Configurer le pare-feu pour SCCM
Sommaire
I. Présentation
Dans ce chapitre, nous allons créer les règles nécessaires sur le pare-feu de Windows pour autoriser les flux utiles au bon fonctionnement de SCCM.
- D'une part une GPO qui ouvre le flux "Partage de fichiers et d'imprimante" et "WMI" sur les postes clients ; utile au bon fonctionnement du client SCCM et notamment son déploiement.
- D'autre part, une règle sur le serveur SQL pour autoriser les connexions distantes
Pour rentrer un peu plus dans le détail sur la partie "SQL Serveur", voici les deux ports à ouvrir :
- Port 1433 - Connexion entrante
Par défaut, SQL Server écoute sur le port 1433 pour les connexions entrantes à destination du moteur de base de données.
- Port 4022 - SQL Service Broker
Utile à la réplication SQL, il n'y a pas de port par défaut, mais utiliserons celui-ci, d'autant plus que SCCM ne prend pas en charge les ports dynamiques.
II. Création de la GPO avec les règles du firewall
Sur votre contrôleur de domaine, au sein de la console gestion de stratégie de groupe, créez une nouvelle GPO :
Étant donné qu'elle va contenir les règles du pare-feu qui permettront de pusher le client sur les appareils gérés, on va la nommer "SCCM - Firewall - Push Client".
Éditez ensuite la GPO que l'on vient de créer : clic droit puis "Modifier".
A. Règle "Partage de fichiers et d'imprimantes"
Pour le paramétrage de règles de firewall, il faut accéder à : Configuration ordinateur, Stratégie, Paramètres Windows, Paramètres de sécurité, Pare-feu Windows avec fonctions avancées de sécurité (x2).
Sur "Règles de trafic entrant", effectuez un clic droit puis "Nouvelle règle".
Choisissez "Prédéfinie" comme type de règle et dans la liste sélectionnez "Partage de fichiers et d'imprimantes".
Cochez l'ensemble des règles et poursuivez.
Nous souhaitons autoriser ce flux alors sélectionnez "Autoriser la connexion".
Il va falloir recréer la même règle, mais pour le trafic sortant cette fois-ci, cliquez droit sur "Règles de trafic sortant" puis "Nouvelle règle".
Sélectionnez "Prédéfinie" puis "Partage de fichiers et d'imprimantes".
Cochez tout et continuez.
Autorisez la connexion et finalisez la création de cette règle.
B. Règle "WMI"
Créez une nouvelle règle de trafic entrant :
Cette fois-ci, sélectionnez l'ensemble de règles prédéfinies "Infrastructure de gestion Windows (WMI)".
Cochez les 3 règles et poursuivez.
Autorisez la connexion puis terminez la création de cet ensemble de règles.
Il n'est pas nécessaire de refaire cette règle en trafic sortant, seulement en entrant c'est suffisant.
La GPO est terminée, il suffira de l'appliquer à l'ensemble des ordinateurs que vous gérez avec SCCM. Sur vos postes clients, il faudra réaliser l'habituel "gpupdate /force" pour forcer l'actualisation des GPO.
III. Ouverture des ports pour SQL Server
Étant donné que cette ouverture de ports concerne uniquement le serveur SQL, on va opérer directement depuis celui-ci. Je vous invite à aller dans le panneau de configuration, puis dans Pare-feu Windows. Sur la gauche, cliquez sur "Paramètres avancés".
Créez une nouvelle règle de trafic entrant :
Nous n'allons pas utiliser de règle prédéfinie cette fois-ci, car elle n'existe pas. Nous allons indiquer directement les ports que l'on souhaite ouvrir, sélectionnez "Port".
Cette règle s'applique au protocole "TCP" et la liste de ports est la suivante : 1433 et 4022
Nous allons autoriser la connexion sur ces deux ports.
Pas besoin d'appliquer cette règle sur les profils privé et public, vous pouvez laisser seulement "Domaine". Comme ceci :
Nommez la règle, par exemple : SCCM - SQL Ports 1433 et 4022
Au niveau firewall, tout est prêt ! Nous pouvons passer à la suite de la mise en place : l'installation de SCCM !
