• Artikel

Inställningar för Windows-brandvägg och portar för klientdatorer i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Klientdatorer i System Center 2012 Configuration Managermed Windows-brandvägg kräver ofta att du konfigurerar undantag för att tillåta kommunikation med deras plats. Vilka undantag du måste konfigurera beror på de hanteringsfunktioner du använder med Configuration Manager-klienten.

Använd följande avsnitt för att identifiera dessa hanteringsfunktioner och för mer information om hur du konfigurerar Windows-brandväggen för de här undantagen.

Ändra vilka portar och program som tillåts av Windows-brandväggen

Använd följande procedur för att ändra portar och program i Windows-brandväggen för Configuration Manager-klienten.

Ändra vilka portar och program som tillåts av Windows-brandväggen

  1. Öppna Kontrollpanelen på den dator där Windows-brandväggen körs.

  2. Högerklicka på Windows-brandväggen och klicka sedan på Öppna.

  3. Konfigurera eventuella undantag som krävs och eventuella anpassade program och portar som du vill ha.

Program och portar som krävs för Configuration Manager

Följande Configuration Manager-funktioner kräver undantag i Windows-brandväggen:

Frågor

Om du kör Configuration Manager-konsolen på en dator där Windows-brandväggen körs misslyckas frågor första gången de körs, och operativsystemet visar en dialogruta där du tillfrågas om du vill avblockera statview.exe. Om du avblockerar statview.exe körs kommande frågor utan problem. Du kan även manuellt lägga till Statview.exe i listan med program och tjänster på fliken Undantag i Windows-brandväggen innan du kör en fråga.

Push-installation av klient

Om du vill använda push-installation för System Center 2012 Configuration Manager-klienten lägger du till följande som undantag till Windows-brandväggen:

  • Utgående och inkommande: Fil- och skrivardelning

  • Inkommande: WMI (Windows Management Instrumentation)

Klientinstallation med grupprincip

Om du vill använda en grupprincip för att installera Configuration Manager-klienten lägger du till Fil- och skrivardelning som undantag till Windows-brandväggen.

Klientbegäranden

För att klientdatorer ska kunna kommunicera med Configuration Manager-platssystem lägger du till följande som undantag till Windows-brandväggen:

Utgående: TCP-port 80 (för HTTP-kommunikation)

Utgående: TCP-port 443 (för HTTPS-kommunikation)

System_CAPS_importantViktigt

Detta är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Konfigurera portnummer för klientkommunikation i Configuration Manager. Om de här portarna har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen.

Klientmeddelande

För System Center 2012 Configuration Manager SP1 och senare:

Om du vill att hanteringsplatsen ska meddela klientdatorer om åtgärder som måste vidtas när en administrativ användare väljer en klientåtgärd i Configuration Manager-konsolen, t.ex. att ladda ned datorprincip eller aktivera en sökning efter skadlig kod, lägger du till följande som ett undantag i Windows-brandväggen:

Utgående: TCP-port 10123

Om den här kommunikationen misslyckas faller Configuration Manager automatiskt tillbaka på att använda den befintliga porten för kommunikation från klient till hantering för HTTP eller HTTPS:

Utgående: TCP-port 80 (för HTTP-kommunikation)

Utgående: TCP-port 443 (för HTTPS-kommunikation)

System_CAPS_importantViktigt

Detta är standardportnummer som kan ändras i Configuration Manager. Mer information finns i Konfigurera portnummer för klientkommunikation i Configuration Manager. Om de här portarna har ändrats från standardvärdena måste du även konfigurera matchande undantag i Windows-brandväggen.

NAP (Network Access Protection)

För att klientdatorerna ska kunna kommunicera med Systemhälsoverifieraren måste du tillåta följande portar:

  • Utgående: UDP 67 och UDP 68 för DHCP

  • Utgående: TCP 80/443 för IPsec

Fjärrstyrning

Om du vill använda fjärrstyrning för Configuration Manager tillåter du följande port:

  • Inkommande: TCP-port 2701

Fjärrhjälp och fjärrskrivbord

Om du vill starta Fjärrhjälp från Configuration Manager-konsolen lägger du till det anpassade programmet Helpsvc.exe och den inkommande anpassade porten TCP 135 till listan med tillåtna program och tjänster i Windows-brandväggen på klientdatorn. Du måste även tillåta Fjärrhjälp och Fjärrskrivbord. Om du startar Fjärrhjälp från klientdatorn konfigurerar och Windows-brandväggen automatiskt Fjärrhjälp och Fjärrskrivbord.

Aktiveringsproxy

För System Center 2012 Configuration Manager SP1 och senare:

Om du aktiverar klientinställningen för aktiveringsproxy använder den nya tjänsten ConfigMgr-aktiveringsproxy ett peer-to-peer-protokoll för att kontrollera om andra datorer är aktiva på undernätet och aktivera dem vid behov. Den här kommunikationen använder följande portar:

Utgående: UDP-port 25536

Utgående: UDP-port 9

Det här är standardportnumren. De kan ändras i Configuration Manager med klientinställningarna för Energisparfunktioner inställda till Portnummer för aktiveringsproxy (UDP) och Portnummer för Wake On LAN (UDP). Om du anger klientinställningen Energisparfunktioner: Undantag för aktiveringsproxy i Windows-brandväggen konfigureras de här portarna automatiskt i Windows-brandväggen för klienter. Om en annan brandvägg körs på klienten måste du dock konfigurera undantagen för dessa portnummer manuellt.

Förutom dessa portar använder aktiveringsproxyn även ICMP (Internet Control Message Protocol) meddelanden om ekobegäranden från en klientdator till en annan. Den här kommunikationen används för att bekräfta huruvida den andra klientdatorn är aktiv i nätverket. ICMP kallas ibland TCP/IP-pingkommandon. System Center 2012 Configuration Manager SP1 konfigurerar inte Windows-brandväggen för dessa TCP/IP-pingkommandon, och om du inte kör System Center 2012 R2 Configuration Manager måste du tillåta den här ICMP-trafiken manuellt för att aktiveringsproxykommunikationen ska fungera.

Om du har System Center 2012 Configuration Manager SP1 i stället för System Center 2012 R2 Configuration Manager använder du följande procedur för att hjälpa dig att konfigurera Windows-brandväggen med en anpassad inkommande regel som tillåter inkommande TCP/IP-pingkommandon för aktiveringsproxy.

Konfigurera Windows-brandväggen för att tillåta TCP/IP-pingkommandon

  1. I konsolen Windows-brandväggen med avancerad säkerhet skapar du en ny inkommande regel.

  2. På sidan Regeltyp i guiden Ny regel för inkommande trafik väljer du Anpassad och klickar sedan på Nästa.

  3. På sidan Program behåller du standardvärdet Alla program. Klicka på Nästa.

  4. På sidan Protokoll och portar klickar du på kombinationsrutan Protokolltyp. Välj ICMPv4 och klicka på knappen Anpassa.

  5. I dialogrutan Anpassa ICMP-inställningar klickar du på Särskilda ICMP-typer. Välj Ekobegäran och klicka på OK.

  6. I guiden Ny regel för inkommande trafik klickar du på Nästa.

  7. På sidan Omfång behåller du standardinställningarna för eventuella lokala IP-adresser och fjärr-IP-adresser och klickar på Nästa.

  8. På sidan Åtgärd kontrollerar du att Tillåt anslutningen markerats och klickar sedan på Nästa.

  9. På sidan Profil väljer du de profiler som ska använda aktiveringsproxy (t.ex. Domän) och klickar sedan på Nästa.

  10. På sidan Namn anger du ett namn på den anpassade regeln. Om du vill kan du även ange en beskrivning som hjälper till att visa att regeln krävs för kommunikation med aktiveringsproxy. Klicka på Slutför så stängs guiden.

Mer information om aktiveringsproxy finns i stycket Planera för aktivering av klienter i avsnittet Planera kommunikation i Configuration Manager.

Windows Loggboken, Windows Prestandaövervakaren samt Windows Diagnostik

Om du vill komma åt Windows Loggboken, Windows Prestandaövervakaren och Windows Diagnostik från Configuration Manager-konsolen aktiverar du Fil- och skrivardelning som ett undantag i Windows-brandväggen.

Portar som används vid klientdistribution med Configuration Manager

Följande tabeller visar vilka portar som används under klientinstallationen.

System_CAPS_importantViktigt

Om det finns en brandvägg mellan platsens systemservrar och klientdatorn måste du bekräfta att brandväggen tillåter trafik för de portar som krävs för den klientinstallationsmetod du valt. Brandväggar förhindrar t.ex. ofta push-installation av klienter eftersom de blockerar SMB (Server Message Block) och RPC (Remote Procedure Calls). I en sådan situation använder du en annan metod för klientinstallation, t.ex. manuell installation (kör CCMSetup.exe) eller klientinstallation baserad på grupprincip. Dessa metoder för klientinstallation kräver inte SMB eller RPC.

Information om hur du konfigurerar Windows-brandväggen på klientdatorn finns i Ändra vilka portar och program som tillåts av Windows-brandväggen.

Portar som används för alla installationsmetoder

Beskrivning

UDP

TCP

HTTP (Hypertext Transfer Protocol) från klientdatorn till en återställningsstatusplats, om en återställningsstatusplats tilldelats klienten.

--

80 (Se anteckning 1, Alternativ port tillgänglig)

Portar som används med push-installation av klienter

Förutom de portar som visas i följande tabell använder push-installation av klienter även ICMP-ekobegäransmeddelanden (Internet Control Message Protocol) från platsservern till klientdatorn för att bekräfta att klientdatorn är tillgänglig i nätverket. ICMP kallas ibland TCP/IP-pingkommandon. ICMP har inte ett UDP- eller TCP-protokollnummer, och finns därför inte i följande tabell. Dock måste alla mellanliggande nätverksenheter, t.ex. brandväggar, tillåta ICMP-trafik för att push-installation av klienter ska kunna genomföras.

Beskrivning

UDP

TCP

SMB (Server Message Block) mellan platsservern och klientdatorn.

--

445

RPC-slutpunktsavbildare mellan platsservern och klientdatorn.

135

135

Dynamiska RPC-portar mellan platsservern och klientdatorn.

--

DYNAMIC

HTTP (Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTP.

--

80 (Se anteckning 1, Alternativ port tillgänglig)

HTTPS (säkert Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS.

--

443 (Se anteckning 1, Alternativ port tillgänglig)

Portar som används med installation baserad på programuppdateringsplats

Beskrivning

UDP

TCP

HTTP (Hypertext Transfer Protocol) från klientdatorn till programuppdateringsplatsen.

--

80 eller 8530 (Se anteckning 2, Windows Server Update Services)

HTTPS (säkert Hypertext Transfer Protocol) från klientdatorn till programuppdateringsplatsen.

--

443 eller 8531 (Se anteckning 2, Windows Server Update Services)

SMB (Server Message Block) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source:

Portar som används med installation baserad på grupprincip

Beskrivning

UDP

TCP

HTTP (Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTP.

--

80 (Se anteckning 1, Alternativ port tillgänglig)

HTTPS (säkert Hypertext Transfer Protocol) från klientdatorn till en hanteringsplats när anslutningen är över HTTPS.

--

443 (Se anteckning 1, Alternativ port tillgänglig)

SMB (Server Message Block) mellan källservern och klientdatorn när du anger kommandoradsegenskapen CCMSetup /source:

Portar som används med manuell installation och installation baserad på inloggningsskript

Beskrivning

UDP

TCP

SMB (Server Message Block) mellan klientdatorn och en nätverksresurs från vilken du kör CCMSetup.exe.

System_CAPS_noteInformation

När du installerar System Center 2012 Configuration Manager kopieras klientinstallationens källfiler och delas automatiskt från mappen

Portar som används med installation baserad på programdistribution

Beskrivning

UDP

TCP

SMB (Server Message Block) mellan distributionsplatsen och klientdatorn.

--

445

HTTP (Hypertext Transfer Protocol) från klienten till en distributionsplats när anslutningen är över HTTP.

--

80 (Se anteckning 1, Alternativ port tillgänglig)

HTTPS (säkert Hypertext Transfer Protocol) från klienten till en distributionsplats när anslutningen är över HTTPS.

--

443 (Se anteckning 1, Alternativ port tillgänglig)

Anmärkningar

1 Alternativ port tillgänglig    I Configuration Manager kan du definiera en alternativ port för det här värdet. Om en anpassad port har definierats ersätter du den anpassade porten när du definierar IP-filterinformation för IPsec-principer eller för att konfigurera brandväggar.

2 Windows Server Update Services    Du kan installera Windows Server Update Service (WSUS) antingen på standardwebbplatsen (port 80) eller en anpassad webbplats (port 8530).

Efter installationen kan du byta port. Du behöver inte använda samma portnummer i hela platshierarkin.

Om HTTP-porten är 80 måste HTTPS-porten vara 443.

Om HTTP-porten är något annat måste HTTPS-porten vara 1 högre - t.ex. 8530 och 8531.