Configuration Managerのクライアントの Windows ファイアウォールとポート設定
Configuration Manager (現在のブランチ) に適用
Windows ファイアウォールを実行するConfiguration Managerのクライアント コンピューターでは、多くの場合、サイトとの通信を許可するように例外を構成する必要があります。 構成する必要がある例外は、Configuration Manager クライアントで使用する管理機能によって異なります。
これらの管理機能を特定し、これらの例外に対して Windows ファイアウォールを構成する方法の詳細については、次のセクションを参照してください。
Windows ファイアウォールで許可されるポートとプログラムの変更
Configuration Manager クライアントの Windows ファイアウォールのポートとプログラムを変更するには、次の手順に従います。
Windows ファイアウォールで許可されているポートとプログラムを変更するには
Windows ファイアウォールを実行するコンピューターで、コントロール パネルを開きます。
[Windows ファイアウォール] を右クリックし、[開く] をクリックします。
必要な例外と、必要なカスタム プログラムとポートを構成します。
Configuration Managerが必要なプログラムとポート
次のConfiguration Manager機能では、Windows ファイアウォールの例外が必要です。
クエリ
Windows ファイアウォールを実行するコンピューターでConfiguration Manager コンソールを実行すると、クエリが初めて実行されると失敗し、オペレーティング システムにstatview.exeのブロックを解除するかどうかを確認するダイアログ ボックスが表示されます。 statview.exeのブロックを解除すると、今後のクエリはエラーなしで実行されます。 クエリを実行する前に、Windows ファイアウォールの [ 例外 ] タブでプログラムとサービスの一覧にStatview.exeを手動で追加することもできます。
クライアント プッシュ インストール
クライアント プッシュを使用してConfiguration Manager クライアントをインストールするには、Windows ファイアウォールに例外として次を追加します。
送信と受信: ファイルとプリンターの共有
受信: Windows 管理インストルメンテーション (WMI)
グループ ポリシーを使用したクライアント インストール
グループ ポリシーを使用してConfiguration Manager クライアントをインストールするには、Windows ファイアウォールに例外として [ファイルとプリンターの共有] を追加します。
クライアント要求
クライアント コンピューターがConfiguration Managerサイト システムと通信するには、Windows ファイアウォールに例外として次を追加します。
送信: TCP ポート 80 (HTTP 通信用)
送信: TCP ポート 443 (HTTPS 通信用)
重要
これらは、Configuration Managerで変更できる既定のポート番号です。 詳細については、 クライアント通信ポートを構成する方法に関するページを参照してください。 これらのポートが既定値から変更されている場合は、Windows ファイアウォールで一致する例外も構成する必要があります。
クライアント通知
管理ポイントが、管理ユーザーがコンピューター ポリシーのダウンロードやマルウェア スキャンの開始など、Configuration Manager コンソールでクライアント アクションを選択したときに実行する必要があるアクションについてクライアント コンピューターに通知するには、Windows ファイアウォールに例外として次を追加します。
送信: TCP ポート 10123
この通信が成功しない場合、Configuration Managerは HTTP または HTTPS の既存のクライアントから管理ポイントへの通信ポートを使用して自動的にフォールバックします。
送信: TCP ポート 80 (HTTP 通信用)
送信: TCP ポート 443 (HTTPS 通信用)
重要
これらは、Configuration Managerで変更できる既定のポート番号です。 詳細については、「 クライアント通信ポートを構成する方法」を参照してください。 これらのポートが既定値から変更されている場合は、Windows ファイアウォールで一致する例外も構成する必要があります。
リモート制御
リモート コントロールConfiguration Manager使用するには、次のポートを許可します。
- 受信: TCP ポート 2701
リモート アシスタンスとリモート デスクトップ
Configuration Manager コンソールからリモート アシスタンスを開始するには、カスタム プログラム Helpsvc.exeと受信カスタム ポート TCP 135 を、クライアント コンピューター上の Windows ファイアウォールで許可されているプログラムとサービスの一覧に追加します。 リモート アシスタンスとリモート デスクトップも許可する必要があります。 クライアント コンピューターからリモート アシスタンスを開始すると、Windows ファイアウォールによってリモート アシスタンス と リモート デスクトップが自動的に構成され、許可されます。
Wake-Up プロキシ
ウェイクアップ プロキシ クライアント設定を有効にした場合、ConfigMgr Wake-up Proxy という名前の新しいサービスでは、ピアツーピア プロトコルを使用して、他のコンピューターがサブネット上で起動しているかどうかを確認し、必要に応じてウェイクアップします。 この通信では、次のポートを使用します。
送信: UDP ポート 25536
送信: UDP ポート 9
これらは、ウェイクアップ プロキシ ポート番号 (UDP) と Wake On LAN ポート番号 (UDP) の Power Management クライアント設定を使用して、Configuration Managerで変更できる既定のポート番号です。 ウェイクアップ プロキシ クライアントの Power Management: Windows Firewall 例外 を指定した場合、これらのポートはクライアント用の Windows ファイアウォールで自動的に構成されます。 ただし、クライアントが別のファイアウォールを実行する場合は、これらのポート番号の例外を手動で構成する必要があります。
これらのポートに加えて、ウェイクアップ プロキシでは、あるクライアント コンピューターから別のクライアント コンピューターへのインターネット制御メッセージ プロトコル (ICMP) エコー要求メッセージも使用されます。 この通信は、他のクライアント コンピューターがネットワーク上で起動しているかどうかを確認するために使用されます。 ICMP は TCP/IP ping コマンドと呼ばれることもあります。
ウェイクアップ プロキシの詳細については、「 クライアントをウェイクアップする方法を計画する」を参照してください。
Windows イベント ビューアー、Windows パフォーマンス モニター、Windows 診断
Configuration Manager コンソールから Windows イベント ビューアー、Windows パフォーマンス モニター、および Windows 診断にアクセスするには、Windows ファイアウォールで例外として [ファイルとプリンターの共有] を有効にします。
Configuration Manager クライアントの展開中に使用されるポート
次の表は、クライアントのインストール プロセス中に使用されるポートの一覧です。
重要
サイト システム サーバーとクライアント コンピューターの間にファイアウォールがある場合は、選択したクライアント インストール方法に必要なポートのトラフィックがファイアウォールで許可されているかどうかを確認します。 たとえば、ファイアウォールは、サーバー メッセージ ブロック (SMB) とリモート プロシージャ コール (RPC) をブロックするため、クライアント プッシュ インストールの成功を妨げることがよくあります。 このシナリオでは、手動インストール (CCMSetup.exeの実行) やグループ ポリシー ベースのクライアント インストールなど、別のクライアント インストール方法を使用します。 これらの代替クライアント インストール方法では、SMB または RPC は必要ありません。
クライアント コンピューターで Windows ファイアウォールを構成する方法については、「Windows ファイアウォール によって許可されるポートとプログラムの変更」を参照してください。
すべてのインストール方法に使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| クライアント にフォールバック 状態ポイントが割り当てられている場合、クライアント コンピューターからフォールバック 状態ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 (注 1、 使用可能な代替ポートを参照) |
クライアント プッシュ インストールで使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| サイト サーバーとクライアント コンピューターの間のサーバー メッセージ ブロック (SMB)。 | -- | 445 |
| サイト サーバーとクライアント コンピューターの間の RPC エンドポイント マッパー。 | 135 | 135 |
| サイト サーバーとクライアント コンピューターの間の RPC 動的ポート。 | -- | 動的 |
| 接続が HTTP 経由の場合、クライアント コンピューターから管理ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 (注 1、 使用可能な代替ポートを参照) |
| 接続が HTTPS 経由の場合、クライアント コンピューターから管理ポイントへの Hypertext Transfer Protocol (HTTPS) をセキュリティで保護します。 | -- | 443 (注 1、 使用可能な代替ポートを参照) |
ソフトウェア更新ポイントベースのインストールで使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| クライアント コンピューターからソフトウェアの更新ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 または 8530 (注 2、Windows Server Update Servicesを参照) |
| クライアント コンピューターからソフトウェアの更新ポイントにハイパーテキスト転送プロトコル (HTTPS) をセキュリティで保護します。 | -- | 443 または 8531 (注 2、Windows Server Update Servicesを参照) |
| CCMSetup コマンド ライン プロパティ /source:<Path> を指定した場合、ソース サーバーとクライアント コンピューターの間のサーバー メッセージ ブロック (SMB)。 | -- | 445 |
グループ ポリシー ベースのインストールで使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| 接続が HTTP 経由の場合、クライアント コンピューターから管理ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 (注 1、 使用可能な代替ポートを参照) |
| 接続が HTTPS 経由の場合、クライアント コンピューターから管理ポイントへの Hypertext Transfer Protocol (HTTPS) をセキュリティで保護します。 | -- | 443 (注 1、 使用可能な代替ポートを参照) |
| CCMSetup コマンド ライン プロパティ /source:<Path> を指定した場合、ソース サーバーとクライアント コンピューターの間のサーバー メッセージ ブロック (SMB)。 | -- | 445 |
手動インストールとログオン スクリプト ベースのインストールで使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| クライアント コンピューターと、CCMSetup.exeを実行するネットワーク共有の間のサーバー メッセージ ブロック (SMB)。 Configuration Managerをインストールすると、クライアント インストール ソース ファイルがコピーされ、管理ポイントの <InstallationPath>\Client フォルダーから自動的に共有されます。 ただし、これらのファイルをコピーして、ネットワーク上の任意のコンピューターに新しい共有を作成できます。 または、リムーバブル メディアを使用するなどして、ローカルでCCMSetup.exeを実行することで、このネットワーク トラフィックを排除することもできます。 |
-- | 445 |
| 接続が HTTP 経由であり、CCMSetup コマンド ライン プロパティ /source:<Path> を指定しない場合、クライアント コンピューターから管理ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 (注 1、 使用可能な代替ポートを参照) |
| 接続が HTTPS 経由の場合、クライアント コンピューターから管理ポイントに Hypertext Transfer Protocol (HTTPS) をセキュリティで保護し、CCMSetup コマンド ライン プロパティ /source:<Path> を指定しません。 | -- | 443 (注 1、 使用可能な代替ポートを参照) |
| CCMSetup コマンド ライン プロパティ /source:<Path> を指定した場合、ソース サーバーとクライアント コンピューターの間のサーバー メッセージ ブロック (SMB)。 | -- | 445 |
ソフトウェア配布ベースのインストールで使用されるポート
| 説明 | UDP | TCP |
|---|---|---|
| 配布ポイントとクライアント コンピューターの間のサーバー メッセージ ブロック (SMB)。 | -- | 445 |
| 接続が HTTP 経由の場合、クライアントから配布ポイントへのハイパーテキスト転送プロトコル (HTTP)。 | -- | 80 (注 1、 使用可能な代替ポートを参照) |
| 接続が HTTPS 経由の場合、クライアントから配布ポイントへの Hypertext Transfer Protocol (HTTPS) をセキュリティで保護します。 | -- | 443 (注 1、 使用可能な代替ポートを参照) |
注意事項
1 つの代替ポートが使用可能Configuration Managerでは、この値の代替ポートを定義できます。 カスタム ポートが定義されている場合は、IPsec ポリシーの IP フィルター情報を定義するとき、またはファイアウォールを構成するときに、そのカスタム ポートを置き換える必要があります。
2 Windows Server Update Services Windows Server Update Service (WSUS) は、既定の Web サイト (ポート 80) またはカスタム Web サイト (ポート 8530) にインストールできます。
インストール後、ポートを変更できます。 サイト階層全体で同じポート番号を使用する必要はありません。
HTTP ポートが 80 の場合、HTTPS ポートは 443 である必要があります。
HTTP ポートが他の何かである場合、HTTPS ポートは 1 高くする必要があります。 たとえば、8530 と 8531 です。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示