Guida tecnica per le porte usate in Configuration Manager

Oltre alle porte riportate nella seguente tabella, il proxy di riattivazione usa anche i messaggi di richiesta echo di Internet Control Message Protocol (ICMP) da un client all'altro quando questi sono configurati per il proxy di riattivazione. Questo tipo di comunicazione viene usata per verificare se l'altro computer è attivo nella rete. ICMP viene talvolta indicato come comandi ping TCP/IP. ICMP non dispone di un numero di protocollo UDP o TCP e pertanto non è elencato nella seguente tabella. Tuttavia, qualsiasi firewall basato su host presente nei computer client o negli altri dispositivi di rete all'interno del sottoinsieme deve consentire il traffico ICMP affinché la comunicazione del proxy di riattivazione venga eseguita correttamente.

Un client di Configuration Manager non contatta un server di catalogo globale quando si tratta di un computer di un gruppo di lavoro o quando è configurato per la comunicazione solo con Internet.

Il client richiede che le porte siano stabilite dal client di Protezione accesso alla rete di Windows, che dipende dal client di imposizione in uso. Ad esempio, l'imposizione DHCP userà le porte UDP 67 e 68. L'imposizione IPsec userà le porte TCP 80 o 443 per l'Autorità registrazione integrità, la porta UDP 500 per la negoziazione IPsec e altre porte necessarie per i filtri IPsec. Per altre informazioni, vedere la documentazione di Protezione accesso alla rete di Windows. Per assistenza nella configurazione di firewall per IPsec, vedere Come abilitare il traffico IPsec attraverso un firewall.

Un punto di distribuzione comunica con il punto di gestione negli scenari seguenti:

• Per segnalare lo stato del contenuto pre-installato

• Per segnalare i dati di riepilogo sull'utilizzo

• Per segnalare la convalida del contenuto

• Un punto di distribuzione pull segnala lo stato di download del pacchetto

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

Questa comunicazione viene usata quando si distribuiscono i profili certificato usando il punto di registrazione del certificato. La comunicazione non viene usata per tutti i server del sito nella gerarchia, viene usata solo per il server del sito nel livello superiore della gerarchia.

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

Durante l'installazione di un sito che userà un SQL Server remoto per ospitare il database del sito, è necessario aprire le seguenti porte tra il server del sito e l'SQL Server:

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

(Vedere la nota 5, Comunicazione tra server del sito e sistemi del sito)

La replica di database tra siti richiede SQL Server in un sito per comunicare direttamente con SQL Server del sito padre o del sito figlio.

Suggerimento
Configuration Manager non richiede SQL Server Browser, che usa la porta UDP 1434.

1. Porta server proxy: Questa porta non può essere configurata, ma può essere instradata attraverso un server proxy configurato.

2. Porta alternativa disponibile: È possibile definire una porta alternativa per questo valore all'interno di Configuration Manager. Se è stata definita una porta personalizzata, sostituirla durante la definizione delle informazioni sul filtro IP per i criteri IPsec o per la configurazione dei firewall.

3. Windows Server Update Services: WSUS può essere installato nel sito Web predefinito (porta 80) o in un sito Web personalizzato (porta 8530).

   Al termine dell'installazione è possibile modificare la porta. Non è necessario usare lo stesso numero di porta per tutta la gerarchia del sito.

   • Se la porta HTTP è la porta 80, la porta HTTPS deve essere la porta 443.

   • Se la porta HTTP è diversa, la porta HTTPS deve essere maggiore di 1, ad esempio 8530 e 8531.

4. Daemon Trivial FTP (TFTP): Il servizio del sistema Daemon Trivial FTP (TFTP) non richiede un nome utente o una password ed è parte integrante di Windows Deployment Services (WDS). Il servizio Daemon Trivial FTP implementa il supporto per il protocollo TFTP definito nei seguenti RFC:

   • RFC 350 - TFTP

   • RFC 2347 - Estensione opzione

   • RFC 2348 - Opzione dimensione blocco

   • RFC 2349 - Intervallo di timeout e opzioni dimensione trasferimento

   Trivial File Transfer Protocol è progettato per supportare ambienti di avvio privi di dischi. I daemon TFTP sono in ascolto sulla porta UDP 69 ma rispondono da una porta elevata allocata in modo dinamico. Pertanto, l'abilitazione di questa porta consente al servizio TFTP di ricevere richieste TFTP in ingresso ma non consentirà al server selezionato di rispondere. Non è possibile consentire al server selezionato di rispondere alle richieste TFTP in entrata a meno che il server TFTP non sia configurato per rispondere dalla porta 69.

5. Comunicazione tra il server del sito e i sistemi del sito: Per impostazione predefinita, la comunicazione tra il server del sito e i sistemi del sito è bidirezionale. Il server del sito avvia la comunicazione per configurare il sistema del sito, quindi la maggior parte dei sistemi del sito si riconnette al server del sito per inviare le informazioni sullo stato. I punti di distribuzione e i punti di Reporting Services non inviano informazioni sullo stato. Se si seleziona Richiedi al server del sito di avviare le connessioni al sistema del sito nelle proprietà del sistema del sito, dopo la relativa installazione il sistema del sito non avvierà la comunicazione al server del sito. Il server del sito avvia le connessioni e usa l'account di installazione sistema del sito per l'autenticazione al server di sistema del sito.

6. Porte dinamiche: Le porte dinamiche (denominate anche porte temporanee) usano un intervallo di numeri di porta definito dalla versione del sistema operativo. Per informazioni sugli intervalli di porta predefiniti, vedere Panoramica dei servizi e requisiti per le porte di rete per Windows.

Nelle seguenti informazioni vengono descritte le porte usate dalla gestione fuori banda:

• Punto di servizio fuori banda --> Punto di registrazione

• Punto di servizio fuori banda --> Controller di gestione AMT

• Console di gestione fuori banda --> Controller di gestione AMT

I client usano Server Message Block (SMB) ogni volta che si connettono alle condivisioni UNC. Ad esempio:

• Installazione client manuale che specifica la proprietà della riga di comando di /source: CCMSetup.exe.

• Client di Endpoint Protection che scarica i file di definizione da un percorso UNC.

Per la comunicazione al motore di database di SQL Server e per la replica tra siti, è possibile usare la porta di SQL Server predefinita o specificare porte personalizzate:

• Le comunicazioni intrasito usano:

  • SQL Server Service Broker, che usa per impostazione predefinita la porta TCP 4022.

  • SQL Server Service, che usa per impostazione predefinita la porta TCP 1433.

• La comunicazione tra siti tra il motore di database di SQL Server e diversi ruoli del sistema del sito di Configuration Manager usa la porta TCP 1433 per impostazione predefinita.

Avviso
Configuration Manager non supporta le porte dinamiche. Poiché per impostazione predefinita le istanze denominate di SQL Server usano le porte dinamiche per le connessioni al motore di database, quando si usa un'istanza denominata è necessario configurare manualmente la porta statica da usare per la comunicazione tra siti.

I ruoli del sistema del sito seguenti comunicano direttamente con il database di SQL Server:

• Punto per servizi Web del Catalogo applicazioni

• Ruolo del punto di registrazione certificati

• Ruolo del punto di registrazione

• Punto di gestione

• Server del sito

• Punto di Reporting Services

• Provider SMS

• SQL Server --> SQL Server

Se SQL Server ospita un database da più di un sito, ogni database deve usare un'istanza separata di SQL Server e ogni istanza deve essere configurata con un set univoco di porte.

Se si dispone di un firewall abilitato nel computer SQL Server, assicurarsi che sia configurato per consentire le porte in uso dalla distribuzione e in tutti i percorsi della rete tra i computer che comunicano con SQL Server.

Per un esempio di come configurare SQL Server per l'utilizzo di una porta specifica, vedere Procedura: Configurazione di un server per l'ascolto di una porta TCP specifica (Gestione configurazione SQL Server) nella Libreria TechNet di SQL Server.

I sistemi del sito o i client di Configuration Manager possono effettuare le seguenti connessioni esterne:

• Punto di sincronizzazione di Asset Intelligence -- > Microsoft

• Punto di Endpoint Protection -- > Internet

• Client -- > Controller di dominio catalogo globale

• Console di Configuration Manager -- > Internet

• Punto di gestione -- > Controller di dominio

• Server del sito -- > Controller di dominio

• Server del sito < -- > Autorità di certificazione emittente (CA)

• Punto di aggiornamento software -- > Internet

• Punto di aggiornamento software -- > Server WSUS upstream

• Connettore Microsoft Intune -- > Microsoft Intune

I punti di gestione e di distribuzione che supportano i client basati su Internet, il punto di aggiornamento software e il punto di stato fallback usano le seguenti porte per l'installazione e il ripristino:

• Server del sito --> Sistema del sito: Agente mapping endpoint RPC tramite la porta TCP e UDP 135.

• Server del sito --> Sistema del sito: Porte TCP dinamiche RPC.

• Server del sito < --> Sistema del sito: Server message blocks (SMB) tramite la porta TCP 445.

Le installazioni di applicazioni e pacchetti nei punti di distribuzione richiedono le seguenti porte RPC:

• Server del sito --> Punto di distribuzione: Agente mapping endpoint RPC tramite la porta TCP e UDP 135.

• Server del sito --> Punto di distribuzione: Porte TCP dinamiche RPC

Usare IPsec per proteggere il traffico tra il server del sito e i sistemi del sito. Se è necessario limitare le porte dinamiche usate con RPC, è possibile usare lo strumento di configurazione RPC di Microsoft (rpccfg.exe) per configurare un intervallo limitato di porte per tali pacchetti RPC. Per altre informazioni sullo strumento di configurazione RPC, vedere Come configurare RPC per l'utilizzo di determinate porte e come proteggere tali porte tramite IPsec.

Importante
Prima di installare questi sistemi del sito, assicurarsi che il servizio Registro di sistema remoto sia in esecuzione nel server di sistema del sito e di aver specificato un account di installazione sistema del sito se il sistema del sito si trova in una foresta Active Directory diversa senza una relazione di trust.

Le porte usate durante l'installazione del client dipendono dal metodo di distribuzione client. Vedere Porte usate durante la distribuzione client di Configuration Manager nell'argomento Impostazioni di Windows Firewall e della porta per i computer client in Configuration Manager per un elenco di porte per ogni metodo di distribuzione client. Per informazioni su come configurare Windows Firewall nel client per la comunicazione durante e dopo l'installazione del client, vedere Impostazioni di Windows Firewall e della porta per i computer client in Configuration Manager.

Il server del sito che esegue la migrazione usa diverse porte per connettersi ai siti applicabili nella gerarchia di origine per raccogliere i dati dal database di SQL Server dei siti di origine e per condividere i punti di distribuzione condivisi.

Per informazioni su queste porte, vedere la sezione Configurazioni necessarie per la migrazione nell'argomento Prerequisiti per la migrazione in System Center 2012 Configuration Manager.

Nella tabella seguente vengono elencate alcune porte chiave che usa Windows Server e le rispettive funzioni. Per un elenco completo dei requisiti delle porte di rete e dei servizi di Windows Server, vedere Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows.