SCCM 2012 - Client Push Install для серверов Forefront TMG

В процессе автоматического развёртывания клиентов System Center 2012 Configuration Manager (SCCM) методом Push-installation мы можем обнаружить, что на сервера Forefront TMG клиент SCCM не устанавливается. Официальный список используемых для этой процедуры портов можно найти в документах Windows Firewall and Port Settings for Client Computers in Configuration Manager и Ports Used by Configuration Manager

Руководствуясь этими документами у меня так и не получилось добиться желаемого результата и поэтому пришлось методом проб отработать работоспособный вариант решения проблемы. Рассмотрим его.

В консоли Forefront TMG Management создадим набор компьютеров (Computer Set) с названием System Center Configuration Manager Servers. Включим в этот набор наши сервера SCCM, с которых будет выполняться удалённая установка и последующие обновления клиента SCCM

С использованием созданного набора компьютеров нам нужно создать два разрешающих правила, в которых будет фигурировать ряд протоколов, которые приведены в двух представленных ниже таблицах.

Описания протоколов которые есть в TMG по умолчанию:

Описания протоколов, которые мы создадим дополнительно (если они не были созданы нами ранее):

Создадим правило разрешающее удалённую установку и назовём его “SCCM Agent Push Install”:

В качестве разрешённых протоколов в этом правиле будут перечислены все протоколы перечисленные в таблицах.

После того как правило создано, откроем его свойства и на закладке настройки протоколов, используя кнопку Filtering > Configure PRC protocol выключим включенный по умолчанию режим Enforce strict RPC compilance

Затем создадим ещё одно правило, разрешающее исходящий трафик от клиента до сервера SCCM по портам TCP 80/443/8530/8531 , назовём его, например “SCCM Agent Send Data to the Server”:

Сохраняем конфигурацию TMG и проверяем результат.