运行 Windows 防火墙的Configuration Manager中的客户端计算机通常需要配置例外以允许与其站点通信。 必须配置的异常取决于用于 Configuration Manager 客户端的管理功能。
使用以下部分来标识这些管理功能,并了解有关如何针对这些异常配置 Windows 防火墙的详细信息。
修改 Windows 防火墙允许的端口和程序
使用以下过程修改Configuration Manager客户端的 Windows 防火墙上的端口和程序。
修改 Windows 防火墙允许的端口和程序
-
在运行 Windows 防火墙的计算机上,打开控制面板。
-
右键单击“ Windows 防火墙”,然后单击“ 打开”。
-
配置任何所需的异常以及所需的任何自定义程序和端口。
Configuration Manager需要的程序和端口
以下Configuration Manager功能需要 Windows 防火墙上的例外:
查询
如果在运行 Windows 防火墙的计算机上运行 Configuration Manager 控制台,则查询在首次运行时会失败,并且操作系统会显示一个对话框,询问你是否要取消阻止statview.exe。 如果取消阻止statview.exe,将来的查询将运行而不会出错。 在运行查询之前,还可以手动将Statview.exe添加到 Windows 防火墙的“
例外 ”选项卡上的程序和服务列表中。
客户端请求安装
若要使用客户端请求安装 Configuration Manager 客户端,请将以下内容作为例外添加到 Windows 防火墙:
-
出站和入站: 文件和打印机共享
-
入站: Windows Management Instrumentation (WMI)
使用 组策略 安装客户端
若要使用 组策略 安装 Configuration Manager 客户端,请将
文件和打印机共享添加为 Windows 防火墙的例外。
客户端请求
若要使客户端计算机与Configuration Manager站点系统通信,请将以下内容作为例外添加到 Windows 防火墙:
出站:用于 HTTP 通信) 的 TCP 端口
80 (
出站:用于 HTTPS 通信) 的 TCP 端口
443 (
重要
这些是可在 Configuration Manager 中更改的默认端口号。如果这些端口已从默认值更改,则还必须在 Windows 防火墙上配置匹配的异常。
客户端通知
若要使管理点在管理用户选择Configuration Manager控制台中的客户端操作(例如下载计算机策略或启动恶意软件扫描)时通知客户端计算机,请将以下内容作为例外添加到 Windows 防火墙:
出站:TCP 端口
10123
如果此通信不成功,Configuration Manager自动回退到使用 HTTP 或 HTTPS 的现有客户端到管理点通信端口:
出站:用于 HTTP 通信) 的 TCP 端口
80 (
出站:用于 HTTPS 通信) 的 TCP 端口
443 (
重要
这些是可在 Configuration Manager 中更改的默认端口号。 如果这些端口已从默认值更改,则还必须在 Windows 防火墙上配置匹配的异常。
遥控
若要使用Configuration Manager远程控制,请允许以下端口:
远程协助和远程桌面
若要从 Configuration Manager 控制台启动远程协助,请将自定义程序
Helpsvc.exe和入站自定义端口 TCP
135 添加到客户端计算机上 Windows 防火墙中允许的程序和服务列表。 还必须允许
远程协助 和
远程桌面。 如果从客户端计算机启动远程协助,Windows 防火墙会自动配置并允许
远程协助 和
远程桌面。
Wake-Up代理
如果启用唤醒代理客户端设置,则名为 ConfigMgr 唤醒代理的新服务使用对等协议来检查子网上是否有其他计算机处于唤醒状态,并在必要时将其唤醒。 此通信使用以下端口:
出站:UDP 端口
25536
出站:UDP 端口
9
这些是可以在 Configuration Manager 中更改的默认端口号,方法是使用唤醒
代理端口号 (UDP) 的
电源管理客户端设置和 UDP) 唤醒
端口号 (。 如果为唤醒代理客户端指定
了“电源管理:
Windows 防火墙例外 ”设置,则会在客户端的 Windows 防火墙中自动配置这些端口。 但是,如果客户端运行其他防火墙,则必须手动配置这些端口号的例外。
除了这些端口,唤醒代理还使用 Internet 控制消息协议 (ICMP) 从一台客户端计算机到另一台客户端计算机的回显请求消息。 此通信用于确认另一台客户端计算机是否在网络上处于唤醒状态。 ICMP 有时称为 TCP/IP ping 命令。
Windows 事件查看器、Windows 性能监视器和 Windows 诊断
若要从Configuration Manager控制台访问 Windows 事件查看器、Windows 性能监视器和 Windows 诊断,请在 Windows 防火墙上启用
“文件和打印机共享”作为例外。
Configuration Manager客户端部署期间使用的端口
下表列出了在客户端安装过程中使用的端口。
重要
如果站点系统服务器和客户端计算机之间有防火墙,请确认防火墙是否允许你选择的客户端安装方法所需的端口的流量。 例如,防火墙通常会阻止客户端请求安装成功,因为它们会阻止服务器消息块 (SMB) 和远程过程调用 (RPC) 。 在此方案中,请使用其他客户端安装方法,例如手动安装 (运行CCMSetup.exe) 或基于组策略的客户端安装。 这些备用客户端安装方法不需要 SMB 或 RPC。
用于所有安装方法的端口
展开表
|
说明 |
UDP |
TCP |
|
将回退状态点分配给客户端时,超文本传输协议 (HTTP) 从客户端计算机到回退状态点。 |
-- |
80 (请参阅注释 1, 备用端口可用) |
用于客户端请求安装的端口
展开表
|
说明 |
UDP |
TCP |
|
服务器消息块 (站点服务器和客户端计算机之间的 SMB) 。 |
-- |
445 |
|
站点服务器和客户端计算机之间的 RPC 终结点映射程序。 |
135 |
135 |
|
站点服务器和客户端计算机之间的 RPC 动态端口。 |
-- |
动态 |
|
当连接通过 HTTP 时,超文本传输协议 (从客户端计算机到管理点的 HTTP) 。 |
-- |
80 (请参阅注释 1, 备用端口可用) |
|
当连接通过 HTTPS 时,安全超文本传输协议 (从客户端计算机到管理点的 HTTPS) 。 |
-- |
443 (请参阅注释 1, 备用端口可用) |
用于基于软件更新点的安装的端口
展开表
|
说明 |
UDP |
TCP |
|
超文本传输协议 (从客户端计算机到软件更新点的 HTTP) 。 |
-- |
80 或 8530 (请参阅注释 2,Windows Server Update Services) |
|
从客户端计算机到软件更新点的安全超文本传输协议 (HTTPS) 。 |
-- |
443 或 8531 (请参阅注释 2,Windows Server Update Services) |
|
指定 CCMSetup 命令行属性 /source:<Path> 时,服务器消息块 (源服务器和客户端计算机之间的 SMB) 。 |
-- |
445 |
与基于 组策略 的安装配合使用的端口
展开表
|
说明 |
UDP |
TCP |
|
当连接通过 HTTP 时,超文本传输协议 (从客户端计算机到管理点的 HTTP) 。 |
-- |
80 (请参阅注释 1, 备用端口可用) |
|
当连接通过 HTTPS 时,安全超文本传输协议 (从客户端计算机到管理点的 HTTPS) 。 |
-- |
443 (请参阅注释 1, 备用端口可用) |
|
指定 CCMSetup 命令行属性 /source:<Path> 时,服务器消息块 (源服务器和客户端计算机之间的 SMB) 。 |
-- |
445 |
用于手动安装和基于登录脚本的安装的端口
展开表
|
说明 |
UDP |
TCP |
服务器消息块 (客户端计算机与运行CCMSetup.exe的网络共享之间的 SMB) 。
安装 Configuration Manager 时,客户端安装源文件将从管理点上的 <InstallationPath>\Client 文件夹中复制并自动共享。 但是,可以复制这些文件,并在网络上的任何计算机上创建新共享。 或者,可以通过在本地运行CCMSetup.exe(例如,使用可移动媒体)来消除此网络流量。 |
-- |
445 |
|
当连接通过 HTTP 时,超文本传输协议 (从客户端计算机到管理点的 HTTP) ,并且你未指定 CCMSetup 命令行属性 /source:<Path>。 |
-- |
80 (请参阅注释 1, 备用端口可用) |
|
当连接通过 HTTPS 时,安全超文本传输协议 (从客户端计算机到管理点的 HTTPS) ,并且你未指定 CCMSetup 命令行属性 /source:<Path>。 |
-- |
443 (请参阅注释 1, 备用端口可用) |
|
指定 CCMSetup 命令行属性 /source:<Path> 时,服务器消息块 (源服务器和客户端计算机之间的 SMB) 。 |
-- |
445 |
用于基于软件分发的安装的端口
展开表
|
说明 |
UDP |
TCP |
|
服务器消息块 (分发点和客户端计算机之间的 SMB) 。 |
-- |
445 |
|
当连接通过 HTTP 时,超文本传输协议 (从客户端到分发点的 HTTP) 。 |
-- |
80 (请参阅注释 1, 备用端口可用) |
|
当连接通过 HTTPS 时,从客户端到分发点的安全超文本传输协议 (HTTPS) 。 |
-- |
443 (请参阅注释 1, 备用端口可用) |
注意
1 个备用端口可用在 Configuration Manager 中,可以为此值定义备用端口。 如果已定义自定义端口,请在为 IPsec 策略或配置防火墙定义 IP 筛选器信息时替换该自定义端口。
2 Windows Server Update Services 可以在默认网站 (端口 80) 或自定义网站 (端口 8530) 上安装 Windows Server Update Service (WSUS) 。
安装后,可以更改端口。 不必在整个站点层次结构中使用相同的端口号。
如果 HTTP 端口为 80,则 HTTPS 端口必须为 443。
如果 HTTP 端口是其他端口,则 HTTPS 端口必须高于 1。 例如,8530 和 8531。
