Windows-Firewall- und Porteinstellungen für Clients in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Auf Clientcomputern in Configuration Manager, auf denen die Windows-Firewall ausgeführt wird, müssen Sie häufig Ausnahmen konfigurieren, um die Kommunikation mit ihrem Standort zu ermöglichen. Die Ausnahmen, die Sie konfigurieren müssen, hängen von den Verwaltungsfunktionen ab, die Sie mit dem Configuration Manager-Client verwenden.

Verwenden Sie die folgenden Abschnitte, um diese Verwaltungsfeatures zu identifizieren und weitere Informationen zum Konfigurieren der Windows-Firewall für diese Ausnahmen zu erhalten.

Ändern der von der Windows-Firewall zulässigen Ports und Programme

Verwenden Sie das folgende Verfahren, um die Ports und Programme in der Windows-Firewall für den Configuration Manager-Client zu ändern.

So ändern Sie die von der Windows-Firewall zulässigen Ports und Programme

  1. Öffnen Sie auf dem Computer, auf dem die Windows-Firewall ausgeführt wird, Systemsteuerung.

  2. Klicken Sie mit der rechten Maustaste auf Windows-Firewall, und klicken Sie dann auf Öffnen.

  3. Konfigurieren Sie alle erforderlichen Ausnahmen sowie alle benutzerdefinierten Programme und Ports, die Sie benötigen.

Programme und Ports, die Configuration Manager erfordert

Die folgenden Configuration Manager Features erfordern Ausnahmen für die Windows-Firewall:

Abfragen

Wenn Sie die Configuration Manager-Konsole auf einem Computer ausführen, auf dem die Windows-Firewall ausgeführt wird, schlagen Abfragen bei der ersten Ausführung fehl, und das Betriebssystem zeigt ein Dialogfeld an, in dem Sie gefragt werden, ob Sie die Blockierung statview.exe aufheben möchten. Wenn Sie die Blockierung statview.exe aufheben, werden zukünftige Abfragen fehlerfrei ausgeführt. Sie können der Liste der Programme und Dienste auf der Registerkarte Ausnahmen der Windows-Firewall auch manuell Statview.exe hinzufügen, bevor Sie eine Abfrage ausführen.

Clientpushinstallation

Wenn Sie den Configuration Manager-Client mithilfe von Clientpush installieren möchten, fügen Sie der Windows-Firewall Folgendes als Ausnahmen hinzu:

  • Ausgehend und eingehend: Datei- und Druckerfreigabe

  • Eingehend: Windows-Verwaltungsinstrumentation (WMI)

Clientinstallation mithilfe von Gruppenrichtlinie

Um Gruppenrichtlinie zum Installieren des Configuration Manager-Clients zu verwenden, fügen Sie der Windows-Firewall Datei- und Druckerfreigabe als Ausnahme hinzu.

Clientanforderungen

Damit Clientcomputer mit Configuration Manager Standortsystemen kommunizieren können, fügen Sie der Windows-Firewall Folgendes als Ausnahmen hinzu:

Ausgehend: TCP-Port 80 (für HTTP-Kommunikation)

Ausgehend: TCP-Port 443 (für HTTPS-Kommunikation)

Wichtig

Dies sind Standardportnummern, die in Configuration Manager geändert werden können. Weitere Informationen finden Sie unter Konfigurieren von Clientkommunikationsports. Wenn diese Ports gegenüber den Standardwerten geändert wurden, müssen Sie auch übereinstimmende Ausnahmen für die Windows-Firewall konfigurieren.

Clientbenachrichtigung

Damit der Verwaltungspunkt Clientcomputer über eine Aktion benachrichtigt, die ausgeführt werden muss, wenn ein Administrator eine Clientaktion in der Configuration Manager-Konsole auswählt, z. B. computerrichtlinien herunterladen oder eine Schadsoftwareüberprüfung initiieren, fügen Sie der Windows-Firewall Folgendes als Ausnahme hinzu:

Ausgehend: TCP-Port 10123

Wenn diese Kommunikation nicht erfolgreich ist, greift Configuration Manager automatisch auf die Verwendung des vorhandenen Client-zu-Verwaltungspunkt-Kommunikationsports von HTTP oder HTTPS zurück:

Ausgehend: TCP-Port 80 (für HTTP-Kommunikation)

Ausgehend: TCP-Port 443 (für HTTPS-Kommunikation)

Wichtig

Dies sind Standardportnummern, die in Configuration Manager geändert werden können. Weitere Informationen finden Sie unter Konfigurieren von Clientkommunikationsports. Wenn diese Ports gegenüber den Standardwerten geändert wurden, müssen Sie auch übereinstimmende Ausnahmen für die Windows-Firewall konfigurieren.

Fernbedienung

Um Configuration Manager Remotesteuerung zu verwenden, lassen Sie den folgenden Port zu:

  • Eingehend: TCP-Port 2701

Remoteunterstützung und Remotedesktop

Um die Remoteunterstützung über die Configuration Manager-Konsole zu initiieren, fügen Sie das benutzerdefinierte ProgrammHelpsvc.exe und den eingehenden benutzerdefinierten Port TCP 135 der Liste der zulässigen Programme und Dienste in der Windows-Firewall auf dem Clientcomputer hinzu. Sie müssen auch Remoteunterstützung und Remotedesktop zulassen. Wenn Sie die Remoteunterstützung vom Clientcomputer aus initiieren, konfiguriert und lässt die Windows-Firewall automatisch Remoteunterstützung und Remotedesktop zu.

Wake-Up Proxy

Wenn Sie die Clienteinstellung des Aktivierungsproxys aktivieren, verwendet ein neuer Dienst namens ConfigMgr Wake-up Proxy ein Peer-to-Peer-Protokoll, um zu überprüfen, ob andere Computer im Subnetz aktiv sind, und um sie bei Bedarf zu reaktivieren. Diese Kommunikation verwendet die folgenden Ports:

Ausgehend: UDP-Port 25536

Ausgehend: UDP-Port 9

Dies sind die Standardportnummern, die in Configuration Manager mithilfe der Einstellungen für Energieverwaltungsclients von Udp (Wake-up Proxy Port Number) und Wake-On-LAN-Portnummer (UDP) geändert werden können. Wenn Sie die Einstellung Energieverwaltung: Windows-Firewall-Ausnahme für den Aktivierungsproxyclient angeben, werden diese Ports automatisch in der Windows-Firewall für Clients konfiguriert. Wenn Clients jedoch eine andere Firewall ausführen, müssen Sie die Ausnahmen für diese Portnummern manuell konfigurieren.

Zusätzlich zu diesen Ports verwendet der Aktivierungsproxy auch ICMP-Echoanforderungsnachrichten (Internet Control Message Protocol) von einem Clientcomputer an einen anderen Clientcomputer. Diese Kommunikation wird verwendet, um zu bestätigen, ob der andere Clientcomputer im Netzwerk aktiv ist. ICMP wird manchmal als TCP/IP-Pingbefehle bezeichnet.

Weitere Informationen zum Aktivierungsproxy finden Sie unter Planen der Aktivierung von Clients.

Windows Ereignisanzeige, Windows Leistungsmonitor und Windows-Diagnose

Um über die Configuration Manager-Konsole auf Windows Ereignisanzeige, Windows Leistungsmonitor und Windows-Diagnose zuzugreifen, aktivieren Sie die Datei- und Druckerfreigabe als Ausnahme in der Windows-Firewall.

Während der Configuration Manager-Clientbereitstellung verwendete Ports

In den folgenden Tabellen sind die Ports aufgeführt, die während der Clientinstallation verwendet werden.

Wichtig

Wenn zwischen den Standortsystemservern und dem Clientcomputer eine Firewall vorhanden ist, überprüfen Sie, ob die Firewall Datenverkehr für die Ports zulässt, die für die von Ihnen gewählte Clientinstallationsmethode erforderlich sind. Firewalls verhindern z. B. häufig, dass die Clientpushinstallation erfolgreich ist, da sie Server Message Block (SMB) und Remoteprozeduraufrufe (RPC) blockieren. Verwenden Sie in diesem Szenario eine andere Clientinstallationsmethode, z. B. manuelle Installation (ausführung CCMSetup.exe) oder Gruppenrichtlinie-basierte Clientinstallation. Für diese alternativen Clientinstallationsmethoden ist SMB oder RPC nicht erforderlich.

Informationen zum Konfigurieren der Windows-Firewall auf dem Clientcomputer finden Sie unter Ändern der von der Windows-Firewall zugelassenen Ports und Programme.

Ports, die für alle Installationsmethoden verwendet werden

Beschreibung UDP TCP
Hypertext Transfer Protocol (HTTP) vom Clientcomputer zu einem Fallbackstatuspunkt, wenn dem Client ein Fallbackstatuspunkt zugewiesen wird. -- 80 (Siehe Hinweis 1, Alternativer Port verfügbar)

Ports, die bei der Clientpushinstallation verwendet werden

Beschreibung UDP TCP
Server Message Block (SMB) zwischen dem Standortserver und dem Clientcomputer. -- 445
RPC-Endpunktzuordnung zwischen dem Standortserver und dem Clientcomputer. 135 135
Dynamische RPC-Ports zwischen dem Standortserver und dem Clientcomputer. -- DYNAMISCHE
Hypertext Transfer Protocol (HTTP) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTP hergestellt wird. -- 80 (Siehe Hinweis 1, Alternativer Port verfügbar)
Secure Hypertext Transfer Protocol (HTTPS) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTPS erfolgt. -- 443 (Siehe Hinweis 1, Alternativer Port verfügbar)

Ports, die bei der installation auf dem Softwareupdatepunkt verwendet werden

Beschreibung UDP TCP
Http (Hypertext Transfer Protocol) vom Clientcomputer zum Softwareupdatepunkt. -- 80 oder 8530 (siehe Hinweis 2, Windows Server Update Services)
Secure Hypertext Transfer Protocol (HTTPS) vom Clientcomputer zum Softwareupdatepunkt. -- 443 oder 8531 (siehe Anmerkung 2, Windows Server Update Services)
Server Message Block (SMB) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Path> angeben. -- 445

Ports, die bei Gruppenrichtlinie-basierten Installation verwendet werden

Beschreibung UDP TCP
Hypertext Transfer Protocol (HTTP) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTP hergestellt wird. -- 80 (Siehe Hinweis 1, Alternativer Port verfügbar)
Secure Hypertext Transfer Protocol (HTTPS) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTPS erfolgt. -- 443 (Siehe Hinweis 1, Alternativer Port verfügbar)
Server Message Block (SMB) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Path> angeben. -- 445

Ports, die bei der manuellen Installation und der auf Anmeldeskript basierenden Installation verwendet werden

Beschreibung UDP TCP
Server Message Block (SMB) zwischen dem Clientcomputer und einer Netzwerkfreigabe, von der aus Sie CCMSetup.exe ausführen.

Wenn Sie Configuration Manager installieren, werden die Quelldateien der Clientinstallation kopiert und automatisch aus dem <Ordner InstallationPath>\Client auf Verwaltungspunkten freigegeben. Sie können diese Dateien jedoch kopieren und eine neue Freigabe auf jedem Computer im Netzwerk erstellen. Alternativ können Sie diesen Netzwerkdatenverkehr beseitigen, indem Sie CCMSetup.exe lokal ausführen, z. B. mithilfe von Wechselmedien.
-- 445
Hypertext Transfer Protocol (HTTP) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTP erfolgt, und Sie geben die CCMSetup-Befehlszeileneigenschaft /source:<Path> nicht an. -- 80 (Siehe Hinweis 1, Alternativer Port verfügbar)
Secure Hypertext Transfer Protocol (HTTPS) vom Clientcomputer zu einem Verwaltungspunkt, wenn die Verbindung über HTTPS hergestellt wird, und Sie die CCMSetup-Befehlszeileneigenschaft /source:<Path> nicht angeben. -- 443 (Siehe Hinweis 1, Alternativer Port verfügbar)
Server Message Block (SMB) zwischen dem Quellserver und dem Clientcomputer, wenn Sie die CCMSetup-Befehlszeileneigenschaft /source:<Path> angeben. -- 445

Ports, die bei der softwareverteilungsbasierten Installation verwendet werden

Beschreibung UDP TCP
Server Message Block (SMB) zwischen dem Verteilungspunkt und dem Clientcomputer. -- 445
Hypertext Transfer Protocol (HTTP) vom Client zu einem Verteilungspunkt, wenn die Verbindung über HTTP erfolgt. -- 80 (Siehe Hinweis 1, Alternativer Port verfügbar)
Secure Hypertext Transfer Protocol (HTTPS) vom Client zu einem Verteilungspunkt, wenn die Verbindung über HTTPS erfolgt. -- 443 (Siehe Hinweis 1, Alternativer Port verfügbar)

Anmerkungen

1 Alternativer Port verfügbar In Configuration Manager können Sie einen alternativen Port für diesen Wert definieren. Wenn ein benutzerdefinierter Port definiert wurde, ersetzen Sie diesen benutzerdefinierten Port, wenn Sie die IP-Filterinformationen für IPsec-Richtlinien oder zum Konfigurieren von Firewalls definieren.

2 Windows Server Update Services Sie können Windows Server Update Service (WSUS) entweder auf der Standardwebsite (Port 80) oder auf einer benutzerdefinierten Website (Port 8530) installieren.

Nach der Installation können Sie den Port ändern. Sie müssen nicht dieselbe Portnummer in der gesamten Standorthierarchie verwenden.

Wenn der HTTP-Port 80 ist, muss der HTTPS-Port 443 sein.

Wenn der HTTP-Port etwas anderes ist, muss der HTTPS-Port 1 höher sein. Beispiel: 8530 und 8531.