System Center Essentials 2010 のファイアウォールの例外

[アーティクル]
04/14/2011

適用対象: System Center Essentials 2010

System Center Essentials 2010 の展開環境でファイアウォールが有効になっている場合は、Essentials 管理サーバーが、管理対象のコンピューターにエージェントをインストールしたり、管理されたコンピューターが Essentials と通信したりできるように、例外を作成する必要があります。

注意

Essentials 2010 でドメインベースのグループポリシーを使用するように構成し、ドメインベースのグループポリシーでファイアウォールの例外を構成している場合は、ファイアウォールの例外を作成する必要はありません。また、Windows ファイアウォールを実行しているコンピューターのファイアウォールの例外は、Essentials 2010 によって自動的に構成されます。

お使いのコンピューターで他社製のファイアウォールソフトウェアを使用している場合は、例外の作成方法について、製造元のマニュアルを参照してください。ただし、次の手順で説明しているポート名はそのまま使用できます。

Essentials 管理サーバーの静的 IP アドレスが変わった場合や、動的に割り当てられる場合は、IP アドレスが変わるたびに、管理されているコンピューターのファイアウォールポリシーを更新する必要があります。ただし、ドメインベースのグループポリシーを使用している場合は、Essentials 2010 で製品構成ウィザードを実行するようにというメッセージが表示されます。製品構成ウィザードは、[管理の概要] ウィンドウの [構成] にあります。製品構成ウィザードにアクセスするには、[ポリシーモード] の横にあるリンクをクリックします。グループポリシーを Essentials 管理サーバーの新しい IP アドレスで更新すると、更新されたファイアウォールの例外は、管理されたコンピューターに適用される新しい IP アドレスを返します。

Virtualization Management に必要なファイアウォールの例外の詳細については、「System Center Virtual Machine Manager 2008 テクニカルライブラリ」の「VMM のポートとプロトコル」(https://technet.microsoft.com/ja-jp/library/cc764268.aspx) を参照してください。リモート Essentials レポートサーバーから Essentials 管理サーバーに接続するために必要なファイアウォールの例外の詳細については、System Center Operations Manager 2007 テクニカルライブラリの「サポートされているファイアウォールシナリオ」(https://go.microsoft.com/fwlink/?LinkId=163936) を参照してください。

Windows ファイアウォールの例外を変更する

このトピックの最初の手順にある Windows ファイアウォールの例外は、Essentials 2010 のインストール時に Essentials 管理サーバーに作成されています。他のソフトウェアを使用してファイアウォールの例外を管理する場合に、これらの手順に従ってください。

Windows ファイアウォールの例外を Essentials 管理サーバーに作成するには

コントロールパネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[ポートの追加] をクリックして、次の TCP ポート例外を作成します。
- 名前=Port80; ポート番号=80
- 名前=Port445; ポート番号=445
- 名前=Port5723; ポート番号=5723
- 名前=Port5724; ポート番号=5724
- 名前=Port8530; ポート番号=8530
- 名前=Port8531; ポート番号=8531
- 名前=Port51906; ポート番号=51906

重要

別の製造元からの Internet Security and Acceleration (ISA) Server またはファイアウォールソフトウェアを使用している場合、ポート 8531 が開いていることを確認します。

ローカルグループポリシー設定を使用している場合に Windows ファイアウォールの例外を管理コンピューターに作成するには

Essentials 2010 で管理する各コンピューターのコントロールパネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[ファイルとプリンターの共有] チェックボックスがオンになっていることを確認します。
[ポートの追加] をクリックして、次の TCP ポート例外を作成します。
- 名前=Port135; ポート番号=135
- 名前=Port139; ポート番号=139
- 名前=Port445; ポート番号=445
- 名前=Port6270; ポート番号=6270
次の UDP ポート例外を作成します。
- 名前=Port137; ポート番号=137
- 名前=Port138; ポート番号=138
これらの各例外で、次の手順に従います。
- [スコープの変更] をクリックします。
- [カスタムの一覧] を選択します。
- スコープを Essentials 管理サーバーの IP アドレスに制限します。

リモートの WMI 呼び出しを有効にして、Windows XP を実行する管理コンピューター上で機能させるには

タスクバーの [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログボックスで、「gpedit.msc」と入力して [OK] をクリックします。
ローカルのグループポリシーエディターのコンソールルートの下で、[コンピューターの構成]、[管理用テンプレート]、[ネットワーク] の順に展開します。[ネットワーク接続]、[Windows ファイアウォール] の順に展開し、[ドメインプロファイル] をクリックします。
[ドメインプロファイル] ウィンドウで、[Windows ファイアウォール:リモート管理の例外を許可する] を右クリックし、[プロパティ] をクリックします。
[有効]、[OK] の順にクリックします。

リモートの WMI 呼び出しを有効にして、Windows Vista を実行する管理コンピューター上で機能させるには

コントロールパネルで、[Windows ファイアウォール] をクリックします。
[例外] タブをクリックします。
[Windows Management Instrumentation (WMI)] チェックボックスをオンにします。

Essentials 管理サーバーの新しい IP アドレスでファイアウォールの例外を更新するには

Essentials 管理サーバーの IP アドレスが動的に割り当てられ、管理コンピューターを構成するのにローカルグループポリシー設定を使用している場合は、各クライアントのファイアウォールの例外を新しい IP アドレスを使用して手動で更新します。
ドメインベースのグループポリシー設定を使用して管理コンピューターを構成する場合は、製品構成ウィザードを実行します。製品構成ウィザードは [管理の概要] ウィンドウの [構成] にあります。製品構成ウィザードにアクセスするには、[ポリシーモード] の横にあるリンクをクリックします。グループポリシーを Essentials 管理サーバーの新しい IP アドレスで更新すると、更新されたファイアウォールの例外は、管理されたコンピューターに適用される新しい IP アドレスを返します。

ISA Server ファイアウォールの例外を構成する

管理されているコンピューターがファイアウォールの背後にある場合は、次の手順に従って Internet Security and Acceleration (ISA) Server のファイアウォール設定を構成します。

System Center 管理サービスの新しいアクセスルールを作成するには

タスクバーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーションウィンドウで目的のコンピューターの [ファイアウォールポリシー] ノードを展開し、[タスク] ウィンドウで [アレイアクセスルールの作成] をクリックします。
1. 「Essentials 管理サービス」というアクセスルール名を入力して、[次へ] をクリックします。
2. [ルールの操作] ページで [許可] を選択して [次へ] をクリックします。
3. [このルールを適用するプロトコルを選択してください] ボックスで、[選択されたプロトコル] を選択して [追加] をクリックします。
4. [プロトコルの追加] ダイアログボックスで、[新規] をクリックして、次に [プロトコル] をクリックします。
5. 新しいプロトコル定義ウィザードで、「TCP 5723」と入力します。
6. [1 次接続の情報] ページで、[新規] をクリックします。
7. [プロトコル接続の作成と編集] ページで、[開始アドレス] ボックスと [終了アドレス] ボックスの両方に「5723」と入力して [OK] をクリックします。
8. [1 次接続の情報] ページで、[次へ] をクリックします。
9. [2 次接続] ページで、[次へ] をクリックします。
10. [新しいプロトコルの定義ウィザードの完了] ページで、[完了] をクリックします。
[プロトコルの追加] ダイアログボックスで [ユーザー定義] フォルダーを展開し、[TCP 5723] を選択して [追加] をクリックします。
1. [閉じる] をクリックして、[プロトコルの追加] ダイアログボックスを閉じます。
2. 新しいアクセスルールウィザードの [プロトコル] ページで、[次へ] をクリックします。
3. [アクセスルールの送信元] ダイアログボックスで、[追加] をクリックします。
4. [プロトコルの追加] ダイアログボックスで [ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
5. [ローカルホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
6. 新しいアクセスルールウィザードの [アクセスルールの送信元] ページで、[次へ] をクリックします。
7. [ネットワークエンティティの追加] ダイアログボックスで、[ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
8. [ローカルホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
9. 新しいアクセスルールウィザードの [アクセスルールの宛先] ページで、[次へ] をクリックします。
10. [ユーザーセット] ダイアログボックスで、[次へ] をクリックします。
11. [新しいアクセスルールウィザードの完了] ページで、[完了] をクリックします。

System Center データアクセスサービスの新しいアクセスルールを作成するには

タスクバーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーションウィンドウでコンピューターを選択し、その下の [ファイアウォールポリシー] を展開し、[タスク] ウィンドウで [アレイアクセスルールの作成] をクリックします。
1. 「Essentials データアクセスサービス」というアクセスルール名を入力して、[次へ] をクリックします。
2. [ルールの操作] ページで [許可] をクリックして [次へ] をクリックします。
3. [プロトコル] ページの [このルールを適用するプロトコルを選択してください] で、[選択されたプロトコル] を選択して [追加] をクリックします。
4. [プロトコルの追加] ダイアログボックスで、[新規] をクリックして、次に [プロトコル] をクリックします。
5. 新しいプロトコル定義ウィザードで、「TCP 5724」と入力します。
6. [1 次接続の情報] ページで、[新規] をクリックします。
7. [プロトコル接続の作成と編集] ページで、[開始アドレス] ボックスと [終了アドレス] ボックスの両方に「5724」と入力して [OK] をクリックします。
8. [1 次接続の情報] ページで、[次へ] をクリックします。
9. [2 次接続] ページで、[次へ] をクリックします。
10. [新しいプロトコルの定義ウィザードの完了] ページで、[完了] をクリックします。
[プロトコルの追加] ダイアログボックスで [ユーザー定義] フォルダーを展開し、[TCP 5724] を選択して [追加] をクリックします。
1. [閉じる] をクリックして、[プロトコルの追加] ダイアログボックスを閉じます。
2. 新しいアクセスルールウィザードの [プロトコル] ページで、[次へ] をクリックします。
3. [アクセスルールの送信元] ダイアログボックスで、[追加] をクリックします。
4. [プロトコルの追加] ダイアログボックスで [ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
5. [ローカルホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
6. 新しいアクセスルールウィザードの [アクセスルールの送信元] ページで、[次へ] をクリックします。
7. 新しいアクセスルールウィザードの [アクセスルールの宛先] ページで、[追加] をクリックします。
8. [ネットワークエンティティの追加] ダイアログボックスで、[ネットワーク] フォルダーを展開し、[内部] を選択して [追加] をクリックします。
9. [ネットワーク] フォルダーで、[内部] をクリックして [追加] をクリックします。
10. [ローカルホスト] を選択して [追加] をクリックし、[閉じる] をクリックします。
11. 新しいアクセスルールウィザードの [アクセスルールの宛先] ページで、[次へ] をクリックします。
12. [ユーザーセット] ダイアログボックスで、[次へ] をクリックします。
[新しいアクセスルールウィザードの完了] ページで、[完了] をクリックします。

WSUS Web サーバーを公開するには

タスクバーの [スタート] ボタンをクリックし、[プログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。
ナビゲーションウィンドウで [ファイアウォールポリシー] ノードを展開し、[タスク] ウィンドウで [Web サーバーの公開] をクリックします。
1. 「Essentials WSUS Web サーバー」というアクセスルール名を入力して、[次へ] をクリックします。
2. [ルールの動作の選択] ページで [許可] を選択して [次へ] をクリックします。
[発行する Web サイトの定義] ダイアログボックスで、[コンピューター名または IP アドレス] ボックスに Essentials 管理サーバーの名前を入力します。
[パス] ボックスに「/*」と入力して、[次へ] をクリックします。
[パブリック名の詳細] ダイアログボックスで、[パブリック名] ボックスに Essentials 管理サーバー名を入力して [次へ] をクリックします。
[Web リスナーの選択] ダイアログボックスで、[新規] をクリックします。
1. [新しい Web リスナーウィザードの開始] ページで、「Essentials Web リスナー」と入力して [次へ] をクリックします。
2. [IP アドレス] ページで、[内部] チェックボックスと [ローカルホスト] チェックボックスをオンにして、[次へ] をクリックします。
新しい Web リスナーウィザードの [ポートの指定] ページで、次の手順に従います。
1. [HTTP を有効にする] チェックボックスをオンにします。
2. [HTTP ポート] に「8530」と入力します。
3. [SSL を有効にする] チェックボックスをオンにします。
4. [SSL ポート] に「8531」と入力します。
5. [選択] をクリックし、Essentials 管理サーバーのホスト名と一致する証明書を選択して、[OK] をクリックします。
6. [次へ] をクリックします。
[新しい Web リスナーウィザードの完了] ページで、[完了] をクリックします。
[Web リスナーの選択] ダイアログボックスで、次の手順に従います。
1. [Web リスナー] で、[Essentials Web リスナー] を選択して、[次へ] をクリックします。
2. [ユーザーセット] ページで、[次へ] をクリックします。
[新しい Web 公開ルールウィザードの完了] ページで、[完了] をクリックします。
ISA Server コンソールで、[Essentials WSUS Web サーバー] ルールを右クリックして、[プロパティ] をクリックします。
1. [終了アドレス] タブをクリックします。
2. [元のクライアントからの要求にする] を選択します。
3. [ブリッジ] タブをクリックします。
4. [HTTP ポートに要求をリダイレクトする] に「8530」と入力します。
5. [SSL ポートに要求をリダイレクトする] チェックボックスをオンにして、「8531」と入力します。
6. [OK] をクリックします。
ISA Server コンソールで、[適用] をクリックし、変更を保存して構成を更新します。

参照:

概念

System Center Essentials 2010 のローカルポリシーとグループポリシー
 System Center Essentials 2010 の展開計画