Firewall do Windows e configurações de porta para computadores cliente no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Os computadores cliente no System Center 2012 Configuration Manager que executam o Firewall do Windows muitas vezes exigem a configuração de exceções para permitir a comunicação com seu site. As exceções que devem ser configuradas dependem dos recursos de gerenciamento usados com o cliente do Gerenciador de Configurações.

Use as seções a seguir para identificar esses recursos de gerenciamento e para obter mais informações sobre como configurar o Firewall do Windows para essas exceções.

Modificando as portas e os programas permitidos pelo Firewall do Windows

Use o procedimento a seguir para modificar as portas e os programas no Firewall do Windows para o cliente do Gerenciador de Configurações.

Para modificar as portas e os programas permitidos pelo Firewall do Windows

  1. No computador que executa o Firewall do Windows, abra o Painel de Controle.

  2. Clique com o botão direito do mouse em Firewall do Windows e clique em Abrir.

  3. Configure as exceções necessárias e os programas e portas personalizados de que você precisa.

Programas e portas que o Configuration Manager exige

Os seguintes recursos do Gerenciador de Configurações exigem exceções no Firewall do Windows:

Consultas

Se você executar o console do Gerenciador de Configurações em um computador com o Firewall do Windows, as consultas falharão na primeira execução e o sistema operacional exibirá uma caixa de diálogo perguntando se deseja desbloquear o statview.exe. Se você desbloquear o statview.exe, as futuras consultas serão executadas sem erros. Também é possível adicionar o statview.exe manualmente à lista de programas e serviços na guia Exceções do Firewall do Windows antes de executar uma consulta.

Instalação do Cliente por Push

Para usar push para instalar o cliente do System Center 2012 Configuration Manager, adicione o seguinte como exceções ao Firewall do Windows:

  • Entrada e saída: Compartilhamento de Arquivos e Impressoras

  • Entrada: WMI (Instrumentação de Gerenciamento do Windows)

Instalação de cliente usando Política de Grupo

Para usar Política de Grupo para instalar o cliente do Gerenciador de Configurações, adicione Compartilhamento de Arquivo e Impressora como exceção ao Firewall do Windows.

Solicitações de cliente

Para computadores cliente se comunicarem com sistemas de site do Gerenciador de Configurações, adicione o seguinte como exceções ao Firewall do Windows:

Saída: Porta TCP 80 (para comunicação HTTP)

Saída: Porta TCP 443 (para comunicação HTTPS)

System_CAPS_importantImportante

Esses são números de porta padrão que podem ser alterados no Gerenciador de Configurações. Para obter mais informações, consulte Como configurar números de porta de comunicação do cliente no Configuration Manager. Se os valores padrão dessas portas forem alterados, será necessário configurar também exceções correspondentes no Firewall do Windows.

Notificação de Cliente

Para o System Center 2012 Configuration Manager SP1 e posterior:

Para o ponto de gerenciamento notificar os computadores cliente sobre uma ação que deve ser executada quando um usuário administrativo seleciona uma ação de cliente no console do Gerenciador de Configurações, como baixar a política do computador ou iniciar uma verificação de malware, adicione o seguinte como exceção ao Firewall do Windows:

Saída: Porta TCP 10123

Se essa comunicação não tiver êxito, o Gerenciador de Configurações voltará a usar automaticamente a porta de comunicação cliente-ponto de gerenciamento existente de HTTP, ou HTTPS:

Saída: Porta TCP 80 (para comunicação HTTP)

Saída: Porta TCP 443 (para comunicação HTTPS)

System_CAPS_importantImportante

Esses são números de porta padrão que podem ser alterados no Gerenciador de Configurações. Para obter mais informações, consulte Como configurar números de porta de comunicação do cliente no Configuration Manager. Se os valores padrão dessas portas forem alterados, será necessário configurar também exceções correspondentes no Firewall do Windows.

Proteção de Acesso à Rede

Para computadores cliente se comunicarem com êxito com o ponto do Validador da Integridade do Sistema, autorize as seguintes portas:

  • Saída: UDP 67 e UDP 68 para DHCP

  • Saída: TCP 80/443 para IPsec

Controle remoto

Para usar o controle remoto do Gerenciador de Configurações, autorize a seguinte porta:

  • Entrada: Porta TCP2701

Assistência Remota e Área de Trabalho Remota

Para iniciar a Assistência Remota no console do Gerenciador de Configurações, adicione o programa personalizado Helpsvc.exe e a porta de entrada personalizada TCP 135 à lista de programas e serviços permitidos no Firewall do Windows no computador cliente. Também é necessário permitir a Assistência Remota e a Área de Trabalho Remota. Se você iniciar a Assistência Remota no computador cliente, o Firewall do Windows irá configurar e permitir automaticamente a Assistência Remota e a Área de Trabalho Remota.

Proxy de ativação

Para o System Center 2012 Configuration Manager SP1 e posterior:

Se a configuração de cliente do proxy de ativação for habilitada, um novo serviço chamado Proxy de Ativação do ConfigMgr usará um protocolo ponto a ponto para verificar se outros computadores estão ativos na sub-rede e ativá-los, se necessário. Essa comunicação usa as seguintes portas:

Saída: Porta UDP 25536

Saída: Porta UDP 9

Esses são números de porta padrão que podem ser alterados no Gerenciador de Configurações usando as configurações de clientes de Gerenciamento de Energia para Número de porta proxy de ativação (UDP) e Número de porta Wake On LAN (UDP). Se você especificar a configuração de cliente Gerenciamento de energia: Exceção do Firewall do Windows para proxy de ativação, estas portas serão automaticamente configuradas no Firewall do Windows para clientes. No entanto, se os clientes tiverem em execução um firewall diferente, configure manualmente as exceções para esses números de porta.

Além dessas portas, o proxy de ativação também usa mensagens de solicitação de eco ICMP (Internet Control Message Protocol) de um computador cliente para outro computador cliente. Essa comunicação é usada para confirmar se o outro computador cliente está ativo na rede. O ICMP é, por vezes, referido como comandos ping TCP/IP. O System Center 2012 Configuration Manager SP1 não configura o Firewall do Windows para estes comandos ping TCP/IP e, a menos que esteja executando o System Center 2012 R2 Configuration Manager, você deve permitir manualmente o tráfego ICMP para que a comunicação com o proxy de ativação seja bem-sucedida.

Se você tem o System Center 2012 Configuration Manager SP1 e não o System Center 2012 R2 Configuration Manager, use o procedimento a seguir para ajudar a configurar o Firewall do Windows com uma regra de entrada personalizada que permita comandos ping TCP/IP de entrada para o proxy de ativação.

Para configurar o Firewall do Windows para permitir comandos ping TCP/IP

  1. No Firewall do Windows com o console de Segurança Avançada, crie uma nova regra de entrada.

  2. No Assistente para Nova Regra de Entrada, na página Tipo de Regra, selecione Personalizada e clique em Avançar.

  3. Na página Programa, mantenha o padrão de Todos os programas e clique em Avançar.

  4. Na página Protocolos e Portas, clique na lista suspensa Tipo de protocolo, selecione ICMPv4 e clique no botão Personalizar.

  5. Na caixa de diálogo Personalizar Configurações ICMP, clique em Tipos específicos de ICMP, selecione Solicitação de Eco e clique em OK.

  6. No Assistente para Nova Regra de Entrada, clique em Avançar.

  7. Na página Escopo, mantenha as configurações padrão para qualquer endereço IP local ou remoto e clique em Avançar.

  8. Na página Ação, verifique se Permitir a conexão está selecionado e clique em Avançar.

  9. Na página Perfil, selecione os perfis que usarão o proxy de ativação (por exemplo: Domínio) e clique em Avançar.

  10. Na página Nome, especifique um nome para essa regra personalizada e, opcionalmente, digite uma descrição para ajudar a identificar que essa regra é necessária para a comunicação com o proxy de ativação. Em seguida, clique em Concluir para fechar o assistente.

Para obter mais informações sobre o proxy de ativação, veja a seção Planejando como ativar clientes no tópico Planejamento de comunicações no Configuration Manager

Visualizador de Eventos do Windows, Monitor de Desempenho do Windows e Diagnóstico do Windows

Para acessar o Visualizador de Eventos do Windows, o Monitor de Desempenho do Windows e o Diagnóstico do Windows no console do Gerenciador de Configurações, habilite Compartilhamento de Arquivo e Impressora como exceção no Firewall do Windows.

Portas usadas durante a implantação do cliente do Configuration Manager

As tabelas a seguir listam as portas que são usadas durante o processo de instalação do cliente.

System_CAPS_importantImportante

Se houver um firewall entre os servidores de sistema de site e o computador cliente, confirme se o firewall permite o tráfego para as portas necessárias ao método de instalação de cliente selecionado. Por exemplo, firewalls geralmente impedem o êxito na instalação de cliente por push porque bloqueiam o protocolo SMB e as RPCs (chamadas de procedimento remoto). Neste cenário, use um método diferente de instalação de cliente, como instalação manual (executando o arquivo CCMSetup.exe) ou instalação de cliente baseada em Política de Grupo. Esses métodos alternativos de instalação de cliente não exigem SMB ou RPC.

Para obter informações sobre como configurar o Firewall do Windows no computador cliente, veja Modificando as portas e os programas permitidos pelo Firewall do Windows.

Portas que são usadas para todos os métodos de instalação

Descrição

UDP

TCP

Protocolo HTTP do computador cliente para um ponto de status de fallback, quando um ponto de status de fallback é atribuído ao cliente.

--

80 (Consulte a observação 1, Porta alternativa disponível)

Portas que são usadas com instalação de cliente por push

Além das portas listadas na tabela a seguir, a instalação de cliente por push também usa mensagens de solicitação de eco ICMP do servidor do site para o computador cliente para confirmar se o computador cliente está disponível na rede. O ICMP é, por vezes, referido como comandos ping TCP/IP. O ICMP não tem um número de protocolo UDP ou TCP, portanto, não está listado na tabela a seguir. Contudo, todo dispositivo de rede interventor, como firewalls, deve permitir o tráfego ICMP para que a instalação de cliente por push seja bem-sucedida.

Descrição

UDP

TCP

Protocolo SMB entre o servidor do site e o computador cliente.

--

445

Mapeador de ponto de extremidade RPC entre o servidor do site e o computador cliente.

135

135

Portas dinâmicas RPC entre o servidor do site e o computador cliente.

--

DINÂMICO

Protocolo HTTP do computador cliente para um ponto de gerenciamento quando a conexão é por HTTP.

--

80 (Consulte a observação 1, Porta alternativa disponível)

Protocolo HTTPS do computador cliente para um ponto de gerenciamento quando a conexão é por HTTPS.

--

443 (Veja a observação 1, Porta alternativa disponível)

Portas que são usadas com a instalação baseada em ponto de atualização de software

Descrição

UDP

TCP

Protocolo HTTP do computador cliente para o ponto de atualização de software.

--

80 ou 8530 (Consulte a observação 2, Windows Server Update Services)

Protocolo HTTPS do computador cliente para o ponto de atualização de software.

--

443 ou 8531 (Consulte a observação 2, Windows Server Update Services)

Protocolo SMB entre o servidor de origem e o computador cliente ao especificar a propriedade de linha de comando /source:

Portas que são usadas com a instalação baseada em Política de Grupo

Descrição

UDP

TCP

Protocolo HTTP do computador cliente para um ponto de gerenciamento quando a conexão é por HTTP.

--

80 (Consulte a observação 1, Porta alternativa disponível)

Protocolo HTTPS do computador cliente para um ponto de gerenciamento quando a conexão é por HTTPS.

--

443 (Veja a observação 1, Porta alternativa disponível)

Protocolo SMB entre o servidor de origem e o computador cliente ao especificar a propriedade de linha de comando /source:

Portas que são usadas com a instalação manual e a instalação baseada em script de logon

Descrição

UDP

TCP

Protocolo SMB entre o computador cliente e um compartilhamento de rede a partir do qual o CCMSetup.exe é executado.

System_CAPS_noteObservação

Ao instalar o System Center 2012 Configuration Manager, os arquivos de origem da instalação do cliente são copiados e compartilhados automaticamente da pasta

Portas que são usadas com a instalação baseada em distribuição de software

Descrição

UDP

TCP

Protocolo SMB entre o ponto de distribuição e o computador cliente.

--

445

Protocolo HTTP do cliente para um ponto de distribuição quando a conexão é por HTTP.

--

80 (Consulte a observação 1, Porta alternativa disponível)

Protocolo HTTPS do cliente para um ponto de distribuição quando a conexão é por HTTPS.

--

443 (Veja a observação 1, Porta alternativa disponível)

Anotações

1 Porta alternativa disponível    No Configuration Manager, você pode definir uma porta alternativa para esse valor. Se tiver sido definida uma porta personalizada, substitua essa porta personalizada ao definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.

2 Windows Server Update Services    É possível instalar o Windows Server Update Service (WSUS) no site padrão (porta 80) ou em um site personalizado (porta 8530).

Após a instalação, é possível alterar a porta. Não é necessário usar o mesmo número de porta em toda a hierarquia do site.

Se a porta HTTP for 80, a porta HTTPS deverá ser 443.

Se a porta HTTP for outro número, a porta HTTPS deverá ser 1 número acima — por exemplo, 8530 e 8531.