Configuration Manager のクライアント コンピューターの Windows ファイアウォールとポートの設定

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

Windows ファイアウォールを実行する System Center 2012 Configuration Manager のクライアント コンピューターは、サイトとの通信のためにしばしば例外の構成を必要とします。 構成が必要な例外は、Configuration Manager クライアントで使用する管理機能によって異なります。

こうした管理機能を特定し、Windows ファイアウォールで例外を構成する方法の詳細については、次のセクションを参照してください。

Windows ファイアウォールが許可するポートおよびプログラムの変更

Configuration Manager クライアント用に Windows ファイアウォール上のポートやプログラムを変更するには、次の手順に従います。

Windows ファイアウォールが許可するポートおよびプログラムを変更するには

  1. Windows ファイアウォールを実行しているコンピューターで、コントロール パネルを開きます。

  2. [Windows ファイアウォール] を右クリックし、[開く] をクリックします。

  3. 必要な例外と、必要なカスタム プログラムやポートを構成します。

Configuration Manager で必要なプログラムとポート

次の Configuration Manager 機能には、Windows ファイアウォールで例外を設定する必要があります。

クエリ

Configuration Manager コンソールを Windows ファイアウォールを実行するコンピューターで実行する場合は、初回実行時はクエリは失敗し、オペレーティング システムは statview.exe のブロックを解除するかどうかを尋ねるダイアログ ボックスを表示します。 statview.exe のブロックを解除すると、その後のクエリはエラーなしで実行されます。 また、クエリを実行する前に、Windows ファイアウォールの [例外] タブで、プログラムおよびサービスの一覧に statview.exe を手動で追加することもできます。

クライアント プッシュ インストール

クライアント プッシュを正常に使用して System Center 2012 Configuration Manager クライアントをインストールするには、Windows ファイアウォールに次の例外を追加する必要があります。

  • 送信および受信:ファイルとプリンターの共有

  • 受信:Windows Management Instrumentation (WMI)

グループ ポリシーを使用したクライアント インストール

グループ ポリシーを使用して Configuration Manager クライアントをインストールするには、Windows ファイアウォールに例外として [ファイルとプリンターの共有] を追加します。

クライアントの要求

クライアント コンピューターが Configuration Manager サイト システムと通信するには、Windows ファイアウォールに次の例外を追加する必要があります。

送信:TCP ポート 80 (HTTP 通信用)

送信:TCP ポート 443 (HTTPS 通信用)

System_CAPS_important重要

これらは既定のポート番号で、Configuration Manager で変更できます。 詳細については、「Configuration Manager でのクライアント通信のポート番号の構成方法」をご覧ください。 ポートを既定値から変更した場合は、対応する例外を Windows ファイアウォールに構成する必要があります。

クライアント通知

System Center 2012 Configuration Manager SP1 以降:

管理ユーザーが Configuration Manager コンソールでクライアント操作を選択したときに、管理ポイントからクライアント コンピューターに対して、実行する必要がある操作 (コンピューター ポリシーのダウンロード、マルウェア スキャンの開始など) を通知する場合、Windows ファイアウォールの例外として次を追加します。

送信:TCP ポート 10123

この通信が成功しない場合、Configuration Manager は、代わりに既存のクライアントから管理ポイントへの HTTP または HTTPS 通信ポートを使用します。

送信:TCP ポート 80 (HTTP 通信用)

送信:TCP ポート 443 (HTTPS 通信用)

System_CAPS_important重要

これらは既定のポート番号で、Configuration Manager で変更できます。 詳細については、「Configuration Manager でのクライアント通信のポート番号の構成方法」をご覧ください。 ポートを既定値から変更した場合は、対応する例外を Windows ファイアウォールに構成する必要があります。

ネットワーク アクセス保護

クライアント コンピューターがシステム正常性検証ツール ポイントと正常に通信するには、次のポートを許可する必要があります。

  • 送信:DHCP の場合 UDP 67 および UDP 68

  • 送信:IPSec の場合 TCP 80/443

リモート コントロール

Configuration Manager リモート コントロールを使用するには、以下のポートを許可する必要があります。

  • 受信:TCP ポート2701

リモート アシスタンスおよびリモート デスクトップ

Configuration Manager コンソールからリモート アシスタンスを開始するには、クライアント コンピューターの Windows ファイアウォールの許可するプログラムおよびサービスの一覧に、カスタム プログラム Helpsvc.exe と受信カスタム ポート TCP 135 を追加します。リモート アシスタンスおよびリモート デスクトップも許可する必要があります。 クライアント コンピューターからリモート アシスタンスを開始する場合、Windows ファイアウォールはリモート アシスタンスリモート デスクトップを自動的に構成して許可します。

ウェイクアップ プロキシ

System Center 2012 Configuration Manager SP1 以降:

ウェイクアップ プロキシ クライアント設定を有効にすると、ConfigMgr ウェイクアップ プロキシという新しいサービスは、ピア間のプロトコルを使用して、サブネット上の他のコンピューターが起動しているかどうかを確認し、必要に応じて起動することができます。 この通信には次のポートを使用します。

送信:TCP ポート 25536

送信:UDP ポート 9

これらは既定のポート番号で、Configuration Manager では、電源管理クライアント設定のウェイクアップ プロキシのポート番号 (UDP)Wake On LAN ポート番号 (UDP) を使用して変更できます。 [電源管理: ウェイクアップ プロキシ用の Windows ファイアウォールの例外です] クライアント設定を指定すると、これらのポートは Windows ファイアウォールでクライアント用に自動的に構成されます。 ただし、クライアントが別のファイアウォールを実行する場合、これらのポート番号の例外を手動で構成する必要があります。

ウェイクアップ プロキシは、これらのポートに加え、クライアント コンピューター間の Internet Control Message Protocol (ICMP) のエコー要求メッセージも使用します。 この通信は、他のクライアント コンピューターがネットワークで起動しているかどうかを確認するために使用します。 ICMP は TCP/IP Ping コマンドとも呼ばれます。System Center 2012 Configuration Manager SP1 は、このような TCP/IP ping コマンド用に Windows ファイアウォールを構成しません。そのため、System Center 2012 R2 Configuration Manager を実行していない場合、ウェイクアップ プロキシ通信を成功させるには、この ICMP トラフィックを手動で許可する必要があります。

System Center 2012 Configuration Manager ではなく、System Center 2012 R2 Configuration Manager SP1 を使用している場合、ウェイクアップ プロキシ用に受信 TCP/IP ping コマンドを許可するカスタムの受信規則を使用して、Windows ファイアウォールを構成するには、次の手順を実行します。

TCP/IP ping コマンドを許可するように Windows ファイアウォールを構成するには

  1. セキュリティが強化された Windows ファイアウォール コンソールで、新しい受信規則を作成します。

  2. 新規の受信の規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] をクリックします。

  3. [プログラム] ページで、[すべてのプログラム] を既定のままにして、[次へ] をクリックします。

  4. [プロトコルとポート] ページで、[プロトコルの種類] のドロップダウンをクリックし、[ICMPv4] を選択し、[カスタマイズ] ボタンをクリックします。

  5. [ICMP 設定のカスタマイズ] ダイアログ ボックスの [特定の種類の ICMP] をクリックし、[エコー要求] を選択し、[OK] をクリックします。

  6. 新規の受信の規則ウィザードで、[次へ] をクリックします。

  7. [スコープ] ページで、ローカルまたはリモートの IP アドレスを既定設定のままにして、[次へ] をクリックします。

  8. [操作] ページで、[接続を許可する] をオンにし、[次へ] をクリックします。

  9. [プロファイル] ページで、ウェイクアップ プロキシを使用するプロファイル ([ドメイン] など) を選択し、[次へ] をクリックします。

  10. [名前] ページで、このカスタム規則の名前を指定し、必要に応じて、この規則がウェイクアップ プロキシ通信のために必要であることを示す説明を入力します。 次に、[完了] をクリックしてウィザードを閉じます。

ウェイクアップ プロキシの詳細については、「Configuration Manager の通信の計画」トピックの「クライアントをウェイクアップする方法の計画」セクションを参照してください。

Windows イベント ビューアー、Windows パフォーマンス モニター、および Windows 診断

Configuration Manager コンソールから Windows イベント ビューア、Windows パフォーマンス モニター、および Windows 診断にアクセスするには、Windows ファイアウォールの例外として、[ファイルとプリンターの共有] を有効にします。

Configuration Manager クライアントの展開で使用されるポート

次の表に、クライアント インストールの処理中に使用されるポートを一覧表示します。

System_CAPS_important重要

サイト システム サーバーとクライアント コンピューターとの間にファイアウォールがある場合、選択したクライアント インストール方法に必要な通信がそのファイアウォールによって許可されていることを確認します。 たとえば、ファイアウォールがサーバー メッセージ ブロック (SMB) とリモート プロシージャ コール (RPC) をブロックするため、クライアント プッシュ インストールが失敗することがあります。 その場合、CCMSetup.exe を使用した手動インストールやグループ ポリシーに基づくクライアント インストールなどの、別のクライアント インストール方法を使用します。 これらの代替のクライアント インストール方法では SMB や RPC は必要ありません。

クライアント コンピューターで Windows ファイアウォールを構成する方法の詳細については、「Windows ファイアウォールが許可するポートおよびプログラムの変更」を参照してください。

すべてのインストール方法で使用されるポート

説明

UDP

TCP

クライアントにフォールバック ステータス ポイントが割り当てられている場合、クライアント コンピューターからフォールバック ステータス ポイントへのハイパーテキスト転送プロトコル (HTTP)。

--

80 (注1「代替ポートを利用可能」を参照)

クライアント プッシュ インストールで使用されるポート

次の表に一覧表示されているポートに加えて、クライアント プッシュ インストールでは、クライアント コンピューターがネットワークで利用可能であるかを確認するためにサイト サーバーからクライアント コンピューターへの ICMP (Internet Control Message Protocol) のエコー要求メッセージも使用します。 ICMP は TCP/IP Ping コマンドとも呼ばれます。 ICMP には UDP または TCP プロトコル番号がないため、次の表には記載されていません。 クライアント プッシュ インストールを成功させるには、ファイアウォールなどのすべての介在するネットワーク デバイスで ICMP トラフィックが許可されている必要があります。

説明

UDP

TCP

サイト サーバーとクライアント コンピューター間のサーバー メッセージ ブロック (SMB)。

--

445

サイト サーバーとクライアント コンピューター間の RPC エンドポイント マッパー。

135

135

サイト サーバーとクライアント コンピューター間の RPC 動的ポート。

--

DYNAMIC

ハイパーテキスト転送プロトコル (HTTP) を介して接続される場合、クライアント コンピューターから管理ポイントへの HTTP。

--

80 (注1「代替ポートを利用可能」を参照)

セキュア ハイパーテキスト転送プロトコル (HTTPS) を介して接続される場合、クライアント コンピューターから管理ポイントへの HTTPS。

--

443 (注 1「代替ポートを利用可能」を参照)

ソフトウェアの更新ポイントを使用したインストールで使われるポート

説明

UDP

TCP

クライアント コンピューターからソフトウェアの更新ポイントへのハイパーテキスト転送プロトコル (HTTP)。

--

80 または 8530 (注 2「Windows Server Update Services」を参照)

クライアント コンピューターからソフトウェアの更新ポイントへのセキュア ハイパーテキスト転送プロトコル (HTTPS)。

--

443 または 8531 (注 2「Windows Server Update Services」を参照)

CCMSetup のコマンドライン プロパティ /source:<Path> を指定するときの、ソース サーバーとクライアント コンピューター間のサーバー メッセージ ブロック (SMB)。

--

445

グループ ポリシーを使用したインストールで使われるポート

説明

UDP

TCP

ハイパーテキスト転送プロトコル (HTTP) を介して接続される場合、クライアント コンピューターから管理ポイントへの HTTP。

--

80 (注1「代替ポートを利用可能」を参照)

セキュア ハイパーテキスト転送プロトコル (HTTPS) を介して接続される場合、クライアント コンピューターから管理ポイントへの HTTPS。

--

443 (注 1「代替ポートを利用可能」を参照)

CCMSetup のコマンドライン プロパティ /source:<Path> を指定するときの、ソース サーバーとクライアント コンピューター間のサーバー メッセージ ブロック (SMB)。

--

445

手動インストールおよびログオン スクリプトを使用したインストールで使われるポート

説明

UDP

TCP

クライアント コンピューターと、CCMSetup.exe の実行元のネットワーク共有との間のサーバー メッセージ ブロック (SMB)。

[!メモ]

System Center 2012 Configuration Manager のインストール時、クライアント インストールのソース ファイルが、管理ポイントの <インストール パス>\Client フォルダーからコピーされて自動的に共有されます。 ただし、これらのファイルをコピーして、ネットワーク上の任意のコンピューターに新しい共有を作成することもできます。 または、リムーバブル メディアを使用するなどして CCMSetup.exe をローカルで実行し、このネットワーク トラフィックを回避することも可能です。

--

445

ハイパーテキスト転送プロトコル (HTTP) を介して接続され、CCMSetup のコマンドライン プロパティ /source:<Path> を指定しない場合の、クライアント コンピューターから管理ポイントへの HTTP。

--

80 (注1「代替ポートを利用可能」を参照)

セキュア ハイパーテキスト転送プロトコル (HTTPS) を介して接続され、CCMSetup のコマンドライン プロパティ /source:<Path> を指定しない場合の、クライアント コンピューターから管理ポイントへの HTTPS。

--

443 (注 1「代替ポートを利用可能」を参照)

CCMSetup のコマンドライン プロパティ /source:<Path> を指定するときの、ソース サーバーとクライアント コンピューター間のサーバー メッセージ ブロック (SMB)。

--

445

ソフトウェアの配布によるインストールで使われるポート

説明

UDP

TCP

配布ポイントとクライアント コンピューター間のサーバー メッセージ ブロック (SMB)。

--

445

ハイパーテキスト転送プロトコル (HTTP) を介して接続される場合、クライアントから配布ポイントへの HTTP。

--

80 (注1「代替ポートを利用可能」を参照)

セキュア ハイパーテキスト転送プロトコル (HTTPS) を介して接続される場合、クライアントから配布ポイントへの HTTPS。

--

443 (注 1「代替ポートを利用可能」を参照)

1 代替ポートを利用可能    Configuration Manager で、この値に対して代替ポートを定義できます。 カスタム ポートを定義済みの場合、IPsec ポリシー用またはファイアウォール構成用の IP フィルター情報を定義するときは、そのカスタム ポートを代わりに使用してください。

2 Windows Server Update Services     Windows Server Update Services (WSUS) は、既定の Web サイト (ポート 80) 上にインストールすることも、カスタム Web サイト (ポート 8530) 上にインストールすることもできます。

ポートはインストールした後に変更できます。 サイト階層全体で同じポート番号を使用する必要はありません。

HTTP ポートが 80 の場合、HTTPS ポートは 443 の必要があります。

HTTP ポートがその他の場合、HTTPS ポートは 1 大きくする必要があります (8530 と 8531 など)。