配置 SCCM 2012 防火墙例外的最佳指南

在这篇文章中，我将介绍两个重要的概念。第一个是安装 WSUS，第二个是安装 SCCM 2012 防火墙例外。我必须告诉您，您也可以在安装 SCCM 后安装 WSUS。您可能会在 SCCM 2012 先决条件检查期间看到警告。不过我更喜欢在安装 SCCM 之前安装它。

配置防火墙例外是另一件重要的事情。我们将研究为 SCCM 打开 SQL 端口。很少有服务需要允许通过 Windows 防火墙才能确保客户端安装正常工作。

安装 WSUS 3.0 SP2

第一步让我们安装 WSUS。当您希望 SCCM 部署软件更新时，SCCM 使用 WSUS 下载元数据。除此之外，当您在远程站点系统上安装活动软件更新点时，必须在站点服务器计算机上安装 WSUS 管理控制台。这允许站点服务器与活动软件更新点上运行的 WSUS 进行通信。

安装 WSUS 非常简单。您可以通过打开服务器管理器、角色并添加 WSUS 角色来安装 WSUS。我更喜欢通过从 Microsoft 下载安装文件来安装 WSUS。

运行 WSUS 安装文件。单击下一步。

选择包括管理员控制台的完整服务器安装。单击下一步。

始终将更新放在不同的驱动器上。我们会将 WSUS 更新放置在名为 E: 的驱动器上。您可以将更新存储在 C 盘上，但不建议这样做，因为 C: 盘用于操作系统。单击下一步。

选择 SQL 数据库实例。单击下一步。

我们看到SQL Server连接成功。单击下一步。

选择使用现有的 IIS 默认网站，然后单击下一步。

最后，单击完成完成WSUS安装。

这是非常重要的注意事项。单击“完成”后，将出现 WSUS 配置向导。不要在这里配置任何东西。单击“取消”关闭向导。

配置 SCCM 2012 防火墙例外

我们现在将配置防火墙以允许 SCCM 客户端安装所需的端口。为了成功将 SCCM 客户端代理推送到计算机，您必须将以下内容添加为 Windows 防火墙的例外。

• 打印机共享
• Windows 管理规范 (WMI)

创建入站规则 - 文件和打印机共享服务

我们将创建入站和出站规则，添加文件和打印机共享服务作为防火墙的例外。允许 WMI 的入站规则。我们将在域控制器上执行此活动。

打开组策略管理控制台。右键单击“域”并创建一个GPO。

指定此策略的名称，例如SCCM 客户端推送策略。单击确定。右键单击 SCCM 客户端推送策略，然后单击编辑。

展开计算机配置、Windows 设置、安全设置、具有高级安全性的 Windows 防火墙。请参阅下面的屏幕截图。

右键单击入站规则并选择新建规则。选择预定义，然后从列表中选择文件和打印机共享。单击下一步。

选择所有规则。单击下一步。

选中单选按钮允许连接，然后单击完成。

我们的入站规则已创建。

创建出站规则 - 文件和打印机共享服务

现在我们将为其创建一个出站规则。

确保选择所有规则。单击下一步。

选择允许连接。单击完成。

我们创建了一条规则以允许文件和打印机共享出站。

创建入站出站规则 - Windows Management Instrumentation

现在我们将创建一个入站规则以允许Windows Management Instrumentation。创建入站规则，从预定义中选择Windows Management Instrumentation。单击下一步。

检查所有规则并单击下一步。

允许连接。单击下一步。

SCCM 的 SQL 端口

接下来，我们将为 SQL 复制打开 TCP 端口 1433 和 4022。默认情况下，Microsoft Windows 启用 Windows 防火墙，该防火墙会关闭端口 1433 以防止 Internet 计算机连接到您计算机上的 SQL Server 默认实例。除非重新打开端口 1433，否则无法使用 TCP/IP 连接到默认实例。让我们创建一个组策略来打开 TCP 端口 1433 和 4022。

打开组策略管理控制台。创建一个新策略并将其命名为SCCM 2012 的 SQL 端口。右键单击 SCCM 2012 的策略 SQL 端口，然后单击编辑。

在 Windows GP 管理控制台中，展开计算机配置、Windows 设置、安全设置、具有高级安全性的 Windows 防火墙 。

SQL 端口 - 打开 TCP 端口 1433

创建入站规则并选择端口。单击下一步。

选择 TCP，并在特定本地端口中指定端口1433。单击下一步。

单击允许连接，然后单击下一步。

防火墙规则将应用于所有 3 个配置文件。单击下一步。

• 领域
• 私人的
• 民众

指定规则名称。单击完成。

SQL 端口 - 打开 TCP 端口 4022

我们现在将打开 TCP 端口 4022。创建入站规则并选择端口。单击下一步。

将端口号指定为 4022。单击下一步。

选择允许连接。

此规则适用于所有 3 个配置文件，单击下一步。

指定规则名称并单击完成。

我们创建的规则可以在入站规则部分中看到。