Порты, используемые в диспетчере конфигурации

Порты, используемые в диспетчере конфигурации

В этой статье перечислены сетевые порты, которые использует Диспетчер конфигурации. Некоторые подключения используют не настраиваемые порты, а некоторые поддерживают настраиваемые порты, которые вы указываете. Если вы используете любую технологию фильтрации портов, убедитесь, что необходимые порты доступны. Эти технологии фильтрации портов включают брандмауэры, маршрутизаторы, прокси-серверы или IPsec.

Если вы поддерживаете интернет-клиентов с помощью SSL-бригирования, помимо требований к порту, вам также может потребоваться разрешить некоторым http-глаголам и заголовщикам пересекать брандмауэр.

Порты, которые можно настроить

Диспетчер конфигурации позволяет настроить порты для следующих типов связи:

Прокси-сервер регистрации указывают на точку регистрации

Системы от клиента к сайту, которые запускают IIS

Клиент в Интернет (в качестве параметров прокси-сервера)

Обновление программного обеспечения указывают на Интернет (в качестве параметров прокси-сервера)

Обновление программного обеспечения указывают на сервер WSUS

Сервер сайта на сервер базы данных сайта

Сервер сайта на сервер базы данных WSUS

Точки служб отчетности

Вы настраивает порты для точки служб отчетности в SQL Server Reporting Services. После этого диспетчер конфигурации использует эти порты во время связи с точкой служб отчетности. Обязательно просмотрите эти порты, определяющие сведения о фильтре IP для политик IPsec или для настройки брандмауэров.

По умолчанию порт HTTP, используемый для системной связи между клиентом и сайтом, — порт 80 и 443 для HTTPS. Эти порты можно изменить во время установки или в свойствах сайта.

Неконфигурируемые порты

Диспетчер конфигурации не позволяет настраивать порты для следующих типов связи:

Сервер сайта к системе сайта

Консоль Configuration Manager к поставщику SMS

Консоль Configuration Manager в Интернете

Подключение к облачным службам, таким как Microsoft Azure

Порты, используемые клиентами и системами сайтов

В следующих разделах подробно изучаются порты, используемые для связи в Configuration Manager. Стрелки в заголовке раздела показывают направление связи:

--> Указывает, что один компьютер запускает связь, а другой всегда отвечает

<--> Указывает, что любой компьютер может начать связь

Точка синхронизации аналитики активов --> Microsoft Описание UDP TCP HTTPS -- 443 Точка синхронизации сведении активов SQL Server --> Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Клиент клиент -->

Прокси-сервер wake-up также использует сообщения запроса эхо ICMP от одного клиента к другому клиенту. Клиенты используют это сообщение, чтобы подтвердить, не проснулся ли другой клиент в сети. ICMP иногда называют командами ping. У ICMP нет номера протокола UDP или TCP, поэтому он не указан в приведенной ниже таблице. Однако любые межсетевые брандмауэры на этих клиентских компьютерах или межсетевых устройствах в подсети должны разрешить трафик ICMP для успешного взаимодействия с прокси-серверами.

Описание UDP TCP Пробуждение по локальной сети 9 Альтернативный порт Примечание 2 доступен -- Прокси-сервер wake-up Доступный альтернативный порт Примечание 2 25536 -- Windows кэша PE Peer 8004 -- Windows кэша PE Peer -- 8003

Дополнительные сведения см. в Windows КЭШ pe Peer.

Модуль политики --> службы регистрации сетевых устройств диспетчера конфигурации клиента (NDES) Описание UDP TCP HTTP 80 HTTPS -- 443 Точка распространения клиентских --> облаков Описание UDP TCP HTTPS -- 443 Шлюз управления --> облачными клиентами (CMG) Описание UDP TCP HTTPS -- 443

Дополнительные сведения см. в потоке данных CMG.

Точка --> распределения клиентов, как стандартная, так и тяговая Описание UDP TCP HTTP -- 80 Альтернативный порт Примечание 2 доступен HTTPS -- 443 Альтернативный порт Примечание 2 Экспресс-обновления -- 8005 Примечание 2 Альтернативный порт доступен

Используйте параметры клиента для настройки альтернативного порта для экспресс-обновлений. Дополнительные сведения см. в материалах Port, которые клиенты используют для получения запросов на контент delta.

Точка --> рассылки клиента, настроенная для многоуровневой, как стандартной, так и тянутой Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Протокол multicast 63000-64000 -- Точка --> рассылки клиента, настроенная для PXE, как стандартная, так и тяговая Описание UDP TCP DHCP 67 и 68 -- TFTP 69 Примечание 4 -- Уровень переговоров с информацией о загрузке (BINL) 4011 --

Если вы включаете брандмауэр на основе хост-сервера, убедитесь, что правила позволяют серверу отправлять и получать в этих портах. Когда вы включаете точку распространения для PXE, диспетчер конфигурации может включить входящие (получать) правила на Windows брандмауэра. Он не настраивает правила исходящие (отправки).

Точка состояния --> "Клиентская отката" Описание UDP TCP HTTP -- 80 Альтернативный порт Примечание 2 доступен Контроллер домена --> клиентского глобального каталога

Клиент Configuration Manager не обращается к глобальному серверу каталогов, когда это компьютер workgroup или когда он настроен для общения только для Интернета.

Описание UDP TCP Глобальный каталог LDAP -- 3268

Точка управления --> клиентом Описание UDP TCP Уведомление клиента (сообщение по умолчанию перед отсевом в HTTP или HTTPS) -- Доступный альтернативный порт Примечание 2 10123 HTTP -- 80 Альтернативный порт Примечание 2 доступен HTTPS -- 443 Альтернативный порт Примечание 2 Точка обновления --> клиентского программного обеспечения Описание UDP TCP HTTP -- 80 или 8530 Примечание 3 HTTPS -- 443 или 8531 Примечание 3 Точка миграции --> состояния клиента Описание UDP TCP HTTP -- 80 Альтернативный порт Примечание 2 доступен HTTPS -- 443 Альтернативный порт Примечание 2 Блок сообщений сервера (SMB) -- 445 Набор масштабов виртуальной машины CMG-точки --> подключения CMG

Диспетчер конфигурации использует эти подключения для создания канала CMG. Дополнительные сведения см. в потоке данных CMG.

Описание UDP TCP HTTPS (один VM) -- 443 HTTPS (два или более VMs) -- 10124-10139

CmG-точка подключения --> CMG классическая облачная служба

Диспетчер конфигурации использует эти подключения для создания канала CMG. Дополнительные сведения см. в потоке данных CMG.

Описание UDP TCP TCP-TLS (предпочтительно) -- 10140-10155 HTTPS (откат с одним VM) -- 443 HTTPS (откат с двумя или более VMs) -- 10124-10139

Точка управления точками подключения --> CMG Описание UDP TCP HTTPS -- 443 HTTP -- 80

Определенный порт зависит от конфигурации точки управления. Дополнительные сведения см. в потоке данных CMG.

Точка обновления точки подключения --> CMG Software

Конкретный порт зависит от конфигурации точки обновления программного обеспечения.

Описание UDP TCP HTTPS -- 443/8531 HTTP -- 80/8530

Дополнительные сведения см. в потоке данных CMG.

Клиент консоли Configuration Manager --> Описание UDP TCP Remote Control (control) -- 2701 Удаленная помощь (RDP и RTC) -- 3389 Консольный интернет Configuration --> Manager Описание UDP TCP HTTP -- 80 HTTPS -- 443

Консоль Configuration Manager использует доступ к Интернету для следующих действий:

  • Загрузка обновлений программного обеспечения из Microsoft Update для пакетов развертывания.
  • Элемент Обратной связи в ленте.
  • Ссылки на документацию в консоли.
  • Загрузка элементов из Community концентратора
Точка служб консоли Configuration --> Manager Reporting Описание UDP TCP HTTP -- 80 Альтернативный порт Примечание 2 доступен HTTPS -- 443 Альтернативный порт Примечание 2 Сервер консоли Configuration Manager --> site Описание UDP TCP RPC (начальное подключение к WMI для поиска системы поставщика) -- 135 Поставщик SMS-сообщений консоли Configuration --> Manager Описание UDP TCP Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 HTTPS -- 443 *Примечание Примечание для службы администрирования

Любое устройство, вызывающее службу администрирования в поставщике SMS, использует порт HTTPS 443. Дополнительные сведения см. в дополнительных сведениях о службе администрирования?

Служба регистрации сетевых устройств диспетчера конфигурации (NDES) --> — точка регистрации сертификата Описание UDP TCP HTTPS -- 443 Альтернативный порт Примечание 2 Точка обслуживания хранилища данных SQL Server --> Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Точка распространения, как стандартная, так и точка управления вытягивать -->

Точка рассылки передается точке управления в следующих сценариях:

Сообщить о состоянии предустановленного контента

Отчет об использовании сводных данных

Отчет о проверке контента

Чтобы сообщить о состоянии загрузки пакетов, только для точек тяги-распределения

Endpoint Protection точеченого --> интернета Описание UDP TCP HTTP -- 80 Endpoint Protection точка --> SQL Server Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Точка регистрации прокси-точки --> регистрации Описание UDP TCP HTTPS -- 443 Альтернативный порт Примечание 2 Пункт регистрации SQL Server --> Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Exchange Server соединители Exchange Online --> Описание UDP TCP Windows удаленное управление https -- 5986 Exchange Server Connector --> Локальное Exchange Server Описание UDP TCP Windows удаленное управление http -- 5985 Прокси-точка --> регистрации компьютера Mac Описание UDP TCP HTTPS -- 443 Контроллер домена точки --> управления Описание UDP TCP Протокол LDAP 389 389 Безопасность LDAP (LDAPS, для подписания и привязки) 636 636 Глобальный каталог LDAP -- 3268 Картограф конечной точки RPC -- 135 RPC -- DYNAMIC Note 6 Сервер сайта точки <--> управления

Описание UDP TCP Картограф конечной точки RPC -- 135 RPC -- DYNAMIC Note 6 Блок сообщений сервера (SMB) -- 445

Пункт управления SQL Server --> Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Прокси-точка --> регистрации мобильных устройств Описание UDP TCP HTTPS -- 443 Pull-Distribution точка распределения --> точки, настроенная в качестве источника Описание UDP TCP HTTP -- 80 Альтернативный порт Примечание 2 доступен HTTPS -- 443 Альтернативный порт Примечание 2 Экспресс-обновления -- 8005 Примечание 2 Альтернативный порт доступен Службы отчетности указывают SQL Server --> Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Точка подключения к службе --> Azure (CMG) Описание UDP TCP HTTPS для развертывания службы CMG -- 443

Дополнительные сведения см. в потоке данных CMG.

Точка подключения к службе --> Azure Logic App Описание UDP TCP HTTPS для внешнего уведомления -- 443 Точка синхронизации <--> ресурсов сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Клиент сервера сайта --> Описание UDP TCP Пробуждение по локальной сети 9 Альтернативный порт Примечание 2 доступен -- Точка распространения --> облачного сервера сайта Описание UDP TCP HTTPS -- 443 Точка распределения серверов --> сайта, как стандартная, так и тяговая

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6

Контроллер домена сервера --> сайта Описание UDP TCP Протокол LDAP 389 389 Безопасность LDAP (LDAPS, для подписания и привязки) 636 636 Глобальный каталог LDAP -- 3268 Картограф конечной точки RPC -- 135 RPC -- DYNAMIC Note 6 Точка регистрации сертификата <--> сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка подключения <--> CMG сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка Endpoint Protection <--> сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка регистрации <--> сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Прокси-точка <--> регистрации сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка состояния состояния <--> сервера сайта

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6

Интернет-сервер --> сайта Описание UDP TCP HTTP -- 80 Примечание 1 HTTPS -- 443 Орган сертификации <--> на сервере сайта (CA)

Это сообщение используется при развертывании профилей сертификатов с помощью точки регистрации сертификата. Связь используется не для каждого сервера сайта в иерархии. Вместо этого он используется только для сервера сайта в верхней части иерархии.

Описание UDP TCP Картограф конечной точки RPC 135 135 RPC (DCOM) -- DYNAMIC Note 6

Сервер сайта --> Server, на который размещена удаленная библиотека контента

Вы можете переместить библиотеку контента в другое хранилище, чтобы освободить место для жесткого диска на центральном администрировании или первичных серверах сайтов. Дополнительные сведения см. в материалах Configure a remote content library for the site server.

Описание UDP TCP Блок сообщений сервера (SMB) -- 445

Точка подключения службы <--> сервера сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка служб отчетности <--> серверов сайта

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6

Сервер сайта сервера <--> сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Сервер сайта --> SQL Server Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433

Во время установки сайта, на SQL Server удаленного сайта, откройте следующие порты между сервером сайта и SQL Server:

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6

Сервер сайта --> SQL Server для WSUS Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 3 1433 Поставщик SMS-сообщений --> на сервере сайта Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 Точка обновления программного <--> обеспечения сервера сайта

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135 RPC -- DYNAMIC Note 6 HTTP -- 80 или 8530 Примечание 3 HTTPS -- 443 или 8531 Примечание 3

Точка миграции <--> состояния сервера сайта

Описание UDP TCP Блок сообщений сервера (SMB) -- 445 Картограф конечной точки RPC 135 135

--> Поставщик SMS SQL Server Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Интернет точки обновления программного --> обеспечения Описание UDP TCP HTTP -- 80 Примечание 1 Точка обновления программного --> обеспечения upstream WSUS server Описание UDP TCP HTTP -- 80 или 8530 Примечание 3 HTTPS -- 443 или 8531 Примечание 3 --> SQL Server SQL Server

Для репликации баз данных SQL Server на одном сайте для непосредственного SQL Server на родительском или детском сайте.

Описание UDP TCP Служба SQL Server -- Доступный альтернативный порт Примечание 2 1433 SQL Server Service Broker -- Доступный альтернативный порт Примечание 2 4022

Диспетчеру конфигурации не требуется SQL Server Браузер, использующий порт UDP 1434.

Точка миграции --> SQL Server Описание UDP TCP SQL TCP -- Доступный альтернативный порт Примечание 2 1433 Заметки для портов, используемых клиентами и системами сайтов Примечание 1. Порт прокси-сервера

Этот порт нельзя настроить, но его можно перенастроить через настроенный прокси-сервер.

Примечание 2. Доступны альтернативные порты

Для этого значения можно определить альтернативный порт в диспетчере конфигурации. Если вы определяете настраиваемый порт, используйте этот настраиваемый порт в информации о фильтре IP для политик IPsec или настройте брандмауэры.

Примечание 3. Windows Server Update Services (WSUS)

С Windows Server 2012 по умолчанию WSUS использует порт 8530 для HTTP и порт 8531 для HTTPS.

После установки можно изменить порт. Не нужно использовать один и тот же номер порта во всей иерархии сайтов.

Если порт HTTP 80, то порт HTTPS должен быть 443.

Если порт HTTP является чем-либо другим, порт HTTPS должен быть 1 или выше, например, 8530 и 8531.

При настройке точки обновления программного обеспечения для использования HTTPS порт HTTP также должен быть открыт. Unencrypted data, such as the EULA for specific updates, uses the HTTP port.

Сервер сайта делает подключение к серверу SQL Server SUSDB, если вы включаете следующие параметры очистки WSUS:

  • Добавление не кластерных индексов в базу данных WSUS для повышения производительности очистки WSUS
  • Удаление устаревших обновлений из базы данных WSUS

Если вы измените SQL Server по умолчанию на альтернативный порт с диспетчер конфигурации SQL Server, убедитесь, что сервер сайта может подключаться с помощью определенного порта. Диспетчер конфигурации не поддерживает динамические порты. По умолчанию SQL Server экземпляры используют динамические порты для подключений к базе данных. При использовании имени экземпляра вручную настройте статический порт.

Примечание 4. Тривиальная FTP (TFTP) Daemon

Тривиальная служба системы FTP (TFTP) Daemon не требует имени пользователя или пароля и является неотъемлемой частью служб Windows развертывания (WDS). Тривиальная служба FTP Daemon реализует поддержку протокола TFTP, определенного следующими RFCs:

RFC 2347: расширение параметра

RFC 2348: параметр размера блока

RFC 2349: интервал времени и параметры размера передачи

TFTP предназначен для поддержки среды загрузки без дисков. TFTP Daemons прослушивает порт UDP 69, но отвечает из динамически выделенного высокого порта. Если включить этот порт, служба TFTP может получать входящие запросы TFTP, но выбранный сервер не может отвечать на эти запросы. Нельзя включить выбранный сервер для ответа на входящие запросы TFTP, если не настроить TFTP-сервер для ответа из порта 69.

Точка распространения с поддержкой PXE и клиент в Windows pe выбирают динамически выделенные высокие порты для переносов TFTP. Эти порты определяются Корпорацией Майкрософт в период с 49152 по 65535 год. Дополнительные сведения см. в обзоре службы и требования к сетевому порту для Windows.

Однако во время фактического загрузки PXE сеть на устройстве выбирает динамически выделенный высокий порт, который используется во время передачи TFTP. Сетовая карта на устройстве не привязана к динамически выделенным высоким портам, определенным Корпорацией Майкрософт. Он связан только с портами, определенными в RFC 1350. Этот порт может быть от 0 до 65535. Дополнительные сведения о том, какие динамически выделенные высокие порты используется сетевой картой, обратитесь к производителю оборудования устройства.

Примечание 5. Связь между сервером сайта и системами сайтов

По умолчанию связь между сервером сайта и системами сайтов является двухнаправленной. Сервер сайта запускает связь для настройки системы сайта, а затем большинство систем сайтов подключаются к серверу сайта для отправки сведений о состоянии. Точки и точки рассылки отчетов не отправляют сведения о состоянии. Если после установки системы сайта на сервере сайта необходимо инициировать подключение к этой системе сайта, система сайта не начнет связь с сервером сайта. Вместо этого сервер сайта запускает связь. Он использует учетную запись установки системы сайта для проверки подлинности на системном сервере сайта.

Примечание 6. Динамические порты

Динамические порты используют диапазон номеров портов, определенных версией ОС. Эти порты также называются эфемерные порты. Дополнительные сведения о диапазонах портов по умолчанию см. в обзоре службы и требованиях к сетевому порту для Windows.

Другие порты

В следующих разделах приводится больше сведений о портах, которые использует диспетчер конфигурации.

Клиент для серверных акций

Клиенты используют блок сообщений сервера (SMB) при подключении к акциям UNC. Пример:

Ручная установка клиента, которая указывает свойство CCMSetup.exe /source: командной строки

Endpoint Protection клиенты, скачав файлы определений с пути UNC

Подключение к SQL Server

Для связи с SQL Server баз данных и для межсезной репликации можно использовать порт SQL Server по умолчанию или указать настраиваемые порты:

Использование межсемитных коммуникаций:

SQL Server Service Broker, который по умолчанию передает TCP 4022.

SQL Server службы, которая по умолчанию портит TCP 1433.

Интраситная связь между SQL Server базы данных и различными ролями веб-сайтов Configuration Manager по умолчанию для порта TCP 1433.

Диспетчер конфигурации использует те же порты и протоколы для связи с каждой репликой группы SQL Server Always On availability, которая содержит базу данных сайта, как если бы реплика была автономным SQL Server экземпляром.

При использовании Azure и базы данных сайтов за внутренним или внешним балансирем нагрузки настройте следующие компоненты:

  • Исключения брандмауэра для каждой реплики
  • Правила балансировки нагрузки

Настройка следующих портов:

  • SQL TCP: TCP 1433
  • SQL Server service Broker: TCP 4022
  • Блок сообщений сервера (SMB): TCP 445
  • Картограф конечной точки RPC: TCP 135

Диспетчер конфигурации не поддерживает динамические порты. По умолчанию SQL Server экземпляры используют динамические порты для подключений к базе данных. При использовании именного экземпляра вручную настройте статичный порт для внутрисетейной связи.

Следующие роли системы сайта напрямую взаимодействуют с SQL Server базой данных:

Роль точки регистрации сертификата

Роль точки регистрации

Точка служб отчетности

--> SQL Server SQL Server

Если SQL Server содержит базу данных с более чем одного сайта, каждая база данных должна использовать отдельный экземпляр SQL Server. Настройте каждый экземпляр уникальным набором портов.

Если вы включаете брандмауэр на основе хост-SQL Server, настройте его, чтобы разрешить правильные порты. Также настройте сетевые брандмауэры между компьютерами, которые взаимодействуют с SQL Server.

Пример настройки SQL Server для использования определенного порта см. в примере Настройка сервера для прослушивания в определенном порту TCP.

Обнаружение и публикация

Диспетчер конфигурации использует следующие порты для обнаружения и публикации сведений о сайте:

  • Протокол доступа к легкому каталогу (LDAP): 389
  • Безопасный LDAP (LDAPS, для подписания и привязки): 636
  • Глобальный каталог LDAP: 3268
  • Картограф конечной точки RPC: 135
  • RPC: динамически выделенные высокоскоростные порты TCP
  • TCP: 1024: 5000
  • TCP: 49152: 65535
Внешние подключения, сделанные диспетчером конфигурации

Локально клиенты Configuration Manager или системы веб-сайтов могут сделать следующие внешние подключения:

📎📎📎📎📎📎📎📎📎📎