Endpoint Central(Desktop Central)が利用するポート番号
作成日:2015年6月29日 | 更新日:2024年5月10日
Endpoint Central (Desktop Central) がデフォルトで使用するポートは次の通りです。ファイアウォールやセキュリティソフトで必要なポートを開放してください。Endpoint Centralを使用する上で必須のポートと、特定の条件下でのみ必要になるポートがあります。
ポート番号をデフォルトから変更する方法はこちらをご覧ください。
サーバー側で使用するポート(端末管理、パッチ管理、インベントリ管理 などの基本機能)
下線のポートは必ず開放する必要があります。斜体のポートは基本的に開放する必要がありません。
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
8020* | ● | エージェントとサーバー間の通信 配信サーバーとサーバー間の通信 コンソール画面へのアクセス |
HTTP | サーバーへのインバウンド通信 |
8383* | 〇 | エージェントとサーバー間の通信 配信サーバーとサーバー間の通信 コンソール画面へのアクセス |
HTTPS | サーバーへのインバウンド通信 |
8027** | 〇 | エージェントとサーバー間の通信 配信サーバーとサーバー間の通信 |
TCP | サーバーへのインバウンド通信 |
8028*** | △ | PostgreSQLへのアクセス | TCP | サーバーへのインバウンド通信 |
389 | △ | Active Directoryのドメインコントローラーとの通信 (Active Directory環境で使用する場合) |
LDAP | サーバーからのアウトバウンド通信 |
636 | △ | Active Directoryのドメインコントローラーとのセキュア通信 (Active Directory環境で使用する場合) |
LDAP SSL | サーバーからのアウトバウンド通信 |
25 | ● | メールサーバーとの通信(メール通知) | SMTP | サーバーからのアウトバウンド通信 |
465 | ● | メールサーバーとの通信(メール通知) | SMTP(SSL) | サーバーからのアウトバウンド通信 |
587 | ● | メールサーバーとの通信(メール通知) | SMTP(TLS) | サーバーからのアウトバウンド通信 |
135**** | △ | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
139**** | △ | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
445**** | △ | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
80***** | ● | パッチファイルのダウンロード、パッチDBとの同期 | HTTP | サーバーからのアウトバウンド通信 |
443***** | ● | パッチファイルのダウンロード、パッチDBとの同期 | HTTPS | サーバーからのアウトバウンド通信 |
なお、ポート番号を変更する方法はこちらを参照してください。
** ……ポート8027は、「Notification Server」または「通知サーバー」と呼ばれるEndpoint Central サーバー内のコンポーネントへの通信に使用されます。即時操作(「今すぐ配布」の実行/手動パッチスキャン/手動インベントリスキャンなど)やエージェント・サーバー間の通信状態を把握するために必要です。エージェントがサーバーに通信を開始するとWebSocketを使用し、10分ごとにコネクションを維持します。
***……ポート8028に関して、リモートDBアクセス機能を使用しない際は、このポートを使用しません。リモートDBアクセス機能を使用する時にポートを開放し、それ以外では開放しないことを推奨します。
なお、管理対象台数が一定以上の環境でバンドルされているPostgreSQLではなくMS SQLを使用する場合、さらにMS SQLが必要なポートへの通信を許可する必要があります。
****……ポート135,139,445は、一部のエージェントインストール方法で使用されます。Windowsエージェントをプッシュインストールしない場合、これらのポートを使用しないため開放する必要はありません。
このWindowsエージェントのプッシュインストールではWindowsの管理共有(隠し共有)機能を使用するため、直接ポート番号を指定して開放する代わりに、コントロールパネル > システムとセキュリティ > Windowsファイアウォール > 許可されたプログラムおよび機能 > 「ファイルとプリンターの共有」を有効化することでも対応できます。
*****……ポート80,443を使用し、ベンダーサイトにアクセスしてパッチファイルやソフトウェアインストーラーの最新版をダウンロードします。また、ZohoパッチDBと通信して最新のパッチ情報を取得します。このため、Webブラウザーを使用してWebサイトにアクセスするのと同様のポート80,443が使用可能である必要があります(閉域ネットワークで使用する場合を除く)。
なお、ファイアウォールやプロキシにおいて、ベンダーサイトやZohoパッチDBとの通信を許可する必要があります。また、管理タブ > パッチ管理 > プロキシ設定をかならず完了させる必要があります。
サーバー側で使用するポート(リモート制御/システムマネージャー/リモートシャットダウン等のリモート制御機能)
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
8031 | 〇 | ファイル転送 | HTTPS | サーバーへのインバウンド通信 |
8032 | ● | ファイル転送 | HTTP | サーバーへのインバウンド通信 |
8443 | 〇 | リモートデスクトップ共有 システムマネージャー チャット・音声通話・ビデオ通話 |
HTTPS UDP(音声通話・ビデオ通話) |
サーバーへのインバウンド通信 |
8444 | ● | リモートデスクトップ共有 システムマネージャー チャット・音声通話・ビデオ通話 |
HTTP | サーバーへのインバウンド通信 |
サーバー側で使用するポート(OS配布機能)
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
8443 | ● | OSイメージ作成 | HTTP | サーバーへのインバウンド通信 |
8444 | 〇 | OSイメージ作成 | HTTPS | サーバーへのインバウンド通信 |
20001 | △ | OSイメージのマルチキャスト配信 (OSイメージを複数台同時に配布するマルチキャストモード使用時、 239.255.20.20~239.255.20.29のIPアドレスを使用します。) |
HTTPS | サーバーからのアウトバウンド通信 |
エージェント側で使用するポート
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
135* | △ | Windowsエージェントのプッシュインストール/アンインストール | TCP | 管理対象PCへのインバウンド通信 |
139* | △ | Windowsエージェントのプッシュインストール/アンインストール | TCP | 管理対象PCへのインバウンド通信 |
445* | △ | Windowsエージェントのプッシュインストール/アンインストール | TCP | 管理対象PCへのインバウンド通信 |
22* | △ | Mac/Linuxエージェントのプッシュインストール | TCP | 管理対象PCへのインバウンド通信 |
80** | △ | パッチのダウンロード(直接ダウンロード機能) Red Hat指定システムのメタファイルダウンロード |
HTTP | 管理対象PCからのアウトバウンド通信 |
443** | △ | パッチのダウンロード(直接ダウンロード機能) Red Hat指定システムのメタファイルダウンロード |
HTTPS | 管理対象PCからのアウトバウンド通信 |
このWindowsエージェントのプッシュインストールではWindowsの管理共有(隠し共有)機能を使用するため、直接ポート番号を指定して開放する代わりに、コントロールパネル > ネットワークと共有センター > 共有の詳細設定の変更 > 「ファイルとプリンターの共有」を有効化することでも対応できます。
エージェント側は、基本的にポートを開放する必要がありません。これは、エージェントとサーバー間の通信においては エージェント → サーバー の方向で通信が行なわれるためです。サーバーからの戻りパケットの宛先ポートとして、管理対象のOSによって定義されたエフェメラルポート(ダイナミックポート/動的ポート)が使用されます。エフェメラルポートの範囲はOSごとに異なり、またOSによって制御されるものであるため、Endpoint Centralがポートの範囲を限定することはできません。
また、サーバーへの通信がファイアウォール、プロキシ等でブロックされないことを確認してください。
- Windows のサービス概要およびネットワーク ポート要件(Microsoft)
- エフェメラルポートの範囲と選択方法(Red Hat Customer Portal)
**……以下の場合に限り、エージェントはインターネットとの通信を必要とします(それ以外の場合では、エージェントのインターネット接続は基本的に必要ありません)。
- テレワーク(リモートワーク)の際に直接ダウンロード機能を使用する場合、エージェントはインターネットへアクセス可能である必要があります。その際、ポート80,443を使用し、ベンダーサイトにアクセスしてパッチファイルをダウンロードします。ファイアウォールやプロキシにおいて、ベンダーサイトへの通信を許可する必要があります。
- Red Hat Enterprise Linuxのパッチを管理する場合、指定システムとRed Hat Networkとの通信を許可する必要があります。ポート80,443を使用してメタファイル(YUMキャッシュ)をダウンロードします。許可すべきドメインなど詳細はRed Hat Enterprise Linuxのパッチ管理についてをご確認ください。また、Red Hatのパッチ管理設定に関する問題はRed Hatパッチ管理におけるトラブルシューティングも合わせてご確認ください。
配信サーバー側で使用するポート
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
8021 | △ | エージェントと配信サーバー間の通信* | HTTP | 配信サーバーへのインバウンド通信 |
8384 | 〇 | エージェントと配信サーバー間の通信* | HTTPS | 配信サーバーへのインバウンド通信 |
配信サーバーはEndpoint Centralサーバーから各エージェントの一部の通信を中継しますが、基本的にエージェントからサーバーへの通信は中継しません。
サーバー側で使用するポート(モバイルデバイス管理機能)
ポート番号 | 必須 | 目的 | プロトコル | 方向 |
---|---|---|---|---|
443 | 〇 | FCM/APNs/WNSへの接続* | HTTPS | Endpoint Centralサーバー/プロキシからのアウトバウンド通信 |
2195 | 〇 | APNsサーバーへの接続 | HTTPS | Endpoint Centralサーバー/プロキシからのアウトバウンド通信 |
5223 | 〇 | モバイル機器のインターネット通信(社内のWi-Fi経由でインターネットに接続している場合) ※IPレンジを17.0.0.0/8に設定することを推奨 |
HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
5228 | 〇 | FCMからモバイル機器への接続** | HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
5229 | 〇 | FCMからモバイル機器への接続** | HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
5230 | 〇 | FCMからモバイル機器への接続** | HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
5235 | 〇 | Firebase Cloud Messaging*** | HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
5236 | 〇 | Firebase Cloud Messaging*** | HTTPS | 社内ネットワークのファイアウォール/プロキシからのアウトバウンド通信 |
*……モバイルデバイスを管理する場合、Endpoint Centralサーバーおよび(設置されている場合は)プロキシにて通信を許可する必要があります。Android、iOS/iPadOS、Windowsデバイスにおいて、以下のドメインとの通信が必要になる場合があります。
Androidデバイスの場合
以下のドメインとの通信が発生する場合があります。
- *.googleapis.com
- android.googleapis.com
- www.google.com
- android.clients.google.com
- play.google.com
- google-analytics.com
- googleusercontent.com
- gstatic.com
- *.gvt1.com
- *ggpht.com
- dl.google.com
- accounts.google.com
- gcm-http.googleapis.com
- fcm.googleapis.com
- fcm-xmpp.googleapis.com
- pki.google.com
- clients1.google.com
- clients[2...6].google.com
なお、リージョンごとに以下のドメインとの通信が発生する場合があります。
- 北米: gslb.secb2b.com; us-elm.secb2b.com; us-knox.secb2b.com;
- 中国 : china-gslb.secb2b.com.cn ;china-elm.secb2b.com.cn; china-knox.secb2b.com.cn
- 日本を含むアジア、アフリカ、ヨーロッパ、その他の地域: gslb.secb2b.com; eu-elm.secb2b.com; eu-knox.secb2b.com;
iOS/iPadOSデバイスの場合
以下のドメインとの通信が発生する場合があります。
- *.push.apple.com
- albert.apple.com
- captive.apple.com
- gs.apple.com
- humb.apple.com
- static.ips.apple.com
- tbsc.apple.com
- gdmf.apple.com
- deviceenrollment.apple.com
- deviceservices-external.apple.com
- identity.apple.com
- iprofiles.apple.com
- mdmenrollment.apple.com
- setup.icloud.com
- vpp.itunes.apple.com
- gg.apple.com
- gnf-mdn.apple.com
- gnf-mr.apple.com
- gs.apple.com
- ig.apple.com
- mesu.apple.com
- ns.itunes.apple.com
- oscdn.apple.com
- osrecovery.apple.com
- skl.apple.com
- swdist.apple.com
- swdownload.apple.com
- swscan.apple.com
- updates.cdn-apple.com
- xp.apple.com
- *.itunes.apple.com
- *.apps.apple.com
- *.mzstatic.com
- ppq.apple.com
Windowsデバイスの場合
以下のドメインとの通信が発生する場合があります。
- https://login.live.com
- https://*.notify.windows.com
**……モバイルデバイスを管理する場合、Endpoint Centralサーバーおよび(設置されている場合は)プロキシにて通信を許可する必要があります。Androidデバイスを管理する場合、以下のドメインとの通信が発生する場合があります。
なお、FCMは特定のIPアドレスを持たないため、ネットワークのファイアウォール/プロキシ等において、GoogleのAS番号である15169に記載されたすべてのIPアドレスに対してアウトバウンド通信を許可する必要があります(参考: AS 15169 - google.com、外部リンク)。
- https://android.com
- play.google.com
- android.clients.google.com
- www.google.com
- googleapis.com
- android.googleapis.com
- gstatic.com
- google-analytics.com
- googleusercontent.com
- *.gvt1.com
- *ggpht.com
- dl.google.com
- fcm.googleapis.com
- fcm-xmpp.googleapis.com
- gcm-http.googleapis.com
- gcm-xmpp.googleapis.com
***……モバイルデバイスを管理する場合、Endpoint Centralサーバーおよび(設置されている場合は)プロキシにて通信を許可する必要があります。Androidデバイスを管理する場合、以下のドメインとの通信が発生する場合があります。
- https://gcm-xmpp.googleapis.com
- gcm-http.googleapis.com
- android.googleapis.com