Referência Técnica para Portas Utilizadas no Configuration Manager

Além das portas indicadas na tabela seguinte, o proxy de reativação também utiliza mensagens de pedido de eco ICMP (Internet Control Message Protocol) de um cliente para outro cliente quando estão configurados para proxy de reativação. Esta comunicação é utilizada para confirmar se o outro computador cliente está ativo na rede. Por vezes, o ICMP é também referido como comandos ping de TCP/IP. O ICMP não tem um número de protocolo UDP ou TCP e, por isso, não está listado na tabela a seguir. No entanto, as firewalls baseadas no anfitrião existentes nestes computadores cliente ou em dispositivos de rede intervenientes na sub-rede devem permitir o tráfego ICMP para que a comunicação de proxy de reativação tenha êxito.

Um cliente do Configuration Manager não contacta um servidor de catálogo global quando é um computador de grupo de trabalho ou quando está configurado para comunicação apenas através da Internet.

O cliente requer as portas estabelecidas pelo cliente de Proteção de Acesso à Rede do Windows, o qual depende do cliente de imposição utilizado. Por exemplo, a imposição DHCP utilizará portas UDP 67 e 68. A imposição IPsec utilizará as portas TCP 80 ou 443 para a Autoridade de Registo de Estado de Funcionamento, a porta UDP 500 para negociações IPsec e as portas adicionais necessárias para os filtros IPsec. Para mais informações, consulte a documentação da Proteção de Acesso à Rede do Windows. Para obter ajuda com a configuração de firewalls para IPsec, consulte Como Permitir Tráfego IPsec Através de uma Firewall.

Um ponto de distribuição comunica com o ponto de gestão nos seguintes cenários:

• Para reportar o estado do conteúdo pré-configurado

• Para reportar dados de resumo de utilização

• Para reportar validação de conteúdo

• Um ponto de distribuição por solicitação reporta o estado de transferência dos pacotes

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

Esta comunicação é utilizada na implementação de perfis de certificado, utilizando o ponto de registo de certificados. A comunicação não é utilizada para todos os servidores do site na hierarquia; é utilizada apenas para o servidor do site na parte superior da hierarquia.

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

Durante a instalação de um site que irá utilizar um SQL Server remoto para alojar a base de dados do site, tem de abrir as seguintes portas entre o servidor do site e o SQL Server:

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

(Ver nota 5, Comunicação entre o servidor do site e os sistemas de site)

A replicação de bases de dados entre sites requer o SQL Server e um site para comunicar diretamente com o SQL Server do seu site principal ou subordinado.

Sugestão
O Gestor de configuração não requer o Browser do SQL Server, que utiliza a porta UDP 1434.

1. Porta do Servidor Proxy: Esta porta não pode ser configurada, mas pode ser encaminhada através de um servidor proxy configurado.

2. Porta Alternativa Disponível: É possível definir uma porta alternativa no Gestor de configuração para este valor. Se tiver sido definida uma porta personalizada, substitua-a quando definir as informações de filtro IP para políticas IPsec ou para configurar firewalls.

3. Windows Server Update Services: O WSUS pode ser instalado no Web site predefinido (porta 80) ou num Web site personalizado (porta 8530).

   Após a instalação, a porta pode ser alterada. Não é necessário utilizar o mesmo número de porta ao longo da hierarquia do site.

   • Se a porta HTTP for 80, a porta HTTPS tem de ser 443.

   • Se a porta HTTP for qualquer outra, a porta HTTPS tem de ser uma unidade superior (por exemplo, 8530 e 8531).

4. Daemon Trivial FTP (TFTP): O serviço de sistema do Daemon Trivial FTP (TFTP) não requer um nome de utilizador ou palavra-passe e faz parte dos Serviços de Implementação do Windows (WDS). O serviço Daemon Trivial FTP implementa suporte para o protocolo TFTP definido pelos RFC seguintes:

   • RFC 350 — TFTP

   • RFC 2347 — Extensão de opção

   • RFC 2348 — Opção de tamanho de bloco

   • RFC 2349 — Opções de tempo limite e de tamanho de transferência

   O Protocolo TFTP (Trivial File Transfer Protocol) foi concebido para suportar ambientes de arranque sem disco. Os Daemons TFTP escutam a porta UDP 69 mas respondem a partir de uma porta alta alocada dinamicamente. Por conseguinte, a ativação desta porta permitirá ao serviço TFTP receber pedidos de TFTP de entrada mas não permitirá que o servidor selecionado responda a esses pedidos. Não é possível permitir que o servidor selecionado responda a pedidos TFTP de entrada a menos que o servidor TFTP esteja configurado para responder na porta 69.

5. Comunicação entre o servidor do site e sistemas de sites: Por predefinição, a comunicação entre o servidor do site e sistemas de sites é bidirecional. O servidor do site inicia a comunicação para configurar o sistema de sites e, em seguida, a maioria dos sistemas de sites restabelece ligação ao servidor do site para enviar informações de estado. Os pontos do Reporting Services e os pontos de distribuição não enviam informações de estado. Se selecionar Exigir que o servidor do site inicie ligações a este sistema de sites nas propriedades do sistema de sites, após a instalação do sistema de sites, a comunicação ao servidor do site não será iniciada. Em vez disso, o servidor do site inicia as ligações e utiliza a Conta de Instalação do Sistema de Sites para autenticação no servidor do sistema de sites.

6. Portas dinâmicas: As portas dinâmicas (também conhecidas como portas efémeras) utilizam um intervalo de números de porta que é definido pela versão do sistema operativo. Para mais informações sobre os intervalos de portas predefinidos, consulte Descrição geral do serviço e requisitos de portas de rede para o Windows.

As informações seguintes listam as portas utilizadas pela gestão fora de banda:

• Ponto de Serviço Fora de Banda --> Ponto de Registo

• Ponto de Serviço Fora de Banda --> Controlador de Gestão de AMT

• Consola de Gestão Fora de Banda --> Controlador de Gestão de AMT

Os clientes utilizam o Bloco de Mensagens de Servidor (SMB) sempre que ligam a partilhas UNC. Por exemplo:

• Instalação de cliente manual que especifica a propriedade de linha de comandos CCMSetup.exe /source:

• Clientes do Endpoint Protection que transferem ficheiros de definição a partir de um caminho UNC.

Para comunicação com o motor de base de dados do SQL Server e para replicação entre sites, pode utilizar a porta predefinida do SQL Server ou especificar portas personalizadas:

• As comunicações entre sites utilizam:

  • SQL Server Service Broker, que utiliza por predefinição a porta TCP 4022.

  • Serviço do SQL Server, que utiliza por predefinição a porta TCP 1433

• A comunicação entre sites entre a base de dados do SQL Server e várias funções do sistema de sites do Gestor de configuração utiliza por predefinição a porta TCP 1433.

Aviso
O Gestor de configuração não suporta portas dinâmicas. Uma vez que, por predefinição, as instâncias nomeadas de SQL Server utilizam portas dinâmicas para ligações ao motor da base de dados, quando utilizar uma instância nomeada tem de configurar manualmente a porta estática que pretende utilizar para comunicação entre sites.

As seguintes funções do sistema de sites comunicam diretamente com a base de dados do SQL Server:

• Ponto de serviço Web do Catálogo de Aplicações

• Função de ponto de registo de certificados

• Função de ponto de registo

• Ponto de gestão

• Servidor do site

• Ponto do Reporting Services

• SMS Provider

• SQL Server --> SQL Server

Quando um SQL Server aloja bases de dados de mais de um site, cada base de dados deve utilizar uma instância separada do SQL Server e cada instância deve ser configurada com um conjunto exclusivo de portas.

Se tiver uma firewall ativada no computador do SQL Server, certifique-se de que está configurado para permitir as portas utilizadas pela implementação e em todas as localizações da rede entre computadores que comunicam com o SQL Server.

Para obter um exemplo de como configurar o SQL Server para utilizar uma porta específica, consulte o artigo Como: Configurar um Servidor para Escutar numa Porta TCP Específica (Gestor de Configuração do SQL Server) na biblioteca TechNet do SQL Server.

Os clientes ou sistemas de sites do Gestor de configuração podem efetuar as seguintes ligações externas:

• Ponto de Sincronização do Asset Intelligence -- > Microsoft

• Ponto de Endpoint Protection -- > Internet

• Cliente -- > Controlador de Domínio de Catálogo Global

• Consola do Configuration Manager -- > Internet

• Ponto de Gestão -- > Controlador de Domínio

• Servidor do Site -- > Controlador de Domínio

• Servidor do Site < -- > Autoridade de Certificação (AC) Emissora

• Ponto de Atualização de Software -- > Internet

• Ponto de Atualização de Software -- > Servidor WSUS a Montante

• Conector do Microsoft Intune -- > Microsoft Intune

Os pontos de gestão e os pontos de distribuição que suportam clientes baseados na Internet, o ponto de atualização de software e o ponto de estado de contingência utilizam as seguintes portas para instalação e reparação:

• Servidor do site --> sistema de sites: Mapeador de pontos finais RPC utilizando a porta UDP e TCP 135.

• Servidor do site --> sistema de sites: Portas TCP dinâmicas de RPC.

• Servidor do site < --> sistema de sites: Blocos de mensagens de servidor (SMB) utilizando a porta TCP 445.

As instalações de aplicações e pacotes em pontos de distribuição exigem as seguintes portas RPC:

• Servidor do site -- > ponto de distribuição: Mapeador de pontos finais RPC utilizando a porta UDP e TCP 135.

• Servidor do site -- > ponto de distribuição: Portas TCP dinâmicas de RPC.

Utilize o IPsec para ajudar a proteger o tráfego entre o servidor do site e os sistemas de sites. Se for preciso restringir as portas dinâmicas utilizadas com RPC, pode utilizar a ferramenta de configuração Microsoft RPC (rpccfg.exe) para configurar um intervalo limitado de portas para estes pacotes RPC. Para obter mais informações sobre a ferramenta de configuração RPC, consulte Como configurar o RPC para utilizar determinadas portas e como ajudar a proteger essas portas utilizando o IPsec.

Importante
Para poder instalar estes sistemas de sites, certifique-se de que o serviço de registo remoto está em execução no servidor do sistema de sites e de que especificou uma Conta de Instalação do Sistema de Sites, caso este sistema de sites esteja numa floresta diferente do Active Directory, sem relação de confiança.

As portas utilizadas durante a instalação do cliente dependem do método de implementação do cliente. Consulte Portas Utilizadas Durante a Implementação do Cliente do Configuration Manager do tópico Firewall do Windows e Definições de Porta para Computadores Cliente no Configuration Manager para obter uma lista de portas para cada método de implementação do cliente. Para obter informações sobre como configurar a Firewall do Windows no cliente para instalação do cliente e comunicação pós-instalação, consulte Firewall do Windows e Definições de Porta para Computadores Cliente no Configuration Manager.

O servidor do site que executa a Migração utiliza várias portas para ligar a sites aplicáveis na hierarquia de origem, para recolher dados da base de dados do SQL Server dos sites de origem e para partilhar pontos de distribuição.

Para obter informações sobre estas portas, consulte a secção Configurações necessárias para a migração no tópico Pré-requisitos da migração no System Center 2012 Configuration Manager.

A tabela seguinte lista algumas das principais portas utilizadas pelo Windows Server e respetivas funções. Para obter uma lista mais completa dos serviços e dos requisitos de portas de rede do Windows Server, consulte Descrição geral dos serviços e requisitos de portas de rede para o sistema do Windows Server.