Configuring Firewall Settings For SC Configuration Manager 2012 R2

Merhabalar,

Bu yazıda sizlere System Center Configuration Manager 2012 R2 ürününde açılması ve yapılandırılması gereken bazı portlar hakkında bilgi vereceğim. Bilindiği üzere Configuration Manager 2012 / R2 yapılandırma aşamasında belirli portları kullanmak da, bununla birlik de Client ve Server üzerinde yaptığımız ajan yükleme, dağıtım, raporlama ve iletişim işlemlerini gerçekleştirebilmemiz için gerekli portlara izinler vermemiz gerekmektedir.

Ben portlara vereceğim izinler bütün Client ve Sunucularıma uygulayacağım, bunun için Group Policy üzerinden gerçekleştireceğim işlemlerimi.

Technet Document : Firewall Settings for SC Configuration Manager 2012 R2

Client Push Installation – Gerekli Port İşlemi

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring1.png

Yapacağım bütün işlemlerim için farklı gpo’ lar oluşturacağım. Group Policy Management konsolumuz üzerinde Domainimiz üzerinende sağ click Create a GPO in this domain, and Link it here… diyoruz.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring2.png

Açılan New GPO penceremizde oluşturacağımız gpo’ umuza ayırt edici bir isim veriyoruz. İlk port ayarlamamız Client Push Installation olduğundan dolayı ona göre bir isim veriyorum ve ekliyorum.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring3.png

Oluşturduğumuz GPO muzu Edit diyerek düzenlemeye başlıyoruz. Gereken port açılımlarını bilgisayar bazlı yapacağız, bunun içinComputer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security‘ e geliyoruz. İçersinde bulunan Inbound Rules üzerinde sağ click yaparak New Rule… diyoruz.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring4.png

Yeni kural ekleme adımları teker teker göstermiyorum. Fakat yapmanız gereken New Rule > Rule Type adımında Predefined seçeneğini seçerek File and Printer Sharing ve Windows Management Instrumentation (WMI) tanımlamalarını eklemelisiniz.

Not : Inbound Rules içerisine eklediğiniz port tanımlamalarının aynısı Outbound Rules içerisinde de gerçekleştirmelisiniz.

SQL / SQL Replication – Gerekli Portlar

SQL Database ve SQL Replication işlemlerini için portların ayarlanmasını gerçekleştireceğiz. Bu kısım aslında en önemli kısımdır.

Not :
Configuration Manager SQL üzerinde dinamik port özelliğini desteklemez.

Aslında tam olarak desteklemez demek doğruda değildir, Bizler production ortamlarımızda SQL Instance namelerini default vermiyor. Çünkü SQL Sunucularımız üzerinde birden fazla Instance bulunmabiliyor ve bu instance’ lar ile iletişim kurarken Static portlar belirliyoruz.

Tabiki test ortamları için SQL kurulumlarında Default Instance name kullanılabiliyor ki öyleyse dinamik port ayarınızı olduğu gibi bırakabilirsiniz.

Neden 1433 ve 4022 portları firewall üzerinde açılmalı ?

SQL Serverlar default olarak 1433 portunu dinlerler ve SQL ile
connection kuran istemciler ile port üzerinden bağlanırlar.

Port 4022 bizim SQL Service Broker ile iletişim portumuzdur. Default olarak SQL Service Broker portumuz değildir, fakat firewall üzerinde Inbound olarak bu portun açılmış olması gereklidir.

1433 – 4022 Portu Üzerinden SQL Server ile İletişim Kuran System Center Rolleri

  • Application Catalog Web Service Point
  • Certificate Registration Poinr Role
  • Enrollment Point Role
  • Management Point
  • Site Server
  • Reporting Services Point
  • SMS Provider

İşletim Sistemi kurulduktan sonra default olarak Windows Firewall açık gelmektedir. Firewall üzerinde bu portlar açılmaz ise istemciler SQL Server ile iletişim kuramayacaklardır, çünkü 1433 ve 4022 portları default da kapalı olarak gelmekte.

Bir önceki adımımızdaki gibi bu portları GPO ile açacağız ve istemcilere bu gpo’ yu dağıtacağız.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring5.png

Group Policy Management penceremizde SQL sunuculara bağlantı için gereken portların izinlerini oluşturacağım GPO daha oluşturuyorum.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring6.png

Group Policy Editor üzerinden Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security‘ e geliyoruz. İçersinde bulunan Inbound Rules üzerinde sağ click yaparak New Rule… diyoruz.

Yukarıda gördüğünüz gibi 1433 ve 4022 portlarını açıyoruz. Daha sonra Group Policy Management penceremiz üzerinden 2012 ile beraber gelen bir özellik olan Enforce’ u oluşturduğum gpo üzerinde aktif ediyorum. Böylelikle clientlar üzerinde uygulanacaktır.

http://www.asilmutlu.com/wp-content/uploads/2014/02/020714_1224_Configuring7.png

Uygulamış olduğum firewall kurallarının GPO ile istemcilere geldiğini kontrol ediyorum. Bunun için client üzerinde Resultant Set of Policy konsolumuza bakacağız. Bunun için Run > rsop.msc komutunu çalıştırmalısınız. Açılan pencere de Computer Configuration> Administrative Templates > Extra Registry Settings e geliyoruz. Burada oluşturduğumuz GPO kurallarının geldiğini göreceksiniz.

Yapılacak işlemlere göre bu portlar arasına farklı portlarda ilave etmeniz gerekecektir. Bu portların neler olduğuna dair ayrıntılı bilgi almak için en başta belirttiğim linki kullanarak bilgi edinebilirsiniz.

Umarım sizlere faydalı olacaktır…

tat