Configuration Manager 中客户端计算机的 Windows 防火墙和端口设置
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 中运行 Windows 防火墙的客户端计算机通常需要你配置例外,以便允许与它们的站点进行通信。 你必须配置的例外取决于你与 配置管理器 客户端一起使用的管理功能。
使用下列部分来确定这些管理功能,并了解有关如何为这些例外配置 Windows 防火墙的详细信息。
修改 Windows 防火墙允许的端口和程序
使用下列过程在 Windows 防火墙上为 配置管理器 客户端修改端口和程序。
修改 Windows 防火墙允许的端口和程序
-
在运行 Windows 防火墙的计算机上,打开“控制面板”。
-
右键单击“Windows 防火墙”,再单击“打开”。
-
配置任何必需的例外,以及你需要的任何自定义程序和端口。
Configuration Manager 所需的程序和端口
配置管理器 的下列功能需要在 Windows 防火墙上配置例外:
查询
如果在运行 Windows 防火墙的计算机上运行 配置管理器 控制台,则在初次运行查询时会失败,而且操作系统会显示一个对话框,询问你是否想取消阻止 statview.exe。 如果取消阻止,则以后运行的查询不会遇到错误。 在运行查询之前,也可以在 Windows 防火墙的“例外”选项卡上手动将 Statview.exe 添加到程序和服务列表中。
客户端请求安装
若要使用客户端请求来安装 System Center 2012 Configuration Manager 客户端,请将下列项目作为例外添加到 Windows 防火墙中:
出站和入站:文件和打印机共享
入站:Windows Management Instrumentation (WMI)
使用组策略进行的客户端安装
若要使用组策略安装 配置管理器 客户端,请将“文件和打印机共享”作为例外添加到 Windows 防火墙中。
客户端请求
为使客户端计算机能与 配置管理器 站点系统通信,请将下列项目作为例外添加到 Windows 防火墙中:
出站:TCP 端口 80(用于 HTTP 通信)
出站:TCP 端口 443(用于 HTTPS 通信)
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
这些是可以在 配置管理器 中更改的默认端口号。 有关详细信息,请参阅 如何在 Configuration Manager 中配置客户端通信端口号。 如果已更改了这些端口的默认值,则还必须在 Windows 防火墙上配置相应的例外。 |
客户端通知
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
当管理用户在 配置管理器 控制台中选择了客户端操作时(例如下载计算机策略或启动恶意软件扫描),为使管理点能将它必须执行的操作通知客户端计算机,请将下列项目作为例外添加到 Windows 防火墙中:
出站:TCP 端口 10123
如果此通信不成功,则 配置管理器 会自动恢复使用现有的客户端到管理点 HTTP 或 HTTPS 通信端口:
出站:TCP 端口 80(用于 HTTP 通信)
出站:TCP 端口 443(用于 HTTPS 通信)
| 重要事项 |
|---|
这些是可以在 配置管理器 中更改的默认端口号。 有关详细信息,请参阅 如何在 Configuration Manager 中配置客户端通信端口号。 如果已更改了这些端口的默认值,则还必须在 Windows 防火墙上配置相应的例外。 |
网络访问保护
为使客户端计算机能成功与系统健康验证程序点通信,请开放下列端口:
出站:UDP 67 和 UDP 68(用于 DHCP)
出站:TCP 80/443(用于 IPsec)
远程控制
若要使用 配置管理器 远程控制,请开放下列端口:
- 入站:TCP 端口 2701
远程协助和远程桌面
若要通过 配置管理器 控制台启动远程协助,请在客户端计算机上的 Windows 防火墙中,将自定义程序 Helpsvc.exe 和自定义入站端口 TCP 135 添加到允许的程序和服务列表中。 还必须允许“远程协助”和“远程桌面”。 如果从客户端计算机启动远程协助,则 Windows 防火墙会自动配置并允许“远程协助”和“远程桌面”。
唤醒代理
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
如果启用唤醒代理客户端设置,则名为“ConfigMgr 唤醒代理”的新服务会使用对等协议来检查子网上的其他计算机是否处于唤醒状态,并根据需要唤醒它们。 此通信使用下列端口:
出站:UDP 端口 25536
出站:UDP 端口 9
通过使用“唤醒代理端口号 (UDP)”和“LAN 唤醒端口号 (UDP)”的“电源管理”客户端设置可在 配置管理器 中更改这些默认端口号。 如果指定“电源管理”-“针对唤醒代理的 Windows 防火墙例外”客户端设置,则在 Windows 防火墙中会自动为客户端配置这些端口。 但是,如果客户端运行另一个防火墙,则你必须手动为这些端口号配置例外。
除了使用这些端口之外,唤醒代理还使用 Internet 控制消息协议 (ICMP) 来回显在客户端计算机之间发送的请求消息。 此通信用于确认网络上的另一台客户端计算机是否处于唤醒状态。 ICMP 有时称为 TCP/IP ping 命令。System Center 2012 Configuration Manager SP1 不会为这些 TCP/IP ping 命令配置 Windows 防火墙,因此,除非正在运行 System Center 2012 R2 Configuration Manager,否则你必须手动允许此 ICMP 流量,以便成功进行唤醒代理通信。
如果有 System Center 2012 Configuration Manager SP1(而不是 System Center 2012 R2 Configuration Manager),请使用下列过程来帮助你在 Windows 防火墙中配置自定义入站规则,以允许执行唤醒代理的入站 TCP/IP ping 命令。
将 Windows 防火墙配置为允许执行 TCP/IP ping 命令
-
在“高级安全 Windows 防火墙”控制台中,创建新的入站规则。
-
在“新建入站规则向导”中,在“规则类型”页上选择“自定义”,然后单击“下一步”。
-
在“程序”页上,保留“所有程序”默认值,然后单击“下一步”。
-
在“协议和端口”页上,单击“协议类型”的下拉列表,选择“ICMPv4”,然后单击“自定义”按钮。
-
在“自定义 ICMP 设置”对话框中,单击“特定 ICMP 类型”,选择“回显请求”,然后单击“确定”。
-
在“新建入站规则向导”中,单击“下一步”。
-
在“作用域”页上,保留任何本地或远程 IP 地址的默认设置,然后单击“下一步”。
-
在“操作”页上,确保选中“允许连接”,然后单击“下一步”。
-
在“配置文件”页上,选择将使用唤醒代理的配置文件(例如“域”),然后单击“下一步”。
-
在“名称”页上,指定此自定义规则的名称,并且根据需要键入描述,以帮助标明此规则是唤醒代理通信所需要的。 然后,单击“完成”以关闭向导。
有关唤醒代理的详细信息,请参阅在 Configuration Manager 中规划通信主题中的规划如何唤醒客户端部分
Windows 事件查看器、Windows 性能监视器和 Windows 诊断
若要从 配置管理器 控制台中访问 Windows 事件查看器、Windows 性能监视器和 Windows 诊断,请在 Windows 防火墙中将“文件和打印机共享”作为例外进行启用。
Configuration Manager 客户端部署期间使用的端口
下表列出了客户端安装过程中使用的端口。
| 重要事项 |
|---|
如果站点系统服务器与客户端计算机之间存在防火墙,请确认防火墙是否允许您选择的客户端安装方法所需的端口进出流量。 例如,防火墙经常会阻止客户端请求安装继续进行,因为防火墙会阻止服务器消息块 (SMB) 和远程过程调用 (RPC)。 在此情况下,请使用其他客户端安装方法,如手动安装(运行 CCMSetup.exe)或基于组策略的客户端安装。 这些替代客户端安装方法不需要 SMB 或 RPC。 |
有关如何在客户端计算机上配置 Windows 防火墙的信息,请参阅修改 Windows 防火墙允许的端口和程序。
用于所有安装方法的端口
描述 |
UDP |
TCP |
|---|---|---|
为客户端分配回退状态点时用于从客户端计算机向回退状态点进行传输的超文本传输协议 (HTTP)。 |
-- |
80(请参阅备注 1,可用的备用端口) |
用于客户端请求安装的端口
除了使用下表中列出的端口之外,客户端请求安装还使用站点服务器向客户端计算机发出的 Internet 控制消息协议 (ICMP) 回显请求消息来确认网络上是否有客户端计算机。 ICMP 有时称为 TCP/IP ping 命令。 ICMP 没有 UDP 或 TCP 协议号,因此未在下表中列出。 但是,为了使客户端请求安装成功,任何干预网络设备(如防火墙)都必须容许 ICMP 流量。
描述 |
UDP |
TCP |
|---|---|---|
站点服务器与客户端计算机之间的服务器消息块 (SMB)。 |
-- |
445 |
站点服务器与客户端计算机之间的 RPC 终结点映射程序。 |
135 |
135 |
站点服务器与客户端计算机之间的 RPC 动态端口。 |
-- |
DYNAMIC |
在通过超文本传输协议 (HTTP) 进行连接时,用于从客户端计算机连接到管理点的 HTTP。 |
-- |
80(请参阅备注 1,可用的备用端口) |
在通过安全超文本传输协议 (HTTPS) 进行连接时,用于从客户端计算机连接到管理点的 HTTPS。 |
-- |
433(请参阅备注 1,可用的备用端口) |
用于基于软件更新点的安装的端口
描述 |
UDP |
TCP |
|---|---|---|
用于从客户端计算机向软件更新点进行传输的超文本传输协议 (HTTP)。 |
-- |
80 或 8530(请参阅备注 2,Windows Server Update Services) |
用于从客户端计算机向软件更新点进行传输的安全超文本传输协议 (HTTPS)。 |
-- |
443 或 8531(请参阅备注 2,Windows Server Update Services) |
指定 CCMSetup 命令行属性 /source:<Path> 时源服务器与客户端计算机之间的服务器消息块 (SMB)。 |
-- |
445 |
用于基于组策略的安装的端口
描述 |
UDP |
TCP |
|---|---|---|
在通过超文本传输协议 (HTTP) 进行连接时,用于从客户端计算机连接到管理点的 HTTP。 |
-- |
80(请参阅备注 1,可用的备用端口) |
在通过安全超文本传输协议 (HTTPS) 进行连接时,用于从客户端计算机连接到管理点的 HTTPS。 |
-- |
433(请参阅备注 1,可用的备用端口) |
指定 CCMSetup 命令行属性 /source:<Path> 时源服务器与客户端计算机之间的服务器消息块 (SMB)。 |
-- |
445 |
用于手动安装和基于登录脚本的安装的端口
描述 |
UDP |
TCP |
||
|---|---|---|---|---|
客户端计算机与从中运行 CCMSetup.exe 的网络共享之间的服务器消息块 (SMB)。
|
-- |
445 |
||
通过超文本传输协议 (HTTP) 进行连接且未指定 CCMSetup 命令行属性 /source:<Path> 时,用于从客户端计算机连接到管理点的 HTTP。 |
-- |
80(请参阅备注 1,可用的备用端口) |
||
通过安全超文本传输协议 (HTTPS) 进行连接且未指定 CCMSetup 命令行属性 /source:<Path> 时,用于从客户端计算机连接到管理点的 HTTPS。 |
-- |
433(请参阅备注 1,可用的备用端口) |
||
指定 CCMSetup 命令行属性 /source:<Path> 时源服务器与客户端计算机之间的服务器消息块 (SMB)。 |
-- |
445 |
.jpeg "System_CAPS_note"){kind=icon}
注意用于基于软件分发的安装的端口
描述 |
UDP |
TCP |
|---|---|---|
分发点与客户端计算机之间的服务器消息块 (SMB)。 |
-- |
445 |
在通过超文本传输协议 (HTTP) 进行连接时,用于从客户端连接到分发点的 HTTP。 |
-- |
80(请参阅备注 1,可用的备用端口) |
在通过安全超文本传输协议 (HTTPS) 进行连接时,用于从客户端连接到分发点的 HTTPS。 |
-- |
433(请参阅备注 1,可用的备用端口) |
注意
1 可用的备用端口 在 Configuration Manager 中,您可以为此值定义备用端口。 如果定义了自定义端口,则为 IPsec 策略或为配置防火墙定义 IP 筛选器信息时将替代该自定义端口。
2 Windows Server Update Services 你可以在默认网站(端口 80)或自定义网站(端口 8530)上安装 Windows Server Update Services (WSUS)。
安装后,您可以更改端口。 不必在整个站点层次结构中使用相同的端口号。
如果 HTTP 端口为 80,则 HTTPS 端口必须为 443。
如果 HTTP 端口为其他端口,则 HTTPS 端口必须大 1,例如 8530 和 8531。