Configuration Manager'deki istemciler için Windows Güvenlik Duvarı ve bağlantı noktası ayarları
Uygulama hedefi: Configuration Manager (güncel dalı)
windows güvenlik duvarı çalıştıran Configuration Manager istemci bilgisayarlar genellikle özel durumları kendi siteleriyle iletişime izin verecek şekilde yapılandırmanızı gerektirir. Yapılandırmanız gereken özel durumlar, Configuration Manager istemcisiyle kullandığınız yönetim özelliklerine bağlıdır.
Bu yönetim özelliklerini tanımlamak ve bu özel durumlar için Windows Güvenlik Duvarı'nı yapılandırma hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.
Windows Güvenlik Duvarı tarafından İzin Verilen Bağlantı Noktalarını ve Programları Değiştirme
Configuration Manager istemcisi için Windows Güvenlik Duvarı'ndaki bağlantı noktalarını ve programları değiştirmek için aşağıdaki yordamı kullanın.
Windows Güvenlik Duvarı tarafından izin verilen bağlantı noktalarını ve programları değiştirmek için
Windows Güvenlik Duvarı'nı çalıştıran bilgisayarda Denetim Masası açın.
Windows Güvenlik Duvarı'na sağ tıklayın ve ardından Aç'a tıklayın.
Gerekli özel durumları ve ihtiyacınız olan özel programları ve bağlantı noktalarını yapılandırın.
Configuration Manager Gereken Programlar ve Bağlantı Noktaları
Aşağıdaki Configuration Manager özellikleri Windows Güvenlik Duvarı'nda özel durumlar gerektirir:
Sorgu
Configuration Manager konsolunu Windows Güvenlik Duvarı çalıştıran bir bilgisayarda çalıştırırsanız, sorgular ilk kez çalıştırıldığında başarısız olur ve işletim sistemi statview.exe engellemesini kaldırmak isteyip istemediğinizi soran bir iletişim kutusu görüntüler. statview.exe engellemesini kaldırırsanız, gelecekteki sorgular hatasız çalıştırılır. Sorguyu çalıştırmadan önce Statview.exe Windows Güvenlik Duvarı'nın Özel Durumlar sekmesindeki programlar ve hizmetler listesine el ile de ekleyebilirsiniz.
İstemci Anında yükleme
Configuration Manager istemcisini yüklemek üzere istemci gönderimini kullanmak için, Windows Güvenlik Duvarı'na özel durumlar olarak aşağıdakileri ekleyin:
Giden ve gelen: Dosya ve Yazıcı Paylaşımı
Gelen: Windows Yönetim Araçları (WMI)
grup ilkesi Kullanarak İstemci Yüklemesi
Configuration Manager istemcisini yüklemek için grup ilkesi kullanmak için Dosya ve Yazıcı Paylaşımı'nı Windows Güvenlik Duvarı'na özel durum olarak ekleyin.
İstemci İstekleri
İstemci bilgisayarların Configuration Manager site sistemleriyle iletişim kurması için, Windows Güvenlik Duvarı'na özel durumlar olarak aşağıdakileri ekleyin:
Giden: TCP Bağlantı Noktası 80 (HTTP iletişimi için)
Giden: TCP Bağlantı Noktası 443 (HTTPS iletişimi için)
Önemli
Bunlar, Configuration Manager'de değiştirilebilen varsayılan bağlantı noktası numaralarıdır. Daha fazla bilgi için bkz. İstemci iletişim bağlantı noktalarını yapılandırma. Bu bağlantı noktaları varsayılan değerlerden değiştirildiyse, Windows Güvenlik Duvarı'nda eşleşen özel durumları da yapılandırmanız gerekir.
İstemci Bildirimi
Yönetim noktasının, yönetici kullanıcı Configuration Manager konsolunda bilgisayar ilkesini indirme veya kötü amaçlı yazılım taraması başlatma gibi bir istemci eylemi seçtiğinde gerçekleştirmesi gereken bir eylemi istemci bilgisayarlara bildirmesi için, windows güvenlik duvarına özel durum olarak aşağıdakileri ekleyin:
Giden: TCP Bağlantı Noktası 10123
Bu iletişim başarılı olmazsa, Configuration Manager otomatik olarak HTTP veya HTTPS'nin mevcut istemciden yönetim noktasına iletişim bağlantı noktasını kullanmaya geri döner:
Giden: TCP Bağlantı Noktası 80 (HTTP iletişimi için)
Giden: TCP Bağlantı Noktası 443 (HTTPS iletişimi için)
Önemli
Bunlar, Configuration Manager'de değiştirilebilen varsayılan bağlantı noktası numaralarıdır. Daha fazla bilgi için bkz. İstemci iletişim bağlantı noktalarını yapılandırma. Bu bağlantı noktaları varsayılan değerlerden değiştirildiyse, Windows Güvenlik Duvarı'nda eşleşen özel durumları da yapılandırmanız gerekir.
Uzaktan Denetim
uzaktan Configuration Manager kullanmak için aşağıdaki bağlantı noktasına izin verin:
- Gelen: TCP Bağlantı Noktası 2701
Uzaktan Yardım ve Uzak Masaüstü
Configuration Manager konsolundan Uzaktan Yardım'ı başlatmak için özel program Helpsvc.exe ve gelen özel bağlantı noktası TCP 135'i istemci bilgisayardaki Windows Güvenlik Duvarı'ndaki izin verilen programlar ve hizmetler listesine ekleyin. Uzaktan Yardım ve Uzak Masaüstü'ne de izin vermelisiniz. İstemci bilgisayardan Uzaktan Yardım başlatırsanız, Windows Güvenlik Duvarı Uzaktan Yardım ve Uzak Masaüstü'nü otomatik olarak yapılandırıp izin verir.
Wake-Up Ara Sunucusu
Uyandırma proxy'si istemci ayarını etkinleştirirseniz, ConfigMgr Uyandırma Proxy'si adlı yeni bir hizmet, alt ağda diğer bilgisayarların uyanık olup olmadığını denetlemek ve gerekirse onları uyandırmak için eşler arası bir protokol kullanır. Bu iletişim aşağıdaki bağlantı noktalarını kullanır:
Giden: UDP Bağlantı Noktası 25536
Giden: UDP Bağlantı Noktası 9
Bunlar, uyandırma proxy bağlantı noktası numarası (UDP) ve LAN bağlantı noktası numarasında (UDP)Uyandırma'nın Power Management istemcileri ayarları kullanılarak Configuration Manager'de değiştirilebilen varsayılan bağlantı noktası numaralarıdır. Uyandırma proxy'si istemci ayarı için Power Management: Windows Güvenlik Duvarı özel durumu ayarını belirtirseniz, bu bağlantı noktaları istemciler için Windows Güvenlik Duvarı'nda otomatik olarak yapılandırılır. Ancak, istemciler farklı bir güvenlik duvarı çalıştırıyorsa, bu bağlantı noktası numaraları için özel durumları el ile yapılandırmanız gerekir.
Bu bağlantı noktalarına ek olarak, uyandırma proxy'si bir istemci bilgisayardan başka bir istemci bilgisayara İnternet Denetim İletisi Protokolü (ICMP) yankı isteği iletilerini de kullanır. Bu iletişim, diğer istemci bilgisayarın ağda uyanık olup olmadığını onaylamak için kullanılır. ICMP bazen TCP/IP ping komutları olarak adlandırılır.
Uyandırma proxy'si hakkında daha fazla bilgi için bkz. İstemcileri nasıl uyandıracaklarını planlama.
Windows Olay Görüntüleyicisi, Windows Performans İzleyicisi ve Windows Tanılama
Configuration Manager konsolundan Windows Olay Görüntüleyicisi, Windows Performans İzleyicisi ve Windows Tanılama'ya erişmek için, Windows Güvenlik Duvarı'nda özel durum olarak Dosya ve Yazıcı Paylaşımı'nı etkinleştirin.
Configuration Manager İstemci Dağıtımı Sırasında Kullanılan Bağlantı Noktaları
Aşağıdaki tablolarda, istemci yükleme işlemi sırasında kullanılan bağlantı noktaları listelenmiştir.
Önemli
Site sistem sunucuları ile istemci bilgisayar arasında bir güvenlik duvarı varsa, güvenlik duvarının seçtiğiniz istemci yükleme yöntemi için gereken bağlantı noktaları için trafiğe izin verip vermeyeceğini onaylayın. Örneğin, sunucu ileti bloğu (SMB) ve Uzak Yordam Çağrılarını (RPC) engellediklerinden, güvenlik duvarları genellikle istemci anında yüklemenin başarılı olmasını engeller. Bu senaryoda, el ile yükleme (CCMSetup.exe çalıştıran) veya grup ilkesi tabanlı istemci yüklemesi gibi farklı bir istemci yükleme yöntemi kullanın. Bu alternatif istemci yükleme yöntemleri SMB veya RPC gerektirmez.
İstemci bilgisayarda Windows Güvenlik Duvarı'nı yapılandırma hakkında bilgi için bkz. Windows Güvenlik Duvarı tarafından İzin Verilen Bağlantı Noktalarını ve Programları Değiştirme.
Tüm yükleme yöntemleri için kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| İstemciye bir geri dönüş durum noktası atandığında, istemci bilgisayardan geri dönüş durum noktasına Köprü Metni Aktarım Protokolü (HTTP). | -- | 80 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
İstemci anında yükleme ile kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| Site sunucusu ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB). | -- | 445 |
| Site sunucusu ile istemci bilgisayar arasında RPC uç nokta eşleştiricisi. | 135 | 135 |
| Site sunucusu ile istemci bilgisayar arasında RPC dinamik bağlantı noktaları. | -- | DİNAMİK |
| Bağlantı HTTP üzerinden olduğunda istemci bilgisayardan bir yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP). | -- | 80 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| Bağlantı HTTPS üzerinden olduğunda istemci bilgisayardan bir yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS). | -- | 443 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
Yazılım güncelleştirme noktası tabanlı yükleme ile kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| İstemci bilgisayardan yazılım güncelleştirme noktasına Köprü Metni Aktarım Protokolü (HTTP). | -- | 80 veya 8530 (Bkz. not 2, Windows Server Update Services) |
| İstemci bilgisayardan yazılım güncelleştirme noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS). | -- | 443 veya 8531 (Bkz. not 2, Windows Server Update Services) |
| CCMSetup komut satırı özelliğini /source:<Path> belirttiğinizde, kaynak sunucu ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB). | -- | 445 |
grup ilkesi tabanlı yükleme ile kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| Bağlantı HTTP üzerinden olduğunda istemci bilgisayardan bir yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP). | -- | 80 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| Bağlantı HTTPS üzerinden olduğunda istemci bilgisayardan bir yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS). | -- | 443 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| CCMSetup komut satırı özelliğini /source:<Path> belirttiğinizde, kaynak sunucu ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB). | -- | 445 |
El ile yükleme ve oturum açma betiği tabanlı yükleme ile kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| İstemci bilgisayar ile CCMSetup.exe çalıştırdığınız ağ paylaşımı arasında Sunucu İleti Bloğu (SMB). Configuration Manager yüklediğinizde, istemci yükleme kaynak dosyaları yönetim noktalarındaki InstallationPath>\Client klasöründen< kopyalanır ve otomatik olarak paylaşılır. Ancak, bu dosyaları kopyalayabilir ve ağdaki herhangi bir bilgisayarda yeni bir paylaşım oluşturabilirsiniz. Alternatif olarak, örneğin çıkarılabilir medya kullanarak CCMSetup.exe yerel olarak çalıştırarak bu ağ trafiğini ortadan kaldırabilirsiniz. |
-- | 445 |
| Bağlantı HTTP üzerinden olduğunda istemci bilgisayardan yönetim noktasına Köprü Metni Aktarım Protokolü (HTTP) ve CCMSetup komut satırı özelliği /source:<Path> belirtmezseniz. | -- | 80 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| Bağlantı HTTPS üzerinden olduğunda istemci bilgisayardan bir yönetim noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS) sağlayın ve CCMSetup komut satırı özelliğini /source:<Path> belirtmeyin. | -- | 443 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| CCMSetup komut satırı özelliğini /source:<Path> belirttiğinizde, kaynak sunucu ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB). | -- | 445 |
Yazılım dağıtım tabanlı yükleme ile kullanılan bağlantı noktaları
| Açıklama | UDP | TCP |
|---|---|---|
| Dağıtım noktası ile istemci bilgisayar arasında Sunucu İleti Bloğu (SMB). | -- | 445 |
| Bağlantı HTTP üzerinden olduğunda istemciden bir dağıtım noktasına Köprü Metni Aktarım Protokolü (HTTP). | -- | 80 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
| Bağlantı HTTPS üzerinden olduğunda istemciden bir dağıtım noktasına Güvenli Köprü Metni Aktarım Protokolü (HTTPS). | -- | 443 (Bkz. not 1, Alternatif Bağlantı Noktası Kullanılabilir) |
Notlar
1 Alternatif Bağlantı Noktası Kullanılabilir Configuration Manager içinde, bu değer için alternatif bir bağlantı noktası tanımlayabilirsiniz. Özel bir bağlantı noktası tanımlanmışsa, IPSec ilkeleri veya güvenlik duvarlarını yapılandırmak için IP filtresi bilgilerini tanımlarken bu özel bağlantı noktasının yerine geçin.
2 Windows Server Update Services Windows Server Update Service'i (WSUS) varsayılan Web sitesine (bağlantı noktası 80) veya özel bir Web sitesine (bağlantı noktası 8530) yükleyebilirsiniz.
Yüklemeden sonra bağlantı noktasını değiştirebilirsiniz. Site hiyerarşisi genelinde aynı bağlantı noktası numarasını kullanmanız gerekmez.
HTTP bağlantı noktası 80 ise, HTTPS bağlantı noktası 443 olmalıdır.
HTTP bağlantı noktası başka bir şeyse, HTTPS bağlantı noktası 1 daha yüksek olmalıdır. Örneğin, 8530 ve 8531.