Configuration Manager中用戶端的 Windows 防火牆和埠設定
適用於:Configuration Manager (目前的分支)
執行 Windows 防火牆Configuration Manager中的用戶端電腦通常會要求您設定例外狀況,以允許與其網站通訊。 您必須設定的例外狀況取決於您與Configuration Manager用戶端搭配使用的管理功能。
使用下列各節來識別這些管理功能,以及有關如何針對這些例外狀況設定 Windows 防火牆的詳細資訊。
修改 Windows 防火牆允許的埠和程式
使用下列程式來修改 Windows 防火牆上適用于Configuration Manager用戶端的埠和程式。
修改 Windows 防火牆允許的埠和程式
在執行 Windows 防火牆的電腦上,開啟 主控台。
以滑鼠右鍵按一下 [Windows 防火牆],然後按一下 [ 開啟]。
設定任何必要的例外狀況,以及您需要的任何自訂程式和埠。
Configuration Manager需要的程式和埠
下列Configuration Manager功能需要 Windows 防火牆上的例外狀況:
查詢
如果您在執行 Windows 防火牆的電腦上執行Configuration Manager主控台,查詢會在第一次執行時失敗,作業系統會顯示對話方塊,詢問您是否要解除封鎖statview.exe。 如果您解除封鎖statview.exe,未來的查詢將會執行而不會發生錯誤。 您也可以在執行查詢之前,手動將Statview.exe新增至 Windows 防火牆 [ 例外 狀況] 索引標籤上的程式和服務清單。
用戶端推入安裝
若要使用用戶端推入來安裝Configuration Manager用戶端,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出和輸入: 檔案和印表機共用
輸入: Windows Management Instrumentation (WMI)
使用用戶端安裝群組原則
若要使用群組原則安裝Configuration Manager用戶端,請將檔案和印表機共用新增為 Windows 防火牆的例外狀況。
用戶端要求
若要讓用戶端電腦與Configuration Manager月臺系統通訊,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出:HTTP 通訊) 的 TCP 埠 80 (
輸出:HTTPS 通訊) 的 TCP 埠 443 (
重要事項
這些是可在Configuration Manager中變更的預設埠號碼。 如需詳細資訊,請參閱 如何設定用戶端通訊埠。 如果這些埠已從預設值變更,您也必須在 Windows 防火牆上設定相符的例外狀況。
用戶端通知
若要讓管理點通知用戶端電腦系統管理使用者在Configuration Manager主控台中選取用戶端動作時必須採取的動作,例如下載電腦原則或起始惡意程式碼掃描,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出:TCP 埠 10123
如果此通訊失敗,Configuration Manager會自動回復為使用 HTTP 或 HTTPS 的現有用戶端對管理點通訊埠:
輸出:HTTP 通訊) 的 TCP 埠 80 (
輸出:HTTPS 通訊) 的 TCP 埠 443 (
重要事項
這些是可在Configuration Manager中變更的預設埠號碼。 如需詳細資訊,請參閱 如何設定用戶端通訊埠。 如果這些埠已從預設值變更,您也必須在 Windows 防火牆上設定相符的例外狀況。
遙控
若要使用Configuration Manager遠端控制,請允許下列埠:
- 輸入:TCP 埠 2701
遠端協助和遠端桌面
若要從 Configuration Manager 主控台起始遠端協助,請將自訂程式Helpsvc.exe和輸入自訂埠 TCP 135新增至用戶端電腦上 Windows 防火牆中允許的程式和服務清單。 您也必須允許 遠端協助 和 遠端桌面。 如果您從用戶端電腦起始遠端協助,Windows 防火牆會自動設定並允許 遠端協助 和 遠端桌面。
Wake-Up Proxy
如果您啟用喚醒 Proxy 用戶端設定,名為 ConfigMgr Wake-up Proxy 的新服務會使用點對點通訊協定來檢查子網上是否有其他電腦喚醒,並視需要將它們喚醒。 此通訊會使用下列埠:
輸出:UDP 埠 25536
輸出:UDP 埠 9
這些是可在 Configuration Manager 中變更的預設埠號碼,方法是使用喚醒Proxy埠號碼 (UDP) 的 Power Management 用戶端設定,以及UDP) (網路喚醒埠號碼。 如果您指定 [電源管理:喚醒 Proxy 用戶端 的 Windows 防火牆例外 狀況] 用戶端設定,這些埠會自動在用戶端的 Windows 防火牆中設定。 不過,如果用戶端執行不同的防火牆,您必須手動設定這些埠號碼的例外狀況。
除了這些埠之外,喚醒 Proxy 也會使用網際網路控制訊息通訊協定 (ICMP) 從一部用戶端電腦到另一部用戶端電腦的回應要求訊息。 此通訊可用來確認網路上的其他用戶端電腦是否處於喚醒狀態。 ICMP 有時稱為 TCP/IP ping 命令。
如需喚醒 Proxy 的詳細資訊,請參閱 規劃如何喚醒用戶端。
Windows 事件檢視器、Windows 效能監視器 和 Windows 診斷
若要從 Configuration Manager 主控台存取 Windows 事件檢視器、Windows 效能監視器 和 Windows 診斷,請在 Windows 防火牆上啟用檔案和印表機共用作為例外狀況。
Configuration Manager用戶端部署期間使用的埠
下表列出用戶端安裝程式期間所使用的埠。
重要事項
如果月臺系統伺服器與用戶端電腦之間有防火牆,請確認防火牆是否允許您選擇的用戶端安裝方法所需的埠流量。 例如,防火牆通常會阻止用戶端推入安裝成功,因為它們會封鎖伺服器訊息區 (SMB) 和遠端程序呼叫 (RPC) 。 在此案例中,請使用不同的用戶端安裝方法,例如手動安裝 (執行CCMSetup.exe) 或以群組原則為基礎的用戶端安裝。 這些替代用戶端安裝方法不需要 SMB 或 RPC。
如需如何在用戶端電腦上設定 Windows 防火牆的資訊,請參閱 修改 Windows 防火牆允許的埠和程式。
用於所有安裝方法的埠
| 描述 | UDP | TCP |
|---|---|---|
| 超文字傳輸通訊協定 (將後援狀態點指派給用戶端時,HTTP) 從用戶端電腦傳送到後援狀態點。 | -- | 80 (請參閱附注 1: 可用的替代埠) |
與用戶端推入安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 伺服器訊息區 (月臺伺服器與用戶端電腦之間的 SMB) 。 | -- | 445 |
| 月臺伺服器與用戶端電腦之間的 RPC 端點對應程式。 | 135 | 135 |
| 月臺伺服器與用戶端電腦之間的 RPC 動態埠。 | -- | 動態 |
| 當連線透過 HTTP 時,超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTP) 。 | -- | 80 (請參閱附注 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) 。 | -- | 443 (請參閱附注 1: 可用的替代埠) |
與軟體更新點型安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 從用戶端電腦到軟體更新點的超文字傳輸通訊協定 (HTTP) 。 | -- | 80 或 8530 (請參閱附注 2,Windows Server Update Services) |
| 從用戶端電腦到軟體更新點的安全超文字傳輸通訊協定 (HTTPS) 。 | -- | 443 或 8531 (請參閱附注 2,Windows Server Update Services) |
| 當您指定 CCMSetup 命令列屬性/source:Path > 時,來源伺服器與用戶端電腦之間的伺服器訊息區 (SMB) <。 | -- | 445 |
與以群組原則為基礎的安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 當連線透過 HTTP 時,超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTP) 。 | -- | 80 (請參閱附注 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) 。 | -- | 443 (請參閱附注 1: 可用的替代埠) |
| 當您指定 CCMSetup 命令列屬性/source:Path > 時,來源伺服器與用戶端電腦之間的伺服器訊息區 (SMB) <。 | -- | 445 |
用於手動安裝和登入腳本型安裝的埠
| 描述 | UDP | TCP |
|---|---|---|
| 伺服器訊息區 (用戶端電腦與您執行CCMSetup.exe的網路共用之間的 SMB) 。 當您安裝Configuration Manager時,用戶端安裝來源檔案會從< 管理點上的 InstallationPath >\Client 資料夾複製並自動共用。 不過,您可以複製這些檔案,並在網路上的任何電腦上建立新的共用。 或者,您可以在本機執行CCMSetup.exe,例如使用卸載式媒體來消除此網路流量。 |
-- | 445 |
| 超文字傳輸通訊協定 (當連線透過 HTTP 時,從用戶端電腦到管理點的 HTTP) ,而且您未指定 CCMSetup 命令列屬性/source: < Path >。 | -- | 80 (請參閱附注 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) ,而且您未指定 CCMSetup 命令列屬性/source: < Path >。 | -- | 443 (請參閱附注 1: 可用的替代埠) |
| 當您指定 CCMSetup 命令列屬性/source:Path > 時,來源伺服器與用戶端電腦之間的伺服器訊息區 (SMB) <。 | -- | 445 |
與軟體發佈型安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 發佈點與用戶端電腦之間的伺服器訊息區 (SMB) 。 | -- | 445 |
| 超文字傳輸通訊協定 (連線透過 HTTP 時,從用戶端到發佈點的 HTTP) 。 | -- | 80 (請參閱附注 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端到發佈點的 HTTPS) 。 | -- | 443 (請參閱附注 1: 可用的替代埠) |
注意事項
1 個可用的替代埠在Configuration Manager中,您可以為此值定義替代埠。 如果已定義自訂埠,當您定義 IPsec 原則的 IP 篩選資訊或設定防火牆時,請取代該自訂埠。
2 Windows Server Update Services您可以在預設網站 (埠 80) 或自訂網站 (埠 8530) 上安裝 Windows Server Update Service (WSUS) 。
安裝之後,您可以變更埠。 您不需要在整個月臺階層中使用相同的埠號碼。
如果 HTTP 埠為 80,HTTPS 埠必須是 443。
如果 HTTP 埠是任何其他埠,則 HTTPS 埠必須高於 1。 例如,8530 和 8531。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應