Configuration Manager 中用戶端的 Windows 防火牆和埠設定
適用於:Configuration Manager (目前的分支)
執行 Windows 防火牆 Configuration Manager 中的用戶端電腦通常會要求您設定例外狀況,以允許與其網站通訊。 您必須設定的例外狀況取決於您與 Configuration Manager 用戶端搭配使用的管理功能。
使用下列各節來識別這些管理功能,以及有關如何針對這些例外狀況設定Windows防火牆的詳細資訊。
修改 Windows 防火牆允許的埠和程式
使用下列程式來修改 windows 防火牆上的埠和程式,以 Configuration Manager 用戶端。
修改 Windows 防火牆允許的埠和程式
在執行 Windows 防火牆的電腦上,開啟 控制台。
以滑鼠右鍵按兩下 [Windows 防火牆],然後按兩下 [ 開啟]。
設定任何必要的例外狀況,以及您需要的任何自定義程式和埠。
需要 Configuration Manager 程式和埠
下列 Configuration Manager 功能需要 Windows 防火牆上的例外狀況:
查詢
如果您在執行 Windows 防火牆的電腦上執行 Configuration Manager 主控台,查詢會在第一次執行時失敗,作系統會顯示對話框,詢問您是否要解除封鎖 statview.exe。 如果您解除封鎖 statview.exe,未來的查詢將會執行而不會發生錯誤。 您也可以在執行查詢之前,手動將 Statview.exe 新增至 Windows 防火牆 [ 例外 狀況] 索引標籤上的程式和服務清單。
用戶端推入安裝
若要使用用戶端推入來安裝 Configuration Manager 用戶端,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出和輸入: 檔案和印表機共用
輸入: Windows Management Instrumentation (WMI)
使用用戶端安裝 群組原則
若要使用 群組原則 安裝 Configuration Manager 用戶端,請將檔案和印表機共用新增為 Windows 防火牆的例外狀況。
用戶端要求
若要讓用戶端電腦與 Configuration Manager 月台系統通訊,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出:HTTP 通訊) 的 TCP 連接埠 80 (
輸出:HTTPS 通訊) 的 TCP 連接埠 443 (
重要事項
這些是可在 Configuration Manager 中變更的預設埠號碼。 如需詳細資訊,請參閱 如何設定用戶端通訊埠。 如果這些埠已從預設值變更,您也必須在 Windows 防火牆上設定相符的例外狀況。
用戶端通知
若要讓管理點通知用戶端計算機系統管理使用者在 Configuration Manager 控制台中選取用戶端動作時必須採取的動作,例如下載計算機原則或起始惡意代碼掃描,請將下列專案新增為 Windows 防火牆的例外狀況:
輸出:TCP 埠 10123
如果此通訊失敗,Configuration Manager 會自動回復為使用 HTTP 或 HTTPS 的現有用戶端對管理點通訊埠:
輸出:HTTP 通訊) 的 TCP 連接埠 80 (
輸出:HTTPS 通訊) 的 TCP 連接埠 443 (
重要事項
這些是可在 Configuration Manager 中變更的預設埠號碼。 如需詳細資訊,請參閱 如何設定用戶端通訊埠。 如果這些埠已從預設值變更,您也必須在 Windows 防火牆上設定相符的例外狀況。
遙控
若要使用 Configuration Manager 遠端控制,請允許下列埠:
- 輸入:TCP 埠 2701
遠端協助和遠端桌面
若要從 Configuration Manager 主控台起始遠端協助,請將自定義程式 Helpsvc.exe 和輸入自定義埠 TCP 135 新增至用戶端電腦上 Windows 防火牆中允許的程式和服務清單。 您也必須允許 遠端協助 和 遠端桌面。 如果您從用戶端電腦起始遠端協助,Windows 防火牆會自動設定並允許 遠端協助 和 遠端桌面。
Wake-Up Proxy
如果您啟用喚醒 Proxy 用戶端設定,名為 ConfigMgr 喚醒 Proxy 的新服務會使用點對點通訊協議來檢查子網上是否有其他計算機處於喚醒狀態,並視需要將它們喚醒。 此通訊會使用下列埠:
輸出:UDP 埠 25536
輸出:UDP 埠 9
這些是預設埠號碼,可在 Configuration Manager 中使用喚醒 Proxy 埠號碼 (UDP) 的 Power Management 客戶端設定,以及 UDP) (網路喚醒埠號碼。 如果您指定 [電源管理:喚醒 Proxy 用戶端 的 Windows 防火牆例外 狀況] 客戶端設定,這些埠會自動在用戶端的 Windows 防火牆中設定。 不過,如果客戶端執行不同的防火牆,您必須手動設定這些埠號碼的例外狀況。
除了這些埠之外,喚醒 Proxy 也會使用因特網控制訊息通訊協定 (ICMP) 從一部用戶端電腦到另一部用戶端電腦的回應要求訊息。 此通訊可用來確認網路上的其他用戶端計算機是否處於喚醒狀態。 ICMP 有時稱為 TCP/IP ping 命令。
如需喚醒 Proxy 的詳細資訊,請參閱 規劃如何喚醒用戶端。
Windows 事件檢視器、Windows 效能監視器 和 Windows 診斷
若要從 Configuration Manager 控制台存取 Windows 事件檢視器、Windows 效能監視器 和 Windows 診斷,請在 Windows 防火牆上啟用檔案和印表機共用作為例外狀況。
Configuration Manager 用戶端部署期間使用的埠
下表列出用戶端安裝程序期間所使用的埠。
重要事項
如果站台系統伺服器與用戶端計算機之間有防火牆,請確認防火牆是否允許您選擇的用戶端安裝方法所需的埠流量。 例如,防火牆通常會防止用戶端推入安裝成功,因為它們會封鎖伺服器消息塊 (SMB) 和遠端過程調用 (RPC) 。 在此案例中,請使用不同的用戶端安裝方法,例如手動安裝 (執行 CCMSetup.exe) 或以 群組原則 為基礎的用戶端安裝。 這些替代用戶端安裝方法不需要SMB或 RPC。
如需如何在用戶端計算機上設定 Windows 防火牆的資訊,請參閱 修改 Windows 防火牆允許的埠和程式。
用於所有安裝方法的埠
| 描述 | UDP | TCP |
|---|---|---|
| 將後援狀態點指派給用戶端時,超文本傳輸通訊協定 (HTTP) 從用戶端電腦傳送到後援狀態點。 | -- | 80 (請參閱附註 1: 可用的替代埠) |
與用戶端推入安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 伺服器消息塊 (月臺伺服器與用戶端電腦之間的SMB) 。 | -- | 445 |
| 站臺伺服器與用戶端電腦之間的 RPC 端點對應程式。 | 135 | 135 |
| 站臺伺服器與用戶端電腦之間的 RPC 動態埠。 | -- | 動態 |
| 當連線透過 HTTP 時,超文本傳輸通訊協定 (從用戶端電腦到管理點的 HTTP) 。 | -- | 80 (請參閱附註 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) 。 | -- | 443 (請參閱附註 1: 可用的替代埠) |
與軟體更新點型安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 從用戶端電腦到軟體更新點的超文本傳輸通訊協定 (HTTP) 。 | -- | 80 或 8530 (請參閱附注 2,Windows Server Update Services) |
| 從用戶端電腦到軟體更新點的安全超文本傳輸通訊協定 (HTTPS) 。 | -- | 443 或 8531 (請參閱附註 2,Windows Server Update Services) |
| 當您指定 CCMSetup 命令行屬性 /source:Path> 時,來源伺服器與用戶端電腦之間的伺服器消息塊 (SMB) <。 | -- | 445 |
與以 群組原則 為基礎的安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 當連線透過 HTTP 時,超文本傳輸通訊協定 (從用戶端電腦到管理點的 HTTP) 。 | -- | 80 (請參閱附註 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) 。 | -- | 443 (請參閱附註 1: 可用的替代埠) |
| 當您指定 CCMSetup 命令行屬性 /source:Path> 時,來源伺服器與用戶端電腦之間的伺服器消息塊 (SMB) <。 | -- | 445 |
用於手動安裝和登入腳本型安裝的埠
| 描述 | UDP | TCP |
|---|---|---|
| 伺服器消息塊 (客戶端電腦與您執行 CCMSetup.exe 的網路共用之間的SMB) 。 當您安裝 Configuration Manager 時,用戶端安裝來源檔案會從<管理點上的 InstallationPath>\Client 資料夾複製並自動共用。 不過,您可以複製這些檔案,並在網路上的任何電腦上建立新的共用。 或者,您可以在本機執行 CCMSetup.exe,例如使用卸載式媒體來消除此網路流量。 |
-- | 445 |
| 超文本傳輸通訊協定 (當連線透過 HTTP 時,從用戶端電腦到管理點的 HTTP) ,而且您未指定 CCMSetup 命令行屬性 /source:<Path>。 | -- | 80 (請參閱附註 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文本傳輸通訊協定 (從用戶端電腦到管理點的 HTTPS) ,而且您未指定 CCMSetup 命令行屬性 /source:<Path>。 | -- | 443 (請參閱附註 1: 可用的替代埠) |
| 當您指定 CCMSetup 命令行屬性 /source:Path> 時,來源伺服器與用戶端電腦之間的伺服器消息塊 (SMB) <。 | -- | 445 |
與軟體發佈型安裝搭配使用的埠
| 描述 | UDP | TCP |
|---|---|---|
| 發佈點與用戶端電腦之間的伺服器消息塊 (SMB) 。 | -- | 445 |
| 超文本傳輸通訊協定 (連線透過 HTTP 時,從用戶端到發布點的 HTTP) 。 | -- | 80 (請參閱附註 1: 可用的替代埠) |
| 當連線透過 HTTPS 時,安全超文字傳輸通訊協定 (從用戶端到發佈點的 HTTPS) 。 | -- | 443 (請參閱附註 1: 可用的替代埠) |
附註
1 個可用的替代埠在 Configuration Manager 中,您可以為此值定義替代埠。 如果已定義自定義埠,當您定義 IPsec 原則的 IP 篩選資訊或設定防火牆時,請取代該自定義埠。
2 Windows Server Update Services 您可以在默認網站 (埠 80) 或自定義網站 (埠 8530) 上安裝 Windows Server Update Service (WSUS) 。
安裝之後,您可以變更埠。 您不需要在整個站台階層中使用相同的埠號碼。
如果 HTTP 埠為 80,HTTPS 埠必須是 443。
如果 HTTP 連接埠是任何其他埠,則 HTTPS 埠必須高於 1。 例如,8530 和 8531。