配置SCCM 2012防火墙例外的最佳指南

在这篇文章中,我将介绍两个重要的概念。第一个是安装WSUS,第二个是安装SCCM 2012防火墙异常。我必须告诉您,您也可以在安装SCCM之后安装WSUS。在SCCM 2012先决条件检查期间,您可能会看到一个警告。但是,我更喜欢在安装SCCM之前安装它。

配置防火墙异常是另一件重要的事情。我们将讨论为SCCM开放SQL端口。需要允许通过windows防火墙的服务很少,以确保客户端安装工作正常。

安装WSUS 3.0 SP2

作为第一步,让我们安装WSUS。当您希望SCCM部署软件更新时,SCCM使用WSUS下载元华体会体育系列数据。除此之外,在远程站点系统上安装活动软件更新点时,必须在站点服务器计算机上安装WSUS管理控制台。华体会体育系列这允许站点服务器与运行在活动软件更新点上的WSUS通信。华体会体育系列

PatchMyPC HorizontalAD
修补我的电脑赞助广告

安装WSUS非常简单。您可以通过打开服务器管理器、角色和添加WSUS角色来安装WSUS。我更喜欢从Microsoft下载安装文件来安装WSUS。

运行WSUS安装文件。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap

选择完整的服务器安装,包括管理员控制台。点击下一个。

部署SCCM 2012第5部分-安装WSUS Snap

总是把更新放在不同的驱动器上。我们将在命名的驱动器上放置WSUS更新艾凡:.您可以将更新存储在C驱动器上,但不建议这样做,因为C:驱动器是用于操作系统的。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap

选择SQL数据库实例。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap

我们看到连接到SQL server是成功的。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap

选择使用现有的IIS默认网站并点击下一个

部署SCCM 2012第5部分-安装WSUS Snap

最后,点击完成以完成WSUS的安装。

部署SCCM 2012第5部分-安装WSUS Snap

这里有一个很重要的提示。单击Finish后,将出现WSUS配置向导。不要在这里配置任何东西。单击“取消”关闭向导。

部署SCCM 2012第5部分-安装WSUS Snap 8

配置SCCM 2012防火墙例外

现在,我们将配置防火墙以允许SCCM所必需的端口客户端安装.为了成功地将SCCM客户端代理推送到计算机,您必须将以下内容作为例外添加到Windows防火墙。

  • 打印机共享
  • Windows管理规范(WMI)

创建入站规则-文件和打印机共享服务

我们将创建一个入站而且出站规则,添加文件和打印机共享服务作为防火墙的例外。允许WMI的入站规则。我们将在域控制器上执行此活动。

打开组策略管理控制台。右键单击Domain并创建一个GPO

部署SCCM 2012第5部分-安装WSUS Snap 9

为此策略指定一个名称,例如客户端推送策略.点击好吧.右键单击SCCM客户端推送策略,然后单击编辑

部署SCCM 2012第5部分-安装WSUS Snap 10

扩大电脑配置窗口设置安全设置具有高级安全性的Windows防火墙.参考下面的截图。

部署SCCM 2012第5部分-安装WSUS Snap 11

右击入站规则并选择新规则.选择预定义的并选择文件和打印机共享从名单上。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 12

选择所有规则。点击下一个。

部署SCCM 2012第5部分-安装WSUS Snap

检查单选按钮允许连接并点击完成

部署SCCM 2012第5部分-安装WSUS Snap 14

我们的入站规则已经创建。

部署SCCM 2012第5部分-安装WSUS Snap 15

创建出站规则-文件和打印机共享服务

现在我们将为其创建一个出站规则。

部署SCCM 2012第5部分-安装WSUS Snap

确保所有的规则都被选中。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 17

选择允许连接.点击完成

部署SCCM 2012第5部分-安装WSUS Snap 18

我们已经创建了允许文件和打印机共享出站的规则。

部署SCCM 2012第5部分-安装WSUS Snap 19

创建入站出站规则- Windows管理工具

现在我们要创建一个入站规则允许Windows管理Instrumentation.创建入站规则选择Windows管理Instrumentation从预定义的。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 20

检查所有规则后,单击下一个

部署SCCM 2012第5部分-安装WSUS Snap 21

允许连接。点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 26

SCCM的SQL端口

接下来我们将打开TCP端口1433而且4022SQL复制。默认情况下,Microsoft Windows启用了Windows防火墙,该防火墙会关闭端口1433,以防止Internet计算机连接到您计算机上的SQL Server默认实例。除非重新打开端口1433,否则无法使用TCP/IP连接到默认实例。让我们创建一个组策略来打开TCP端口1433和4022。

打开组策略管理控制台.创建一个新策略,并将其命名为SQL端口为SCCM 2012.右键单击策略SQL Ports for SCCM 2012,然后单击编辑

2 .在Windows GP管理控制台展开电脑配置窗口设置安全设置具有高级安全性的Windows防火墙

部署SCCM 2012第5部分-安装WSUS Snap 23

SQL端口-打开TCP端口1433

创建一个入站规则并选择港口.点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 24

选择TCP,并指定端口1433在特定的本地端口。点击下一个

SQL SCCM端口- TCP端口1433

点击允许连接并点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 26

防火墙规则将应用于所有3个概要文件。点击下一个

  • 私人
  • 公共

部署SCCM 2012第5部分-安装WSUS Snap 32

指定规则名称。点击完成

部署SCCM 2012第5部分-安装WSUS Snap 28

SQL端口-打开TCP端口4022

我们现在将打开TCP港口4022.创建一个入站规则并选择港口.点击下一个

部署SCCM 2012第5部分-安装WSUS Snap 29

指定端口号为4022.点击下一个

SCCM的SQL端口

选择允许连接。

部署SCCM 2012第5部分-安装WSUS Snap 31

该规则适用于所有3个配置文件,单击下一个

部署SCCM 2012第5部分-安装WSUS Snap 32

指定规则名称,单击完成

SCCM的SQL端口

我们创建的规则可以在入站规则部分中看到。

SCCM的SQL端口- TCP端口4022

留下回复

你的电邮地址将不会公布。必填字段已标记

11日评论

  1. 《阿凡达》的照片 Rajendra 说:

    嗨,警察先生,我是拉金德拉,我的系统出了问题…

    当我在Windows server 2016上安装SQL server时。显示域控制警告信息。在该警告消息“在域控制器上安装sql server是不建议的....我能做什么…请解决我的问题…由于这个影响我的MECM没有配置....
    谢谢你!

  2. 《阿凡达》的照片 Akram 说:

    请云你告诉我的欢迎您~草原为了配置防火墙客户端安装在windows 8.1 ?
    谢谢你!

  3. 《阿凡达》的照片 Akram 说:

    在windows 8.1上为客户端安装配置防火墙需要哪些步骤?
    谢谢你!

  4. 《阿凡达》的照片 Akram 说:

    我可以把所有这些防火墙规则都放在sccm2012服务器中吗?还是必须放在组策略中?为什么?
    如果组策略在SCCM 2012服务器上托管什么,客户端机器也将托管什么,如果组策略也应用在客户端机器上
    谢谢你!

    1. 防火墙例外必须通过组策略进行配置。这是在域控制器上完成的,策略是在域级别创建的,因此所有域计算机都执行此策略。

  5. 《阿凡达》的照片 艺术 说:

    我已经用SCCM配置了更新,这是我的问题:

    1)客户端得不到更新
    2) SCCM没有得到微软的更新。同步失败。

    我如何确定问题是WSUS服务器(未正确配置,写入问题,使用的端口不正确,组策略错误等.....)还是客户端?

    背景:我是一名技术人员(只负责我公司的pc),我没有安装WSUS或SCCM服务器。我需要向网络管理员证明问题出在服务器上,而不是我的电脑。我已经验证了SCCM已正确设置为更新。感谢你的帮助。

  6. 《阿凡达》的照片 拉吉 说:

    我们有一个测试实验室,我们只有一个主服务器和windows 8客户端,现在我的要求是
    需求
    1.作为补丁的一部分,我们不会为windows更新创建一个包并将其部署到集合中。
    2.此外,我们不想下载更新并将其保存在我们的WSUS服务器本地。Windows客户端将直接从微软下载更新,但我们必须使用SCCM服务器跟踪/记录安装到客户端机器上的更新。

    1. 如果更新是通过WSUS服务器而不是通过SCCM服务器推送的,我认为您无法通过SCCM生成客户端计算机上安装的windows更新的报告。有一种方法可以检查客户端计算机上是否安装了特定的更新,即通过在SCCM 2012中创建DCM规则(SCCM 2007)或配置基线。让我试试在我的实验室设置,我会很快回复你..

  7. 端口1433和4022需要为整个域打开吗?或者仅用于SCCM/SQL服务器?我认为需要WMI和File and Print共享,但不需要SQL复制端口。

    1. 我建议使用整个域的组策略打开端口。SQL复制端口TCP 1433和4022必须打开,因为访问SQL和SQL复制到其他SQL服务器都需要这些端口。必须启用WMI和文件和打印共享服务。文章中显示了这两个步骤。