Параметры брандмауэра Windows и портов для клиентов в Configuration Manager
Относится к Configuration Manager (Current Branch)
Клиентским компьютерам в Configuration Manager, на которых запущен брандмауэр Windows, часто требуется настроить исключения, чтобы разрешить обмен данными с их сайтом. Исключения, которые необходимо настроить, зависят от функций управления, используемых с клиентом Configuration Manager.
Используйте следующие разделы, чтобы определить эти функции управления и получить дополнительные сведения о настройке брандмауэра Windows для этих исключений.
Изменение портов и программ, разрешенных брандмауэром Windows
Используйте следующую процедуру, чтобы изменить порты и программы в брандмауэре Windows для клиента Configuration Manager.
Изменение портов и программ, разрешенных брандмауэром Windows
На компьютере с брандмауэром Windows откройте панель управления.
Щелкните правой кнопкой мыши брандмауэр Windows и выберите команду Открыть.
Настройте все необходимые исключения и все необходимые пользовательские программы и порты.
Программы и порты, необходимые Configuration Manager
Следующие Configuration Manager функции требуют исключений в брандмауэре Windows:
Запросы
При запуске консоли Configuration Manager на компьютере с брандмауэром Windows запросы завершаются сбоем при первом запуске, и операционная система отображает диалоговое окно с запросом на разблокировку statview.exe. Если разблокировать statview.exe, последующие запросы будут выполняться без ошибок. Вы также можете вручную добавить Statview.exe в список программ и служб на вкладке Исключения брандмауэра Windows перед выполнением запроса.
Принудительная установка клиента
Чтобы использовать принудительная отправка клиента для установки клиента Configuration Manager, добавьте следующие исключения в брандмауэр Windows:
Исходящие и входящие: общий доступ к файлам и принтерам
Входящие: инструментарий управления Windows (WMI)
Установка клиента с помощью групповая политика
Чтобы использовать групповая политика для установки клиента Configuration Manager, добавьте общий доступ к файлам и принтерам в качестве исключения в брандмауэр Windows.
Запросы клиентов
Чтобы клиентские компьютеры взаимодействовали с Configuration Manager системами сайта, добавьте в брандмауэр Windows следующие исключения:
Исходящий трафик: TCP-порт 80 (для связи по протоколу HTTP)
Исходящий: TCP-порт 443 (для связи по протоколу HTTPS)
Важно!
Это номера портов по умолчанию, которые можно изменить в Configuration Manager. Дополнительные сведения см. в статье How to How to Configure Client Communication Ports (Настройка клиентских портов связи). Если эти порты были изменены по сравнению со значениями по умолчанию, необходимо также настроить соответствующие исключения в брандмауэре Windows.
Уведомление клиента
Чтобы точка управления уведомляла клиентские компьютеры о действии, которое она должна предпринять, когда пользователь с правами администратора выбирает действие клиента в консоли Configuration Manager, например скачивание политики компьютера или запуск проверки вредоносных программ, добавьте следующее в качестве исключения в брандмауэр Windows:
Исходящий: TCP-порт 10123
Если эта связь не выполняется, Configuration Manager автоматически вернется к использованию существующего порта связи между клиентом и точкой управления HTTP или HTTPS:
Исходящий трафик: TCP-порт 80 (для связи по протоколу HTTP)
Исходящий: TCP-порт 443 (для связи по протоколу HTTPS)
Важно!
Это номера портов по умолчанию, которые можно изменить в Configuration Manager. Дополнительные сведения см. в разделе Настройка клиентских портов связи. Если эти порты были изменены по сравнению со значениями по умолчанию, необходимо также настроить соответствующие исключения в брандмауэре Windows.
Удаленное управление
Чтобы использовать Configuration Manager удаленного управления, разрешите следующий порт:
- Входящие: TCP-порт 2701
Удаленный помощник и удаленный рабочий стол
Чтобы инициировать удаленный помощник из консоли Configuration Manager, добавьте настраиваемую программуHelpsvc.exe и пользовательский порт TCP 135 для входящего трафика в список разрешенных программ и служб в брандмауэре Windows на клиентском компьютере. Необходимо также разрешить удаленный помощник и удаленный рабочий стол. При запуске удаленного помощника с клиентского компьютера брандмауэр Windows автоматически настраивает и разрешает удаленный помощник и удаленный рабочий стол.
прокси-сервер Wake-Up
Если включить параметр клиента прокси-сервера пробуждения, новая служба с именем ConfigMgr Wake-up Proxy использует одноранговый протокол, чтобы проверить, не бодрствуют ли другие компьютеры в подсети, и при необходимости разбудить их. Это взаимодействие использует следующие порты:
Исходящий: UDP-порт 25536
Исходящий: UDP-порт 9
Это номера портов по умолчанию, которые можно изменить в Configuration Manager с помощью параметров клиентов Управления питаниемномера порта прокси-сервера пробуждения (UDP) и номера порта пробуждения по локальной сети (UDP). Если указать параметр Управление питанием: исключение брандмауэра Windows для клиента прокси-сервера пробуждения , эти порты автоматически настраиваются в брандмауэре Windows для клиентов. Однако если клиенты запускают другой брандмауэр, необходимо вручную настроить исключения для этих номеров портов.
Помимо этих портов, прокси-сервер пробуждения также использует сообщения запроса эха протокола ICMP с одного клиентского компьютера на другой клиентский компьютер. Это взаимодействие используется для подтверждения того, что другой клиентский компьютер не работает в сети. ICMP иногда называют командами ping TCP/IP.
Дополнительные сведения о прокси-сервере пробуждения см. в статье Планирование пробуждения клиентов.
Windows Просмотр событий, Windows Монитор производительности и диагностика Windows
Чтобы получить доступ к windows Просмотр событий, Windows Монитор производительности и диагностике Windows из консоли Configuration Manager, включите общий доступ к файлам и принтерам в качестве исключения в брандмауэре Windows.
Порты, используемые во время развертывания клиента Configuration Manager
В следующих таблицах перечислены порты, используемые в процессе установки клиента.
Важно!
Если между серверами системы сайта и клиентским компьютером есть брандмауэр, убедитесь, что брандмауэр разрешает трафик для портов, необходимых для выбранного метода установки клиента. Например, брандмауэры часто препятствуют успешной принудительной установке клиента, так как блокируют серверный блок сообщений (SMB) и удаленные вызовы процедур (RPC). В этом сценарии используйте другой метод установки клиента, например ручную установку (запуск CCMSetup.exe) или установку клиента на основе групповая политика. Эти альтернативные методы установки клиента не требуют SMB или RPC.
Сведения о настройке брандмауэра Windows на клиентском компьютере см. в разделе Изменение портов и программ, разрешенных брандмауэром Windows.
Порты, используемые для всех методов установки
| Описание | UDP | TCP |
|---|---|---|
| Протокол HTTP с клиентского компьютера в резервную точку состояния, когда клиенту назначается резервная точка состояния. | -- | 80 (см. примечание 1, доступный альтернативный порт) |
Порты, используемые при принудительной установке клиента
| Описание | UDP | TCP |
|---|---|---|
| Серверный блок сообщений (SMB) между сервером сайта и клиентским компьютером. | -- | 445 |
| Сопоставитель конечных точек RPC между сервером сайта и клиентским компьютером. | 135 | 135 |
| Динамические порты RPC между сервером сайта и клиентским компьютером. | -- | ДИНАМИЧЕСКИЙ |
| Протокол HTTP от клиентского компьютера до точки управления, когда подключение выполняется по протоколу HTTP. | -- | 80 (см. примечание 1, доступный альтернативный порт) |
| Безопасный протокол HTTPS от клиентского компьютера до точки управления, если подключение выполняется по протоколу HTTPS. | -- | 443 (см. примечание 1, доступный альтернативный порт) |
Порты, используемые при установке на основе точки обновления программного обеспечения
| Описание | UDP | TCP |
|---|---|---|
| Протокол HTTP с клиентского компьютера в точку обновления программного обеспечения. | -- | 80 или 8530 (см. примечание 2, Windows Server Update Services) |
| Протокол HTTPS с клиентского компьютера в точку обновления программного обеспечения. | -- | 443 или 8531 (см. примечание 2, Windows Server Update Services) |
| Серверный блок сообщений (SMB) между исходным сервером и клиентским компьютером при указании свойства командной строки CCMSetup /source:<Path>. | -- | 445 |
Порты, используемые при установке на основе групповая политика
| Описание | UDP | TCP |
|---|---|---|
| Протокол HTTP от клиентского компьютера до точки управления, когда подключение выполняется по протоколу HTTP. | -- | 80 (см. примечание 1, доступный альтернативный порт) |
| Безопасный протокол HTTPS от клиентского компьютера до точки управления, если подключение выполняется по протоколу HTTPS. | -- | 443 (см. примечание 1, доступный альтернативный порт) |
| Серверный блок сообщений (SMB) между исходным сервером и клиентским компьютером при указании свойства командной строки CCMSetup /source:<Path>. | -- | 445 |
Порты, используемые при установке вручную и при установке на основе скрипта входа
| Описание | UDP | TCP |
|---|---|---|
| Серверный блок сообщений (SMB) между клиентским компьютером и сетевой папкой, из которой выполняется CCMSetup.exe. При установке Configuration Manager исходные файлы установки клиента копируются и автоматически передаются из <папки InstallationPath>\Client в точках управления. Однако вы можете скопировать эти файлы и создать новую общую папку на любом компьютере в сети. Кроме того, этот сетевой трафик можно устранить, запустив CCMSetup.exe локально, например с помощью съемных носителей. |
-- | 445 |
| Протокол HTTP от клиентского компьютера до точки управления, если подключение выполняется по протоколу HTTP и свойство командной строки CCMSetup /source:<Path> не указывается. | -- | 80 (см. примечание 1, доступный альтернативный порт) |
| Протокол HTTPS с клиентского компьютера в точку управления, если подключение выполняется по протоколу HTTPS и свойство командной строки CCMSetup /source:<Path> не указывается. | -- | 443 (см. примечание 1, доступный альтернативный порт) |
| Серверный блок сообщений (SMB) между исходным сервером и клиентским компьютером при указании свойства командной строки CCMSetup /source:<Path>. | -- | 445 |
Порты, используемые при установке на основе распространения программного обеспечения
| Описание | UDP | TCP |
|---|---|---|
| Серверный блок сообщений (SMB) между точкой распространения и клиентским компьютером. | -- | 445 |
| Протокол HTTP от клиента к точке распространения, когда подключение выполняется по протоколу HTTP. | -- | 80 (см. примечание 1, доступный альтернативный порт) |
| Безопасный протокол HTTPS от клиента до точки распространения, если подключение выполняется по протоколу HTTPS. | -- | 443 (см. примечание 1, доступный альтернативный порт) |
Примечания
1 Доступный альтернативный порт В Configuration Manager можно определить альтернативный порт для этого значения. Если пользовательский порт определен, замените его при определении сведений о фильтре IP-адресов для политик IPsec или для настройки брандмауэров.
2 Windows Server Update Services Вы можете установить windows Server Update Service (WSUS) на веб-сайте по умолчанию (порт 80) или на пользовательском веб-сайте (порт 8530).
После установки можно изменить порт. Вам не нужно использовать один и тот же номер порта во всей иерархии сайта.
Если http-порт равен 80, порт HTTPS должен иметь значение 443.
Если HTTP-порт является чем-либо другим, порт HTTPS должен быть на 1 выше. Например, 8530 и 8531.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по