Mi blog

Este Blog tiene como intención, mantener informado al Staff de IT con las distintas soluciones de la familia de productos de Microsoft.
El foco del Blog, brinda mi experiencia con la familia de productos de Ms System Center.
Con 20 años de experiencia en los productos de Microsoft, quiero compatir información, mis propias experiencias y mis articulos.

Si tenes dudas existen 2 solapas, dejame tu consulta aquí … pero también mirá la solapa " consultas anteriores" donde existen otras consultas posteadas.


Marcela Berri
Instructor / Consultor Senior IT
MVP - MCT – MCITP – MCTS – MCSA – MAP



viernes, 14 de diciembre de 2012

Excepciones-firewall-cliente-2012

Configuraciones de Firewall para la instalación de los clientes


Client Push:   Es el método de instalación que generalmente se utiliza para instalar masivamente los clientes vía red.  El requisito para este tipo de instalación es que las máquinas deben haber sido descubiertas previamente y tener el DDR (discovery data record) en la base del site. (es decir, ver el cliente en la consola)
Este proceso de instalación debe tener las siguientes excepciones en el firewall local del cliente:


·         File and Printer Sharing
·         Windows Management Instrumentation (WMI)

Con respecto a la excepción del WMI, es posible implementarla hacienda una regla de “Allow” de “Remote Administration”:  Netsh firewall set service RemoteAdmin enable



Por otra parte, el cliente debe poder hacer ping al Site Server ya que la instalación Client Push, utiliza mensajes Internet Control Message Protocol (ICMP) echo request (PING) para confirmar que el cliente está en la red.


Además, debe poder llegar al share administrativo Admin$ (hay veces que los shares administrativos se deshabilitan por políticas)


La siguiente tabla, contiene la lista de puertos que utilizará el client Push.


Uso
UDP
TCP
HTTP desde el cliente al fallback status point
--
80
Server Message Block (SMB) entre el Site server y cliente
--
445
RPC endpoint mapper entre el Site server y cliente
135
135
RPC dynamic ports entre el Site server y cliente
--
Dinámico
HTTP desde el cliente al management point de la intranet
--
80
HTTPS desde el cliente al management point de internet
--
443



Software Update: Es el método de instalación posiblemente utilizado si ya existe una jerarquía de Configuration manager 2007.

La siguiente tabla, contiene la lista de puertos que se utilizará por updates.


Uso
UDP
TCP
HTTP desde el cliente al fallback status point
--
80
HTTP desde el cliente al software update point
--
80 o 8530
HTTP desde el cliente al software update point.
--
443 o 8531



Group Policy: Es el método para implementar el cliente con Active Directory GPO.
La siguiente tabla, contiene la lista de puertos que utilizará.


Uso
UDP
TCP
HTTP desde el cliente al fallback status point
--
80
HTTP desde el cliente al management point de la intranet
--
80
HTTPS desde el cliente al management point de internet
--
443
SMB entre el server y el cliente si se especifica un origen distinto como “source”- CCMSetup /source:<Path>
--
445


10 comentarios:

  1. Buen día Marcela he hecho un client push , los clientes son reconocidos pero algunos no se llegan a instalar,
    tengo el firewall desactivado en mis clientes , me dice que no se puede conectar al WMI y tampoco se puede conectar al administrative share.

    ResponderEliminar
  2. Buen día, te fijaste que estén los shares administrativos -- Admin$?
    vos como administrador te podés conectar a \\maquina\admin$?
    está el servicio del WMI automatico y corriendo?

    ResponderEliminar
  3. Si cumplen con eso pero no se llegan a instalar ..

    ResponderEliminar
  4. Me sale WNetAddConnection2 failed (LOGON32_LOGON_NEW_CREDENTIALS) using account ........ (0000052e)

    ResponderEliminar
    Respuestas
    1. Buenas tardes. Revisá la cuenta del client push que sea correcta o que no esté bloqueada.

      Eliminar
    2. Es mas, podes ver en el ccm.log que tiene mucha información y te va a decir exactamente qué pasa.

      Además en ConfigMgr 2012 existe una vista en la base llamda v_CP_Machine, con losdetalles de instalación del proceso de clientpush.

      Saludos.

      Eliminar
  5. En la cuenta del client push hay una parte que dice network share y se coloca una ruta para verificar (qué ruta debo colocar?). Muy agradecida.

    ResponderEliminar
  6. En la pestaña administration, Security, Accounts, Client Push Installation Account ,
    hay una cuenta establecida luego para verificar está el Data source y el Network
    Share, qué ruta colocar en el Network Share para hacer el test connection?

    ResponderEliminar
    Respuestas
    1. Ok. La idea de colocar un share es para probar si la cuenta y password colocada realmente funcionan.

      En el caso del ClientPush debe ser una cuenta con permisos de administración local de las máquinas a las que se desea instalar el cliente. Así que se puede probar cualquier máquina a la que quieras llegar. \\maq_cliente\Admin$. Además se estará probando que realmente el share administrativo está habilitado y funcionando.

      Saludos.

      Eliminar

Dejame tu comentario