Patch Manager Plusの通信ポート
作成日:2020年6月5日 | 更新日:2023年6月22日
Patch Manager Plusが使用する通信ポートは次の通りです。ファイアウォールやセキュリティソフトで以下のポートを開放してください。なお、Patch Manager Plusのシステム要件のページでも、同様の情報を確認いただけます。
Patch Manager Plus デフォルトの使用ポート
下線のポートは必ず開放する必要があります。斜体のポートは基本的に開放する必要がありません。なお、Patch Manager Plus 10.0.562以前からご利用の場合は()内のポートが使用されます。
サーバーで使用するポート
Patch Manager PlusをインストールしたWindows Serverコンピューターで使用される通信ポートです。
| ポート番号 | 目的 | プロトコル | 接続方向 |
|---|---|---|---|
| 8383 * (6383) |
エージェントとサーバー間の通信 配信サーバーとサーバー間の通信 コンソール画面へのアクセス |
HTTPS | サーバーへのインバウンド通信 |
| 8020 * (6020) |
コンソール画面へのアクセス |
HTTP | サーバーへのインバウンド通信 |
| 8027 ** (6027) |
エージェント から サーバー の通信 配信サーバーとサーバー間の通信 |
TCP | サーバーへのインバウンド通信 |
| 8028 *** | PostgreSQLへのアクセス | TCP | サーバーへのインバウンド通信 |
| 389 | Active Directoryのドメインコントローラーとの通信 (Active Directory環境で使用する場合) |
LDAP | サーバーからのアウトバウンド通信 |
| 636 | Active Directoryのドメインコントローラーとの通信 (Active Directory環境で使用する場合) |
LDAP SSL | サーバーからのアウトバウンド通信 |
| 25 | メールサーバーとの通信(メール通知) | SMTP | サーバーからのアウトバウンド通信 |
| 465 | メールサーバーとの通信(メール通知) | SMTP(SSL) | サーバーからのアウトバウンド通信 |
| 587 | メールサーバーとの通信(メール通知) | SMTP(TLS) | サーバーからのアウトバウンド通信 |
| 135 **** | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
| 139 **** | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
| 445 **** | Windowsエージェントのプッシュインストール時 | TCP | サーバーへのインバウンド通信 |
| 80 ***** | 各種ダウンロード * | HTTP | サーバーからのアウトバウンド通信 |
| 443 ***** | 各種ダウンロード * | HTTPS | サーバーからのアウトバウンド通信 |
** ……ポート8027(旧ビルドでのポート6027)は、「Notification Server」または「通知サーバー」と呼ばれるPatch Manager Plus サーバー内のコンポーネントへの通信に使用されます。即時操作(「今すぐ配布」の実行/手動パッチスキャンなど)やエージェント・サーバー間の通信状態を把握するために必要です。エージェントがサーバーに通信を開始するとWebSocketを使用し、10分ごとにコネクションを維持します。
***……ポート8028に関して、リモートDBアクセス機能を使用しない際は、このポートを使用しません。リモートDBアクセス機能を使用する時にポートを開放し、それ以外では開放しないことを推奨します。
なお、管理対象台数が一定以上の環境でバンドルされているPostgreSQLではなくMS SQLを使用する場合、さらにMS SQLが必要なポートへの通信を許可する必要があります。
****……ポート135,139,445は、一部のエージェントインストール方法で使用されます。Windowsエージェントをプッシュインストールしない場合、これらのポートを使用しないため開放する必要はありません。
このWindowsエージェントのプッシュインストールではWindowsの管理共有(隠し共有)機能を使用するため、直接ポート番号を指定して開放する代わりに、コントロールパネル > システムとセキュリティ > Windowsファイアウォール > 許可されたプログラムおよび機能 > 「ファイルとプリンターの共有」を有効化することでも対応できます。
*****……ポート80,443を使用し、ベンダーサイトにアクセスしてパッチファイルの最新版をダウンロードします。また、ZohoパッチDBと通信して最新のパッチ情報を取得します。このため、Webブラウザーを使用してWebサイトにアクセスするのと同様のポート80,443が使用可能である必要があります(閉域ネットワークで使用する場合を除く)。
なお、ファイアウォールやプロキシにおいて、ベンダーサイトやZohoパッチDBとの通信を許可する必要があります。また、管理タブ > パッチ管理 > プロキシ設定をかならず完了させる必要があります。
エージェントで使用するポート
エージェントをインストールする管理対象コンピューターで使用される通信ポートです。
| ポート番号 | 目的 | プロトコル | 接続方向 |
|---|---|---|---|
| 135 * | Windows エージェントのプッシュインストール | TCP | エージェントへのインバウンド通信 |
| 139 * | Windows エージェントのプッシュインストール | TCP | エージェントへのインバウンド通信 |
| 445 * | Windows エージェントのプッシュインストール | TCP | エージェントへのインバウンド通信 |
| 22 * | Mac・ |
TCP | エージェントへのインバウンド通信 |
| 80 ** | Mac・ |
TCP | エージェントへのインバウンド通信 |
| 443 ** | Mac・ |
TCP | エージェントへのインバウンド通信 |
このWindowsエージェントのプッシュインストールではWindowsの管理共有(隠し共有)機能を使用するため、直接ポート番号を指定して開放する代わりに、コントロールパネル > ネットワークと共有センター > 共有の詳細設定の変更 > 「ファイルとプリンターの共有」を有効化することでも対応できます。
エージェント側は、基本的にポートを開放する必要がありません。これは、エージェントとサーバー間の通信においては エージェント → サーバー の方向で通信が行なわれるためです。サーバーからの戻りパケットの宛先ポートとして、管理対象のOSによって定義されたエフェメラルポート(ダイナミックポート/動的ポート)が使用されます。エフェメラルポートの範囲はOSごとに異なり、またOSによって制御されるものであるため、Patch Manager Plusがポートの範囲を限定することはできません。
また、サーバーへの通信がファイアウォール、プロキシ等でブロックされないことを確認してください。
- Windows のサービス概要およびネットワーク ポート要件(Microsoft)
- エフェメラルポートの範囲と選択方法(Red Hat Customer Portal)
**……以下の場合に限り、エージェントはインターネットとの通信を必要とします(それ以外の場合では、エージェントのインターネット接続は基本的に必要ありません)。
- テレワーク(リモートワーク)の際に「直接ダウンロード機能」を使用する場合、エージェントはインターネットへアクセス可能である必要があります。その際、ポート80,443を使用し、ベンダーサイトにアクセスしてパッチファイルをダウンロードします。ファイアウォールやプロキシにおいて、ベンダーサイトへの通信を許可する必要があります。直接ダウンロード機能については、Endpoint Centralのこちらのナレッジをご参照ください。
- Red Hat Enterprise Linuxのパッチを管理する場合、指定システムとRed Hat Networkとの通信を許可する必要があります。ポート80,443を使用してメタファイル(YUMキャッシュ)をダウンロードします。許可すべきドメインなど詳細はRed Hat Enterprise Linuxのパッチ管理についてをご確認ください。
配信サーバーで使用するポート
配信サーバーを必要に応じて設置する場合、配信サーバー(Distribution Server, DS)をインストールしたWindows Serverコンピューターでは以下の通信ポートが使用されます。
| ポート番号 | 目的 | プロトコル | 接続方向 |
|---|---|---|---|
| 8384 * (6384) |
WANエージェントと配信サーバー間の通信 | HTTPS | 配信サーバーへのインバウンド通信 |
(6021) |
|||
| 135 * | 配信サーバーのプッシュインストール | TCP | 配信サーバーへのインバウンド通信 |
| 139 * | 配信サーバーのプッシュインストール | TCP | 配信サーバーへのインバウンド通信 |
| 445 * | 配信サーバーのプッシュインストール | TCP | 配信サーバーへのインバウンド通信 |
配信サーバーはPatch Manager Plusサーバーから各エージェントの一部の通信を中継しますが、基本的にエージェントからサーバーへの通信は中継しません。
Patch Manager Plus 10.0.400 以降のビルドにおいて、HTTPポート(デフォルト: 8021 または 6021)は使用されません。HTTPSポート(デフォルト: 8384 または 6384)のみ使用されます。
**……ポート135,139,445は、配信サーバーのプッシュインストール方法で使用されます。Windowsエージェントをプッシュインストールしない場合、これらのポートを使用しないため開放する必要はありません。
この配信サーバーのプッシュインストールではWindowsの管理共有(隠し共有)機能を使用するため、直接ポート番号を指定して開放する代わりに、コントロールパネル > システムとセキュリティ > Windowsファイアウォール > 許可されたプログラムおよび機能 > 「ファイルとプリンターの共有」を有効化することでも対応できます。
Patch Manager Plus 10.0.544 以前から使用している場合の使用ポート
次の条件に当てはまる場合、デフォルトの通信ポートが一部異なります。上記各表における()内のポートが引き続きアップグレード後も使用されます。
- Patch Manager Plus 10.0.544 以前のビルドの場合
- Patch Manager Plus 10.0.544 より新しいビルドで、かつ10.0.544以前からアップグレードして使用している場合
対応関係は以下の通りです
| コンポーネント | ポート番号 | 以前からのポート番号 |
|---|---|---|
| サーバー | 8383 | 6383 |
| サーバー | 8020 | 6020 |
| サーバー | 8027 | 6027 |
| 配信サーバー | ||
| 配信サーバー | 8384 | 6384 |