System Center Essentials 2010 のファイアウォールの例外
適用対象: System Center Essentials 2010
System Center Essentials 2010 の展開環境でファイアウォールが有効になっている場合は、Essentials 管理サーバーが、管理対象のコンピューターにエージェントをインストールしたり、管理されたコンピューターが Essentials と通信したりできるように、例外を作成する必要があります。
注意
Essentials 2010 でドメイン ベースのグループ ポリシーを使用するように構成し、ドメイン ベースのグループ ポリシーでファイアウォールの例外を構成している場合は、ファイアウォールの例外を作成する必要はありません。また、Windows ファイアウォールを実行しているコンピューターのファイアウォールの例外は、Essentials 2010 によって自動的に構成されます。
お使いのコンピューターで他社製のファイアウォール ソフトウェアを使用している場合は、例外の作成方法について、製造元のマニュアルを参照してください。ただし、次の手順で説明しているポート名はそのまま使用できます。
Essentials 管理サーバーの静的 IP アドレスが変わった場合や、動的に割り当てられる場合は、IP アドレスが変わるたびに、管理されているコンピューターのファイアウォール ポリシーを更新する必要があります。ただし、ドメイン ベースのグループ ポリシーを使用している場合は、Essentials 2010 で製品構成ウィザードを実行するようにというメッセージが表示されます。製品構成ウィザードは、[管理の概要] ウィンドウの [構成] にあります。製品構成ウィザードにアクセスするには、[ポリシー モード] の横にあるリンクをクリックします。グループ ポリシーを Essentials 管理サーバーの新しい IP アドレスで更新すると、更新されたファイアウォールの例外は、管理されたコンピューターに適用される新しい IP アドレスを返します。
Virtualization Management に必要なファイアウォールの例外の詳細については、「System Center Virtual Machine Manager 2008 テクニカル ライブラリ」の「VMM のポートとプロトコル」(https://technet.microsoft.com/ja-jp/library/cc764268.aspx) を参照してください。リモート Essentials レポート サーバーから Essentials 管理サーバーに接続するために必要なファイアウォールの例外の詳細については、System Center Operations Manager 2007 テクニカル ライブラリ の「サポートされているファイアウォール シナリオ」(https://go.microsoft.com/fwlink/?LinkId=163936) を参照してください。
Windows ファイアウォールの例外を変更する
このトピックの最初の手順にある Windows ファイアウォールの例外は、Essentials 2010 のインストール時に Essentials 管理サーバーに作成されています。他のソフトウェアを使用してファイアウォールの例外を管理する場合に、これらの手順に従ってください。
Windows ファイアウォールの例外を Essentials 管理サーバーに作成するには
コントロール パネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[ポートの追加] をクリックして、次の TCP ポート例外を作成します。
名前=Port80; ポート番号=80
名前=Port445; ポート番号=445
名前=Port5723; ポート番号=5723
名前=Port5724; ポート番号=5724
名前=Port8530; ポート番号=8530
名前=Port8531; ポート番号=8531
名前=Port51906; ポート番号=51906
重要
別の製造元からの Internet Security and Acceleration (ISA) Server またはファイアウォール ソフトウェアを使用している場合、ポート 8531 が開いていることを確認します。
ローカル グループ ポリシー設定を使用している場合に Windows ファイアウォールの例外を管理コンピューターに作成するには
Essentials 2010 で管理する各コンピューターのコントロール パネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[ファイルとプリンターの共有] チェック ボックスがオンになっていることを確認します。
[ポートの追加] をクリックして、次の TCP ポート例外を作成します。
名前=Port135; ポート番号=135
名前=Port139; ポート番号=139
名前=Port445; ポート番号=445
名前=Port6270; ポート番号=6270
次の UDP ポート例外を作成します。
名前=Port137; ポート番号=137
名前=Port138; ポート番号=138
これらの各例外で、次の手順に従います。
[スコープの変更] をクリックします。
[カスタムの一覧] を選択します。
スコープを Essentials 管理サーバーの IP アドレスに制限します。
リモートの WMI 呼び出しを有効にして、Windows XP を実行する管理コンピューター上で機能させるには
タスクバーの [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスで、「gpedit.msc」と入力して [OK] をクリックします。
ローカルのグループ ポリシー エディターのコンソール ルートの下で、[コンピューターの構成]、[管理用テンプレート]、[ネットワーク] の順に展開します。[ネットワーク接続]、[Windows ファイアウォール] の順に展開し、[ドメイン プロファイル] をクリックします。
[ドメイン プロファイル] ウィンドウで、[Windows ファイアウォール:リモート管理の例外を許可する] を右クリックし、[プロパティ] をクリックします。
[有効]、[OK] の順にクリックします。
リモートの WMI 呼び出しを有効にして、Windows Vista を実行する管理コンピューター上で機能させるには
コントロール パネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[Windows Management Instrumentation (WMI)] チェック ボックスをオンにします。
Essentials 管理サーバーの新しい IP アドレスでファイアウォールの例外を更新するには
Essentials 管理サーバーの IP アドレスが動的に割り当てられ、管理コンピューターを構成するのにローカル グループ ポリシー設定を使用している場合は、各クライアントのファイアウォールの例外を新しい IP アドレスを使用して手動で更新します。
ドメイン ベースのグループ ポリシー設定を使用して管理コンピューターを構成する場合は、製品構成ウィザードを実行します。製品構成ウィザードは [管理の概要] ウィンドウの [構成] にあります。製品構成ウィザードにアクセスするには、[ポリシー モード] の横にあるリンクをクリックします。グループ ポリシーを Essentials 管理サーバーの新しい IP アドレスで更新すると、更新されたファイアウォールの例外は、管理されたコンピューターに適用される新しい IP アドレスを返します。
ISA Server ファイアウォールの例外を構成する
管理されているコンピューターがファイアウォールの背後にある場合は、次の手順に従って Internet Security and Acceleration (ISA) Server のファイアウォール設定を構成します。
System Center 管理サービスの新しいアクセス ルールを作成するには
タスク バーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーション ウィンドウで目的のコンピューターの [ファイアウォール ポリシー] ノードを展開し、[タスク] ウィンドウで [アレイ アクセス ルールの作成] をクリックします。
「Essentials 管理サービス」というアクセス ルール名を入力して、[次へ] をクリックします。
[ルールの操作] ページで [許可] を選択して [次へ] をクリックします。
[このルールを適用するプロトコルを選択してください] ボックスで、[選択されたプロトコル] を選択して [追加] をクリックします。
[プロトコルの追加] ダイアログ ボックスで、[新規] をクリックして、次に [プロトコル] をクリックします。
新しいプロトコル定義ウィザードで、「TCP 5723」と入力します。
[1 次接続の情報] ページで、[新規] をクリックします。
[プロトコル接続の作成と編集] ページで、[開始アドレス] ボックスと [終了アドレス] ボックスの両方に「5723」と入力して [OK] をクリックします。
[1 次接続の情報] ページで、[次へ] をクリックします。
[2 次接続] ページで、[次へ] をクリックします。
[新しいプロトコルの定義ウィザードの完了] ページで、[完了] をクリックします。
[プロトコルの追加] ダイアログ ボックスで [ユーザー定義] フォルダーを展開し、[TCP 5723] を選択して [追加] をクリックします。
[閉じる] をクリックして、[プロトコルの追加] ダイアログ ボックスを閉じます。
新しいアクセス ルール ウィザードの [プロトコル] ページで、[次へ] をクリックします。
[アクセス ルールの送信元] ダイアログ ボックスで、[追加] をクリックします。
[プロトコルの追加] ダイアログ ボックスで [ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
[ローカル ホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
新しいアクセス ルール ウィザードの [アクセス ルールの送信元] ページで、[次へ] をクリックします。
[ネットワーク エンティティの追加] ダイアログ ボックスで、[ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
[ローカル ホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
新しいアクセス ルール ウィザードの [アクセス ルールの宛先] ページで、[次へ] をクリックします。
[ユーザー セット] ダイアログ ボックスで、[次へ] をクリックします。
[新しいアクセス ルール ウィザードの完了] ページで、[完了] をクリックします。
System Center データ アクセス サービスの新しいアクセス ルールを作成するには
タスク バーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーション ウィンドウでコンピューターを選択し、その下の [ファイアウォール ポリシー] を展開し、[タスク] ウィンドウで [アレイ アクセス ルールの作成] をクリックします。
「Essentials データ アクセス サービス」というアクセス ルール名を入力して、[次へ] をクリックします。
[ルールの操作] ページで [許可] をクリックして [次へ] をクリックします。
[プロトコル] ページの [このルールを適用するプロトコルを選択してください] で、[選択されたプロトコル] を選択して [追加] をクリックします。
[プロトコルの追加] ダイアログ ボックスで、[新規] をクリックして、次に [プロトコル] をクリックします。
新しいプロトコル定義ウィザードで、「TCP 5724」と入力します。
[1 次接続の情報] ページで、[新規] をクリックします。
[プロトコル接続の作成と編集] ページで、[開始アドレス] ボックスと [終了アドレス] ボックスの両方に「5724」と入力して [OK] をクリックします。
[1 次接続の情報] ページで、[次へ] をクリックします。
[2 次接続] ページで、[次へ] をクリックします。
[新しいプロトコルの定義ウィザードの完了] ページで、[完了] をクリックします。
[プロトコルの追加] ダイアログ ボックスで [ユーザー定義] フォルダーを展開し、[TCP 5724] を選択して [追加] をクリックします。
[閉じる] をクリックして、[プロトコルの追加] ダイアログ ボックスを閉じます。
新しいアクセス ルール ウィザードの [プロトコル] ページで、[次へ] をクリックします。
[アクセス ルールの送信元] ダイアログ ボックスで、[追加] をクリックします。
[プロトコルの追加] ダイアログ ボックスで [ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
[ローカル ホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
新しいアクセス ルール ウィザードの [アクセス ルールの送信元] ページで、[次へ] をクリックします。
新しいアクセス ルール ウィザードの [アクセス ルールの宛先] ページで、[追加] をクリックします。
[ネットワーク エンティティの追加] ダイアログ ボックスで、[ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
[ネットワーク] フォルダーで、[内部] をクリックして [追加] をクリックします。
[ローカル ホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
新しいアクセス ルール ウィザードの [アクセス ルールの宛先] ページで、[次へ] をクリックします。
[ユーザー セット] ダイアログ ボックスで、[次へ] をクリックします。
[新しいアクセス ルール ウィザードの完了] ページで、[完了] をクリックします。
WSUS Web サーバーを公開するには
タスク バーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーション ウィンドウで [ファイアウォール ポリシー] ノードを展開し、[タスク] ウィンドウで [Web サーバーの公開] をクリックします。
「Essentials WSUS Web サーバー」というアクセス ルール名を入力して、[次へ] をクリックします。
[ルールの動作の選択] ページで [許可] を選択して [次へ] をクリックします。
[発行する Web サイトの定義] ダイアログ ボックスで、[コンピューター名または IP アドレス] ボックスに Essentials 管理サーバーの名前を入力します。
[パス] ボックスに「/*」と入力して、[次へ] をクリックします。
[パブリック名の詳細] ダイアログ ボックスで、[パブリック名] ボックスに Essentials 管理サーバー名を入力して [次へ] をクリックします。
[Web リスナーの選択] ダイアログ ボックスで、[新規] をクリックします。
[新しい Web リスナー ウィザードの開始] ページで、「Essentials Web リスナー」と入力して [次へ] をクリックします。
[IP アドレス] ページで、[内部] チェック ボックスと [ローカル ホスト] チェック ボックスをオンにして、[次へ] をクリックします。
新しい Web リスナー ウィザードの [ポートの指定] ページで、次の手順に従います。
[HTTP を有効にする] チェック ボックスをオンにします。
[HTTP ポート] に「8530」と入力します。
[SSL を有効にする] チェック ボックスをオンにします。
[SSL ポート] に「8531」と入力します。
[選択] をクリックし、Essentials 管理サーバーのホスト名と一致する証明書を選択して、[OK] をクリックします。
[次へ] をクリックします。
[新しい Web リスナー ウィザードの完了] ページで、[完了] をクリックします。
[Web リスナーの選択] ダイアログ ボックスで、次の手順に従います。
[Web リスナー] で、[Essentials Web リスナー] を選択して、[次へ] をクリックします。
[ユーザー セット] ページで、[次へ] をクリックします。
[新しい Web 公開ルール ウィザードの完了] ページで、[完了] をクリックします。
ISA Server コンソールで、[Essentials WSUS Web サーバー] ルールを右クリックして、[プロパティ] をクリックします。
[終了アドレス] タブをクリックします。
[元のクライアントからの要求にする] を選択します。
[ブリッジ] タブをクリックします。
[HTTP ポートに要求をリダイレクトする] に「8530」と入力します。
[SSL ポートに要求をリダイレクトする] チェック ボックスをオンにして、「8531」と入力します。
[OK] をクリックします。
ISA Server コンソールで、[適用] をクリックし、変更を保存して構成を更新します。
参照:
概念
System Center Essentials 2010 のローカル ポリシーとグループ ポリシー
System Center Essentials 2010 の展開計画