Windows-brandväggen och portinställningar för klienter i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Klientdatorer i Configuration Manager som kör Windows-brandväggen kräver ofta att du konfigurerar undantag för att tillåta kommunikation med deras plats. Vilka undantag du måste konfigurera beror på de hanteringsfunktioner som du använder med Configuration Manager-klienten.
Använd följande avsnitt för att identifiera dessa hanteringsfunktioner och för mer information om hur du konfigurerar Windows-brandväggen för dessa undantag.
Ändra de portar och program som tillåts av Windows-brandväggen
Använd följande procedur för att ändra portarna och programmen i Windows-brandväggen för Configuration Manager-klienten.
Ändra portar och program som tillåts av Windows-brandväggen
Öppna Kontrollpanelen på datorn som kör Windows-brandväggen.
Högerklicka på Windows-brandväggen och klicka sedan på Öppna.
Konfigurera eventuella nödvändiga undantag och eventuella anpassade program och portar som du behöver.
Program och portar som Configuration Manager kräver
Följande Configuration Manager-funktioner kräver undantag i Windows-brandväggen:
Frågor
Om du kör Configuration Manager-konsolen på en dator som kör Windows-brandväggen misslyckas frågorna första gången de körs och operativsystemet visar en dialogruta där du tillfrågas om du vill avblockera statview.exe. Om du avblockera statview.exe körs framtida frågor utan fel. Du kan också lägga till Statview.exe manuellt i listan över program och tjänster på fliken Undantag i Windows-brandväggen innan du kör en fråga.
Push-installation av klient
Om du vill använda push-överföring för att installera Configuration Manager-klienten lägger du till följande som undantag i Windows-brandväggen:
Utgående och inkommande: Fil- och skrivardelning
Inkommande: Windows Management Instrumentation (WMI)
Klientinstallation med hjälp av grupprincip
Om du vill använda grupprincip för att installera Configuration Manager-klienten lägger du till Fil- och skrivardelning som ett undantag i Windows-brandväggen.
Klientbegäranden
För att klientdatorer ska kunna kommunicera med Configuration Manager platssystem lägger du till följande som undantag i Windows-brandväggen:
Utgående: TCP-port 80 (för HTTP-kommunikation)
Utgående: TCP-port 443 (för HTTPS-kommunikation)
Viktigt
Det här är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Så här konfigurerar du klientkommunikationsportar. Om dessa portar har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen.
Klientmeddelande
Om hanteringsplatsen ska meddela klientdatorer om en åtgärd som måste vidtas när en administrativ användare väljer en klientåtgärd i Configuration Manager-konsolen, till exempel ladda ned datorprincip eller initiera en genomsökning av skadlig kod, lägger du till följande som ett undantag i Windows-brandväggen:
Utgående: TCP-port 10123
Om den här kommunikationen inte lyckas återgår Configuration Manager automatiskt till att använda den befintliga kommunikationsporten för klient-till-hanteringsplats för HTTP eller HTTPS:
Utgående: TCP-port 80 (för HTTP-kommunikation)
Utgående: TCP-port 443 (för HTTPS-kommunikation)
Viktigt
Det här är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Konfigurera klientkommunikationsportar. Om dessa portar har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen.
Fjärrkontroll
Om du vill använda Configuration Manager fjärrstyrning tillåter du följande port:
- Inkommande: TCP-port 2701
Fjärrhjälp och fjärrskrivbord
Om du vill initiera fjärrhjälp från Configuration Manager-konsolen lägger du till det anpassade programmet Helpsvc.exe och den inkommande anpassade porten TCP 135 i listan över tillåtna program och tjänster i Windows-brandväggen på klientdatorn. Du måste också tillåta fjärrhjälp och fjärrskrivbord. Om du initierar fjärrhjälp från klientdatorn konfigurerar och tillåter Windows-brandväggen automatiskt fjärrhjälp och fjärrskrivbord.
Wake-Up proxy
Om du aktiverar inställningen för aktiveringsproxyklienten använder en ny tjänst med namnet ConfigMgr Wake-up Proxy ett peer-to-peer-protokoll för att kontrollera om andra datorer är aktiva i undernätet och för att aktivera dem om det behövs. Den här kommunikationen använder följande portar:
Utgående: UDP-port 25536
Utgående: UDP-port 9
Det här är standardportnumren som kan ändras i Configuration Manager med hjälp av Power Management-klienternas inställningar för väckningsproxyportnummer (UDP) och Wake On LAN-portnummer (UDP). Om du anger energisparfunktioner: Undantag från Windows-brandväggen för klientinställningen för aktiveringsproxy konfigureras dessa portar automatiskt i Windows-brandväggen för klienter. Men om klienter kör en annan brandvägg måste du manuellt konfigurera undantagen för dessa portnummer.
Förutom dessa portar använder aktiveringsproxyn även meddelanden om ekobegäranden från Internet Control Message Protocol (ICMP) från en klientdator till en annan klientdator. Den här kommunikationen används för att bekräfta om den andra klientdatorn är aktiv i nätverket. ICMP kallas ibland TCP/IP-pingkommandon.
Mer information om aktiveringsproxy finns i Planera hur klienter ska aktiveras.
Windows Loggboken, Windows Performance Monitor och Windows Diagnostics
Om du vill komma åt Windows Loggboken, Prestandaövervakaren för Windows och Windows-diagnostik från Configuration Manager-konsolen aktiverar du Fil- och skrivardelning som ett undantag i Windows-brandväggen.
Portar som används under Configuration Manager klientdistribution
I följande tabeller visas de portar som används under klientinstallationsprocessen.
Viktigt
Om det finns en brandvägg mellan platssystemservrarna och klientdatorn kontrollerar du om brandväggen tillåter trafik för de portar som krävs för den klientinstallationsmetod som du väljer. Brandväggar förhindrar till exempel ofta att push-installation av klienter lyckas eftersom de blockerar SMB (Server Message Block) och RPC (Remote Procedure Calls). I det här scenariot använder du en annan klientinstallationsmetod, till exempel manuell installation (körs CCMSetup.exe) eller grupprincip-baserad klientinstallation. Dessa alternativa klientinstallationsmetoder kräver inte SMB eller RPC.
Information om hur du konfigurerar Windows-brandväggen på klientdatorn finns i Ändra portar och program som tillåts av Windows-brandväggen.
Portar som används för alla installationsmetoder
| Beskrivning | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) från klientdatorn till en återställningsstatuspunkt när en återställningsstatuspunkt tilldelas till klienten. | -- | 80 (se anmärkning 1, alternativ port tillgänglig) |
Portar som används med push-installation av klienter
| Beskrivning | UDP | TCP |
|---|---|---|
| SMB (Server Message Block) mellan platsservern och klientdatorn. | -- | 445 |
| RPC-slutpunktsmappning mellan platsservern och klientdatorn. | 135 | 135 |
| Dynamiska RPC-portar mellan platsservern och klientdatorn. | -- | DYNAMISK |
| Hypertext Transfer Protocol (HTTP) från klientdatorn till en hanteringsplats när anslutningen är över HTTP. | -- | 80 (se anmärkning 1, alternativ port tillgänglig) |
| Secure Hypertext Transfer Protocol (HTTPS) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS. | -- | 443 (se anmärkning 1, alternativ port tillgänglig) |
Portar som används med platsbaserad installation av programuppdatering
| Beskrivning | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) från klientdatorn till programuppdateringsplatsen. | -- | 80 eller 8530 (se anmärkning 2, Windows Server Update Services) |
| Secure Hypertext Transfer Protocol (HTTPS) från klientdatorn till programuppdateringsplatsen. | -- | 443 eller 8531 (se anmärkning 2, Windows Server Update Services) |
| Server Message Block (SMB) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source:<Path>. | -- | 445 |
Portar som används med grupprincip-baserad installation
| Beskrivning | UDP | TCP |
|---|---|---|
| Hypertext Transfer Protocol (HTTP) från klientdatorn till en hanteringsplats när anslutningen är över HTTP. | -- | 80 (se anmärkning 1, alternativ port tillgänglig) |
| Secure Hypertext Transfer Protocol (HTTPS) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS. | -- | 443 (se anmärkning 1, alternativ port tillgänglig) |
| Server Message Block (SMB) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source:<Path>. | -- | 445 |
Portar som används med manuell installation och skriptbaserad installation för inloggning
| Beskrivning | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) mellan klientdatorn och en nätverksresurs som du kör CCMSetup.exe från. När du installerar Configuration Manager kopieras källfilerna för klientinstallationen och delas automatiskt från <mappen InstallationPath>\Client på hanteringsplatser. Du kan dock kopiera dessa filer och skapa en ny resurs på valfri dator i nätverket. Du kan också eliminera den här nätverkstrafiken genom att köra CCMSetup.exe lokalt, till exempel med hjälp av flyttbara medier. |
-- | 445 |
| Hypertext Transfer Protocol (HTTP) från klientdatorn till en hanteringsplats när anslutningen är över HTTP och du inte anger kommandoradsegenskapen CCMSetup /source:<Path>. | -- | 80 (se anmärkning 1, alternativ port tillgänglig) |
| Secure Hypertext Transfer Protocol (HTTPS) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS och du inte anger kommandoradsegenskapen CCMSetup /source:<Path>. | -- | 443 (se anmärkning 1, alternativ port tillgänglig) |
| Server Message Block (SMB) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source:<Path>. | -- | 445 |
Portar som används med programvarudistributionsbaserad installation
| Beskrivning | UDP | TCP |
|---|---|---|
| SMB (Server Message Block) mellan distributionsplatsen och klientdatorn. | -- | 445 |
| Hypertext Transfer Protocol (HTTP) från klienten till en distributionsplats när anslutningen är över HTTP. | -- | 80 (se anmärkning 1, alternativ port tillgänglig) |
| Secure Hypertext Transfer Protocol (HTTPS) från klienten till en distributionsplats när anslutningen är över HTTPS. | -- | 443 (se anmärkning 1, alternativ port tillgänglig) |
Anteckningar
1 Alternativ port tillgänglig I Configuration Manager kan du definiera en alternativ port för det här värdet. Om en anpassad port har definierats ersätter du den anpassade porten när du definierar IP-filterinformationen för IPsec-principer eller för att konfigurera brandväggar.
2 Windows Server Update Services Du kan installera Windows Server Update Service (WSUS) antingen på standardwebbplatsen (port 80) eller en anpassad webbplats (port 8530).
Efter installationen kan du ändra porten. Du behöver inte använda samma portnummer i hela platshierarkin.
Om HTTP-porten är 80 måste HTTPS-porten vara 443.
Om HTTP-porten är något annat måste HTTPS-porten vara 1 högre. Till exempel 8530 och 8531.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för