443 (vedere la nota 1, porta alternativa disponibile) |
| SMB (Server Message Block) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<Path>. | -- | 445 |
Porte usate con l'installazione manuale e l'installazione basata su script di accesso
| Descrizione | UDP | TCP |
|---|---|---|
| SMB (Server Message Block) tra il computer client e una condivisione di rete da cui si esegue CCMSetup.exe. Quando si installa Configuration Manager, i file di origine dell'installazione client vengono copiati e condivisi automaticamente dalla <cartella InstallationPath>\Client nei punti di gestione. Tuttavia, è possibile copiare questi file e creare una nuova condivisione in qualsiasi computer in rete. In alternativa, è possibile eliminare questo traffico di rete eseguendo CCMSetup.exe in locale, ad esempio usando supporti rimovibili. |
-- | 445 |
| Http (Hypertext Transfer Protocol) dal computer client a un punto di gestione quando la connessione è su HTTP e non si specifica la proprietà della riga di comando CCMSetup /source:<Path>. | -- | 80 (vedere la nota 1, porta alternativa disponibile) |
| Secure Hypertext Transfer Protocol (HTTPS) dal computer client a un punto di gestione quando la connessione è su HTTPS e non si specifica la proprietà della riga di comando CCMSetup /source:<Path>. | -- | 443 (vedere la nota 1, porta alternativa disponibile) |
| SMB (Server Message Block) tra il server di origine e il computer client quando si specifica la proprietà della riga di comando CCMSetup /source:<Path>. | -- | 445 |
Porte usate con l'installazione basata sulla distribuzione software
| Descrizione | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) tra il punto di distribuzione e il computer client. | -- | 445 |
| Hypertext Transfer Protocol (HTTP) dal client a un punto di distribuzione quando la connessione è su HTTP. | -- | 80 (vedere la nota 1, porta alternativa disponibile) |
| Secure Hypertext Transfer Protocol (HTTPS) dal client a un punto di distribuzione quando la connessione è su HTTPS. | -- | 443 (vedere la nota 1, porta alternativa disponibile) |
Note
1 porta alternativa disponibile In Configuration Manager è possibile definire una porta alternativa per questo valore. Se è stata definita una porta personalizzata, sostituire la porta personalizzata quando si definiscono le informazioni del filtro IP per i criteri IPsec o per la configurazione dei firewall.
2 Windows Server Update Services È possibile installare Windows Server Update Service (WSUS) nel sito Web predefinito (porta 80) o in un sito Web personalizzato (porta 8530).
Dopo l'installazione, è possibile modificare la porta. Non è necessario usare lo stesso numero di porta nella gerarchia del sito.
Se la porta HTTP è 80, la porta HTTPS deve essere 443.
Se la porta HTTP è qualsiasi altra cosa, la porta HTTPS deve essere 1 superiore. Ad esempio, 8530 e 8531.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per