ConfigMgr | Configuration du pare-feu
Rédigé par O. Clotaire
Aucun commentaire
Classé dans : SCCM

Configurons maintenant les accès à notre serveur SCCM :
- Pour sa gestion, au serveur Active Directory,
- Pour son partage de fichiers, au serveur SQL (sa base de données, port 1433 et 4022),
- Pour les communications vers les postes de travail (activités des clients SCCM, rapports, etc…).
Règles SQL
A partir du serveur SQL, dans le Panneau de configuration > Pare-feu Windows > Paramètres avancés.
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Ports locaux spécifiques : 1433, 4022 (SQL Service Broker)
Puis, Suivant > Autoriser la connexion > Suivant > Domaine > Suivant > Nommer > Terminer
Règles du client SCCM
Afin d'installer le client SCCM, les exceptions suivantes sont utilisés.
A partir du serveur SCCM, dans le Panneau de configuration > Pare-feu Windows > Paramètres avancés.
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Ports locaux spécifiques : 80, 443 (valeurs par défaut)
Puis, Suivant > Autoriser la connexion > Suivant > Domaine > Suivant > Nommer > Terminer
Règle de la notification du client SCCM
Afin d'installer le client SCCM, les exceptions suivantes sont utilisés.
A partir du serveur SCCM, dans le Panneau de configuration > Pare-feu Windows > Paramètres avancés.
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Clic droit sur Règles de trafic entrant > Nouvelle règle…
Port, Suivant
TCP
Ports locaux spécifiques : 10123 (valeurs par défaut)
Puis, Suivant > Autoriser la connexion > Suivant > Domaine > Suivant > Nommer > Terminer
Règle du contrôle à distance
Afin d'installer le client SCCM, les exceptions suivantes sont utilisés.
A partir du serveur SCCM, dans le Panneau de configuration > Pare-feu Windows > Paramètres avancés.
Clic droit sur Règles de trafic entrant > Nouvelle règle… > Port > Suivant > TCP > Ports locaux spécifiques : 2701, 135 (Contrôle à distance, Assistance à distance),
Clic droit sur Règles de trafic entrant > Nouvelle règle… > Port > Suivant > TCP > Ports locaux spécifiques : 2701, 135 (Contrôle à distance, Assistance à distance),
Puis, Suivant > Autoriser la connexion > Suivant > Domaine > Suivant > Nommer > Terminer

Règles Partage de fichiers
- Règles du trafic entrant et sortant :
Dans la GPO créé dans le contrôleur de domaine, aller dans Stratégie > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité > Pare-feu Windows avec fonctions avancées de sécurité - LDAP... faire un clic droit sur Règles de trafic entrant > Nouvelle règle…
Prédéfinie > Sélectionner Partage de fichiers et d'imprimantes
Tout cocher, puis Suivant
Autoriser la connexion
Terminer
Règles WMI
- règle du trafic entrant :
Prédéfinie > Sélectionner Infrastructure de gestion Windows (WMI)
Tout cocher, puis Suivant
Autoriser la connexion
Terminer
Remarques :
Autres ports configurables (à vérifier en fonction de votre configuration) si vous observez des points de blocage :
- Proxy de mise en veille (ConfigMgr Wake-up Proxy) sortant en UDP 25536 et 9.
- SMB (Server Mesage Block) entrant en TCP 445.
- HTTP et HTTPS de WSUS (Point de mise à jour logicielle) entrant en TCP 80/8530 et 443/8531.
- WOL (Wake On Lan) en UDP 9.
- WinPE en TCP 8003 et UDP 8004.