Firewall do Windows e definições de porta para clientes no System Center Configuration ManagerWindows Firewall and port settings for clients in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Os computadores cliente no System Center Configuration Manager que executam a Firewall do Windows, muitas vezes, necessitam que sejam configuradas exceções para permitir a comunicação com o respetivo site.Client computers in System Center Configuration Manager that run Windows Firewall often require you to configure exceptions to allow communication with their site. As exceções que é necessário configurar dependem das funcionalidades de gestão que utiliza com o cliente do Configuration Manager.The exceptions that you must configure depend on the management features that you use with the Configuration Manager client.

Utilize as secções seguintes para identificar estas funcionalidades de gestão e para mais informações sobre como configurar a Firewall do Windows para estas exceções.Use the following sections to identify these management features and for more information about how to configure Windows Firewall for these exceptions.

Modificar as Portas e Programas Permitidos pela Firewall do WindowsModifying the Ports and Programs Permitted by Windows Firewall

Utilize o procedimento seguinte para modificar as portas e programas na Firewall do Windows para o cliente do Configuration Manager.Use the following procedure to modify the ports and programs on Windows Firewall for the Configuration Manager client.

Para modificar as portas e programas permitidos pela Firewall do WindowsTo modify the ports and programs permitted by Windows Firewall

  1. No computador que executa a Firewall do Windows, abra o Painel de Controlo.On the computer that runs Windows Firewall, open Control Panel.

  2. Clique com o botão direito do rato em Firewall do Windowse, em seguida, clique em Abrir.Right-click Windows Firewall, and then click Open.

  3. Configure as exceções necessárias e as portas e programas personalizados de que necessita.Configure any required exceptions and any custom programs and ports that you require.

Programas e Portas Requeridos pelo Configuration ManagerPrograms and Ports that Configuration Manager Requires

As seguintes funcionalidades do Configuration Manager requerem exceções na Firewall do Windows:The following Configuration Manager features require exceptions on the Windows Firewall:

ConsultasQueries

Se executar a consola do Configuration Manager num computador que executa a Firewall do Windows, as consultas falhar na primeira vez que forem executadas e o sistema operativo apresenta uma caixa de diálogo a perguntar se pretende desbloquear statview.exe.If you run the Configuration Manager console on a computer that runs Windows Firewall, queries fail the first time that they are run and the operating system displays a dialog box asking if you want to unblock statview.exe. Se desbloquear statview.exe, as consultas posteriores serão executadas sem erros.If you unblock statview.exe, future queries will run without errors. Também pode adicionar manualmente Statview.exe à lista de programas e serviços no separador Exceções da Firewall do Windows antes de executar uma consulta.You can also manually add Statview.exe to the list of programs and services on the Exceptions tab of the Windows Firewall before you run a query.

Instalação Push do ClienteClient Push Installation

Para utilizar a instalação push de cliente para instalar o cliente do Configuration Manager, adicione o seguinte como exceções à Firewall do Windows:To use client push to install the Configuration Manager client, add the following as exceptions to the Windows Firewall:

  • Saída e entrada: Ficheiro de partilha e impressorasOutbound and inbound: File and Printer Sharing

  • Entrada: Windows Management Instrumentation (WMI)Inbound: Windows Management Instrumentation (WMI)

Instalação de Cliente Utilizando a Política de GrupoClient Installation by Using Group Policy

Para utilizar a política de grupo para instalar o cliente do Configuration Manager, adicione impressora partilha de ficheiros e como uma exceção à Firewall do Windows.To use Group Policy to install the Configuration Manager client, add File and Printer Sharing as an exception to the Windows Firewall.

Pedidos de ClienteClient Requests

Para computadores de cliente comunicar com sistemas de sites do Configuration Manager, adicione o seguinte como exceções à Firewall do Windows:For client computers to communicate with Configuration Manager site systems, add the following as exceptions to the Windows Firewall:

Saída: A porta TCP 80 (para comunicação HTTP)Outbound: TCP Port 80 (for HTTP communication)

Saída: A porta TCP 443 (para comunicação HTTPS)Outbound: TCP Port 443 (for HTTPS communication)

Importante

Estes são os números de porta predefinidos que podem ser alterados no Configuration Manager.These are default port numbers that can be changed in Configuration Manager. Para obter mais informações, consulte como como configurar portas de comunicação de cliente no System Center Configuration Manager.For more information, see How to How to configure client communication ports in System Center Configuration Manager. Se os valores predefinidos destas portas tiverem sido alterados, também deve configurar exceções correspondentes na Firewall do Windows.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

Notificação de clienteClient Notification

Para o ponto de gestão notificar os computadores cliente sobre uma ação que tem de executar quando um utilizador administrativo seleciona uma ação de cliente na consola do Configuration Manager, tal como transferirem a política de computador ou iniciar uma análise de malware, adicione o seguinte como uma exceção à Firewall do Windows:For the management point to notify client computers about an action that it must take when an administrative user selects a client action in the Configuration Manager console, such as download computer policy or initiate a malware scan, add the following as an exception to the Windows Firewall:

Saída: A porta TCP 10123Outbound: TCP Port 10123

Se esta comunicação não funcionar, o Configuration Manager automaticamente utilizará o existente ponto de gestão de clientes comunicação porta da HTTP ou HTTPS:If this communication does not succeed, Configuration Manager automatically falls back to using the existing client-to-management point communication port of HTTP, or HTTPS:

Saída: A porta TCP 80 (para comunicação HTTP)Outbound: TCP Port 80 (for HTTP communication)

Saída: A porta TCP 443 (para comunicação HTTPS)Outbound: TCP Port 443 (for HTTPS communication)

Importante

Estes são os números de porta predefinidos que podem ser alterados no Configuration Manager.These are default port numbers that can be changed in Configuration Manager. Para obter mais informações, consulte como configurar portas de comunicação de cliente no System Center Configuration Manager.For more information, see How to configure client communication ports in System Center Configuration Manager. Se os valores predefinidos destas portas tiverem sido alterados, também deve configurar exceções correspondentes na Firewall do Windows.If these ports have been changed from the default values, you must also configure matching exceptions on the Windows Firewall.

Controlo RemotoRemote Control

Para utilizar o controlo remoto do Configuration Manager, permita a seguinte porta:To use Configuration Manager remote control, allow the following port:

  • Entrada: A porta TCP2701Inbound: TCP Port2701

Assistência Remota e Ambiente de Trabalho RemotoRemote Assistance and Remote Desktop

Para iniciar a assistência remota da consola do Configuration Manager, adicione o programa personalizado Helpsvc.exe e a porta de entrada personalizada TCP 135 à lista de permitidos serviços e programas na Firewall do Windows no computador cliente.To initiate Remote Assistance from the Configuration Manager console, add the custom program Helpsvc.exe and the inbound custom port TCP 135 to the list of permitted programs and services in Windows Firewall on the client computer. Deve também permitir Assistência Remota e Ambiente de Trabalho Remoto.You must also permit Remote Assistance and Remote Desktop. Se iniciar a Assistência Remota a partir do computador cliente, a Firewall do Windows configura e permite automaticamente Assistência Remota e Ambiente de Trabalho Remoto.If you initiate Remote Assistance from the client computer, Windows Firewall automatically configures and permits Remote Assistance and Remote Desktop.

Proxy de ReativaçãoWake-Up Proxy

Se ativar a definição de cliente do proxy de reativação, um novo serviço com a designação Proxy de Reativação do ConfigMgr utiliza um protocolo ponto a ponto para verificar se outros computadores estão ativos na sub-rede e ativa-os se for necessário.If you enable the wake-up proxy client setting, a new service named ConfigMgr Wake-up Proxy uses a peer-to-peer protocol to check whether other computers are awake on the subnet and to wake them up if necessary. Esta comunicação utiliza as seguintes portas:This communication uses the following ports:

Saída: Porta UDP 25536Outbound: UDP Port 25536

Saída: Porta UDP 9Outbound: UDP Port 9

Estes são os números de porta predefinidos que podem ser alterados no Configuration Manager utilizando o gestão de energia definições de clientes de número de porta de proxy de reativação (UDP) e o número de porta de reativação por LAN (UDP).These are the default port numbers that can be changed in Configuration Manager by using the Power Management clients settings of Wake-up proxy port number (UDP) and Wake On LAN port number (UDP). Se especificar o gestão de energia: Exceção de Firewall do Windows para proxy de reativação cliente definição, estas portas são configuradas automaticamente na Firewall do Windows para clientes.If you specify the Power Management: Windows Firewall exception for wake-up proxy client setting, these ports are automatically configured in Windows Firewall for clients. No entanto, se os clientes executarem uma firewall diferente, tem de configurar manualmente as exceções para estes números de porta.However, if clients run a different firewall, you must manually configure the exceptions for these port numbers.

Além destas portas, o proxy de reativação também utiliza mensagens de pedido de eco de ICMP (Internet Control Message Protocol) de um computador cliente para outro computador cliente.In addition to these ports, wake-up proxy also uses Internet Control Message Protocol (ICMP) echo request messages from one client computer to another client computer. Esta comunicação é utilizada para confirmar se o outro computador cliente está ativo na rede.This communication is used to confirm whether the other client computer is awake on the network. Por vezes, o ICMP é também referido como comandos ping de TCP/IP.ICMP is sometimes referred to as TCP/IP ping commands.

Para obter mais informações sobre o proxy de reativação, consulte planear como reativar os clientes no System Center Configuration Manager.For more information about wake-up proxy, see Plan how to wake up clients in System Center Configuration Manager.

Visualizador de Eventos do Windows, Monitor de Desempenho do Windows e Diagnóstico do WindowsWindows Event Viewer, Windows Performance Monitor, and Windows Diagnostics

Para aceder ao Visualizador de eventos do Windows, o Monitor de desempenho do Windows e diagnóstico do Windows a partir da consola do Configuration Manager, ative impressora partilha de ficheiros e como uma exceção na Firewall do Windows.To access Windows Event Viewer, Windows Performance Monitor, and Windows Diagnostics from the Configuration Manager console, enable File and Printer Sharing as an exception on the Windows Firewall.

Portas Utilizadas Durante a Implementação do Cliente do Configuration ManagerPorts Used During Configuration Manager Client Deployment

As tabelas seguintes listam as portas que são utilizadas durante o processo de instalação do cliente.The following tables list the ports that are used during the client installation process.

Importante

Se existir uma firewall entre os servidores do sistema de sites e o computador cliente, confirme se a firewall permite tráfego para as portas que são necessárias para o método de instalação do cliente que selecionou.If there is a firewall between the site system servers and the client computer, confirm whether the firewall permits traffic for the ports that are required for the client installation method that you choose. Por exemplo, as firewalls impedem frequentemente que a instalação push seja bem sucedida porque bloqueiam o Bloco de Mensagem de Servidor (SMB) e as Chamadas de Procedimento Remoto (RPC).For example, firewalls often prevent client push installation from succeeding because they block Server Message Block (SMB) and Remote Procedure Calls (RPC). Neste cenário, utilize um método diferente de instalação do cliente, tal como a instalação manual (com CCMSetup.exe) ou a instalação do cliente baseada na Política de Grupo.In this scenario, use a different client installation method, such as manual installation (running CCMSetup.exe) or Group Policy-based client installation. Estes métodos alternativos de instalação do cliente não necessitam de SMB ou RPC.These alternative client installation methods do not require SMB or RPC.

Para obter informações sobre como configurar a Firewall do Windows no computador cliente, consulte Modificar as Portas e Programas Permitidos pela Firewall do Windows.For information about how to configure Windows Firewall on the client computer, see Modifying the Ports and Programs Permitted by Windows Firewall.

Portas que são utilizadas para todos os métodos de instalaçãoPorts that are used for all installation methods

DescriçãoDescription UDPUDP TCPTCP
Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de estado de contingência, quando está atribuído um ponto de estado de contingência ao cliente.Hypertext Transfer Protocol (HTTP) from the client computer to a fallback status point, when a fallback status point is assigned to the client. -- 80 (Ver nota 1, Porta Alternativa Disponível)80 (See note 1, Alternate Port Available)

Portas que são utilizadas com a instalação push do clientePorts that are used with client push installation

Além das portas listadas na tabela a seguir, a instalação push do cliente também utiliza mensagens de pedido de eco ICMP (Internet Control Message Protocol) do servidor do site para o computador cliente para confirmar se este está disponível na rede.In addition to the ports listed in the following table, client push installation also uses Internet Control Message Protocol (ICMP) echo request messages from the site server to the client computer to confirm whether the client computer is available on the network. Por vezes, o ICMP é também referido como comandos ping de TCP/IP.ICMP is sometimes referred to as TCP/IP ping commands. O ICMP não tem um número de protocolo UDP ou TCP e, por isso, não está listado na tabela a seguir.ICMP does not have a UDP or TCP protocol number, and so it is not listed in the following table. No entanto, quaisquer dispositivos de rede intervenientes, tais como firewalls, devem permitir tráfego ICMP para que a instalação push do cliente seja bem sucedida.However, any intervening network devices, such as firewalls, must permit ICMP traffic for client push installation to succeed.

DescriçãoDescription UDPUDP TCPTCP
Bloco de Mensagem de Servidor (SMB) entre o servidor do site e o computador cliente.Server Message Block (SMB) between the site server and client computer. -- 445445
Mapeador de pontos finais RPC entre o servidor do site e o computador cliente.RPC endpoint mapper between the site server and the client computer. 135135 135135
Portas dinâmicas RPC entre o servidor do site e o computador cliente.RPC dynamic ports between the site server and the client computer. -- DINÂMICODYNAMIC
Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (Ver nota 1, Porta Alternativa Disponível)80 (See note 1, Alternate Port Available)
Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (Ver nota 1, Porta Alternativa Disponível)443 (See note 1, Alternate Port Available)

Portas que são utilizadas com a instalação baseada em ponto de atualização de softwarePorts that are used with software update point-based installation

DescriçãoDescription UDPUDP TCPTCP
Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software.Hypertext Transfer Protocol (HTTP) from the client computer to the software update point. -- 80 ou 8530 (Ver nota 2, Windows Server Update Services)80 or 8530 (See note 2, Windows Server Update Services)
Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to the software update point. -- 443 ou 8531 (Ver nota 2, Windows Server Update Services)443 or 8531 (See note 2, Windows Server Update Services)
Bloco de mensagem de servidor (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /Source:<caminho>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Portas que são utilizadas com a instalação baseada na Política de GrupoPorts that are used with Group Policy-based installation

DescriçãoDescription UDPUDP TCPTCP
Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP. -- 80 (Ver nota 1, Porta Alternativa Disponível)80 (See note 1, Alternate Port Available)
Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS. -- 443 (Ver nota 1, Porta Alternativa Disponível)443 (See note 1, Alternate Port Available)
Bloco de mensagem de servidor (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /Source:<caminho>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Portas que são utilizadas com a instalação manual e com a instalação baseada em scripts de início de sessãoPorts that are used with manual installation and logon script-based installation

DescriçãoDescription UDPUDP TCPTCP
Bloco de Mensagem de Servidor (SMB) entre o computador cliente e uma partilha de rede a partir da qual o CCMSetup.exe é executado.Server Message Block (SMB) between the client computer and a network share from which you run CCMSetup.exe.

Quando instalar o Configuration Manager, os ficheiros de origem de instalação do cliente são copiados e automaticamente partilhados a partir de <Caminhodainstalação>pasta \Client nos pontos de gestão.When you install Configuration Manager, the client installation source files are copied and automatically shared from the <InstallationPath>\Client folder on management points. No entanto, pode copiar esses ficheiros e criar uma nova partilha em qualquer computador na rede.However, you can copy these files and create a new share on any computer on the network. Em alternativa, pode eliminar este tráfego de rede executando o CCMSetup.exe localmente, por exemplo, utilizando um suporte de dados amovível.Alternatively, you can eliminate this network traffic by running CCMSetup.exe locally, for example, by using removable media.
-- 445445
Protocolo HTTP (Hypertext Transfer) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTP e não especificar a propriedade da linha de comandos CCMSetup /Source:<caminho>.Hypertext Transfer Protocol (HTTP) from the client computer to a management point when the connection is over HTTP, and you do not specify the CCMSetup command-line property /source:<Path>. -- 80 (Ver nota 1, Porta Alternativa Disponível)80 (See note 1, Alternate Port Available)
Secure Hypertext Transfer Protocol (HTTPS) do computador cliente para um ponto de gestão quando a ligação é efetuada através de HTTPS e não especificar a propriedade da linha de comandos CCMSetup /Source:<caminho>.Secure Hypertext Transfer Protocol (HTTPS) from the client computer to a management point when the connection is over HTTPS, and you do not specify the CCMSetup command-line property /source:<Path>. -- 443 (Ver nota 1, Porta Alternativa Disponível)443 (See note 1, Alternate Port Available)
Bloco de mensagem de servidor (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /Source:<caminho>.Server Message Block (SMB) between the source server and the client computer when you specify the CCMSetup command-line property /source:<Path>. -- 445445

Portas que são utilizadas com a instalação baseada em distribuição de softwarePorts that are used with software distribution-based installation

DescriçãoDescription UDPUDP TCPTCP
Bloco de Mensagem de Servidor (SMB) entre o ponto de distribuição e o computador cliente.Server Message Block (SMB) between the distribution point and the client computer. -- 445445
Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de distribuição quando a ligação é efetuada através de HTTP.Hypertext Transfer Protocol (HTTP) from the client to a distribution point when the connection is over HTTP. -- 80 (Ver nota 1, Porta Alternativa Disponível)80 (See note 1, Alternate Port Available)
Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de distribuição quando a ligação é efetuada através de HTTPS.Secure Hypertext Transfer Protocol (HTTPS) from the client to a distribution point when the connection is over HTTPS. -- 443 (Ver nota 1, Porta Alternativa Disponível)443 (See note 1, Alternate Port Available)

NotasNotes

1 porta alternativa disponível no Configuration Manager, pode definir uma porta alternativa para este valor.1 Alternate Port Available In Configuration Manager, you can define an alternate port for this value. Se tiver sido definida uma porta personalizada, substitua-a quando definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.If a custom port has been defined, substitute that custom port when you define the IP filter information for IPsec policies or for configuring firewalls.

2 Windows Server Update Services É possível instalar o Windows Server Update Service (WSUS) no Web site predefinido (porta 80) ou num Web site personalizado (porta 8530).2 Windows Server Update Services You can install Windows Server Update Service (WSUS) either on the default Web site (port 80) or a custom Web site (port 8530).

Após a instalação, é possível alterar a porta.After installation, you can change the port. Não é necessário utilizar o mesmo número de porta ao longo da hierarquia do site.You do not have to use the same port number throughout the site hierarchy.

Se a porta HTTP for 80, a porta HTTPS tem de ser 443.If the HTTP port is 80, the HTTPS port must be 443.

Se a porta HTTP for qualquer outra, a porta HTTPS tem de ser 1 superior.If the HTTP port is anything else, the HTTPS port must be 1 higher. Por exemplo, 8530 e 8531.For example, 8530 and 8531.