Configurer le pare-feu (Client / Serveur) pour Configuration Manager 2012 R2

Mikaël GUILLERM30 mars 2015

1 3 minutes de lecture

Dans ce nouveau guide SCCM, nous verrons les étapes à effectuer pour configurer le pare-feu pour System Center Configuration Manager 2012 R2. pour le gestionnaire de configuration 2012 R2. SCCM est un système client / serveur. Il est donc indispensable, avant l’installation du serveur et avant l’installation des clients, de mettre en place les règles pour que le firewall laisse passer la communication entre le serveur et le client. Certaines de ces connexions utilisent des ports qui ne sont pas configurables, et certains ports personnalisés de soutien que vous spécifiez. Pour en savoir plus sur les ports utilisés par SCCM, cliquez ici.

Si vous souhaitez utiliser sans problème la fonction « Push » du client SCCM (afin d’automatiser l’installation du client), vous devez suivre ce qui va suivre pour ajouter des exceptions au Pare-feu Windows. Cependant, s’il y a un autre pare-feu (physique ou logiciel) entre vos serveurs et les ordinateurs clients. alors vérifié également ce pare feu et ajoutez-y les mêmes exceptions.

Sommaire masquer

Configuration des paramètres de pare-feu pour Configuration Manager 2012 R2
Ouverture de ports pour la réplication SQL
Vérifier vos GPO

Configuration des paramètres de pare-feu pour Configuration Manager 2012 R2

Nous allons créer une GPO qui nous permettra d’ouvrir automatiquement certains ports entrants et sortants. Ainsi nous ajouterons le partage de fichiers et d’imprimante en tant qu’exception ainsi qu’une règle de trafic entrant pour permettre le bon fonctionnement du WMI. Nous allons effectuer ceci depuis notre contrôleur de domaine.

Cliquez sur Gestionnaire de serveur , cliquez sur Outils , puis lancer le gestionnaire de stratégie de groupe (également exécutable avec la commande gpmc.msc)

Une fois sur la console, effectuez un clic droit sur le domaine puis cliquez sur créer un objet GPO.

Donnez un nom au nouvel objet GPO et cliquez sur OK.

Nous allons ajouter une nouvelle règle pour le Pare-feu. Effectuez un clic droit sur la politique que vous avez créé et cliquez sur Modifier. Développez Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité. Puis, faites un clic droit sur Règles de trafic entrant et cliquez sur Nouvelle règle…

Cliquez sur prédéfinies et sélectionnez Partage de fichiers et d’imprimantes. Cliquez sur Suivant.

Ici, ne changez rien. Cliquez sur Suivant.

Cliquez sur Autoriser la connexion. Puis, cliquez sur Terminer.

Maintenant, nous allons créer la même chose, mais cette fois via une règle de trafic sortant. Faites un clic droit sur Règles de trafic sortant et cliquez sur Nouvelle règle.

Choisissez Prédéfinies et sélectionnez Partage de fichiers et d’imprimante. Puis cliquez sur Suivant.

Ici, ne changez rien, puis cliquez sur Suivant.

Cliquez sur Autoriser la connexion. Cliquez sur Terminer.

Nous allons maintenant créer une règle de trafic entrant pour permettre aux services WMI de fonctionner correctement avec SCCM. Effectuez un clic droit sur Règles de trafic entrant et cliquez sur Nouvelle règle…

Cliquez sur prédéfinies et sélectionnez Infrastructure de gestion Windows (WMI) puis cliquez sur Suivant.

Ici, ne changez rien, puis cliquez sur Suivant.

Choisissez Autoriser la connexion et cliquez sur Terminer .

Ouverture de ports pour la réplication SQL

Nous allons maintenant voir les étapes pour ouvrir les ports nécessaires pour la réplication SQL. Attention, nous l’avons déjà vu lors de la configuration du serveur SQL pour SCCM, mais il est important de le rappeler, Configuration Manager ne prend pas en charge les ports dynamiques . Si vous n’avez pas utilisé une instance SQL par défaut, mais que vous en avez créé une nouvelle, alors elle sera configuré pour utiliser des ports dynamiques pour la connexion au moteur de base de données. Vous devrez alors configurer manuellement le port en tant que port statique.

Par défaut, sur Windows, le port 1433 est fermé pour empêcher les ordinateurs d’Internet de se connecter à une instance par défaut de SQL Server sur votre ordinateur. Nous allons donc maintenant créer une stratégie de groupe pour ouvrir les ports TCP 1433 et 4022 .

Ouvrez la console de gestion de stratégie de groupe. Créer un nouvel objet GPO et identifiez-le en le nommant. Cliquez droit sur la stratégie et cliquez sur modifier.

Dans la console de gestion des stratégies de groupe, développez configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité. Effectuer un clic droit sur Règles de trafic entrant et créer une nouvelle règle…

Sélectionnez Port puis cliquez sur Suivant.

Sélectionnez TCP, et spécifier le port 1433 dans ports locaux spécifiques. Cliquez sur Suivant.

Cliquez sur Autoriser la connexion et cliquez sur Suivant

La règle de pare-feu sera appliquée pour tous les profils. Sélectionnez tous les profils et cliquez sur Suivant.

Donner un nom a votre règle. puis cliquez sur Terminer.

Créer la même règle, mais cette fois pour le port 4022.

Autoriser la connexion.

Sur tous les profils…

Puis, nommer la règle.

Exécutez la commande gpupdate /force sur le contrôleur de domaine. Puis effectuer la même chose sur une machine cliente, lancez l’invite de commande et tapez la commande gpupdate /force et appuyez sur Entrée.

Vérifier vos GPO

Sur le contrôleur de domaine, tapez la commande rsop.msc. Cela montrera l’ensemble de vos stratégies de groupe qui sont appliquées à la machine. Développez Modèles d’administration, puis cliquez sur Paramètres de Registre supplémentaires. Dans le volet de droite, vous devriez trouverez les politiques que nous avons créés.

Un commentaire

Jerome dit :

8 mars 2016 à 23 h 39 min

Bonjour, concernant la GPO pour les ports SQL, on l’applique pour l’ensemble des serveurs et postes de travail ? Ou simplement pour le serveur SCCM ?

Répondre