Windows 用戶端防火牆及埠設定- Configuration Manager
文章推薦指數: 80 %
若要從Configuration Manager 主控台啟動遠端協助,請將自訂程式Helpsvc.exe 和輸入的自訂埠TCP 135 新增至用戶端電腦Windows 防火牆中的允許程式和服務 ...
跳到主要內容
已不再支援此瀏覽器。
請升級至MicrosoftEdge,以利用最新功能、安全性更新和技術支援。
下載MicrosoftEdge
其他資訊
目錄
結束焦點模式
閱讀英文
儲存
編輯
共用
Twitter
LinkedIn
Facebook
電子郵件
WeChat
目錄
閱讀英文
儲存
目錄
閱讀英文
儲存
編輯
Twitter
LinkedIn
Facebook
電子郵件
WeChat
目錄
在ConfigurationManager中Windows用戶端的防火牆和埠設定
發行項
01/04/2022
2位參與者
此頁面有所助益嗎?
Yes
No
還有其他意見反應嗎?
系統會將意見反應傳送給Microsoft:按下[提交]按鈕,您的意見反應將用來改善Microsoft產品和服務。
隱私權原則。
送出
謝謝。
本文內容
適用于:ConfigurationManager(目前的分支)
在執行Windows防火牆之ConfigurationManager中的用戶端電腦,通常會要求您設定例外狀況,以允許與其網站通訊。
您必須設定的例外狀況取決於您搭配ConfigurationManager用戶端使用的管理功能。
使用下列各節可識別這些管理功能,以及如何為這些例外設定Windows防火牆的詳細資訊。
修改Windows防火牆所允許的埠與程式
請使用下列程式,在ConfigurationManager用戶端的Windows防火牆上修改埠與程式。
若要修改Windows防火牆所允許的埠與程式
在執行Windows防火牆的電腦上,開啟[控制台]。
以滑鼠右鍵按一下[Windows防火牆],然後按一下[開啟]。
設定任何必要的例外狀況,以及您需要的任何自訂程式和埠。
ConfigurationManager所需的程式和埠
下列ConfigurationManager功能需要Windows防火牆上的例外狀況:
查詢
如果您在執行Windows防火牆的電腦上執行ConfigurationManager主控台,查詢會在第一次執行時失敗,而且作業系統會顯示對話方塊,詢問您是否要解除封鎖statview.exe。
如果您解除封鎖statview.exe,未來的查詢將會執行,且不會發生錯誤。
您也可以在執行查詢之前,先在Windows防火牆的[例外狀況]索引標籤上,手動將Statview.exe新增至程式和服務清單。
用戶端推入安裝
若要使用用戶端推送安裝ConfigurationManager用戶端,請將下列內容新增為Windows防火牆的例外狀況:
輸出和輸入:檔案和印表機共用
輸入:WindowsManagementInstrumentation(WMI)
使用群組原則進行用戶端安裝
若要使用「群組原則」來安裝ConfigurationManager用戶端,請將檔案和印表機共用新增為Windows防火牆的例外狀況。
用戶端要求
若要讓用戶端電腦與ConfigurationManager網站系統通訊,請將下列內容新增為Windows防火牆的例外:
輸出:用於HTTP通訊的TCP通訊埠80()
輸出:用於HTTPS通訊的TCP通訊埠443()
重要
這些是可在ConfigurationManager中變更的預設埠號碼。
如需詳細資訊,請參閱howtoconfigureclientcommunication埠。
如果這些埠已經從預設值變更,您也必須設定Windows防火牆上的相符例外狀況。
用戶端通知
若要讓管理點向用戶端電腦通知用戶端電腦,當管理使用者在ConfigurationManager主控台中選取用戶端動作(如[下載電腦原則]或[啟動惡意程式碼掃描])時必須採取的動作,將下列專案新增為Windows防火牆的例外狀況:
輸出:TCP埠10123
如果這項通訊沒有成功,ConfigurationManager會自動切換回使用現有的用戶端對管理點通訊埠的HTTP,或HTTPS:
輸出:用於HTTP通訊的TCP通訊埠80()
輸出:用於HTTPS通訊的TCP通訊埠443()
重要
這些是可在ConfigurationManager中變更的預設埠號碼。
如需詳細資訊,請參閱howtoconfigureclientcommunication埠。
如果這些埠已經從預設值變更,您也必須設定Windows防火牆上的相符例外狀況。
遙控
若要使用ConfigurationManager遠端控制,允許下列埠:
輸入:TCP埠2701
遠端協助和遠端桌面
若要從ConfigurationManager主控台啟動遠端協助,請將自訂程式Helpsvc.exe和輸入的自訂埠TCP135新增至用戶端電腦Windows防火牆中的允許程式和服務清單。
您也必須允許遠端協助和遠端桌面。
如果您從用戶端電腦發起遠端協助,Windows防火牆會自動設定及允許遠端協助和遠端桌面。
Wake-UpProxy
如果您啟用了喚醒proxy用戶端設定,則名為ConfigMgr喚醒Proxy的新服務會使用對等通訊協定,檢查其他電腦在子網上是否為喚醒狀態,並視需要將其喚醒。
此通訊使用下列埠:
輸出:UDP埠25536
輸出:UDP埠9
這些是您可以在ConfigurationManager中變更的預設埠號碼,方法是使用喚醒proxy埠號碼的PowerManagement用戶端設定(udp)並在上醒來LAN埠號碼(UDP)。
如果您指定了電源管理:針對喚醒proxy用戶端設定Windows防火牆例外狀況,系統會自動在Windows用戶端的防火牆中設定這些埠。
不過,如果用戶端執行不同的防火牆,您必須手動設定這些埠號碼的例外狀況。
除了這些埠之外,喚醒proxy還會使用網際網路控制郵件通訊協定(ICMP)回顯要求郵件從一部用戶端電腦傳送至另一部用戶端電腦。
這種通訊是用來確認其他用戶端電腦在網路上是否為喚醒狀態。
ICMP有時候也稱為TCP/IPping命令。
如需喚醒proxy的詳細資訊,請參閱規劃如何喚醒用戶端。
Windows事件檢視器、Windows效能監視器及Windows診斷
若要存取Windows事件檢視器、Windows效能監視器及從ConfigurationManager主控台Windows診斷,請在Windows防火牆上啟用檔案和印表機共用做為例外狀況。
在ConfigurationManager用戶端部署期間使用的埠
下表列出在用戶端安裝過程中使用的埠。
重要
如果網站系統伺服器與用戶端電腦之間有防火牆,請確認防火牆是否允許所選擇之用戶端安裝方法所需之埠的流量。
例如,防火牆常常會因封鎖伺服器消息區塊(SMB)和遠端過程呼叫(RPC)而導致用戶端推入安裝無法成功。
在此案例中,請使用不同的用戶端安裝方法,例如執行手動安裝(CCMSetup.exe)或以群組原則為基礎的用戶端安裝。
這些替代用戶端安裝方法不需要SMB或RPC。
如需如何在用戶端電腦上設定Windows防火牆的詳細資訊,請參閱修改Windows防火牆所允許的埠與程式。
用於所有安裝方法的埠
描述
UDP
TCP
超文字傳輸通訊協定(HTTP)從用戶端電腦到回退狀態點,當回退狀態點指派給用戶端時。
--
80(請參閱記事1、替代埠可用)
與用戶端推入安裝搭配使用的埠
描述
UDP
TCP
伺服器消息區塊(于網站伺服器與用戶端電腦之間的SMB)。
--
445
網站伺服器與用戶端電腦之間的RPC端點映射器。
135
135
網站伺服器與用戶端電腦之間的RPC動態埠。
--
動態
超文字傳輸通訊協定會在連線到HTTP時,從用戶端電腦向管理點(HTTP)。
--
80(請參閱記事1、替代埠可用)
安全超文字傳輸通訊協定(HTTPS)從用戶端電腦到HTTPS上的管理點。
--
443(請參閱記事1、替代埠可用)
搭配軟體更新點型安裝使用的埠
描述
UDP
TCP
超文字傳輸通訊協定(從用戶端電腦到軟體更新點的HTTP)。
--
80或8530(請參閱記事2、WindowsServerUpdateServices)
安全超文字傳輸通訊協定(HTTPS)從用戶端電腦到軟體更新點。
--
443或8531(請參閱記事2、WindowsServerUpdateServices)
當您指定CCMSetup命令列屬性/source:
--
445
與群組原則型安裝搭配使用的埠
描述
UDP
TCP
超文字傳輸通訊協定會在連線到HTTP時,從用戶端電腦向管理點(HTTP)。
--
80(請參閱記事1、替代埠可用)
安全超文字傳輸通訊協定(HTTPS)從用戶端電腦到HTTPS上的管理點。
--
443(請參閱記事1、替代埠可用)
當您指定CCMSetup命令列屬性/source:
--
445
與手動安裝和登入腳本型安裝搭配使用的埠
描述
UDP
TCP
伺服器消息區塊(用戶端電腦與您用來執行CCMSetup.exe的網路共用之間的SMB)。
當您安裝ConfigurationManager時,用戶端安裝來源檔案會複製並自動從管理點上的
不過,您可以複製這些檔案,並在網路上的任何電腦上建立新的共用。
或者,您可以在本機執行CCMSetup.exe(例如,使用卸除式媒體)以消除此網路流量。
--
445
超文字傳輸通訊協定(的HTTP)從用戶端電腦傳送到HTTP上的管理點,而您未指定CCMSetup命令列屬性/source:
--
80(請參閱記事1、替代埠可用)
安全超文字傳輸通訊協定(HTTPS)從用戶端電腦連線到HTTPS,但未指定CCMSetup命令列屬性/source:
--
443(請參閱記事1、替代埠可用)
當您指定CCMSetup命令列屬性/source:
--
445
搭配軟體發佈型安裝使用的埠
描述
UDP
TCP
伺服器消息區塊(介於發佈點與用戶端電腦之間的SMB)。
--
445
超文字傳輸通訊協定會在連線到HTTP時,從用戶端(HTTP)到發佈點。
--
80(請參閱記事1、替代埠可用)
安全超文字傳輸通訊協定(HTTPS)當連線經由HTTPS時從用戶端傳送到發佈點。
--
443(請參閱記事1、替代埠可用)
附註
1備用埠可供使用在[設定管理員]中,您可以定義此值的替代埠。
如果定義的是自訂埠,當您為IPsec原則或設定防火牆設定IP篩選資訊時,請取代該自訂埠。
2WindowsServerUpdateServices您可以將Windows伺服器更新服務(WSUS)安裝在預設網站(埠80)或自訂網站(埠8530)。
安裝之後,您可以變更埠。
您不需要在整個網站階層中使用相同的埠號碼。
如果HTTP埠為80,則HTTPS埠必須為443。
如果HTTP埠是任何其他埠,則HTTPS埠必須較高1。
例如,8530和8531。
本文內容
延伸文章資訊
- 1設定Windows10防火牆規則,禁止外機連入指定port - Hope
設定Windows10防火牆規則,禁止外機連入指定port · 1.Windows版本資訊:Windows 10 專業版、1709 · 2.由工作列右下方點開通知視窗(圖片紅框處) · 3.點選...
- 2需要開啟哪些防火牆連接埠(port)? | TP辦公通-知識庫
>Ping 192.168.7.131 通過命令Telnet IP port,檢查伺服器的某埠是否可以訪問,如: >Telnet ... 則請參考下列說明: 在Windows7/Windows8...
- 3建立輸入連接埠規則
Windows 10; Windows 11; Windows Server 2016 及更新版本. 若要只允許特定TCP 或UDP 埠號碼的傳入網路流量,請使用Windows Defender...
- 4如何將連接埠新增至Windows 防火牆的例外清單?
(如圖1.) 9. 點選「下一步(N) >」。(如圖2.) 10. 輸入連接埠名稱。
- 5允許與防火牆設定中的連接埠號碼連線 - PFU
顯示[Windows 防火牆] 視窗。 使用Windows 11 時. 選擇[開始] 功能表→ [Windows 工具] 下的[控制台] → [系統及安全性] → [Windows 防火牆]。 ...