При настройке Configuration Manager 2007 для интернет-управления клиентами часто требуется выполнить настройку сети, чтобы обеспечить передачу дополнительного трафика из Интернета. Обычно для этого необходимо перенастроить брандмауэры, расположенные между Интернетом и демилитаризованной зоной (также называемой промежуточной подсетью), а также между демилитаризованной зоной и интрасетью. Возможно, также потребуется настроить прокси-серверы между границами безопасности.

Примечание
Брандмауэры, которые находятся между Интернетом и демилитаризованными зонами, нередко называют "внешними брандмауэрами", а брандмауэры, которые находятся между демилитаризованной зоной и интрасетью — "внутренними брандмауэрами".

Используйте сетевые диаграммы, соответствующие выбранному сценарию интернет-управления клиентами, чтобы определить протоколы, трафик которых должен передаваться через границы безопасности (и, соответственно, для которых потребуется настройка брандмауэров). Список поддерживаемых сценариев см. в разделе Поддерживаемые сценарии интернет-управления клиентами.

Кроме того, убедитесь, что все промежуточные брандмауэры поддерживают протокол HTTP 1.1 и не блокируют трафик, необходимый для интернет-управления клиентами Configuration Manager 2007. Сведения о внешней зависимости промежуточных брандмауэров или прокси-серверов см. в разделе Необходимые условия для интернет-управления клиентами.

Ниже перечислены протоколы, которые могут быть использоваться в различных сценариях интернет-управления клиентами.

Удаленные вызовы процедур (RPC) необходимы для установки системы сайта и установки пакетов на точки распространения. Для этих соединений обычно используются порты UDP и TCP 135, а также TCP-порты из динамического диапазона.

Протокол SMB необходим для установки и восстановления системы сайта, а также для отправки информации о состоянии системы сайта. Для этих соединений обычно используется TCP-порт 445.

По умолчанию SQL Server использует для подключений порт TCP 1433. Configuration Manager 2007 не поддерживает изменение этого номера порта.

Клиенты в Интернете используют протокол HTTP для связи с резервной интернет-точкой состояния. Клиенты в Интернете используют протокол HTTPS для связи с интернет-точкой управления, интернет-точками распространения и интернет-точкой обновления программного обеспечения.

Для обмена данными между интернет-точкой обновления программного обеспечения и активной точкой обновления программного обеспечения используется протокол HTTPS, а также может использоваться протокол HTTP. Для настройки параметров WSUS активная точка обновления программного обеспечения подключается к интернет-точке обновления программного обеспечения по протоколу HTTPS. При синхронизации метаданных обновлений программного обеспечения при помощи Configuration Manager интернет-точка обновления программного обеспечения подключается к активной точке обновления программного обеспечения. Для большинства подключений будет использоваться протокол HTTPS. Однако если с метаданными обновлений программного обеспечения связаны условия лицензии (например, если обновление является пакетом обновления), для подключения будет использоваться протокол HTTP. Чтобы избежать таких входящих подключений из демилитаризованной зоны к интрасети, для синхронизации обновлений программного обеспечения следует использовать метод экспорта и импорта, описанный в разделе Синхронизация обновлений с помощью импорта и экспорта.

Если на брандмауэре необходимо указать номера портов для протоколов HTTP и HTTPS, по умолчанию используются TCP-порт 80 и TCP-порт 443, соответственно. Можно изменить номера портов, которые используются Configuration Manager 2007 для трафика HTTP и HTTPS; это позволит несколько повысить уровень безопасности интернет-управления клиентами.

Используйте следующую процедуру для определения номеров портов, используемых для соединений по протоколам HTTP и HTTPS, чтобы указать информацию о портах на брандмауэрах, защищающих сети организации от вторжения из Интернета.

Важно!
Не следует изменять номера портов, которые используются Configuration Manager 2007, если последствия этих действий ясны не до конца. Например, ненадлежащее изменение номеров портов служб, обрабатывающих запросы клиентов, может привести к потере связи со всеми клиентами сайта, которые не смогут связаться со своей точкой управления и станут неуправляемыми.

Определение номеров портов, используемых для передачи запросов клиентов по протоколам HTTP и HTTPS

  1. В консоли Configuration Manager выберите System Center Configuration Manager / База данных сайта / Управление сайтом.

  2. Щелкните правой кнопкой мыши <код сайта> – <имя сайта> и выберите пункт Свойства.

  3. На вкладке Порты диалогового окна свойств сайта просмотрите раздел Активные порты.

  4. Найдите две службы с именем HTTP-запросы клиента (TCP). Если служба используется сайтом, определите настроенный номер порта. Если используются обе службы, может потребоваться настроить брандмауэры на оба номера портов, поскольку некоторые клиенты могут по-прежнему использовать номер порта по умолчанию.

  5. Найдите две службы с именем HTTPS-запросы клиента (TCP). Если служба используется сайтом, определите настроенный номер порта. Если используются обе службы, может потребоваться настроить брандмауэры на оба номера портов, поскольку некоторые клиенты могут по-прежнему использовать номер порта по умолчанию.

  6. Нажмите кнопку ОК.

Просмотр номеров портов для точек обновления программного обеспечения, использующих протоколы HTTP и HTTPS (запросы клиентов и синхронизация с другой точкой обновления программного обеспечения)

  1. В консоли Configuration Manager выберите System Center Configuration Manager / База данных сайта / Управление сайтом / <код сайта> – <имя сайта> / Параметры сайта / Конфигурация компонента.

  2. Щелкните правой кнопкой мыши элемент Компонент точки обновления программного обеспечения и выберите пункт Свойства.

  3. На вкладке в Интернете найдите раздел Укажите параметры порта, используемые этим сервером WSUS и определите настроенные номера портов для параметров Номер порта (для HTTP-порта) и Номер порта SSL (для HTTPS-порта).

  4. Нажмите кнопку ОК.

См. также