Referência técnica para as portas usadas no Configuration Manager

Além das portas relacionadas na tabela a seguir, o proxy de ativação também utiliza mensagens de solicitação de eco do protocolo ICMP de um cliente para outro quando estão configurados com o proxy de ativação. Essa comunicação é usada para confirmar se o outro computador cliente está ativo na rede. O ICMP é, por vezes, referido como comandos ping TCP/IP. O ICMP não tem um número de protocolo UDP ou TCP, portanto, não está listado na tabela a seguir. No entanto, todos os firewalls baseados em host nesses computadores cliente ou dispositivos de rede de intervenção dentro da sub-rede devem permitir o tráfego de ICMP para que a comunicação de proxy de ativação tenha êxito.

Clientes do Configuration Manager não entram em contato com servidores de catálogo global quando eles estão em um computador de grupo de trabalho ou configurados para comunicação somente via Internet.

O cliente requer que as portas sejam estabelecidas pelo cliente de Proteção de Acesso à Rede do Windows, o qual depende do cliente de imposição que está sendo usado. Por exemplo, a imposição de DHCP usará as portas UDP 67 e 68. A imposição IPsec usará as portas TCP 80 e 443 para a Autoridade de Registro de Integridade, a porta UDP 500 para a negociação IPsec e as portas adicionais necessárias para os filtros IPsec. Para obter mais informações, consulte a documentação da Proteção de Acesso à Rede do Windows. Para obter ajuda com a configuração de firewalls para IPsec, consulte Como habilitar o tráfego IPsec por meio de um firewall.

Um ponto de distribuição se comunica com o ponto de gerenciamento nos seguintes cenários:

• Para relatar o status do conteúdo pré-configurado

• Para relatar dados de resumo de uso

• Para relatar a validação de conteúdo

• Um ponto de distribuição de recepção relata o status de download do pacote

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

Essa comunicação é usada quando você implanta perfis de certificado usando o ponto de registro de certificado. A comunicação não é usada para cada servidor do site na hierarquia; é usada apenas para o servidor do site na parte superior da hierarquia.

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

Durante a instalação de um site que usará o SQL Server remoto para hospedar o banco de dados do site, é necessário abrir as seguintes portas entre o servidor do site e o SQL Server:

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

(Consulte a observação 5, Comunicação entre o servidor do site e sistemas de site)

A replicação de banco de dados entre sites requer o SQL Server em um site para se comunicar diretamente com o SQL Server de seu site pai ou filho.

Dica
O Gerenciador de Configurações não exige o SQL Server Browser, que usa a porta UDP 1434.

1. Porta do servidor proxy: esta porta não pode ser configurada, mas pode ser roteada por meio de um servidor proxy configurado.

2. Porta alternativa disponível: uma porta alternativa pode ser definida dentro do Gerenciador de Configurações para esse valor. Se tiver sido definida uma porta personalizada, substitua essa porta personalizada ao definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.

3. Windows Server Update Services: o WSUS pode ser instalado no site da Web padrão (porta 80) ou em um site da Web personalizado (porta 8530).

   Após a instalação, a porta pode ser alterada. Não é necessário usar o mesmo número de porta em toda a hierarquia do site.

   • Se a porta HTTP for 80, a porta HTTPS deverá ser 443.

   • Se a porta HTTP for outro número, a porta HTTPS deverá ser 1 número acima — por exemplo, 8530 e 8531.

4. Trivial FTP (TFTP) Daemon: o serviço do sistema Trivial FTP (TFTP) Daemon não requer um nome de usuário ou senha e é parte integral do Windows Deployment Services (WDS). O serviço Trivial FTP Daemon implementa suporte ao protocolo TFTP definido pelos seguintes RFCs:

   • RFC 350—TFTP

   • RFC 2347 — Opções de extensão

   • RFC 2348 — Opções de tamanho de bloco

   • RFC 2349 — Opções de intervalo de tempo limite e de tamanho da transferência

   O Protocolo TFTP é projetado para oferecer suporte a ambientes de inicialização sem disco. O TFTP Daemons escuta na porta UDP 69, mas responde de uma porta alta alocada dinamicamente. Portanto, a ativação dessa porta permitirá que o serviço TFTP receba solicitações TFTP de entrada, mas não permitirá que o servidor selecionado responda a essas solicitações. A permissão para que o servidor selecionado responda às solicitações TFTP de entrada não pode ser obtida, a menos que o servidor TFTP esteja configurado para responder da porta 69.

5. Comunicação entre o servidor do site e sistemas de site: Por padrão, a comunicação entre o servidor do site e os sistemas de site é bidirecional. O servidor do site inicia a comunicação para configurar o sistema de site, e então a maior parte dos sistemas de site se conecta de volta ao servidor do site para enviar informações de status. Pontos do Reporting Services e pontos de distribuição não enviam informações de status. Se você selecionar Exigir que o servidor do site inicie conexões com este sistema de site nas propriedades do sistema de site, depois que o sistema de site estiver instalado, ele não iniciará comunicação com o servidor do site. Em vez disso, o servidor do site iniciará as conexões e utilizará a conta de instalação do sistema de site para se autenticar no servidor do sistema de site.

6. Portas dinâmicas: As portas dinâmicas (também conhecidas como portas efêmeras) usam um intervalo de número de porta definido pela versão do sistema operacional. Para obter mais informações sobre os intervalos de porta padrão, consulte Visão geral do serviço e requisitos de porta de rede para o Windows.

Nas informações a seguir estão listadas as portas usadas pelo gerenciamento fora de banda:

• Ponto de serviço fora da banda -- > Ponto de registro

• Ponto de serviço fora da banda -- > Controlador de gerenciamento da AMT

• Console de gerenciamento fora da banda -- > Controlador de gerenciamento da AMT

Os clientes usam o protocolo SMB sempre que se conectam aos compartilhamentos UNC. Por exemplo:

• Instalação manual do cliente que especifica a propriedade da linha de comando CCMSetup.exe /source:.

• Clientes do Endpoint Protection que baixam arquivos de definição de um caminho UNC.

Para fazer comunicação com o mecanismo de banco de dados do SQL Server e para fazer a replicação entre sites, é possível usar a porta do SQL Server padrão ou especificar portas personalizadas:

• Uso de comunicações entre sites:

  • SQL Server Service Broker, que usa como padrão a porta TCP 4022.

  • Serviço SQL Server, que usa como padrão a porta TCP 1433

• A comunicação entre sites entre o mecanismo de banco de dados do SQL Server e várias funções do sistema de site do Gerenciador de Configurações padroniza a porta TCP 1433.

Aviso
O Gerenciador de Configurações não oferece suporte a portas dinâmicas. Como as instâncias nomeadas do SQL Server por padrão usam as portas dinâmicas para fazer conexões com o mecanismo de banco de dados, ao usar uma instância nomeada, configure manualmente a porta estática que deseja usar para a comunicação entre sites.

As seguintes funções do sistema de site se comunicam diretamente com o banco de dados do SQL Server:

• Ponto de serviços Web do Catálogo de Aplicativos

• Função de ponto de registro de certificado

• Função de ponto de registro

• Ponto de gerenciamento

• Servidor do site

• Ponto do Reporting Services

• Provedor SMS

• SQL Server -- > SQL Server

Quando um SQL Server hospeda bancos de dados de mais de um site, cada banco de dados deve usar uma instância separada do SQL Server, e cada instância deve ser configurada com um conjunto de portas exclusivo.

Se você tiver um firewall habilitado no computador SQL Server, verifique se ele está configurado para permitir as portas em uso em sua implantação e em todos os locais na rede entre computadores que se comunicam com o SQL Server.

Para ver um exemplo de como configurar o SQL Server para usar uma porta específica, veja Como: Configurar um servidor para escutar em uma porta TCP específica (SQL Server Configuration Manager) na biblioteca do TechNet do SQL Server.

Clientes do Gerenciador de Configurações ou sistemas de site podem fazer as seguintes conexões externas:

• Ponto de sincronização do Asset Intelligence -- > Microsoft

• Ponto do Endpoint Protection -- > Internet

• Cliente -- > Controlador de domínio de catálogo global

• Console do Configuration Manager -- > Internet

• Ponto de gerenciamento -- > Controlador de domínio

• Servidor do site -- > Controlador de domínio

• Servidor do site < -- > AC (Autoridade de Certificação) Emissora

• Ponto de atualização de software -- > Internet

• Ponto de atualização de software -- > Servidor upstream do WSUS

• Conector do Microsoft Intune -- > Microsoft Intune

Os pontos de gerenciamento e os pontos de distribuição que oferecem suporte a clientes baseados em Internet, o ponto de atualização de software e o ponto de status de fallback usam as seguintes portas para instalação e reparo:

• Servidor do site --> sistema de site: mapeador de ponto de extremidade RPC usando UDP e porta TCP 135.

• Servidor do site --> sistema de site: portas TCP dinâmicas de RPC.

• Servidor do site < -- > sistema de sites: protocolo SMB usando porta TCP 445.

Instalações de aplicativos e pacotes nos pontos de distribuição requerem as seguintes portas RPC:

• Servidor do site -- > ponto de distribuição: mapeador de ponto de extremidade RPC usando UDP e porta TCP 135.

• Servidor do site -- > ponto de distribuição: Portas TCP dinâmicas de RPC

Use o IPsec para ajudar a proteger o tráfego entre o servidor do site e os sistemas de site. Se for preciso restringir as portas dinâmicas usadas com RPC, você pode usar a ferramenta de configuração Microsoft RPC (rpccfg.exe) para configurar um intervalo restrito de portas para esses pacotes RPC. Para obter mais informações sobre a ferramenta de configuração RPC, consulte Como configurar o RPC para usar determinadas portas e como ajudar a proteger essas portas usando o IPsec.

Importante
Para poder instalar esses sistemas de site, verifique se o serviço de registro remoto está sendo executado no servidor de sistema de site e se você especificou uma conta de instalação de sistema de site, caso esse sistema esteja em uma floresta do Active Directory diferente, sem relação de confiança.

As portas usadas durante a instalação do cliente dependem do método de implantação do cliente. Consulte Portas usadas durante a implantação do cliente do Configuration Manager, no tópico Firewall do Windows e configurações de porta para computadores cliente no Configuration Manager, para obter uma lista de portas para cada método de implantação de cliente. Para obter informações sobre como configurar o Firewall do Windows no cliente para instalação de cliente e comunicação pós-instalação, consulte Firewall do Windows e configurações de porta para computadores cliente no Configuration Manager.

O servidor de site que executa a migração usa várias portas para se conectar a sites aplicáveis na hierarquia de origem para coletar dados do banco de dados do SQL Server dos sites de origem e para compartilhar pontos de distribuição.

Para obter informações sobre essas portas, consulte a seção Configurações necessárias para a migração nos Pré-requisitos para o tópico Pré-requisitos da migração para o System Center 2012 Configuration Manager.

A tabela a seguir lista algumas das principais portas que o Windows Server usa e suas respectivas funções. Para obter uma lista completa dos serviços do Windows Server e requisitos de portas de rede, consulte Visão geral de serviços e requisitos de porta de rede para o sistema do Windows Server.