Параметры брандмауэра Windows и портов для клиентов в System Center Configuration ManagerWindows Firewall and port settings for clients in System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Клиентские компьютеры в System Center Configuration Manager, на которых работает брандмауэр Windows, часто требуют настройки исключений для возможности соединения с их сайтами.Client computers in System Center Configuration Manager that run Windows Firewall often require you to configure exceptions to allow communication with their site. Исключения, которые должны быть настроены, зависят от функций управления, используемых с клиентом Configuration Manager.The exceptions that you must configure depend on the management features that you use with the Configuration Manager client.

В следующих разделах приведены сведения о том, как определить такие функции управления, а также другая информация о настройке исключений брандмауэра Windows.Use the following sections to identify these management features and for more information about how to configure Windows Firewall for these exceptions.

Изменение портов и программ, разрешенных брандмауэром Windows Modifying the Ports and Programs Permitted by Windows Firewall

Описанная ниже процедура позволяет изменить порты и программы в брандмауэре Windows для клиента Configuration Manager.Use the following procedure to modify the ports and programs on Windows Firewall for the Configuration Manager client.

Изменение портов и программ, разрешенных брандмауэром WindowsTo modify the ports and programs permitted by Windows Firewall

  1. На компьютере с брандмауэром Windows откройте Панель управления.On the computer that runs Windows Firewall, open Control Panel.

  2. Щелкните правой кнопкой значок Брандмауэр Windowsи выберите Открыть.Right-click Windows Firewall, and then click Open.

  3. Настройте требуемые исключения, а также необходимые настраиваемые программы и порты.Configure any required exceptions and any custom programs and ports that you require.

Программы и порты, необходимые для Configuration ManagerPrograms and Ports that Configuration Manager Requires

Возможности Configuration Manager, перечисленные ниже, требуют наличия исключений в брандмауэре Windows.The following Configuration Manager features require exceptions on the Windows Firewall:

ЗапросыQueries

Если запустить консоль Configuration Manager на компьютере с работающим брандмауэром Windows, первое выполнение запросов завершится неудачей, и операционная система откроет диалоговое окно с предложением разблокировать statview.exe.If you run the Configuration Manager console on a computer that runs Windows Firewall, queries fail the first time that they are run and the operating system displays a dialog box asking if you want to unblock statview.exe. Если разблокировать statview.exe, дальнейшие запросы будут выполняться без ошибок.If you unblock statview.exe, future queries will run without errors. Кроме того, можно вручную добавить Statview.exe в список программ и служб на вкладке Исключения окна брандмауэра Windows перед выполнением запроса.You can also manually add Statview.exe to the list of programs and services on the Exceptions tab of the Windows Firewall before you run a query.

Принудительная установка клиентаClient Push Installation

Для принудительной установки клиента Configuration Manager необходимо добавить указанные ниже исключения в брандмауэр Windows.To use client push to install the Configuration Manager client, add the following as exceptions to the Windows Firewall:

  • Входящий и исходящий трафик: Общий доступ к файлам и принтерамOutbound and inbound: File and Printer Sharing

  • Входящий трафик: Инструментарий управления Windows (WMI)Inbound: Windows Management Instrumentation (WMI)

Установка клиента с помощью групповой политикиClient Installation by Using Group Policy

Чтобы установить клиент Configuration Manager с помощью групповой политики, добавьте в брандмауэре Windows исключение Общий доступ к файлам и принтерам.To use Group Policy to install the Configuration Manager client, add File and Printer Sharing as an exception to the Windows Firewall.

Запросы клиентовClient Requests

Для соединения клиентских компьютеров с системами сайта Configuration Manager добавьте указанные ниже исключения в брандмауэре Windows.For client computers to communicate with Configuration Manager site systems, add the following as exceptions to the Windows Firewall:

Исходящий трафик: TCP-порт 80 (для HTTP-соединения)Outbound: TCP Port 80 (for HTTP communication)

Исходящий трафик: TCP-порт 443 (для HTTPS-соединения)Outbound: TCP Port 443 (for HTTPS communication)

Importante

Ниже приведены номера портов по умолчанию, которые можно изменить в Configuration Manager.These are default port numbers that can be changed in Configuration Manager. Дополнительные сведения см. в разделе Настройка портов связи для клиентов в System Center Configuration Manager.For more information, see How to How to configure client communication ports in System Center Configuration Manager. Если для этих портов указываются значения, отличные от номеров по умолчанию, должны быть настроены соответствующие исключения на брандмауэре Windows.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

Уведомление клиентаClient Notification

Чтобы точка управления уведомляла клиентские компьютеры о том, что она должна выполнить действие, когда администратор выбирает действие клиента в консоли Configuration Manager, например скачивание политики компьютера или поиск вредоносных программ, добавьте следующее исключение в брандмауэр Windows:For the management point to notify client computers about an action that it must take when an administrative user selects a client action in the Configuration Manager console, such as download computer policy or initiate a malware scan, add the following as an exception to the Windows Firewall:

Исходящий трафик: TCP-порт 10123Outbound: TCP Port 10123

Если такая связь не работает, Configuration Manager автоматически возвращается к использованию существующих портов связи клиентов и точек управления по HTTP или HTTPS:If this communication does not succeed, Configuration Manager automatically falls back to using the existing client-to-management point communication port of HTTP, or HTTPS:

Исходящий трафик: TCP-порт 80 (для HTTP-соединения)Outbound: TCP Port 80 (for HTTP communication)

Исходящий трафик: TCP-порт 443 (для HTTPS-соединения)Outbound: TCP Port 443 (for HTTPS communication)

Importante

Ниже приведены номера портов по умолчанию, которые можно изменить в Configuration Manager.These are default port numbers that can be changed in Configuration Manager. Дополнительные сведения см. в разделе Настройка портов связи для клиентов в System Center Configuration Manager.For more information, see How to configure client communication ports in System Center Configuration Manager. Если для этих портов указываются значения, отличные от номеров по умолчанию, должны быть настроены соответствующие исключения на брандмауэре Windows.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

Удаленное управлениеRemote Control

Для использования удаленного управления Configuration Manager следует открыть указанный ниже порт:To use Configuration Manager remote control, allow the following port:

  • Входящий трафик: TCP-порт2701Inbound: TCP Port2701

Удаленный помощник и удаленный рабочий столRemote Assistance and Remote Desktop

Чтобы запустить удаленный помощник из консоли Configuration Manager, добавьте настраиваемую программу Helpsvc.exe и настраиваемый порт TCP 135 входящего трафика в список разрешенных программ и служб в брандмауэре Windows на клиентском компьютере.To initiate Remote Assistance from the Configuration Manager console, add the custom program Helpsvc.exe and the inbound custom port TCP 135 to the list of permitted programs and services in Windows Firewall on the client computer. Необходимо также разрешить Удаленный помощник и Удаленный рабочий стол.You must also permit Remote Assistance and Remote Desktop. Если запустить Удаленного помощника на клиентском компьютере, брандмауэр Windows автоматически настроит и разрешит компоненты Удаленный помощник и Удаленный рабочий стол.If you initiate Remote Assistance from the client computer, Windows Firewall automatically configures and permits Remote Assistance and Remote Desktop.

Прокси-сервер пробужденияWake-Up Proxy

При включении прокси пробуждения новая служба, которая называется прокси пробуждения Configuration Manager, использует одноранговый протокол, чтобы проверить, работают ли другие компьютеры в подсети, и будит их при необходимости.If you enable the wake-up proxy client setting, a new service named ConfigMgr Wake-up Proxy uses a peer-to-peer protocol to check whether other computers are awake on the subnet and to wake them up if necessary. Этот вид связи использует следующие порты:This communication uses the following ports:

Исходящий трафик: UDP-порт 25536Outbound: UDP Port 25536

Исходящий трафик: UDP-порт 9Outbound: UDP Port 9

Это установленные по умолчанию номера портов, которые можно изменить в Configuration Manager с помощью параметров клиента Управление питанием: Номер порта прокси-сервера пробуждения (UDP) и Номер порта (UDP) пробуждения по локальной сети.These are the default port numbers that can be changed in Configuration Manager by using the Power Management clients settings of Wake-up proxy port number (UDP) and Wake On LAN port number (UDP). Если вы указываете параметр клиента Управление питанием: исключение брандмауэра Windows для прокси-сервера пробуждения , эти порты автоматически настраиваются в брандмауэре Windows для клиентов.If you specify the Power Management: Windows Firewall exception for wake-up proxy client setting, these ports are automatically configured in Windows Firewall for clients. Если клиенты используют другой брандмауэр, необходимо вручную задать исключения для этих номеров портов.However, if clients run a different firewall, you must manually configure the exceptions for these port numbers.

Помимо этих портов, прокси пробуждения также использует эхо-запросы ICMP с одного клиентского компьютера на другой компьютер.In addition to these ports, wake-up proxy also uses Internet Control Message Protocol (ICMP) echo request messages from one client computer to another client computer. Эта связь используется для проверки того, активен ли другой клиентский компьютер в сети.This communication is used to confirm whether the other client computer is awake on the network. Протокол ICMP иногда называют командами проверки связи TCP/IP.ICMP is sometimes referred to as TCP/IP ping commands.

Дополнительные сведения о прокси-серверах пробуждения см. в разделе Планирование пробуждения клиентов в System Center Configuration Manager.For more information about wake-up proxy, see Plan how to wake up clients in System Center Configuration Manager.

Средство просмотра событий Windows, системный монитор Windows и диагностика WindowsWindows Event Viewer, Windows Performance Monitor, and Windows Diagnostics

Чтобы открыть средство просмотра событий Windows, системный монитор Windows и диагностику Windows из консоли Configuration Manager, укажите в брандмауэре Windows исключение Общий доступ к файлам и принтерам.To access Windows Event Viewer, Windows Performance Monitor, and Windows Diagnostics from the Configuration Manager console, enable File and Printer Sharing as an exception on the Windows Firewall.

Порты, используемые при развертывании клиентов Configuration ManagerPorts Used During Configuration Manager Client Deployment

В следующей таблице перечислены порты, используемые в ходе установки клиента.The following tables list the ports that are used during the client installation process.

Importante

Если между серверами системы сайта и клиентским компьютером находится брандмауэр, то на нем нужно разрешить передачу данных через порты, необходимые для установки клиента по выбранному методу.If there is a firewall between the site system servers and the client computer, confirm whether the firewall permits traffic for the ports that are required for the client installation method that you choose. Так, брандмауэр может блокировать протокол SMB и удаленный вызов процедур (RPC), что не позволяет успешно выполнить принудительную установку клиента.For example, firewalls often prevent client push installation from succeeding because they block Server Message Block (SMB) and Remote Procedure Calls (RPC). В таком случае следует использовать другой метод установки клиента, например установку вручную путем запуска CCMSetup.exe либо установку при помощи групповой политики.In this scenario, use a different client installation method, such as manual installation (running CCMSetup.exe) or Group Policy-based client installation. Эти методы не используют протоколы SMB и RPC.These alternative client installation methods do not require SMB or RPC.

Дополнительные сведения о настройке брандмауэра Windows на клиентском компьютере см. в разделе Изменение портов и программ, разрешенных брандмауэром Windows.For information about how to configure Windows Firewall on the client computer, see Modifying the Ports and Programs Permitted by Windows Firewall.

Порты, используемые всеми методами установкиPorts that are used for all installation methods

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол HTTP от клиентского компьютера до резервной точки состояния, если резервная точка состояния назначена клиенту.Hypertext Transfer Protocol (HTTP) from the client computer to a fallback status point, when a fallback status point is assigned to the client. -- 80 (см. примечание 1 Доступен альтернативный порт)80 (See note 1, Alternate Port Available)

Порты, используемые для принудительной установки клиентаPorts that are used with client push installation

В дополнение к портам, перечисленным в предыдущей таблице, при принудительной установке клиента с сервера сайта на клиентский компьютер передаются сообщения эхо-запросов протокола ICMP, позволяющие проверить доступность клиентского компьютера в сети.In addition to the ports listed in the following table, client push installation also uses Internet Control Message Protocol (ICMP) echo request messages from the site server to the client computer to confirm whether the client computer is available on the network. Протокол ICMP иногда называют командами проверки связи TCP/IP.ICMP is sometimes referred to as TCP/IP ping commands. Он не имеет номера протокола UDP или TCP и потому не указан в следующей таблице.ICMP does not have a UDP or TCP protocol number, and so it is not listed in the following table. Тем не менее, для успешной принудительной установки клиента промежуточные сетевые устройства, например брандмауэры, должны пропускать трафик ICMP.However, any intervening network devices, such as firewalls, must permit ICMP traffic for client push installation to succeed.

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол SMB между сервером сайта и клиентским компьютером.Server Message Block (SMB) between the site server and client computer. -- 445445
Сопоставитель конечных точек RPC между сервером сайта и клиентским компьютером.RPC endpoint mapper between the site server and the client computer. 135135 135135
Динамические порты RPC между сервером сайта и клиентским компьютером.RPC dynamic ports between the site server and the client computer. -- DYNAMICDYNAMIC
Протокол HTTP от клиентского компьютера на точку управления, если подключение установлено через порт HTTPHypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (см. примечание 1 Доступен альтернативный порт)80 (See note 1, Alternate Port Available)
Протокол HTTPS от клиентского компьютера до точки управления, если подключение установлено по протоколу HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (см. примечание 1 Доступен альтернативный порт)443 (See note 1, Alternate Port Available)

Порты, используемые при установке через точку обновления программного обеспеченияPorts that are used with software update point-based installation

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол HTTP от клиентского компьютера до точки обновления программного обеспечения.Hypertext Transfer Protocol (HTTP) from the client computer to the software update point. -- 80 или 8530 (см. примечание 2 Службы обновлений Windows Server)80 or 8530 (See note 2, Windows Server Update Services)
Протокол HTTPS от клиентского компьютера до точки обновления программного обеспечения.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to the software update point. -- 443 или 8531 (см. примечание 2 Службы обновлений Windows Server)443 or 8531 (See note 2, Windows Server Update Services)
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Порты, используемые для установки при помощи групповой политикиPorts that are used with Group Policy-based installation

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол HTTP от клиентского компьютера на точку управления, если подключение установлено через порт HTTPHypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (см. примечание 1 Доступен альтернативный порт)80 (See note 1, Alternate Port Available)
Протокол HTTPS от клиентского компьютера до точки управления, если подключение установлено по протоколу HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (см. примечание 1 Доступен альтернативный порт)443 (See note 1, Alternate Port Available)
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Порты, используемые при установке вручную и установке при помощи сценария входаPorts that are used with manual installation and logon script-based installation

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол SMB между клиентским компьютером и общим сетевым ресурсом, с которого запускается CCMSetup.exe.Server Message Block (SMB) between the client computer and a network share from which you run CCMSetup.exe.

При установке Configuration Manager исходные файлы установки клиента копируются из папки <путь_установки>\Client в точках управления и автоматически становятся доступными.When you install Configuration Manager, the client installation source files are copied and automatically shared from the <InstallationPath>\Client folder on management points. Кроме того, можно скопировать эти файлы и создать новую общую папку на любом компьютере в сети.However, you can copy these files and create a new share on any computer on the network. Чтобы сократить сетевой трафик, запускайте программу CCMSetup.exe локально, например со съемного носителя.Alternatively, you can eliminate this network traffic by running CCMSetup.exe locally, for example, by using removable media.
-- 445445
Протокол HTTP от клиентского компьютера до точки управления, если соединение установлено по протоколу HTTP и не задано свойство командной строки CCMSetup /source:<путь>.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP, and you do not specify the CCMSetup command-line property /source:<Path>. -- 80 (см. примечание 1 Доступен альтернативный порт)80 (See note 1, Alternate Port Available)
Протокол HTTPS от клиентского компьютера до точки управления, если соединение установлено по протоколу HTTPS и не задано свойство командной строки CCMSetup /source:<путь>.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS, and you do not specify the CCMSetup command-line property /source:<Path>. -- 443 (см. примечание 1 Доступен альтернативный порт)443 (See note 1, Alternate Port Available)
Протокол SMB между исходным сервером и клиентским компьютером, если задано свойство командной строки CCMSetup /source:<путь>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Порты, используемые при установке посредством распространения программного обеспеченияPorts that are used with software distribution-based installation

ОписаниеDescription Протокол UDPUDP TCPTCP
Протокол SMB между точкой распространения и клиентским компьютером.Server Message Block (SMB) between the distribution point and the client computer. -- 445445
Протокол HTTP от клиента до точки распространения, если подключение установлено по протоколу HTTP.Hypertext Transfer Protocol (HTTP) from the client to a distribution point when the connection is over HTTP. -- 80 (см. примечание 1 Доступен альтернативный порт)80 (See note 1, Alternate Port Available)
Протокол HTTPS от клиента до точки распространения, если подключение установлено по протоколу HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client to a distribution point when the connection is over HTTPS. -- 443 (см. примечание 1 Доступен альтернативный порт)443 (See note 1, Alternate Port Available)

ПримечанияNotes

1 Доступен альтернативный порт В Configuration Manager можно задать альтернативный порт для этого значения.1 Alternate Port Available In Configuration Manager, you can define an alternate port for this value. Если задан специальный порт, замените этот специальный порт при определении информации IP-фильтра для политик IPsec или при настройке брандмауэров.If a custom port has been defined, substitute that custom port when you define the IP filter information for IPsec policies or for configuring firewalls.

2 службы WSUS Службы WSUS можно установить на веб-сайте по умолчанию (порт 80) или на собственном веб-сайте (порт 8530).2 Windows Server Update Services You can install Windows Server Update Service (WSUS) either on the default Web site (port 80) or a custom Web site (port 8530).

После установки можно изменить порт.After installation, you can change the port. Нет необходимости использовать один номер порта во всей иерархии сайтов.You do not have to use the same port number throughout the site hierarchy.

Если для HTTP используется порт 80, для HTTPS необходимо использовать порт 443.If the HTTP port is 80, the HTTPS port must be 443.

Если используется другой порт HTTP, номер порта HTTPS должен быть больше на 1.If the HTTP port is anything else, the HTTPS port must be 1 higher. Например, 8530 и 8531.For example, 8530 and 8531.