Home >> Windows OS >> Windows Server >> Configurer le pare-feu (Client / Serveur) pour Configuration Manager 2012 R2

Configurer le pare-feu (Client / Serveur) pour Configuration Manager 2012 R2

Dans ce nouveau guide SCCM, nous verrons les étapes à effectuer pour configurer le pare-feu pour System Center Configuration Manager 2012 R2. pour le gestionnaire de configuration 2012 R2. SCCM est un système client / serveur. Il est donc indispensable, avant l’installation du serveur et avant l’installation des clients, de mettre en place les règles pour que le firewall laisse passer la communication entre le serveur et le client. Certaines de ces connexions utilisent des ports qui ne sont pas configurables, et certains ports personnalisés de soutien que vous spécifiez. Pour en savoir plus sur les ports utilisés par SCCM, cliquez ici.

Si vous souhaitez utiliser sans problème la fonction « Push » du client SCCM (afin d’automatiser l’installation du client), vous devez suivre ce qui va suivre pour ajouter des exceptions au Pare-feu Windows. Cependant, s’il y a un autre pare-feu (physique ou logiciel) entre vos serveurs et les ordinateurs clients. alors vérifié également ce pare feu et ajoutez-y les mêmes exceptions.

Configuration des paramètres de pare-feu pour Configuration Manager 2012 R2

Nous allons créer une GPO qui nous permettra d’ouvrir automatiquement certains ports entrants et sortants. Ainsi nous ajouterons le partage de fichiers et d’imprimante en tant qu’exception ainsi qu’une règle de trafic entrant pour permettre le bon fonctionnement du WMI. Nous allons effectuer ceci depuis notre contrôleur de domaine.

Cliquez sur Gestionnaire de serveur , cliquez sur Outils , puis lancer le gestionnaire de stratégie de groupe (également exécutable avec la commande gpmc.msc)

Une fois sur la console, effectuez un clic droit sur ​​le domaine puis cliquez sur créer un objet GPO.

creer-GPO

Donnez un nom au nouvel objet GPO et cliquez sur OK.

SCCM-Client-policy-setting-gpo

Nous allons ajouter une nouvelle règle pour le Pare-feu. Effectuez un clic droit sur ​​la politique que vous avez créé et cliquez sur Modifier. Développez Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité. Puis faites un clic droit sur ​​Règles de trafic entrant et cliquez sur Nouvelle règle…

GPO-Parefeu

Cliquez sur prédéfinies et sélectionnez Partage de fichiers et d’imprimantes. Cliquez sur Suivant.

parefeu-partage-imprimante

Ici, ne changez rien. Cliquez sur Suivant.

parefeu-entrant-regles

Cliquez sur Autoriser la connexion. Puis, cliquez sur Terminer.

parefeu-entrant-regles-autoriser

Maintenant, nous allons créer la même chose, mais cette fois via une règle de trafic sortant. Faites un clic droit sur ​​Règles de trafic sortant et cliquez sur Nouvelle règle.

GPO-Parefeu-sortant

Choisissez Prédéfinies et sélectionnez Partage de fichiers et d’imprimante. Puis cliquez sur Suivant.

parefeu-sortant-regles-imprimantes

Ici, ne changez rien, puis cliquez sur Suivant.

parefeu-sortant-regles-imprimantes2

Cliquez sur Autoriser la connexion. Cliquez sur Terminer.

parefeu-sortant-regles-Action

Nous allons maintenant créer une règle de trafic entrant pour permettre aux services WMI de fonctionner correctement avec SCCM. Effectuez un clic droit sur ​​Règles de trafic entrant et cliquez sur Nouvelle règle

GPO-Parefeu

Cliquez sur prédéfinies et sélectionnez Infrastructure de gestion Windows (WMI) puis cliquez sur Suivant.

parefeu-entrant-regles-wmijpg

Ici, ne changez rien, puis cliquez sur Suivant.

parefeu-entrant-regles-wmi

Choisissez Autoriser la connexion et cliquez sur Terminer .

parefeu-entrant-regles-wmi-authoriser

Ouverture de ports pour la réplication SQL

Nous allons maintenant voir les étapes pour ouvrir les ports nécessaires pour la réplication SQL. Attention, nous l’avons déjà vu lors de la configuration du serveur SQL pour SCCM, mais il est important de le rappeler, Configuration Manager ne prend pas en charge les ports dynamiques . Si vous n’avez pas utilisé une instance SQL par défaut, mais que vous en avez créé une nouvelle, alors elle sera configuré pour utiliser des ports dynamiques pour la connexion au moteur de base de données. Vous devrez alors configurer manuellement le port en tant que port statique.

Par défaut, sur Windows, le port 1433 est fermé pour empêcher les ordinateurs d’Internet de se connecter à une instance par défaut de SQL Server sur votre ordinateur. Nous allons donc maintenant créer une stratégie de groupe pour ouvrir les ports TCP 1433 et 4022 .

Ouvrez la console de gestion de stratégie de groupe. Créer un nouvel objet GPO et identifiez-le en le nommant. Cliquez droit sur la stratégie et cliquez sur modifier.

GPO-Ports-SQL

Dans la console de gestion des stratégies de groupe, développez configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité. Effectuer un clic droit sur Règles de trafic entrant et créer une nouvelle règle…

GPO-Parefeu

Sélectionnez Port puis cliquez sur Suivant.

GPO-Ports-SQL-

Sélectionnez TCP, et spécifier le port 1433 dans ports locaux spécifiques. Cliquez sur Suivant.

GPO-Ports-SQL-1443

Cliquez sur Autoriser la connexion et cliquez sur Suivant

GPO-Ports-SQL-14436AUTORISER

La règle de pare-feu sera appliquée pour tous les profils. Sélectionnez tous les profils et cliquez sur Suivant.

GPO-Ports-SQL-14436AUTORISER-tous-profils

Donner un nom a votre règle. puis cliquez sur Terminer.

GPO-Ports-SQL-14436AUTORISER-nom

Créer la même règle, mais cette fois pour le port 4022.

GPO-Ports-SQL-4022

Autoriser la connexion.

GPO-Ports-SQL-4022-authoriser

Sur tous les profils…

GPO-Ports-SQL-14436AUTORISER-tous-profils

Puis, nommer la règle.

GPO-Ports-SQL-4022-NOMr

Exécutez la commande gpupdate /force sur le contrôleur de domaine. Puis effectuer la même chose sur u​​ne machine cliente, lancez l’invite de commande et tapez la commande gpupdate /force et appuyez sur Entrée.

gpupdate-force

Vérifier vos GPO

Sur le contrôleur de domaine, tapez la commande rsop.msc. Cela montrera l’ensemble de vos stratégies de groupe qui sont appliquées à la machine. Développez Modèles d’administration, puis cliquez sur Paramètres de Registre supplémentaires. Dans le volet de droite, vous devriez trouverez les politiques que nous avons créés.

RSOP-SCCM

About Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

A lire également

Windows Server 2016 Essentials : Présentation et Installation

Windows server 2016 Essentials Pour mon premier article sur ce blog, je voulais vous parler …

  • Jerome

    Bonjour, concernant la GPO pour les ports SQL, on l’applique pour l’ensemble des serveurs et postes de travail ? Ou simplement pour le serveur SCCM ?