Firewall do Windows e definições de porta para clientes no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Os computadores cliente no Configuration Manager que executam a Firewall do Windows exigem frequentemente que configure exceções para permitir a comunicação com o respetivo site. As exceções que tem de configurar dependem das funcionalidades de gestão que utiliza com o cliente Configuration Manager.
Utilize as secções seguintes para identificar estas funcionalidades de gestão e para obter mais informações sobre como configurar a Firewall do Windows para estas exceções.
Modificar as Portas e Programas Permitidos pela Firewall do Windows
Utilize o procedimento seguinte para modificar as portas e os programas na Firewall do Windows para o cliente Configuration Manager.
Para modificar as portas e os programas permitidos pela Firewall do Windows
No computador que executa a Firewall do Windows, abra Painel de Controle.
Clique com o botão direito do rato em Firewall do Windows e, em seguida, clique em Abrir.
Configure todas as exceções necessárias e quaisquer programas e portas personalizados necessários.
Programas e Portas que Configuration Manager Requer
As seguintes funcionalidades de Configuration Manager requerem exceções na Firewall do Windows:
Consultas
Se executar a consola do Configuration Manager num computador que executa a Firewall do Windows, as consultas falham na primeira vez que são executadas e o sistema operativo apresenta uma caixa de diálogo a perguntar se pretende desbloquear statview.exe. Se desbloquear statview.exe, as consultas futuras serão executadas sem erros. Também pode adicionar manualmente Statview.exe à lista de programas e serviços no separador Exceções da Firewall do Windows antes de executar uma consulta.
Instalação Push do Cliente
Para utilizar o push do cliente para instalar o cliente Configuration Manager, adicione o seguinte como exceções à Firewall do Windows:
Saída e entrada: Partilha de Ficheiros e Impressoras
Entrada: Windows Management Instrumentation (WMI)
Instalação do Cliente através de Política de Grupo
Para utilizar Política de Grupo para instalar o cliente Configuration Manager, adicione Partilha de Ficheiros e Impressoras como uma exceção à Firewall do Windows.
Pedidos de Cliente
Para que os computadores cliente comuniquem com Configuration Manager sistemas de sites, adicione o seguinte como exceções à Firewall do Windows:
Saída: Porta TCP 80 (para comunicação HTTP)
Saída: Porta TCP 443 (para comunicação HTTPS)
Importante
Estes são números de porta predefinidos que podem ser alterados no Configuration Manager. Para obter mais informações, veja How to How to configure client communication ports (Como configurar portas de comunicação de cliente). Se estas portas tiverem sido alteradas dos valores predefinidos, também tem de configurar exceções correspondentes na Firewall do Windows.
Notificação de Cliente
Para que o ponto de gestão notifique os computadores cliente sobre uma ação que tem de efetuar quando um utilizador administrativo seleciona uma ação de cliente na consola do Configuration Manager, como transferir a política de computador ou iniciar uma análise de software maligno, adicione o seguinte como uma exceção à Firewall do Windows:
Saída: Porta TCP 10123
Se esta comunicação não for bem-sucedida, Configuration Manager volta automaticamente à utilização da porta de comunicação do ponto cliente para gestão existente de HTTP ou HTTPS:
Saída: Porta TCP 80 (para comunicação HTTP)
Saída: Porta TCP 443 (para comunicação HTTPS)
Importante
Estes são números de porta predefinidos que podem ser alterados no Configuration Manager. Para obter mais informações, veja Como configurar portas de comunicação de cliente. Se estas portas tiverem sido alteradas dos valores predefinidos, também tem de configurar exceções correspondentes na Firewall do Windows.
Controlo Remoto
Para utilizar Configuration Manager controlo remoto, permita a seguinte porta:
- Entrada: Porta TCP 2701
Assistência Remota e Ambiente de Trabalho Remoto
Para iniciar a Assistência Remota a partir da consola do Configuration Manager, adicione o programa personalizado Helpsvc.exe e a porta personalizada de entrada TCP 135 à lista de programas e serviços permitidos na Firewall do Windows no computador cliente. Também tem de permitir a Assistência Remota e o Ambiente de Trabalho Remoto. Se iniciar a Assistência Remota a partir do computador cliente, a Firewall do Windows configura e permite automaticamente a Assistência Remota e o Ambiente de Trabalho Remoto.
Proxy de Wake-Up
Se ativar a definição de cliente proxy de reativação, um novo serviço com o nome ConfigMgr Proxy de Reativação utiliza um protocolo ponto a ponto para marcar se outros computadores estão ativos na sub-rede e para ativá-los, se necessário. Esta comunicação utiliza as seguintes portas:
Saída: Porta UDP 25536
Saída: Porta UDP 9
Estes são os números de porta predefinidos que podem ser alterados no Configuration Manager ao utilizar as definições de clientes do Power Management do número da porta de proxy de reativação (UDP) e o número da porta Reativação por LAN (UDP). Se especificar a definição de cliente Gestão de Energia: Firewall do Windows para reativação de proxy , estas portas são configuradas automaticamente na Firewall do Windows para clientes. No entanto, se os clientes executarem uma firewall diferente, tem de configurar manualmente as exceções para estes números de porta.
Além destas portas, o proxy de reativação também utiliza mensagens de pedido de eco ICMP (Internet Control Message Protocol) de um computador cliente para outro computador cliente. Esta comunicação é utilizada para confirmar se o outro computador cliente está ativo na rede. Por vezes, o ICMP é referido como comandos de ping TCP/IP.
Para obter mais informações sobre o proxy de reativação, veja Planear como reativar clientes.
Diagnóstico do Windows Visualizador de Eventos, Windows Monitor de Desempenho e Windows
Para aceder ao Windows Visualizador de Eventos, ao Windows Monitor de Desempenho e ao Diagnóstico do Windows a partir da consola do Configuration Manager, ative a Partilha de Ficheiros e Impressoras como uma exceção na Firewall do Windows.
Portas Utilizadas Durante a Implementação do Cliente Configuration Manager
As tabelas seguintes listam as portas utilizadas durante o processo de instalação do cliente.
Importante
Se existir uma firewall entre os servidores do sistema de sites e o computador cliente, confirme se a firewall permite o tráfego para as portas necessárias para o método de instalação do cliente que escolher. Por exemplo, muitas vezes, as firewalls impedem que a instalação push do cliente seja bem-sucedida porque bloqueiam o Protocolo SMB (Server Message Block) e as Chamadas de Procedimento Remoto (RPC). Neste cenário, utilize um método de instalação de cliente diferente, como a instalação manual (em execução CCMSetup.exe) ou a instalação de cliente baseada em Política de Grupo. Estes métodos de instalação de cliente alternativos não necessitam de SMB ou RPC.
Para obter informações sobre como configurar a Firewall do Windows no computador cliente, consulte Modificar as Portas e Programas Permitidos pela Firewall do Windows.
Portas utilizadas para todos os métodos de instalação
| Descrição | UDP | TCP |
|---|---|---|
| Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de status de contingência, quando um ponto de status de contingência é atribuído ao cliente. | -- | 80 (Ver nota 1, Porta Alternativa Disponível) |
Portas utilizadas com a instalação push do cliente
| Descrição | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre o servidor do site e o computador cliente. | -- | 445 |
| Mapeador de pontos finais RPC entre o servidor do site e o computador cliente. | 135 | 135 |
| Portas dinâmicas RPC entre o servidor do site e o computador cliente. | -- | DINÂMICO |
| Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTP. | -- | 80 (Ver nota 1, Porta Alternativa Disponível) |
| Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTPS. | -- | 443 (Ver nota 1, Porta Alternativa Disponível) |
Portas utilizadas com a instalação baseada em pontos de atualização de software
| Descrição | UDP | TCP |
|---|---|---|
| Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software. | -- | 80 ou 8530 (Ver nota 2, Windows Server Update Services) |
| Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para o ponto de atualização de software. | -- | 443 ou 8531 (Ver nota 2, Windows Server Update Services) |
| Server Message Block (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /source:<Path>. | -- | 445 |
Portas utilizadas com a instalação baseada em Política de Grupo
| Descrição | UDP | TCP |
|---|---|---|
| Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTP. | -- | 80 (Ver nota 1, Porta Alternativa Disponível) |
| Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTPS. | -- | 443 (Ver nota 1, Porta Alternativa Disponível) |
| Server Message Block (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /source:<Path>. | -- | 445 |
Portas utilizadas com instalação manual e instalação baseada em scripts de início de sessão
| Descrição | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre o computador cliente e uma partilha de rede a partir da qual executa CCMSetup.exe. Quando instala Configuration Manager, os ficheiros de origem de instalação do cliente são copiados e partilhados automaticamente a <partir da pasta InstallationPath>\Client em pontos de gestão. No entanto, pode copiar estes ficheiros e criar uma nova partilha em qualquer computador na rede. Em alternativa, pode eliminar este tráfego de rede ao executar CCMSetup.exe localmente, por exemplo, através de suportes de dados amovíveis. |
-- | 445 |
| Protocolo HTTP (Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTP e não especifica a propriedade da linha de comandos CCMSetup /source:<Path>. | -- | 80 (Ver nota 1, Porta Alternativa Disponível) |
| Protocolo HTTPS (Secure Hypertext Transfer Protocol) do computador cliente para um ponto de gestão quando a ligação é através de HTTPS e não especifica a propriedade da linha de comandos CCMSetup /source:<Path>. | -- | 443 (Ver nota 1, Porta Alternativa Disponível) |
| Server Message Block (SMB) entre o servidor de origem e o computador cliente quando especificar a propriedade da linha de comandos CCMSetup /source:<Path>. | -- | 445 |
Portas utilizadas com a instalação baseada na distribuição de software
| Descrição | UDP | TCP |
|---|---|---|
| Server Message Block (SMB) entre o ponto de distribuição e o computador cliente. | -- | 445 |
| Protocolo HTTP (Hypertext Transfer Protocol) do cliente para um ponto de distribuição quando a ligação é através de HTTP. | -- | 80 (Ver nota 1, Porta Alternativa Disponível) |
| Protocolo HTTPS (Secure Hypertext Transfer Protocol) do cliente para um ponto de distribuição quando a ligação é através de HTTPS. | -- | 443 (Ver nota 1, Porta Alternativa Disponível) |
Notas
1 Porta Alternativa Disponível No Configuration Manager, pode definir uma porta alternativa para este valor. Se tiver sido definida uma porta personalizada, substitua essa porta personalizada quando definir as informações do filtro IP para políticas IPsec ou para configurar firewalls.
2 Windows Server Update Services Pode instalar Windows Server Update Service (WSUS) no Web site predefinido (porta 80) ou num Web site personalizado (porta 8530).
Após a instalação, pode alterar a porta. Não tem de utilizar o mesmo número de porta em toda a hierarquia do site.
Se a porta HTTP for 80, a porta HTTPS tem de ser 443.
Se a porta HTTP for outra coisa, a porta HTTPS tem de ser 1 superior. Por exemplo, 8530 e 8531.