Https connect manager
Диспетчер HTTP-соединений - SQL Server Integration Services (SSIS)
- Статья
- Чтение занимает 3 мин
Были ли сведения на этой странице полезными?
Да Нет
Хотите оставить дополнительный отзыв?
Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку "Отправить", вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.
Отправить
Спасибо!
В этой статье
Применимо к: SQL Server (все поддерживаемые версии) Azure-SSIS Integration Runtime в Фабрике данных Azure
HTTP-соединение позволяет пакету получить доступ к веб-серверу через протокол HTTP, чтобы передавать или принимать файлы. Задача "Веб-служба" из состава служб SQL Server Службы Integration Services использует этот диспетчер соединений.
При добавлении к пакету диспетчера HTTP-соединений Службы Integration Services создает диспетчер соединений, который будет решать задачи HTTP-соединений во время работы, устанавливает свойства диспетчера соединений и добавляет его к коллекции Connections пакета.
Свойство диспетчера соединений ConnectionManagerType имеет значение HTTP.
Произвести настройку диспетчера HTTP-соединений можно следующими способами:
Используйте учетные данные. Если диспетчер соединений использует учетные данные, то необходимо указать имя пользователя, пароль и домен.
Важно!
Диспетчер HTTP-соединений поддерживает только анонимную проверку подлинности и обычную проверку подлинности. Проверка подлинности Windows не поддерживается.
Используйте сертификат клиента. Если диспетчер соединений использует сертификат клиента, то среди его свойств есть имя сертификата.
Введите время ожидания при подключении к серверу и размер фрагмента данных для записи данных.
Используйте прокси-сервер. Прокси-сервер также может быть настроен для использования учетных данных, а также для обхода прокси-сервера и использования локальных адресов.
Настройка диспетчера HTTP-соединений
Значения свойств можно задавать с помощью конструктора Integration Services или программными средствами.
Дополнительные сведения о программной настройке диспетчера соединений см. в разделе ConnectionManager.
Редактор диспетчера HTTP-сеансов (страница «Сервер»)
Используйте вкладку Сервер диалогового окна Редактор диспетчера HTTP-соединений , чтобы настроить диспетчер HTTP-соединений, указав такие свойства, как URL-адрес и учетные данные безопасности. HTTP-соединение позволяет пакету получить доступ к веб-серверу через протокол HTTP, чтобы передавать или принимать файлы. После настройки диспетчера HTTP-соединений можно проверить соединение.
Важно!
Диспетчер HTTP-соединений поддерживает только анонимную проверку подлинности и обычную проверку подлинности. Проверка подлинности Windows не поддерживается.
Дополнительные сведения о диспетчере HTTP-соединений см. в разделе HTTP Connection Manager. Дополнительные сведения о распространенном сценарии использования диспетчера HTTP-соединений см. в разделе Web Service Task.
Параметры
URL-адрес сервера
Введите URL-адрес для сервера.
Если планируется загрузить WSDL-файл с помощью кнопки Загрузить язык WSDL на странице Общие в окне Редактор задачи «Веб-служба» , введите URL-адрес для WSDL-файла. Этот URL-адрес заканчивается строкой «?wsdl».
Использовать учетные данные
Укажите, должен ли диспетчер HTTP-соединений использовать для проверки подлинности учетные данные безопасности пользователя.
User name
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Пароль
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Домен
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Использовать сертификат клиента
Укажите, должен ли диспетчер HTTP-соединений использовать для проверки подлинности сертификат клиента.
Сертификат
Выберите сертификат из списка, воспользовавшись диалоговым окном Выбор сертификата . Текстовое поле отображает имя, связанное с этим сертификатом.
Время ожидания (сек)
Укажите время ожидания при установке соединения с веб-сервером. По умолчанию для этого свойства устанавливается значение 30 секунд.
Размер фрагмента данных (КБ)
Укажите размер фрагмента для записи данных.
Проверка соединения
После настройки диспетчера HTTP-подключений проверьте работоспособность соединения, нажав кнопку Проверить соединение.
Редактор диспетчера HTTP-соединений (страница «Прокси-сервер»)
Используйте вкладку Прокси-сервер диалогового окна Редактор диспетчера HTTP-соединений , чтобы настроить диспетчер HTTP-соединений для работы с прокси-сервером. HTTP-соединение позволяет пакету получить доступ к веб-серверу через протокол HTTP, чтобы передавать или принимать файлы.
Дополнительные сведения о диспетчере HTTP-соединений см. в разделе HTTP Connection Manager. Дополнительные сведения о распространенном сценарии использования диспетчера HTTP-соединений см. в разделе Web Service Task.
Параметры
Использовать прокси-сервер
Укажите, должен ли диспетчер HTTP-сеансов подключаться через прокси-сервер.
URL-адрес прокси-сервера
Введите URL-адрес прокси-сервера.
Не использовать прокси-сервер при локальном подключении
Укажите, должен ли диспетчер HTTP-соединений исключать прокси-сервер для локальных адресов.
Использовать учетные данные
Укажите, должен ли диспетчер HTTP-соединений использовать учетные данные для прокси-сервера.
User name
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Пароль
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Домен
Если диспетчер HTTP-соединений использует учетные данные, необходимо указать имя пользователя, пароль и домен.
Список адресов, не требующих прокси-сервера
Список адресов, для которых прокси-сервер использоваться не должен.
Добавление
Введите адрес, для которого прокси-сервер использоваться не должен.
Удалить
Выберите адрес и затем удалите его, нажав кнопку Удалить.
См. также:
Задача «Веб-служба»
Соединения в службах Integration Services (SSIS)
App Store: МТС Коннект - запись звонков
Приложение МТС Коннект – простой инструмент для тех, кто много звонит на МТС, осуществляет запись звонков или часто общается с близкими в роуминге. При подключении к Wi-Fi можно звонить куда угодно, и мобильная сеть вам совсем не понадобится.
Звонки на МТС из любой точки мира через приложение:
• Не расходуют минуты из пакета, если у вас тариф с включёнными минутами.
• Ничего не стоят, если у вас тариф с повременной оплатой вызовов.
• Не ограничены по количеству минут.
Совершать вызовы через приложение за рубежом тоже выгодно – просто подключитесь к Wi-Fi и не тратьте на звонки больше, чем дома.
Как звонить и не тратить интернет:
• Подключайтесь к Wi-Fi и общайтесь с близкими через приложение.
• Звоните на МТС через мобильную сеть с опцией «Всети» или «Сервисы Х» на тарифе «Х».
При подключении к мобильной сети звонки на других операторов и интернет оплачиваются по тарифу.
ЧТО ЕЩЁ:
• Виртуальный номер. С него можно звонить и принимать вызовы, отправлять и получать SMS. Пригодится, если вы не желаете раскрывать свой основной номер или хотите разделить личное и рабочее общение. А приобрести номер можно в «МТС Коннект».
• Мультиаккаунт. Полезен тем, у кого несколько номеров или телефонов. Мультиаккаунт позволяет загрузить все номера в «МТС Коннект» и получать или совершать звонки в приложении.
Обе функции доступны в следующих регионах:
г. Москва и Московская область
Белгородская область
Республика Бурятия
Камчатский Край
Костромская область
Липецкая область
Пензенская область
Тульская область
Приложение МТС Коннект доступно во всех регионах кроме:
- Волгоградской области
- Калининградской области
- Курской области
- Нижегородской области
- Республики Мордовия
- Республики Крым
- Ростовской Области
- Самарской области
- Свердловской области
- Чувашской республики
Не грустите, если ваш регион среди исключений. Новые города регулярно добавляются в приложение. Постараемся не заставить вас долго ждать.
Подробнее о приложении можно почитать на сайте.
Все ваши замечания и предложения отправляйте на [email protected].
Спасибо, что вы с нами! МТС.
Reverse proxy setup for Model Manager server
Описание проблемы
In some cases it is advantageous to use a reverse proxy server as an intermediary between Model Manager server and its users. Use cases of a reverse proxy server include:
- Offloading TLS encryption onto the reverse proxy server, either for using hardware-accelerated encryption or simply to not have to configure encryption for each web service separately.
- Firewall features that protect the web service from attacks.
- Integration with single sign-on systems for authentication.
Решение
Setting up a reverse proxy
Any reverse proxy that supports HTTP can be used with Model Manager server. Two common reverse proxy softwares are Apache mod_proxy and Nginx. See the documentation of the reverse proxy software for how to set it up to forward requests.
Note: Model Manager server currently only supports being served on the root path of a host, i.e. not under a custom URI path prefix like example.com/modelmanager. To distinguish the Model Manager server from other intranet services you can use a hostname prefix, e.g. modelmanager.example.com.
TLS encryption
By configuring the reverse proxy to serve HTTPS, the integrity and confidentiality of the communication between the client and the reverse proxy is protected by the TLS protocol. This is the recommended way to host the Model Manager server on any networks where cleartext traffic could be intercepted. To connect to a Model Manager server using HTTPS, check the Require secure connection checkbox in COMSOL Multiphyiscs.
Single sign on integration
Model Manager server supports authenticating user accounts with the Basic HTTP authentication scheme, using the Authorization HTTP header. This allows to integrate single sign on in a reverse proxy, for user accounts present on a Model Manager server. To do this, configure the reverse proxy for authenticating clients, using any authentication scheme you want, then set it up to authenticate itself to the Model Manager server using Basic HTTP authentication, with the username of the externally authenticated client and a dummy secret password for the corresponding user account on the Model Manager server.
Support
Please let us know if you would like to know more about any of these topics by contacting the support! We will help to the best of our abilities to explain how Model Manager server works, but cannot in general give specific support on the setup of reverse proxy software.
Why my Windows PC cannot connect to TP-Link L2TP VPN server?
The encrypted L2TP VPN, also known as L2TP over IPsec, is used for remote access to the workplace network. If you have properly configured L2TP VPN server on TP-Link SMB VPN router and L2TP VPN client on Windows PC, but the client still cannot connect to the server, there may be something wrong with the settings of the Windows System, please refer to this article to start some services and modify some entries of the Windows Registry.
Note:
- If you do not know how to configure L2TP VPN on the TP-Link router, please refer to FAQ444 for help.
- This method applies to Windows Operating Systems, including Windows 7, 8, 8.1, and 10.
- This method is not suitable for third-party VPN client software.
Problem:
If you have a problem connecting to the L2TP VPN server, please first check the basic configuration according to FAQ444, paying attention to the physical connection, username, password, pre-shared key, etc. After doing these basic checks, if you still encounter Error messages (Windows 8/8.1/10), or Error code 629/809 (Windows 7), please follow the below steps to start some system services and modify some values in the Windows Registry.
Solution:
Step 1
Start the following services on the client PC:
- IKE and AuthIP IPsec Keying Modules
- IPsec Policy Agent
- Remote Access Auto Connection Manager
- Remote Access Connection Manager
- Secure Socket Tunneling Protocol Service
Here are the configuration steps:
1) Click the Windows and R keys on the keyboard at the same time, then type “services.msc” in the box, click OK.
2) Start the services
a) IKE and AuthIP IPsec Keying Modules
If it is not started, right-click and start it.
b) IPsec Policy Agent
c) Remote Access Auto Connection Manager
d) Remote Access Connection Manager
e) Secure Socket Tunneling Protocol Service
Make sure that these services are started, then try to connect the VPN again. If you still fail to access the L2TP VPN server, please do the following steps.
Step 2
Modify the Register of the Windows OS.
1. Click Win+R, then type “regedit.exe” in the box. Click OK.
2. Go to HKEY_LOCAL_MACHINE——SYSTEM——CurrentControlSet——services——RasMan——Parameters, Find "ProhibitIpSec", double click it, then set the value as 0.
If you cannot find the parameter in the list, you can new it like below, then rename it as ProhibitIpSec(case insensitive) and set the value as 0.
Note: If the L2TP VPN server is behind a NAT device (Error 809), you need to do some extra settings. If not, skip the below steps.
-
- Open UDP port 500,1701,4500 for the L2TP server on the NAT device.
- Enable IPsec PassThrough in ALG on the NAT device.
- Modify the registry on your PC as below.
HKEY_LOCAL_MACHINE——SYSTEM——CurrentControlSet——Services——PolicyAgent, find "AssumeUDPEncapsulationContextOnSendRule", double-click it, and set its value to 2. If it doesn’t exist, new it like above and set it to 2.
Step 3
Restart the computer, make sure the services are started and try to connect to the VPN.
Был ли этот FAQ полезен?
Ваш отзыв поможет нам улучшить работу сайта.
Да Нет
Что вам не понравилось в этой статье?
- Недоволен продуктом
- Слишком сложно
- Неверный заголовок
- Не относится к моей проблеме
- Слишком туманное объяснение
- Другое
Как мы можем это улучшить?
Отправить
Спасибо
Спасибо за обращение
Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.
Использование KeyCloak в качестве IDP и Key Manager для WSO2 API Manager - Использование KeyCloak в качестве IDP и Key Manager для WSO2 API Manager
В этом блоге мы рассмотрим как настроить Keycloack 9.0 как внешний IDP для WSO2 APIM 3.1. Кроме этого будет показано как настроить Keycloak в качестве Key Manager.
Установка
1. Скачайте и распакуйте Keycloak standalone server по ссылке.
2. Скачайте и установите WSO2 API Manager 3.1.0 по ссылке.
Настройка Keycloak server
1. Добавьте в файл <KeycloakServer>/bin/standalone.sh следующий параметр
SERVER_OPTS="-Dkeycloak.profile.feature.upload_scripts=enabled"
2. В файлах <KeycloakServer>/standalone/configuration/standalone.xml и <KeycloakServer>/standalone/configuration/standalone-ha.xml добавьте параметр proxy-address-forwarding="true" в раздел указанный ниже
<server name="default-server">
<http-listener name="default" proxy-address-forwarding="true" socket-binding="http" redirect-socket="https" enable-http2="true"/>
3. Создайте пользователя admin запустив скрипт <KeycloakServer>/bin/add-user-keycloak.sh -u admin
4. Перейдите в каталог <KeycloakServer>/bin и запустите сервер командой
standalone.sh -b 0.0.0.0
Сервер запустится и будет слушать порт 8080 и 8443
5. Войдите в систему
6. Создайте новый realm с именем "apim" нажав на кнопку "Add realm" в выпадающем меню
7. Создайте нового клиента oidc-km
8. После нажатия кнопки Save произведите настройки как на изображении ниже
9. После установки Access Type в "confidential" появится вкладка "Credentials"
В этой вкладке есть поле "Secret". Скопируйте его для дальнейшего использования.
10. Перейдите в закладку Roles и создайте роль any
11. На закладке Mappers создайте RoleMapper
12. Там же создайте script mapper "UserNameInSub" для правильной работы JIT Provisioning
13. Создайте пользователя emma
14. Установите пароль
15. Настройте Role Mapping
Настройка WSO2 API Manager 3.1.0
Мы настроим Federated Identity Provider в APIM 3.1.0 для аутентификации OpenID-connect в Keycloak
1. Войдите в carbon панель в APIM и создайте новый Identity Provider с именем Keycloak и следующими параметрами (обратите внимание на url Keycloak - localhost в случае локальной установки)
Client Id: oidc-km
Authorization Endpoint URL: https://keycloak.demo1.emdev.ru/auth/realms/apim/protocol/openid-connect/auth
Token Endpoint URL: https://keycloak.demo1.emdev.ru/auth/realms/apim/protocol/openid-connect/token
Callback URL: https://wso2apim31.demo1.emdev.ru/commonauth
Userinfo Endpoint URL: https://keycloak.demo1.emdev.ru/auth/realms/apim/protocol/openid-connect/userinfo
Logout Endpoint URL: https://keycloak.demo1.emdev.ru/auth/realms/apim/protocol/openid-connect/logout
2. Далее перейдите в раздел Just-in-Time Provisioning
3. В разделе Claim Configuration произведите следующие настройки
4. Далее настройте Role Mapping
5. Обновите настройки Service Providers
Нажмите редактировать apim_devportal и внесите следующие изменения:
То же самое проделайте для apim_publisher
6. Теперь можно попробовать зайти в publisher/dev порталы с помощью пользователя созданного в Keycloak
Настройка Keycloak как Key Manager для WSO API Manager 3.1.0
1. Внесите следующие настройки в <API-M_HOME>/repository/conf/deployment.toml
[apim.key_manager]
key_manager_client_impl = "org.wso2.keycloak.client.KeycloakClient"
[apim.key_manager.configuration]
keycloakInstanceUrl = "https://keycloak.demo1.emdev.ru"
keycloakRealmName = "apim"
client_id = "api-client"
username = "apim-user"
password = "xxxxxxxx"
[[apim.jwt.issuer]]
name = "https://keycloak.demo1.emdev.ru/auth/realms/apim"
[apim.jwt.issuer.jwks]
url = "https://keycloak.demo1.emdev.ru/auth/realms/apim/protocol/openid-connect/certs"
2. Сохраните файл из https://github.com/wso2-extensions/apim-keymanager-keycloak и разместите в папке <API-M_HOME>/repository/components/lib
3. В keycloak создайте клиента с настройками по умолчанию и именем api-client
4. Создайте пользователя "apim-user" и установите пароль как в конфигурации для APIM
5. Перейдите на закладку Role Mapping и настройте роли как на изображении
6. Перезапустите API Manager и зайдите в Developer Portal для проверки ключей.
Создайте новое приложение
7. Сгенерируйте новый токен оставив только галочки поддерживаемых grant-type
Полезные ссылки:
https://medium.com/@himashaguruge/using-keycloak-as-an-external-idp-with-wso2-api-manager-3-1-0-7f7a3a637526
https://medium.com/wso2-learning/understanding-wso2-api-manager-3rd-party-key-manager-integration-77a3677b1e9a
01.06.2020
IDPA — как отправлять тестовые сообщения Connect Home от компонентов с включенным ESRS на IDPA
Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.
Инструкции
Компоненты Avamar и Data Domain в решении IDPA ежедневно отправляют одно или несколько сообщений Connect Home через ESRS в Dell EMC, даже если проблем нет.Но это не происходит в Data Protection Advisor или Appliance Control Manager. И DPA, и ACM отправляют только сообщения Connect Home при наличии предупреждения.
Отправка тестового сообщения Connect Home от Avamar:
Avamar Administrator:
- Войдите в Avamar Administrator.
- Выберите «Tools Manage ConnectEMC».
- Если еще не выделен, выберите пункт «Primary Transport» на левой панели.
- Если текущее значение в разделе Primary Transport — HTTPS, нажмите кнопку «Test».
- Если текущее значение в разделе Primary Transport не является HTTPS, нажмите кнопку «Edit».
- В окне «Edit Primary Transport» нажмите на значок в поле Transport Type и выберите HTTPS.
- В поле «URL» введите IP-адрес шлюза ESRS с портом 9443 и нажмите «OK».
- Вы будете перенаправлены обратно в окно «Manage ConnectEMC», где теперь можно нажать кнопку «Test».
Командная строка Avamar:
- Войдите в интерфейс командной строки Avamar через SSH в качестве администратора.
- Введите следующую команду:
mccli event publish --code=22922 --attribute=level --value=info --message= Test
Отправка тестового сообщения Connect Home из Data Domain:
Из командной строки DDOS:
- Войдите в командную строку DDOS как пользователь sysadmin.
- Введите следующую команду:
support connectemc test
Avamar Data Store, DD OS, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
20 нояб. 2020
Обработка CONNECT-запросов
Обработка CONNECT-запросов
При обработке трафика, передаваемого по протоколу HTTPS, результат применения действий программы Заблокировать и Перенаправить отличается от применения этих действий к трафику, передаваемому по протоколу HTTP. Пользователю не отображается страница блокировки, и не выполняется перенаправление на заданный URL-адрес. Вместо этого соединение обрывается.
Это связано с тем, что для установки шифрованных соединений по протоколу HTTPS компьютер пользователя запрашивает у прокси-сервера соединение с веб-сервером с помощью HTTP-сообщения, содержащего метод CONNECT (далее также "CONNECT-запрос"). Возможности прокси-серверов по обработке CONNECT-запросов и ответу на них ограничены на уровне HTTP-протокола. Прокси-сервер может либо уведомить пользователя об успешной установке соединения, либо прервать соединение.
Чтобы действия Заблокировать и Перенаправить применялись корректно, вам требуется включить расшифровку TLS/SSL-соединений, а также добавить метод CONNECT в исключения или создать для него правило обхода. При отсутствии правил обработки трафика, разрешающих CONNECT-запросы, соединение будет прервано.
Разрешение CONNECT-запросов может привести к снижению защиты IT-инфраструктуры организации. Рекомендуется добавлять метод CONNECT в исключения только в тех правилах обработки трафика, для которых отображение страницы блокировки и выполнение перенаправления являются критичными.
Далее в этой статье приведены особенности и различия в обработке трафика, передаваемого по протоколу HTTP с помощью стандартных HTTP-сообщений, и трафика, передаваемого по протоколу HTTPS, когда для установки шифрованных соединений используются CONNECT-запросы.
Обработка стандартных HTTP-сообщений
Большинство HTTP-методов (например, GET, POST, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE) предназначено для обмена HTTP-сообщениями между клиентом, то есть компьютером пользователя, и веб-сервером, на котором хранится запрашиваемый веб-ресурс. Kaspersky Web Traffic Security может проверять такие HTTP-сообщения и применять к ним все доступные в программе действия. Принципы обработки HTTP-сообщений в программе Kaspersky Web Traffic Security представлены на рисунке ниже.
Принципы обработки HTTP-сообщений
Нумерация на рисунке соответствует следующим этапам обработки стандартных HTTP-сообщений:
- Пользователь запрашивает доступ к веб-ресурсу. Этот запрос передается на прокси-сервер.
- Программа проверяет, удовлетворяет ли запрошенный веб-ресурс критериям правил доступа.
- Если в результате применения правила доступа выполняется действие Заблокировать, пользователю отображается страница блокировки. Если выполняется действие Перенаправить, пользователь перенаправляется на заданный URL-адрес.
- Если в результате применения правила доступа выполняется действие Разрешить, то программа переходит к проверке трафика с помощью правил защиты или политики защиты по умолчанию. При отсутствии обнаруженных угроз запрос пользователя передается на веб-сервер.
- Полученный ответ от веб-сервера также проверяется модулями защиты на наличие вирусов и других угроз. При обнаружении угроз программа блокирует трафик, а при их отсутствии передает ответ веб-сервера на компьютер пользователя.
- При попытке несанкционированного доступа злоумышленники могут перехватить данные, так как трафик передается в нешифрованном виде.
Особенности обработки CONNECT-запросов
При попытке получить доступ к веб-ресурсу по протоколу HTTPS компьютер пользователя отправляет на прокси-сервер CONNECT-запрос на соединение с веб-сервером. В результате обмена параметрами шифрования и сертификатами безопасности между компьютером пользователя и веб-сервером устанавливается туннелированное защищенное соединение по протоколу TLS. Внутри этого туннеля клиент и веб-сервер обмениваются HTTP-сообщениями с использованием стандартных HTTP-методов (GET, POST и т.д.). По умолчанию прокси-сервер не может анализировать содержимое шифрованного соединения и вмешиваться в обмен сообщениями внутри туннеля. Механизм обработки шифрованных соединений по умолчанию представлен на рисунке ниже.
Механизм обработки шифрованных соединений по умолчанию
Нумерация на рисунке соответствует следующим этапам обработки шифрованных соединений по умолчанию:
- Компьютер пользователя при помощи CONNECT-запроса запрашивает у прокси-сервера организацию шифрованного канала связи с веб-сервером.
- Программа проверяет, удовлетворяет ли запрошенный веб-ресурс критериям правил доступа.
- Если в результате применения правил выполняется действие Заблокировать или Перенаправить, соединение обрывается. Пользователю не отображается страница блокировки, и он не перенаправляется на заданный URL-адрес.
- Если в результате применения правила доступа выполняется действие Разрешить, программа передает CONNECT-запрос для дальнейшей обработки модулями защиты.
- При успешной проверке CONNECT-запроса модулями защиты прокси-сервер формирует шифрованный канал связи между компьютером пользователя и веб-сервером.
- Внутри шифрованного канала связи компьютер пользователя обменивается с веб-сервером обычными HTTP-сообщениями. При этом прокси-сервер не может получить доступ к этим сообщениям и передать их на проверку модулям защиты, так как передаваемые данные зашифрованы.
- Ответ веб-сервера также передается компьютеру пользователя напрямую без проверки модулями защиты. Это снижает уровень защиты IT-инфраструктуры организации, так как на компьютер пользователя может поступать трафик, содержащий угрозы.
- При попытке несанкционированного доступа злоумышленники не могут перехватить данные, так как трафик передается внутри шифрованного канала.
Чтобы программа могла проверять трафик, передаваемый внутри шифрованного канала связи, модулями защиты, вам требуется настроить расшифровку TLS/SSL-соединений. Механизм обработки шифрованных соединений при включенной расшифровке TLS/SSL-соединений представлен на рисунке ниже.
Механизм обработки шифрованных соединений при включенной расшифровке TLS/SSL-соединений
Нумерация на рисунке соответствует следующим этапам обработки шифрованных соединений при включенной расшифровке TLS/SSL-соединений:
- Компьютер пользователя при помощи CONNECT-запроса запрашивает у прокси-сервера организацию шифрованного канала связи с веб-сервером.
- Программа проверяет, удовлетворяет ли запрошенный веб-ресурс критериям правил доступа.
- Если в результате применения правила доступа выполняется действие Заблокировать или Перенаправить, соединение обрывается. Пользователю не отображается страница блокировки, и он не перенаправляется на заданный URL-адрес.
- Если в результате применения правила доступа выполняется действие Разрешить, программа передает CONNECT-запрос для дальнейшей обработки модулями защиты.
- При успешной проверке CONNECT-запроса модулями защиты между компьютером пользователя и прокси-сервером, а также между прокси-сервером и веб-сервером устанавливаются шифрованные каналы связи.
- Внутри шифрованного канала связи компьютер пользователя обменивается с веб-сервером обычными HTTP-запросами. Программа получает доступ ко всем передаваемым данным и может применять к ним правила защиты.
- Программа проверяет, удовлетворяет ли запрошенный веб-ресурс критериям правил доступа.
- Если в результате применения правила доступа выполняется действие Заблокировать, пользователю отображается страница блокировки. Если выполняется действие Перенаправить, пользователь перенаправляется на заданный URL-адрес.
- Если в результате применения правила доступа выполняется действие Разрешить, то программа переходит к проверке трафика с помощью правил защиты или политики защиты по умолчанию. При отсутствии обнаруженных угроз запрос пользователя передается на веб-сервер.
- Полученный ответ от веб-сервера также проверяется модулями защиты на наличие вирусов и других угроз. При обнаружении угроз программа блокирует трафик, а при их отсутствии передает ответ веб-сервера на компьютер пользователя по шифрованному каналу связи.
- При попытке несанкционированного доступа злоумышленники не могут перехватить данные, так как трафик передается внутри шифрованного канала связи.
Порты, используемые для подключений — Configuration Manager
- Статья
- Время считывания: 19 мин
Была ли эта страница полезной?
да Нет
Хотите что-нибудь добавить к этому мнению?
Отзыв будет отправлен в Microsoft: когда вы нажмете «Отправить», отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.
Представлять на рассмотрение
Спасибо.
В этой статье
Применяется к: Configuration Manager (текущая ветвь)
В этой статье перечислены сетевые порты, используемые в Configuration Manager. Некоторые соединения используют порты, которые нельзя настроить, а другие поддерживают настраиваемые порты, указанные пользователем.Если вы используете какую-либо технологию фильтрации портов, убедитесь, что необходимые порты доступны. К таким технологиям фильтрации портов относятся брандмауэры, маршрутизаторы, прокси-серверы или IPsec.
Примечание
Если вы обслуживаете веб-клиенты с использованием SSL-шифрования, в дополнение к требованиям к порту вам также может потребоваться разрешить прохождение через брандмауэр определенных команд и заголовков HTTP.
Настраиваемые порты
Configuration Manager позволяет настроить порты для следующих типов связи:
-
Доверенность на регистрацию в регистрирующем органе
-
Системы клиентского сайта, работающие с IIS
-
Подключение от клиента к интернету (в настройках прокси-сервера)
-
В обновлении программного обеспечения будет указано Интернет (в качестве настроек прокси)
-
В обновлении программного обеспечения будет указан сервер WSUS
. -
Сервер сайта с сервером базы данных сайта
-
Сервер сайта на сервер базы данных WSUS
-
Пункты службы отчетов
Примечание
Порты для точек обслуживания отчетов настраиваются в службах SQL Server Reporting Services.Затем Configuration Manager использует эти порты при обмене данными с точкой служб отчетов. Обязательно просмотрите эти порты, которые определяют информацию IP-фильтра о политиках IPsec или настройке брандмауэров.
По умолчанию для связи клиент-сайт используется порт HTTP 80 и порт 443 для HTTPS. Вы можете изменить эти порты во время установки или в свойствах сайта.
Порты не настраиваются
Configuration Manager не настраивает порты для следующих типов связи:
-
С места на место
-
Сервер сайта к системе сайта
-
Диспетчер конфигурации для поставщика SMS
-
Диспетчер конфигурации интернет-консоли
-
Подключения к облачным службам, таким как Microsoft Azure
Порты, используемые клиентами и системами сайта
В следующих разделах подробно описаны порты, используемые для связи в Configuration Manager.Стрелки в названии раздела указывают направление связи:
-
->Указывает, что один компьютер начинает обмениваться данными, а другой всегда отвечает на -
<-->Указывает, что связь возможна на каждом из компьютеров.
Точка синхронизации аналитики активов -> Microsoft
90 130 90 131 90 132 90 133 Описание 90 134 Информация о точке синхронизации Analytics -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Клиент 90 115 -> 90 116 клиент
Прокси-сервер пробуждения также использует эхо-сообщения ICMP от одного клиента к другому.Клиенты используют эту связь, чтобы подтвердить, что другой клиент находится в сети. ICMP иногда называют командами ping. ICMP не имеет номера протокола UDP или TCP и поэтому не указан в таблице ниже. Однако любые брандмауэры на основе хоста на этих клиентских компьютерах или промежуточных сетевых устройствах в подсети должны разрешать трафик ICMP, чтобы прокси-сервер мог успешно обмениваться данными в режиме пробуждения.
90 130 90 131 90 132 90 133 Описание 90 134Дополнительные сведения см. в разделе Одноранговый кэш Windows.
Модуль -> Диспетчер конфигурации политик службы регистрации сетевых устройств (NDES) для клиентов
90 130 90 131 90 132 90 133 Описание 90 134 Точка распространения 90 115 -> 90 116 в клиентском облаке
90 130 90 131 90 132 90 133 Описание 90 134Дополнительные сведения см. в разделе Порты и поток данных.
Шлюз -> Управление клиентским облаком (CMG)
90 130 90 131 90 132 90 133 Описание 90 134 Дополнительные сведения см. в разделе Поток данных CMG.
Точка распространения -> клиент, как стандартная, так и вытягивающая
90 130 90 131 90 132 90 133 Описание 90 134 Клиент -> Точка распространения, настроенная для многоадресной рассылки, как стандартной, так и по запросу
90 130 90 131 90 132 90 133 Описание 90 134 Клиент -> Точка распространения, настроенная для PXE, как стандартная, так и по запросу
90 130 90 131 90 132 90 133 Описание 90 134 Действительный
Если вы включаете межсетевой экран на основе хоста, убедитесь, что правила разрешают серверу отправлять и получать сообщения через эти порты.После включения точки распространения для PXE Configuration Manager включите правила входящего (полученного) трафика в брандмауэре Windows. Исходящие (отправляющие) правила не настроены.
Пункт -> резерв клиента
90 130 90 131 90 132 90 133 Описание 90 134 Контроллер домена -> Глобальный каталог клиента
Клиент Configuration Manager не связывается с сервером глобального каталога, если он является компьютером рабочей группы или настроен для связи только через Интернет.
90 130 90 131 90 132 90 133 Описание 90 134 Точка управления -> клиентов
90 130 90 131 90 132 90 133 Описание 90 134 Точка -> обновление ПО клиента
90 130 90 131 90 132 90 133 Описание 90 134 Точка -> миграция состояния клиента
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения CmG -> Масштабируемый набор виртуальных машин CMG
Configuration Manager эти подключения используются для создания канала CMG.Дополнительные сведения см. в разделе Поток данных CMG.
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения CMG -> Классическая облачная служба CMG
Configuration Manager эти подключения используются для создания канала CMG.Дополнительные сведения см. в разделе Поток данных CMG.
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения CMG -> 90 116
90 130 90 131 90 132 90 133 Описание 90 134 Указанный порт требуется в зависимости от конфигурации точки управления.Дополнительные сведения см. в разделе Поток данных CMG.
Точка подключения CMG -> Точка обновления программного обеспечения
Конкретный порт зависит от конфигурации точки обновления программного обеспечения.
90 130 90 131 90 132 90 133 Описание 90 134Дополнительные сведения см. в разделе Поток данных CMG.
Диспетчер конфигурации клиента веб-консоли ->
90 130 90 131 90 132 90 133 Описание 90 134 Интернет-консоль Configuration Manager -> 90 116
90 130 90 131 90 132 90 133 Описание 90 134 Консоль Configuration Manager использует доступ в Интернет для следующих действий:
- Загрузка обновлений программного обеспечения из Центра обновления Майкрософт для пакетов развертывания.
- Элемент обратной связи на ленте.
- Ссылки на документацию в консоли.
- Получение предметов из Общественного центра
Точка обслуживания диспетчера конфигураций -> Консоль отчетов Reporting Services
90 130 90 131 90 132 90 133 Описание 90 134 Диспетчер конфигурации сетевой консоли -> Сервер веб-сайта
90 130 90 131 90 132 90 133 Описание 90 134 Диспетчер конфигурации службы SMS для консоли ->
Административная служебная записка
Любое устройство, которое будет направлять подключение к службе администрирования поставщика услуг SMS, использует порт HTTPS 443.Дополнительные сведения см. в разделе Что такое служба администрирования?
Диспетчер регистрации сертификатов службы регистрации сетевых устройств (NDES) ->
90 130 90 131 90 132 90 133 Описание 90 134 Точка обслуживания хранилища данных SQL Server ->
90 130 90 131 90 132 90 133 Описание 90 134 Распределительный пункт, как стандартный, так и пункт -> управление ходом
Точка распространения предоставляет информацию точке управления в следующих сценариях:
-
Чтобы сообщить о состоянии предварительно помеченного контента
-
Чтобы сообщить сводные данные об использовании
-
Чтобы сообщить о проверке содержимого
-
Чтобы сообщить о состоянии загрузки пакета только для точек распространения загрузки
Endpoint Protection Point -> 90 116
Точка защиты конечной точки -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Точка регистрации прокси -> Точка регистрации
90 130 90 131 90 132 90 133 Описание 90 134 Точка регистрации -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Соединитель Exchange Server -> Exchange Online
90 130 90 131 90 132 90 133 Описание 90 134 Соединитель Exchange Server -> Exchange-local
90 130 90 131 90 132 90 133 Описание 90 134 Точка регистрации прокси-сервера на -> Mac
90 130 90 131 90 132 90 133 Описание 90 134 Контроллер домена Point -> Управление
90 130 90 131 90 132 90 133 Описание 90 134 Point Site Server <--> Управление
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 Точки управления -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Прокси-точка регистрации -> мобильное устройство
90 130 90 131 90 132 90 133 Описание 90 134 Точка служб Reporting Services -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения службы -> 90 116 Azure (CMG)
90 130 90 131 90 132 90 133 Описание 90 134 Дополнительные сведения см. в разделе Поток данных CMG.
Приложение Azure Logic -> подключение к службе
90 130 90 131 90 132 90 133 Описание 90 134 Дополнительные сведения см. в разделе Внешние уведомления.
Точка синхронизации Analytics <--> Ресурсы сервера сайта
90 130 90 131 90 132 90 133 Описание 90 134 Сервер-клиент -> сайтов
90 130 90 131 90 132 90 133 Описание 90 134 Точка распространения сервера -> Облачные сайты
90 130 90 131 90 132 90 133 Описание 90 134 Дополнительные сведения см. в разделе Порты и поток данных.
Точка распространения сервера -> сайтов, как стандартных, так и по запросу
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 Контроллер домена сервера -> Сайты
90 130 90 131 90 132 90 133 Описание 90 134 Точка регистрации <--> сертификат сервера сайта
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения <--> Сервер сайта CMG
90 130 90 131 90 132 90 133 Описание 90 134 Endpoint Protection <--> Сервер сайта
90 130 90 131 90 132 90 133 Описание 90 134 Точка регистрации сервера <--> сайтов
90 130 90 131 90 132 90 133 Описание 90 134 Прокси-точка регистрации <--> сервер сайта
90 130 90 131 90 132 90 133 Описание 90 134 Точка состояния <--> резервный сервер сайта
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 Сервер сайта -> Интернет
90 130 90 131 90 132 90 133 Описание 90 134 Сервер сайта <--> Выдающий центр сертификации (UC)
Эта связь используется при развертывании профилей сертификатов с использованием точки регистрации сертификатов.Эта связь не используется для каждого сервера сайта в иерархии. Вместо этого он используется только для сервера сайта на вершине иерархии.
На сервере сайта размещены -> удаленная библиотека содержимого
Библиотеку содержимого можно переместить в другое место хранения, чтобы освободить место на жестком диске в центре администрирования или на основных серверах сайта. Дополнительные сведения см. в статье Настройка удаленной библиотеки содержимого для сервера сайта.
90 130 90 131 90 132 90 133 Описание 90 134 Точка подключения службы <--> сервер сайта
90 130 90 131 90 132 90 133 Описание 90 134 Точка служб Reporting Services <--> Сервер сайта
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 Сервер сайта <--> Сервер сайта
90 130 90 131 90 132 90 133 Описание 90 134 Сайт сервера -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 При установке сайта, на котором размещена удаленная база данных SQL Server, откройте следующие порты между сервером сайта и SQL Server:
90 130 90 131 90 132 90 133 Описание 90 134 Имя сервера SQL -> для WSUS
90 130 90 131 90 132 90 133 Описание 90 134 Поставщик услуг -> SMS для сервера сайта
90 130 90 131 90 132 90 133 Описание 90 134 Точка обновления <--> программное обеспечение сервера сайта
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 Точка миграции на сервер сайта <-->
Примечание 5 90 175
90 130 90 131 90 132 90 133 Описание 90 134 -> SQL Server
Поставщик SMS 90 130 90 131 90 132 90 133 Описание 90 134 Точка обновления Интернет -> ПО
Точка обновления -> Вышестоящий сервер WSUS
90 130 90 131 90 132 90 133 Описание 90 134 -> SQL Server SQL Server
Для межсайтовой репликации базы данных требуется, чтобы SQL Server на одном сайте напрямую взаимодействовал с SQL Server на его родительском или дочернем сайте.
90 130 90 131 90 132 90 133 Описание 90 134Совет
Configuration Manager не требует браузера SQL Server, использующего UDP-порт 1434.
Точка миграции состояния -> SQL Server
90 130 90 131 90 132 90 133 Описание 90 134 Рекомендации по портам, используемым клиентами и системами сайта
Примечание 1: прокси-порт
Этот порт не может быть настроен, но может быть распределен через настроенный прокси-сервер.
Примечание 2: доступен альтернативный порт
Для этого значения можно определить альтернативный порт Configuration Manager. Если вы определяете настраиваемый порт, используйте этот настраиваемый порт в информации IP-фильтра политики IPsec или настройте брандмауэры.
Примечание 3. Службы обновления Windows Server (WSUS)
Поскольку Windows Server 2012, WSUS по умолчанию использует порт 8530 для HTTP и порт 8531 для HTTPS.
После завершения установки вы можете изменить порт. Нет необходимости использовать один и тот же номер порта в иерархии сайтов.
-
Если номер порта HTTP равен 80, порт HTTPS должен быть 443.
-
Если порт HTTP является другим портом, порт HTTPS должен быть как минимум 1, например 8530 и 8531.
Примечание
При настройке точки обновления программного обеспечения для использования HTTPS порт HTTP также должен быть открыт. Для некоторых обновлений незашифрованные данные, такие как лицензионное соглашение с конечным пользователем, используют порт HTTP.
-
При включении следующих параметров очистки WSUS сервер сайта подключается к сайту службы SQL Server, на котором размещен файл БД:
- Добавление некластеризованных индексов в базу данных WSUS для повышения производительности очистки WSUS
- Удаление устаревших обновлений из базы данных WSUS
Если вы изменяете альтернативный порт SQL Server по умолчанию с помощью диспетчера конфигурации SQL Server, убедитесь, что сервер сайта может подключаться с использованием определенного порта.Configuration Manager не поддерживает динамические порты. По умолчанию именованные серверы SQL используют динамические порты для подключения к компоненту Database Engine. Если вы используете именованный экземпляр, вручную настройте статический порт.
Примечание 4. 3-серийный FTP-демон (TFTP)
Системная служба демона FTP (Trivial FTP) не требует имени пользователя или пароля и является неотъемлемой частью служб развертывания служб Windows (WDS). Обычная служба FTP Daemon реализует поддержку протокола TFTP, определяемого следующими ответами RFQ:
.-
RFC 1350: TFTP
-
RFC 2347: расширение опции
-
RFC 2348: параметр размера блока
-
RFC 2349: параметры интервала ожидания и размера передачи
TfTP предназначен для поддержки бездисковых загрузочных сред.Демоны TFTP прослушивают UDP-порт 69, но отвечают на основе динамически выделяемого высокоуровневого порта. Когда этот порт включен, служба TFTP может получать входящие запросы TFTP, но выбранный сервер не может отвечать на эти запросы. Вы не можете включить ответ на входящие запросы TFTP для выбранного сервера, если вы не настроите сервер TFTP для ответа с порта 69.
.Точка распространения с поддержкой PXE и клиент в Windows PE выбирают динамически выделяемый старший порт для передачи TFTP.Эти порты определены Microsoft между 49152 и 65535. Дополнительные сведения см. в разделе Обзор служб и требования к сетевым портам Windows.
Однако во время фактической загрузки PXE сетевая карта на устройстве выбирает динамически выделяемый старший порт для использования во время пересылки TFTP. Сетевой адаптер на устройстве не привязан к динамически выделяемым большим портам, определенным Microsoft. Это относится только к портам, определенным в RFC 1350.Этот порт может быть от 0 до 65535. Для получения дополнительных сведений о том, какие динамически распределяемые порты используются на вашем сетевом адаптере, обратитесь к производителю оборудования устройства.
Примечание 5. Связь между сервером сайта и системами сайта
По умолчанию связь между сервером сайта и системами сайта является двусторонней. Сервер сайта начинает взаимодействие для настройки системы сайта, а затем большинство систем сайта подключаются к серверу сайта для отправки информации о состоянии.Точки обслуживания отчетов и точки распространения не отправляют информацию о состоянии. Если после установки системы сайта выбрать Требовать, чтобы сервер сайта инициировал подключения к этой системе сайта в свойствах системы сайта, система сайта не начнет обмениваться данными с сервером сайта. Связь инициируется сервером веб-сайта. Учетная запись установки системы сайта используется на сервере системы сайта.
Примечание 6: динамические порты
Динамические порты используют диапазон номеров портов, указанный в версии операционной системы.Эти порты также называются портами миграции. Дополнительные сведения о диапазонах портов по умолчанию см. в разделе Обзор служб и требования к сетевым портам Windows.
Другие порты
В следующих разделах содержится дополнительная информация о портах, используемых в Configuration Manager.
Долей клиента на сервер
Клиенты используют блок сообщений сервера (SMB) всякий раз, когда они подключаются к общим ресурсам UNC. Пример:
-
Установка клиента вручную с указанием CCMSetup.exe
/ источник: командная строка -
Endpoint Protection, которая загружает файлы определений из пути UNC
Подключения к SQL Server
Вы можете использовать порт SQL Server по умолчанию или указать настраиваемые порты для связи с ядром базы данных SQL Server и репликации между сайтами:
-
Использование связи между пользователями:
-
SQL Server Service Broker с TCP-портом 4022 по умолчанию.
-
для SQL Server, который по умолчанию имеет TCP-порт 1433.
-
-
Внутрисайтовая связь между ядром базы данных SQL Server и различными ролями системы сайта по умолчанию диспетчера веб-конфигурации — TCP-порт 1433.
-
Configuration Manager взаимодействует с каждой репликой группы доступности SQL Server Always On, в которой размещается база данных сайта, как если бы реплика была автономным экземпляром SQL Server Availability.
Если вы используете Azure и база данных вашего сайта находится за внутренним или внешним балансировщиком нагрузки, настройте следующие компоненты:
- Исключения брандмауэра в каждой реплике
- Правила балансировки нагрузки
Настройте следующие порты:
- SQL TCP: TCP 1433
- Посредник службы SQL Server: TCP 4022
- Блок сообщений сервера (SMB): TCP 445
- Сопоставитель конечных точек RPC: TCP 135
Предупреждение
Configuration Manager не поддерживает динамические порты.По умолчанию named SQL Server использует динамические порты для подключения к компоненту Database Engine. Если вы используете именованный экземпляр, вручную настройте статический порт для связи внутри компании.
Следующие роли системы сайта напрямую взаимодействуют с базой данных SQL Server:
-
Роль центра регистрации сертификатов
-
Роль органа регистрации
-
Точка управления
-
Сервер сайта
-
Точка служб Reporting Services
-
Поставщик услуг SMS
-
->SQL Server SQL Server
Если SQL Server размещает базу данных более чем с одного сайта, каждая база данных должна использовать отдельный экземпляр SQL Server.Настройте каждый экземпляр с уникальным набором портов.
Если на компьютере включен брандмауэр SQL Server, настройте его так, чтобы он разрешал допустимые порты. Кроме того, настройте брандмауэры между компьютерами, взаимодействующими с SQL Server.
Пример настройки SQL Server для использования определенного порта см. в разделе Настройка сервера для прослушивания определенного порта TCP.
Откройте и опубликуйте
Диспетчер конфигурации обнаружения и публикации информации о сайте использует следующие порты:
- Упрощенный протокол доступа к каталогам (LDAP): 389
- Безопасный LDAP (LDAPS для подписи и привязки): 636
- Глобальный каталог LDAP: 3268
- Сопоставитель конечных точек RPC: 135
- RPC: динамически выделенных TCP-порта с высоким уровнем
- TCP: 1024: 5000
- TCP: 49152: 65535
Внешние подключения, нацеленные на Configuration Manager
Локальные клиенты Configuration Manager или системы сайта могут устанавливать следующие внешние подключения:
Требования к установке систем сайта, обслуживающих интернет-клиентов
Примечание
Этот раздел относится только к управлению клиентами через Интернет (IBCM).Не применимо к шлюзу управления облаком. Дополнительные сведения см. в разделе Управление клиентами онлайн.
Точки управления Интернетом, точки распространения, обслуживающие интернет-клиентов, точки обновления программного обеспечения и резервные точки состояния используют следующие порты для установки и восстановления:
-
Система сайта сервера
->сайтов: RPC Endpoint Mapper с использованием UDP и TCP-порта 135 -
Система сайта сервера
->сайтов: RPC динамические порты TCP -
Система сайта сервера
<-->сайтов: Блоки сообщений сервера (SMB) с использованием TCP-порта 445
Для установки приложений и пакетов в точках распространения требуются следующие порты RPC:
-
Точка распространения
-> сервер сайта: сопоставитель конечных точек RPC с использованием порта UDP и TCP 135 -
Точка распространения
-> Сервер сайта: динамические TCP-порты RPC
IPsec можно использовать для защиты трафика между сервером сайта и системами сайта.Если вам нужно ограничить динамические порты, используемые с RPC, вы можете использовать средство настройки Microsoft RPC (rpccfg.exe). Используйте этот инструмент для настройки ограниченного диапазона портов для этих пакетов RPC. Дополнительные сведения см. в разделе Как настроить RPC для использования определенных портов и как защитить эти порты с помощью IPsec.
Действительный
Перед установкой этих систем сайта убедитесь, что служба удаленного реестра запущена на сервере системы сайта и указана учетная запись установки системы сайта, если система сайта находится в другом лесу Active Directory без отношения доверия.Например, служба удаленного реестра используется на серверах, на которых работают системы сайта, такие как точки распространения (как по запросу, так и по стандартной сети) и удаленные серверы SQL.
Порты, используемые диспетчером конфигурации установки клиента
Порты, используемые Configuration Manager во время установки клиента, зависят от метода развертывания:
-
Список портов для каждого метода развертывания клиента см. в разделе Порты, используемые в Client Configuration Manager
. -
Дополнительные сведения о настройке брандмауэра Windows клиента для установки клиента и связи после установки см. в разделе Параметры брандмауэра Windows и портов для клиентов.
Порты, используемые во время миграции
Сервер сайта, запускающий миграцию, использует несколько портов для подключения к соответствующим сайтам в исходной иерархии. Дополнительные сведения см. в разделе Необходимые конфигурации для миграции.
Порты, используемые Windows Server
В следующей таблице перечислены некоторые ключевые порты, используемые Windows Server.
90 130 90 131 90 132 90 133 Описание 90 134Для получения дополнительной информации см. следующие статьи:
Диаграмма
На следующей диаграмме показаны связи между основными компонентами, которые находятся на типичном сайте Configuration Manager.В настоящее время он не охватывает все соединения.
Следующие шаги
Поддержка прокси-сервера
Требования к доступу в Интернет
.Расширенный HTTP — диспетчер конфигурации
- Статья
- Время считывания: 6 мин
Была ли эта страница полезной?
да Нет
Хотите что-нибудь добавить к этому мнению?
Отзыв будет отправлен в Microsoft: когда вы нажмете «Отправить», отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.
Представлять на рассмотрение
Спасибо.
В этой статье
Применяется к: Configuration Manager (текущая ветвь)
Корпорация Майкрософт рекомендует использовать связь HTTPS для всех путей Configuration Manager, но для некоторых клиентов это сложно из-за накладных расходов на управление сертификатами PKI.Для HTTP Extended Configuration Manager обеспечивает безопасную связь, выдавая самозаверяющие сертификаты для определенных систем сайта.
Эта конфигурация служит двум основным целям:
-
Вы можете защитить конфиденциальную связь с клиентом без необходимости аутентификации сервера PKI.
-
Клиенты могут безопасно получать доступ к содержимому из точек распространения без учетной записи доступа к сети, сертификата PKI клиента проверки подлинности Windows.
Вся остальная связь с клиентом осуществляется по протоколу HTTP. Расширенный HTTP — это не то же самое, что включение HTTPS для связи клиента или системы веб-сайта.
Примечание
СертификатыPKI по-прежнему являются важным вариантом для клиентов со следующими требованиями:
- Вся связь с клиентом осуществляется через HTTPS
- Расширенный контроль над инфраструктурой подписи
Если вы уже используете PKI, системы сайта используют сертификат PKI, связанный с IIS, даже если вы включаете расширенный протокол HTTP.
Сценарии
Следующие сценарии используют расширенный протокол HTTP:
Сценарий 1. Точка управления между клиентом и клиентом
Устройства Azure Active Directory и устройства присоединения (Azure AD) с выданным токеном Configuration Manager могут взаимодействовать с точкой управления, настроенной для HTTP, если вы включите расширенный протокол HTTP для своего сайта. Когда HTTP включен, сервер сайта создает сертификат для точки управления, который разрешает обмен данными по безопасному каналу.
Примечание
Этот сценарий не требует использования точки управления с поддержкой HTTPS, но поддерживается в качестве альтернативы расширенному протоколу HTTP. Дополнительные сведения об использовании точки управления с поддержкой HTTPS см. в разделе Включение точки управления для HTTPS.
Сценарий 2. Точка распространения между клиентами
Рабочая группа или клиент, присоединившиеся к Azure AD, могут проходить проверку подлинности и загружать содержимое по безопасному каналу из точки распространения, настроенной для HTTP.Эти типы устройств также могут аутентифицировать и загружать содержимое из точки распространения, настроенной на HTTPS, не требуя сертификата PKI на клиенте. Добавление сертификата проверки подлинности клиента в рабочую группу или клиент, присоединенный к Azure AD, — сложная задача.
Это поведение включает сценарии развертывания операционной системы с запуском последовательности задач с загрузочного носителя, PXE или из центра программного обеспечения. Дополнительные сведения см. в разделе Учетная запись доступа к сети.
Сценарий 3. Идентификация устройства в Azure AD
Присоединенное к Azure AD или гибридное устройство Azure AD без входа пользователя Azure AD может безопасно взаимодействовать с назначенным сайтом. Облачной идентификации устройства теперь достаточно для проверки подлинности CMG и управления в сценариях на основе устройств. (Токен пользователя по-прежнему требуется в сценариях, ориентированных на пользователя.)
Функции
Следующие функции Configuration Manager требуют расширения HTTP:
Примечание
Точка обновления программного обеспечения и связанные сценарии всегда поддерживали безопасный HTTP-трафик с клиентами, а также со шлюзом управления облаком.Он использует механизм точки управления, который отличается от проверки подлинности на основе сертификата или токена.
Неподдерживаемые сценарии
HTTP Extended в настоящее время не защищает все соединения в сети Configuration Manager. В следующем списке перечислены некоторые ключевые функции, которые по-прежнему поддерживают протокол HTTP.
- Клиентский пиринг для контента
- Государственный миграционный пункт
- Дистанционные инструменты
- Точка служб Reporting Services
Примечание
Этот список не является исчерпывающим.
Предпосылки
-
Точка управления настроена для клиентских HTTP-подключений. Установите для этого параметра значение на вкладке Общие свойств роли точки управления.
-
Точка распространения, настроенная для клиентских подключений HTTP. Установите для этого параметра значение на вкладке Связь в свойствах роли точки распространения. Не включайте параметр Разрешить клиентам анонимное подключение. 90 114
-
В сценариях, требующих проверки подлинности Azure AD, вы можете развернуть свой сайт в Azure AD для управления облаком.Если вы не развертываете свой сайт в Azure AD, вы все равно можете включить расширенный HTTP.
-
Только для сценария 3: Клиент с поддерживаемой версией Windows 10 или более поздней версии и присоединенным к Azure AD. Клиенту требуется эта конфигурация для проверки подлинности устройств Azure AD.
Настройка сайта
-
В консоли Configuration Manager перейдите в рабочую область администрирования, разверните Конфигурация сайтов и выберите узел Сайты. Выберите сайт, а затем на ленте выберите Свойства.
-
Перейдите на вкладку Безопасность связи. Выберите https или HTTP. Затем включите Использовать созданный пользователем диспетчер конфигурации для систем сайта HTTP. 90 114
Совет
Подождите до 30 минут, пока точка управления получит и настроит новый сертификат с веб-сайта.
HTTP Enhanced также можно включить для сайта центра администрирования. Таким же образом откройте свойства функции CAS. Это действие включает только HTTP Extended для роли поставщика SMS в CAS. Это не глобальный параметр, влияющий на все сайты в иерархии.
Дополнительные сведения о взаимодействии клиента с точкой управления и точкой распространения с использованием этой конфигурации см. в разделе Связь между клиентами и системами и службами сайта.
Проверка сертификата
Эти сертификаты уже находятся в консоли Configuration Manager. Перейдите в рабочую область Администрирование, , разверните Безопасность и выберите узел Сертификаты. Найдите сертификат Корень службы SMS и сертификаты роли сервера сайта, выданные этим корневым сертификатом.
Если включен расширенный протокол HTTP, сервер сайта создаст самозаверяющий сертификат SSL с именем SSL-сертификат роли SMS. Этот сертификат доставляется корневым сертификатом обмена SMS-сообщениями . Точка управления добавляет этот сертификат на веб-сайт IIS по умолчанию, связанный с портом 443.
Для просмотра состояния конфигурации см. файл mpcontrol.log. 90 114
Концептуальная схема
На этой диаграмме обобщаются и визуализируются некоторые основные аспекты работы расширенного протокола HTTP в Configuration Manager.
-
Подключение к Azure AD рекомендуется, но необязательно.Он включает сценарии, требующие проверки подлинности Azure AD.
-
Включение параметров сайта для расширенного HTTP вызывает проблемы с самозаверяющими сертификатами в системах сайта, таких как роли точки управления и точки распространения.
-
Хотя системы сайта по-прежнему настроены для HTTP-соединений, клиенты взаимодействуют с ними через HTTPS.
Часто задаваемые вопросы
Каковы преимущества HTTP Extended?
Основное преимущество заключается в ограничении использования только HTTP, который является незащищенным протоколом.Configuration Manager пытается защитить ваши устройства по умолчанию, и Microsoft хочет упростить вам задачу обеспечения безопасности ваших устройств. Включение HTTPS на основе PKI является более безопасной конфигурацией, но может быть сложной для многих клиентов. Если вы не можете сделать это с помощью HTTPS, включите расширенный протокол HTTP. Microsoft рекомендует эту конфигурацию, даже если в вашей среде в настоящее время не используются какие-либо функции, поддерживающие эту конфигурацию.
Действительный
Начиная с Configuration Manager 2103 сайты, которые разрешают связь с HTTP-клиентом, устарели.Настройте сайт на HTTPS или Enhanced HTTP. Дополнительные сведения см. в разделе Включение только HTTPS или расширенной поддержки HTTP.
Нужно ли использовать Azure AD для включения расширенного HTTP?
№ Многие сценарии и функции, использующие расширенный протокол HTTP, используют проверку подлинности Azure AD. Расширенный HTTP можно включить без присоединения вашего сайта к Azure AD. Затем он поддерживает такие функции, как служба администрирования и ограниченную потребность в учетной записи для доступа к сети.Azure AD требуется только тогда, когда требуется одна из функций обслуживания.
Примечание
Даже если вы не используете API службы администрирования REST напрямую, некоторые функции Configuration Manager используют его изначально, включая части консоли Configuration Manager.
Как клиенты взаимодействуют с системами сайта?
Если расширенный протокол HTTP включен, сайт выдает сертификаты системам сайта. Например, точка управления и точка распространения.Тогда эти системы сайта смогут поддерживать безопасную связь в поддерживаемых в настоящее время сценариях.
С точки зрения клиента, точка управления выдает маркер проблемы каждому клиенту. Клиент использует этот токен для защиты связи с системами сайта. Это поведение не зависит от версии операционной системы, кроме поддерживаемого поведения на странице Configuration Manager.
Если некоторые системы сайта уже используют https, могу ли я включить расширенный HTTP?
Да.Системы веб-сайтов всегда предпочитают сертификацию PKI. Например, одна точка управления уже сертифицирована PKI, а другая — нет. После включения HTTP Extended для сайта точка управления https продолжает использовать сертификат PKI. Другие точки управления используют сертификат, выданный веб-сайтом, для HTTP Extended.
Следующие шаги
.Обзор комплекта администрирования диспетчера подключенийДиспетчер подключений — это клиентский инструмент сетевого подключения, который пользователь может использовать для подключения к удаленной сети, такой как интернет-провайдер или корпоративная сеть, защищенная сервером виртуальной частной сети (VPN).
Пакет администрирования диспетчера подключений (CMAK) — это инструмент, позволяющий настраивать удаленные подключения для сетевых пользователей путем создания предопределенных подключений к серверам и удаленным сетям.Мастер CMAK используется для создания и настройки подключения для пользователей.
С помощью мастера CMAK можно настроить профиль подключения для автоматизации многих аспектов подключения:
- информация для входа в удаленную сеть,
- Сведения о подключении к виртуальной частной сети (VPN),
- информация о номере телефона и конфигурации телефонного модема,
- пользовательские таблицы маршрутизации,
- Пользовательские настройки прокси-сервера Internet Explorer,
- пользовательские значки и растровые изображения,
- пользовательский файл справки,
- настраиваемые действия, которые используют другие программы, уже установленные в клиентской системе или включенные в программу установки профиля подключения.
С помощью этого мастера можно настроить профиль подключения по мере необходимости. Вы можете автоматизировать практически все или предоставить пользователю несколько вариантов для гибкости.
Установка пакета администрирования диспетчера подключений
CMAK можно установить с помощью мастера добавления компонентов в диспетчере серверов. Хотя диспетчер сервера открывается по умолчанию, когда член группы администраторов входит в систему на компьютере, вы также можете открыть диспетчер сервера с помощью команд в меню Пуск в группе Администрирование и открыв апплет Программы в Панель управления .
Дополнительная информация
.Ноутбук HP - компьютер с Windows XP не может подключиться к телефонной сети или скорость соединения низкая
Если на мониторе отображается сообщение о том, что система предприняла несколько неудачных попыток подключения, проверьте правильность ввода значений в панели Dial-up вашего браузера или веб-приложения поставщика услуг. Распространенными значениями для подключения являются: имя пользователя, пароль, номер телефона поставщика услуг и другие уникальные данные.
Быстрый способ проверить телефонные услуги — подключить обычный телефон к розетке, к которой обычно подключен компьютер, набрать номер оператора связи и дождаться ответа. Система поставщика услуг должна ответить серией высоких тонов, чтобы сообщить вам, что ваш модем подключен.
Если набранный вами номер отвечает правильно, снова подключите модем к телефонной розетке, а затем выполните следующие действия, чтобы изменить свойства набора номера в Windows.
-
Чтобы подключиться к поставщику услуг с помощью стандартного браузера и коммутируемого соединения Windows, запустите Internet Explorer, щелкнув его значок.
-
Если настройки соединения по умолчанию не позволяют модему набрать номер или модем не может установить соединение, будет выведено соответствующее сообщение. Нажмите кнопку Подключить.
-
Нажмите кнопку «Настройки» на панели «Коммутируемый доступ».
-
В окне «Свойства Интернета» выберите вкладку «Подключения» и убедитесь, что в поле «Параметры удаленного доступа и виртуальной частной сети» указано хотя бы одно подключение удаленного доступа.
-
Выберите существующее соединение (может быть имя вашего поставщика услуг), затем нажмите кнопку «Настройки».
-
Нажмите кнопку «Свойства» на панели «Параметры удаленного доступа».Перейдите на вкладку «Общие» панели «Свойства удаленного доступа» и введите номер подключения вашего интернет-провайдера. Не используйте пробелы или дефисы.
-
Нажмите OK, чтобы закрыть панель свойств удаленного доступа.
-
В панели Коммутируемое соединение: настройки введите соответствующие данные в поля Имя пользователя: и Пароль.
-
Нажмите OK, чтобы закрыть панель настроек удаленного доступа.
-
На вкладке «Подключения» панели «Свойства: Интернет» выберите «Всегда использовать подключение по умолчанию» и нажмите «ОК».
Теперь функция коммутируемого доступа настроена.
-
В панели Dial-up введите соответствующие данные в поля Username: и Password. Установите флажок рядом с Сохранить пароль, чтобы сохранить введенные данные.
-
Нажмите кнопку «Подключиться», чтобы набрать номер модема и подключиться к провайдеру.Статус процесса подключения отображается в нижней части окна.
Некоторые поставщики услуг, такие как AOL и MSN, предоставляют пользователям свои собственные программы подключения. Обратитесь к поставщику услуг и следуйте полученным инструкциям по вводу номера подключения и восстановлению настроек приложения по умолчанию, что позволит вашему компьютеру подключаться к телефонной сети.
.
Видео-курс
