Configure the Windows Firewall to Allow SQL Server AccessConfigure the Windows Firewall to Allow SQL Server Access

適用対象: ○SQL Server (Windows のみ)×Azure SQL Database ×Azure SQL Data Warehouse ×Parallel Data Warehouse APPLIES TO: yesSQL Server (Windows only) noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

ファイアウォール システムは、コンピューター リソースへの不正アクセスを防ぐのに役立ちます。Firewall systems help prevent unauthorized access to computer resources. ファイアウォールがオンになっているが、正しく構成されていない場合、 SQL ServerSQL Server への接続の試行がブロックされる可能性があります。If a firewall is turned on but not correctly configured, attempts to connect to SQL ServerSQL Server might be blocked.

ファイアウォールを経由して SQL ServerSQL Server のインスタンスにアクセスするには、 SQL ServerSQL Server」などのファイアウォールのマニュアルを参照してください。To access an instance of the SQL ServerSQL Server through a firewall, you must configure the firewall on the computer that is running SQL ServerSQL Server. ファイアウォールは MicrosoftMicrosoft Windows のコンポーネントです。The firewall is a component of MicrosoftMicrosoft Windows. 他社製のファイアウォール プログラムをインストールすることもできます。You can also install a firewall from another company. この記事では、Windows ファイアウォールを構成する方法について説明しますが、基本的な原則は他のファイアウォール プログラムにも適用されます。This article discusses how to configure the Windows firewall, but the basic principles apply to other firewall programs.


この記事では、ファイアウォール構成の概要について説明し、SQL ServerSQL Server 管理者を対象とした情報がまとめられています。This article provides an overview of firewall configuration and summarizes information of interest to a SQL ServerSQL Server administrator. ファイアウォールの詳細および管理ファイアウォール情報については、Windows ファイアウォール セキュリティ展開ガイドなどのファイアウォールのマニュアルを参照してください。For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall security deployment guide.

Windows ファイアウォールの管理に慣れており、構成すべきファイアウォール設定を理解しているユーザーは、より高度な記事にそのまま進むことができます。Users familiar with managing the Windows Firewall, and know which firewall settings they want to configure can move directly to the more advanced articles:

ファイアウォールに関する基本情報Basic Firewall Information

ファイアウォールは、受信パケットを調べて一連のルールと比較することによって機能します。Firewalls work by inspecting incoming packets, and comparing them against a set of rules. 規則で指定された基準をパケットが満たしている場合、パケットはファイアウォールを通過して TCP/IP プロトコルに渡され、さらに処理が行われます。If the packet meets the standards dictated by the rules, then the firewall passes the packet to the TCP/IP protocol for additional processing. 規則で指定された基準をパケットが満たしていない場合は、ファイアウォールでパケットが破棄され、ログ記録が有効になっていれば、ファイアウォール ログ ファイルにエントリが作成されます。If the packet does not meet the standards specified by the rules, the firewall then discards the packet, and, if logging is enabled, creates an entry in the firewall logging file.

次のいずれかの方法で、許可されたトラフィックの一覧が追加されます。The list of allowed traffic is populated in one of the following ways:

  • 自動: ファイアウォールが有効になっているコンピューターで通信が開始されると、それに対する応答が許可されるよう、ファイアウォールによって一覧内にエントリが作成されます。Automatically: When a computer with a firewall enabled initiated communication, the firewall creates an entry in the list so that the response is allowed. この応答は、要請されたトラフィックと見なされ、構成する必要のある項目はありません。This response is considered solicited traffic, and there is nothing that needs to be configured.

  • 手動: 管理者がファイアウォールの例外を構成します。Manually: An administrator configures exceptions to the firewall. これにより、指定されたプログラムへの、またはコンピューター上のポートへのアクセスが許可されます。This allows either access to specified programs or ports on your computer. この場合、サーバー、リスナー、またはピアとして機能しているコンピューターは、要請されていない受信トラフィックを受け入れます。In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. SQL ServerSQL Serverに接続するには、この種類の構成を完了している必要があります。This is the type of configuration that must be completed to connect to SQL ServerSQL Server.

ファイアウォール戦略の選択は、特定のポートを開くか閉じるかを単に決定するよりも複雑です。Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. 企業に合ったファイアウォール戦略を策定するときは、必ず使用できるすべてのルールと構成オプションについて検討してください。When designing a firewall strategy for your enterprise, make sure that you consider all the rules and configuration options available to you. この記事では、可能なファイアウォール オプションすべてを検討するわけではありません。This article does not review all the possible firewall options. 次のドキュメントを確認することをお勧めします。We recommend that you review the following documents:

Windows ファイアウォール展開ガイド Windows Firewall Deployment Guide
Windows ファイアウォール設計ガイド Windows Firewall Design Guide
サーバーとドメインの分離の概要Introduction to Server and Domain Isolation

既定のファイアウォール設定Default Firewall Settings

ファイアウォール構成を計画するには、まずオペレーティング システムのファイアウォールについて現在の状態を確認します。The first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. オペレーティング システムが前のバージョンからアップグレードされた場合、以前のファイアウォール設定が維持されている可能性があります。If the operating system was upgraded from a previous version, the earlier firewall settings may have been preserved. また、他の管理者やドメイン内のグループ ポリシーによってファイアウォール設定が変更された可能性もあります。Also, the firewall settings could have been changed by another administrator or by a Group Policy in your domain.


ファイアウォールをオンにすると、ファイルとプリンターの共有やリモート デスクトップ接続など、このコンピューターにアクセスする他のプログラムに影響を与えます。Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. 管理者はファイアウォール設定を調整する前に、コンピューターで実行されているすべてのアプリケーションについて検討する必要があります。Administrators should consider all applications that are running on the computer before adjusting the firewall settings.

ファイアウォールを構成するためのプログラムPrograms to Configure the Firewall

Microsoft 管理コンソールまたは netsh のいずれかを使用して Windows ファイアウォール設定を構成します。Configure the Windows Firewall settings with either Microsoft Management Console or netsh.

  • Microsoft 管理コンソール (MMC)Microsoft Management Console (MMC)

    セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用して、詳細なファイアウォール設定を構成できます。The Windows Firewall with Advanced Security MMC snap-in lets you configure more advanced firewall settings. このスナップインは、ほとんどのファイアウォール オプションが使いやすい形式で表示され、すべてのファイアウォール プロファイルが提供されます。This snap-in presents most of the firewall options in an easy-to-use manner, and presents all firewall profiles. 詳しくは、後の「セキュリティが強化された Windows ファイアウォールのスナップインの使用」をご覧ください。For more information, see Using the Windows Firewall with Advanced Security Snap-in later in this article.

  • netshnetsh

    netsh.exe ツールを使用して、管理者はコマンド プロンプトまたはバッチ ファイルで Windows ベースのコンピューターの構成および監視を行うことができます The netsh.exe tool can be used by an administrator to configure and monitor Windows-based computers at a command prompt or using a batch file . netsh ツールを使用すれば、入力したコンテキスト コマンドを適切なヘルパーに渡し、ヘルパーによってコマンドを実行できます。By using the netsh tool, you can direct the context commands you enter to the appropriate helper, and the helper then performs the command. ヘルパーは、1 つ以上のサービス、ユーティリティ、またはプロトコルの構成、監視、サポートを行って netsh ツールの機能を拡張するダイナミック リンク ライブラリ (.dll) ファイルです。A helper is a Dynamic Link Library (.dll) file that extends the functionality of the netsh tool by providing configuration, monitoring, and support for one or more services, utilities, or protocols. SQL ServerSQL Server をサポートしているすべてのオペレーティング システムには、ファイアウォール ヘルパーが組み込まれています。All operating systems that support SQL ServerSQL Server have a firewall helper. Windows Server 2008Windows Server 2008 には、 advfirewallという高度なファイアウォール ヘルパーも組み込まれています。also has an advanced firewall helper called advfirewall. netsh の使い方については、このトピックでは詳しく説明しません。The details of using netsh are not discussed in this article. ただし、このトピックで説明する構成オプションの多くは、 netshを使用して構成できます。However, many of the configuration options described can be configured by using netsh. たとえば、コマンド プロンプトで次のスクリプトを実行すると、TCP ポート 1433 を開くことができます。For example, run the following script at a command prompt to open TCP port 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  

    セキュリティを強化するための Windows ファイアウォール ヘルパーを使用した同様の例A similar example using the Windows Firewall for Advanced Security helper:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  

    netshの詳細については、次のリンクを参照してください。For more information about netsh, see the following links:

  • Linux の場合:Linux では、アクセスするサービスに関連付けられたポートを開く必要もあります。For Linux: On Linux, you also need to open the ports associated with the services you need access to. Linux の異なるディストリビューションと異なるファイアウォールには、独自のプロシージャがあります。Different distributions of Linux and different firewalls have their own procedures. 2 つの例については、Red Hat での SQL Server に関するページと SUSE での SQL Server に関するページを参照してください。For two examples, see SQL Server on Red Hat, and SQL Server on SUSE.

で使用されるポート SQL ServerSQL ServerPorts Used By SQL ServerSQL Server

次の表で、 SQL ServerSQL Serverで使用されるポートを確認できます。The following tables can help you identify the ports being used by SQL ServerSQL Server.

Ports Used By the Database EnginePorts Used By the Database Engine

既定では、SQL Server と関連データベース サービスで使用される一般的なポート:TCP 143340221351434、UDP 1434By default, the typical ports used by SQL Server and associated database engine services are: TCP 1433, 4022, 135, 1434, UDP 1434. 次の表では、これらのポートについてより詳細に説明します。The table below explains these ports in greater detail. 名前付きインスタンスでは動的ポートが使用されます。A named instance uses dynamic ports.

次の表に、 データベース エンジンDatabase Engineで頻繁に使用されるポートの一覧を示します。The following table lists the ports that are frequently used by the データベース エンジンDatabase Engine.

シナリオScenario PortPort コメントComments
TCP 経由で実行されている既定のインスタンスDefault instance running over TCP TCP ポート 1433TCP port 1433 これは、ファイアウォールを通過することを許可されている最も一般的なポートです。This is the most common port allowed through the firewall. データベース エンジンDatabase Engineの既定のインストール、またはコンピューターで実行中の唯一のインスタンスである名前付きインスタンスへの、通常の接続に適用されますIt applies to routine connections to the default installation of the データベース エンジンDatabase Engine, or a named instance that is the only instance running on the computer. (名前付きインスタンスには注意事項があります。(Named instances have special considerations. 後の「動的ポート」を参照してください)。See Dynamic Ports later in this article.)
既定のポートを持つ名前付きインスタンスNamed instances with default port TCP ポートは、 データベース エンジンDatabase Engine の起動時に決定される動的ポートです。The TCP port is a dynamic port determined at the time the データベース エンジンDatabase Engine starts. 後の「 動的ポート」の説明を参照してください。See the discussion below in the section Dynamic Ports. 名前付きインスタンスを使用している場合、 SQL ServerSQL Server Browser サービスで UDP ポート 1434 が必要になる可能性があります。UDP port 1434 might be required for the SQL ServerSQL Server Browser Service when you are using named instances.
固定ポートを持つ名前付きインスタンスNamed instances with fixed port 管理者が構成するポート番号The port number configured by the administrator. 後の「 動的ポート」の説明を参照してください。See the discussion below in the section Dynamic Ports.
専用管理者接続Dedicated Admin Connection TCP ポート 1434 (既定のインスタンスに使用)。TCP port 1434 for the default instance. その他のポートは名前付きインスタンスに使用されます。Other ports are used for named instances. ポート番号については、エラー ログを確認してください。Check the error log for the port number. 既定では、専用管理者接続 (DAC) へのリモート接続は有効になっていません。By default, remote connections to the Dedicated Administrator Connection (DAC) are not enabled. リモート DAC を有効にするには、セキュリティ構成ファセットを使用します。To enable remote DAC, use the Surface Area Configuration facet. 詳細については、「 Surface Area Configuration」を参照してください。For more information, see Surface Area Configuration.
SQL ServerSQL Server Browser サービスBrowser service UDP ポート 1434UDP port 1434 SQL ServerSQL Server Browser サービスは、名前付きインスタンスへの着信接続をリッスンし、その名前付きインスタンスに対応する TCP ポート番号をクライアントに提供します。The SQL ServerSQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that corresponds to that named instance. SQL ServerSQL Server の名前付きインスタンスが使用されている場合は、通常 データベース エンジンDatabase Engine Browser サービスを開始します。Normally the SQL ServerSQL Server Browser service is started whenever named instances of the データベース エンジンDatabase Engine are used. 名前付きインスタンスの特定のポートに接続するようにクライアントが構成されている場合は、 SQL ServerSQL Server Browser サービスを開始する必要はありません。The SQL ServerSQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance.
HTTP エンドポイントを持つインスタンスInstance with HTTP endpoint. HTTP エンドポイントの作成時に指定できます。Can be specified when an HTTP endpoint is created. 既定の TCP ポートは、CLEAR_PORT トラフィックでは 80、SSL_PORT トラフィックでは 443 です。The default is TCP port 80 for CLEAR_PORT traffic and 443 for SSL_PORT traffic. URL を使用した HTTP 接続に使用されます。Used for an HTTP connection through a URL.
HTTPS エンドポイントを持つ既定のインスタンスDefault instance with HTTPS endpoint TCP ポート 443TCP port 443 URL を使用した HTTPS 接続に使用されます。Used for an HTTPS connection through a URL. HTTPS は、Secure Sockets Layer (SSL) を使用した HTTP 接続です。HTTPS is an HTTP connection that uses secure sockets layer (SSL).
Service BrokerService Broker TCP ポート 4022。TCP port 4022. 使用されるポートを確認するには、次のクエリを実行します。To verify the port used, execute the following query:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

SQL ServerSQL ServerService BrokerService Brokerの既定のポートはありませんが、これがオンライン ブックの例で使用される通常の構成です。There is no default port for SQL ServerSQL ServerService BrokerService Broker, but this is the conventional configuration used in Books Online examples.
データベース ミラーリングDatabase Mirroring 管理者が選択したポート。Administrator chosen port. ポートを特定するには、次のクエリを実行します。To determine the port, execute the following query:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

データベース ミラーリングに既定のポートはありませんが、オンライン ブックの例では、TCP ポート 5022 または 7022 を使用しています。There is no default port for database mirroring however Books Online examples use TCP port 5022 or 7022. 特に自動フェールオーバーを伴う高い安全性モードでは、使用中のミラーリング エンドポイントが中断しないようにすることが重要です。It is important to avoid interrupting an in-use mirroring endpoint, especially in high-safety mode with automatic failover. ファイアウォール構成によりクォーラムが分割されないようにする必要があります。Your firewall configuration must avoid breaking quorum. 詳細については、「サーバー ネットワーク アドレスの指定 (データベース ミラーリング)」を参照してください。For more information, see Specify a Server Network Address (Database Mirroring).
レプリケーションReplication SQL ServerSQL Server へのレプリケーション接続では、一般的な正規の データベース エンジンDatabase Engine ポートを使用します (既定のインスタンスに使用される TCP ポート 1433 など)。Replication connections to SQL ServerSQL Server use the typical regular データベース エンジンDatabase Engine ports (TCP port 1433 for the default instance, etc.)

レプリケーション スナップショットのための Web 同期と FTP/UNC アクセスには、ファイアウォール上で追加のポートを開く必要があります。Web synchronization and FTP/UNC access for replication snapshot require additional ports to be opened on the firewall. ある場所から別の場所に初期データおよびスキーマを転送するために、レプリケーションでは FTP (TCP ポート 21)、HTTP (TCP ポート 80) を使用した同期、またはファイル共有を使用できます。To transfer initial data and schema from one location to another, replication can use FTP (TCP port 21), or sync over HTTP (TCP port 80) or File Sharing. ファイル共有では、NetBIOS を使用する場合、UDP ポート 137 と 138、および TCP ポート 139 を使用します。File sharing uses UDP port 137 and 138, and TCP port 139 if it using NetBIOS. ファイル共有は TCP ポート 445 を使用します。File Sharing uses TCP port 445.
HTTP を使用した同期のために、レプリケーションでは IIS エンドポイント (既定ではポート 80 だが構成可能) を使用しますが、IIS プロセスは標準のポート (既定のインスタンスの場合は 1433) を使用してバックエンドの SQL ServerSQL Server に接続します。For sync over HTTP, replication uses the IIS endpoint (ports for which are configurable but is port 80 by default), but the IIS process connects to the backend SQL ServerSQL Server through the standard ports (1433 for the default instance.

FTP を使用した Web 同期時は、サブスクライバーと IIS の間ではなく、 SQL ServerSQL Server 発行者と IIS の間で FTP 転送が行われます。During Web synchronization using FTP, the FTP transfer is between IIS and the SQL ServerSQL Server publisher, not between subscriber and IIS.
Transact-SQLTransact-SQL デバッガーdebugger TCP ポート 135TCP port 135

ポート 135 に関する注意事項」を参照してください。See Special Considerations for Port 135

IPsec の例外が必要な場合もあります。The IPsec exception might also be required.
Visual StudioVisual Studioホスト コンピューターで Visual StudioVisual Studio を使用している場合は、 Devenv.exe を例外リストに追加し、TCP ポート 135 を開く必要もあります。If using Visual StudioVisual Studio, on the Visual StudioVisual Studio host computer, you must also add Devenv.exe to the Exceptions list and open TCP port 135.

Management StudioManagement Studioホスト コンピューターで Management StudioManagement Studio を使用している場合は、 ssms.exe を例外リストに追加し、TCP ポート 135 を開く必要もあります。If using Management StudioManagement Studio, on the Management StudioManagement Studio host computer, you must also add ssms.exe to the Exceptions list and open TCP port 135. 詳細については、「 Transact-SQL デバッガーの構成」を参照してください。For more information, see Configure firewall rules before running the TSQL Debugger.

データベース エンジンDatabase Engineで Windows ファイアウォールを構成する詳細な手順については、「 データベース エンジン アクセスを有効にするための Windows ファイアウォールを構成する」を参照してください。For step by step instructions to configure the Windows Firewall for the データベース エンジンDatabase Engine, see Configure a Windows Firewall for Database Engine Access.

動的ポートDynamic Ports

既定では、名前付きインスタンス ( SQL Server ExpressSQL Server Expressを含む) では動的ポートを使用します。By default, named instances (including SQL Server ExpressSQL Server Express) use dynamic ports. したがって、 データベース エンジンDatabase Engine が起動するたびに使用可能なポートが特定され、そのポート番号が使用されます。That means that every time that the データベース エンジンDatabase Engine starts, it identifies an available port and uses that port number. インストールされている データベース エンジンDatabase Engine のインスタンスが名前付きインスタンスのみの場合、通常は TCP ポート 1433 が使用されます。If the named instance is the only instance of the データベース エンジンDatabase Engine installed, it will probably use TCP port 1433. データベース エンジンDatabase Engine の他のインスタンスがインストールされている場合は、別の TCP ポートが使用される可能性が高くなります。If other instances of the データベース エンジンDatabase Engine are installed, it will probably use a different TCP port. 選択されたポートは、 データベース エンジンDatabase Engine が起動するたびに変わる可能性があるので、正しいポート番号にアクセスできるようにファイアウォールを構成することは容易ではありません。Because the port selected might change every time that the データベース エンジンDatabase Engine is started, it is difficult to configure the firewall to enable access to the correct port number. したがって、ファイアウォールを使用する場合は、毎回同じポート番号を使用するように データベース エンジンDatabase Engine を再構成することをお勧めします。Therefore, if a firewall is used, we recommend reconfiguring the データベース エンジンDatabase Engine to use the same port number every time. このポートを固定ポートまたは静的なポートと呼びます。This is called a fixed port or a static port. 詳細については、「特定の TCP ポートで受信待ちするようにサーバーを構成する方法 (SQL Server 構成マネージャー)」を参照してください。For more information, see Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).

固定ポートでリッスンするように名前付きインスタンスを構成する代わりに、sqlservr.exe (データベース エンジンDatabase Engine) などの SQL ServerSQL Server プログラムを対象としてファイアウォールで例外を作成することもできます。An alternative to configuring a named instance to listen on a fixed port is to create an exception in the firewall for a SQL ServerSQL Server program such as sqlservr.exe (for the データベース エンジンDatabase Engine). この方法が有効な場合もありますが、セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用しているときは、 [受信の規則] ページの [ローカル ポート] 列にポート番号が表示されません。This can be convenient, but the port number will not appear in the Local Port column of the Inbound Rules page when you are using the Windows Firewall with Advanced Security MMC snap-in. そのため、どのポートが開いているかを調べるのが難しくなる可能性があります。This can make it more difficult to audit which ports are open. もう 1 つの注意事項は、Service Pack または累積された更新によって SQL ServerSQL Server 実行可能ファイルへのパスが変更され、ファイアウォールのルールが無効になる可能性があるということです。Another consideration is that a service pack or cumulative update can change the path to the SQL ServerSQL Server executable which will invalidate the firewall rule.

セキュリティが強化された Windows ファイアウォールを使用して、ファイアウォールにプログラムの例外を追加するにはTo add a program exception to the firewall using Windows Firewall with Advanced Security
  1. [スタート] メニューから「wf.msc」と入力します。From the start menu, type wf.msc. [セキュリティが強化された Windows ファイアウォール] を選択します。Select Windows Firewall with Advanced Security.

  2. 左側のウィンドウで、 [受信の規則] を選択します。In the left pane, select Inbound rules.

  3. 右側のウィンドウで、 [アクション][新しい規則] を選択します。新規の受信の規則ウィザードが開きます。In the right pane, under Actions select New rule.... New Inbound Rule Wizard opens.

  4. [規則の種類][プログラム] を選択します。On Rule type, select Program. [次へ] を選択します。Select Next.

  5. [プログラム][このプログラムのパス] を選択します。On Program, select This program path. [参照] を選択して SQL Server のインスタンスを検索します。Select Browse to locate your instance of SQL Server. sqlservr.exe というプログラムです。The program is called sqlservr.exe. 通常は以下の場所にあります。It is normally located at:

    C:\Program Files\Microsoft SQL Server\MSSQL13.<InstanceName>\MSSQL\Binn\sqlservr.exe

    [次へ] を選択します。Select Next.

  6. [操作] で、 [接続を許可する] をクリックします。On Action, click Allow the connection.

  7. [プロファイル] に 3 つのプロフィールすべてを含めます。Profile, include all three profiles. [次へ] を選択します。Select Next.

  8. [名前] に規則の名前を入力します。On Name, type a name for the rule. [完了] を選択します。Select Finish.

エンドポイントの詳細については、「複数の TCP ポートでリッスンするデータベース エンジンの構成」と「エンドポイントのカタログ ビュー (Transact-SQL)」を参照してください。For more information about endpoints, see Configure the Database Engine to Listen on Multiple TCP Ports and Endpoints Catalog Views (Transact-SQL).

Analysis Services で使用されるポートPorts Used By Analysis Services

既定では、SQL Server Analysis Services と関連サービスで使用される一般的なポート:TCP 2382238380443By default, the typical ports used by SQL Server Analysis Services and associated services are: TCP 2382, 2383, 80, 443. 次の表では、これらのポートについてより詳細に説明します。The table below explains these ports in greater detail.

次の表に、 Analysis ServicesAnalysis Servicesで頻繁に使用されるポートの一覧を示します。The following table lists the ports that are frequently used by Analysis ServicesAnalysis Services.

機能Feature PortPort コメントComments
Analysis ServicesAnalysis Services TCP ポート 2383 (既定のインスタンスに使用)TCP port 2383 for the default instance Analysis ServicesAnalysis Servicesの既定のインスタンスに使用される標準ポートです。The standard port for the default instance of Analysis ServicesAnalysis Services.
SQL ServerSQL Server Browser サービスBrowser service TCP ポート 2382 ( Analysis ServicesAnalysis Services の名前付きインスタンスにのみ必要)TCP port 2382 only needed for an Analysis ServicesAnalysis Services named instance ポート番号を指定せずに Analysis ServicesAnalysis Services の名前付きインスタンスに対してクライアントが接続要求を行うと、 SQL ServerSQL Server Browser がリッスンするポート 2382 が指定されます。Client connection requests for a named instance of Analysis ServicesAnalysis Services that do not specify a port number are directed to port 2382, the port on which SQL ServerSQL Server Browser listens. SQL ServerSQL Server Browser は、名前付きインスタンスが使用するポートに要求をリダイレクトします。Browser then redirects the request to the port that the named instance uses.
Analysis ServicesAnalysis Services IIS/HTTP 経由で使用するように構成されたconfigured for use through IIS/HTTP

(PivotTable® サービスでは HTTP または HTTPS が使用されます)(The PivotTable® Service uses HTTP or HTTPS)
TCP ポート 80TCP port 80 URL を使用した HTTP 接続に使用されます。Used for an HTTP connection through a URL.
Analysis ServicesAnalysis Services IIS/HTTPS 経由で使用するように構成されたconfigured for use through IIS/HTTPS

(PivotTable® サービスでは HTTP または HTTPS が使用されます)(The PivotTable® Service uses HTTP or HTTPS)
TCP ポート 443TCP port 443 URL を使用した HTTPS 接続に使用されます。Used for an HTTPS connection through a URL. HTTPS は、Secure Sockets Layer (SSL) を使用した HTTP 接続です。HTTPS is an HTTP connection that uses secure sockets layer (SSL).

ユーザーが IIS やインターネットを経由して Analysis ServicesAnalysis Services にアクセスする場合は、IIS がリッスンするポートを開き、クライアントの接続文字列にそのポートを指定する必要があります。If users access Analysis ServicesAnalysis Services through IIS and the Internet, you must open the port on which IIS is listening and specify that port in the client connection string. この場合、 Analysis ServicesAnalysis Servicesに直接アクセスするためのポートを開く必要はありません。In this case, no ports have to be open for direct access to Analysis ServicesAnalysis Services. 必要のない他のすべてのポートと共に、既定のポート 2389 およびポート 2382 を制限する必要があります。The default port 2389, and port 2382, should be restricted together with all other ports that are not required.

Analysis ServicesAnalysis Servicesで Windows ファイアウォールを構成する詳細な手順については、「 Analysis Services のアクセスを許可するための Windows ファイアウォールの構成」を参照してください。For step by step instructions to configure the Windows Firewall for Analysis ServicesAnalysis Services, see Configure the Windows Firewall to Allow Analysis Services Access.

Reporting Services で使用されるポートPorts Used By Reporting Services

既定では、SQL Server Reporting Services と関連サービスで使用される一般的なポート:TCP 80443By default, the typical ports used by SQL Server Reporting SErvices and associated services are: TCP 80, 443. 次の表では、これらのポートについてより詳細に説明します。The table below explains these ports in greater detail.

次の表に、 Reporting ServicesReporting Servicesで頻繁に使用されるポートの一覧を示します。The following table lists the ports that are frequently used by Reporting ServicesReporting Services.

機能Feature PortPort コメントComments
Reporting ServicesReporting Services Web サービスWeb Services TCP ポート 80TCP port 80 URL を使用した Reporting ServicesReporting Services への HTTP 接続に使用されます。Used for an HTTP connection to Reporting ServicesReporting Services through a URL. [World Wide Web サービス (HTTP)] のあらかじめ構成されたルールは使用しないことをお勧めします。We recommend that you do not use the preconfigured rule World Wide Web Services (HTTP). 詳細については、後の「 その他のファイアウォール ルールの操作 」を参照してください。For more information, see the Interaction with Other Firewall Rules section below.
Reporting ServicesReporting Services HTTPS 経由で使用するように構成されたconfigured for use through HTTPS TCP ポート 443TCP port 443 URL を使用した HTTPS 接続に使用されます。Used for an HTTPS connection through a URL. HTTPS は、Secure Sockets Layer (SSL) を使用した HTTP 接続です。HTTPS is an HTTP connection that uses secure sockets layer (SSL). [セキュア World Wide Web サービス (HTTPS)] のあらかじめ構成されたルールは使用しないことをお勧めします。We recommend that you do not use the preconfigured rule Secure World Wide Web Services (HTTPS). 詳細については、後の「 その他のファイアウォール ルールの操作 」を参照してください。For more information, see the Interaction with Other Firewall Rules section below.

Reporting ServicesReporting Services から データベース エンジンDatabase Engine または Analysis ServicesAnalysis Servicesのインスタンスに接続する場合、そのサービス用の適切なポートを開く必要もあります。When Reporting ServicesReporting Services connects to an instance of the データベース エンジンDatabase Engine or Analysis ServicesAnalysis Services, you must also open the appropriate ports for those services. Reporting ServicesReporting Servicesで Windows ファイアウォールを構成する詳細な手順については、「 レポート サーバー アクセスに対するファイアウォールの構成」を参照してください。For step-by-step instructions to configure the Windows Firewall for Reporting ServicesReporting Services, Configure a Firewall for Report Server Access.

Integration Services で使用されるポートPorts Used By Integration Services

次の表に、 Integration ServicesIntegration Services サービスで使用されるポートの一覧を示します。The following table lists the ports that are used by the Integration ServicesIntegration Services service.

機能Feature PortPort コメントComments
MicrosoftMicrosoft リモート プロシージャ呼び出し (MS RPC)remote procedure calls (MS RPC)

Integration ServicesIntegration Services ランタイムで使用されます。Used by the Integration ServicesIntegration Services runtime.
TCP ポート 135TCP port 135

ポート 135 に関する注意事項」を参照してください。See Special Considerations for Port 135
Integration ServicesIntegration Services サービスでは、ポート 135 で DCOM を使用します。The Integration ServicesIntegration Services service uses DCOM on port 135. サービス コントロール マネージャーではポート 135 を使用して、 Integration ServicesIntegration Services サービスの開始と停止、実行中のサービスに対する制御要求の転送などのタスクを実行します。The Service Control Manager uses port 135 to perform tasks such as starting and stopping the Integration ServicesIntegration Services service and transmitting control requests to the running service. ポート番号を変更することはできません。The port number cannot be changed.

このポートは、 Integration ServicesIntegration Services またはカスタム アプリケーションから Management StudioManagement Studio サービスのリモート インスタンスに接続する場合にのみ、開く必要があります。This port is only required to be open if you are connecting to a remote instance of the Integration ServicesIntegration Services service from Management StudioManagement Studio or a custom application.

Integration ServicesIntegration Services で Windows ファイアウォールを構成する詳細な手順については、Integration Services サービス、SSIS サービスに関するページをご覧ください。For step-by-step instructions to configure the Windows Firewall for Integration ServicesIntegration Services, see Integration Services Service (SSIS Service).

追加のポートとサービスAdditional Ports and Services

次の表に、 SQL ServerSQL Server が依存している可能性があるポートとサービスの一覧を示します。The following table lists ports and services that SQL ServerSQL Server might depend on.

シナリオScenario PortPort コメントComments
Windows Management Instrumentation (Windows Management Instrumentation)Windows Management Instrumentation

WMI の詳細については、「 WMI Provider for Configuration Management Concepts」を参照してください。For more information about WMI, see WMI Provider for Configuration Management Concepts
WMI は、DCOM によってポートが割り当てられている共有サービス ホストの一部として実行されます。WMI runs as part of a shared service host with ports assigned through DCOM. WMI では TCP ポート 135 を使用している可能性があります。WMI might be using TCP port 135.

ポート 135 に関する注意事項」を参照してください。See Special Considerations for Port 135
SQL ServerSQL Server 構成マネージャーでは、WMI を使用してサービスの一覧を表示し、管理します。Configuration Manager uses WMI to list and manage services. [Windows Management Instrumentation (WMI)] のあらかじめ構成されたルール グループを使用することをお勧めします。We recommend that you use the preconfigured rule group Windows Management Instrumentation (WMI). 詳細については、後の「 その他のファイアウォール ルールの操作 」を参照してください。For more information, see the Interaction with Other Firewall Rules section below.
MicrosoftMicrosoft 分散トランザクション コーディネーター (MS DTC)Distributed Transaction Coordinator (MS DTC) TCP ポート 135TCP port 135

ポート 135 に関する注意事項」を参照してください。See Special Considerations for Port 135
アプリケーションで分散トランザクションを使用する場合は、 MicrosoftMicrosoft 分散トランザクション コーディネーター (MS DTC) トラフィックが、各 MS DTC インスタンス間、および SQL ServerSQL Serverなどのリソース マネージャーと MS DTC との間を流れるように、ファイアウォールを構成することが必要になる可能性があります。If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL ServerSQL Server. [分散トランザクション コーディネーター] のあらかじめ構成されたルール グループを使用することをお勧めします。We recommend that you use the preconfigured Distributed Transaction Coordinator rule group.

個別のリソース グループのクラスター全体に対して 1 つの共有 MS DTC が構成されている場合は、ファイアウォールに sqlservr.exe を例外として追加する必要があります。When a single shared MS DTC is configured for the entire cluster in a separate resource group, you should add sqlservr.exe as an exception to the firewall.
Management StudioManagement Studio の参照ボタンを押すと、UDP を使用して SQL ServerSQL Server Browser サービスに接続できます。The browse button in Management StudioManagement Studio uses UDP to connect to the SQL ServerSQL Server Browser Service. 詳細については、「SQL Server Browser サービス (データベース エンジンと SSAS)」を参照してください。参照してください。For more information, see SQL Server Browser Service (Database Engine and SSAS). UDP ポート 1434UDP port 1434 UDP はコネクションレスのプロトコルです。UDP is a connectionless protocol.

ファイアウォールの設定 (INetFwProfile インターフェイスの UnicastResponsesToMulticastBroadcastDisabled プロパティ) により、ブロードキャスト (またはマルチキャスト) UDP 要求へのユニキャスト応答に関するファイアウォールの動作が制御されます。The firewall has a setting (UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface) which controls the behavior of the firewall with respect to unicast responses to a broadcast (or multicast) UDP request. この設定には次の 2 つの動作があります。It has two behaviors:

設定が TRUE の場合、ブロードキャスト要求へのユニキャスト応答はまったく許可されません。If the setting is TRUE, no unicast responses to a broadcast are permitted at all. サービスの列挙は失敗します。Enumerating services will fail.

設定が FALSE (既定) の場合、ユニキャスト応答が 3 秒間許可されます。If the setting is FALSE (default), unicast responses are permitted for 3 seconds. この時間の長さは構成できません。The length of time is not configurable. 混雑しているネットワークや待機時間の長いネットワークまたは負荷の大きいサーバーで SQL ServerSQL Server のインスタンスを列挙しようとすると、一覧の一部しか返されない可能性があり、ユーザーの混乱を招くことがあります。In a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL ServerSQL Server might return a partial list, which might mislead users.
IPsec トラフィックIPsec traffic UDP ポート 500 および UDP ポート 4500UDP port 500 and UDP port 4500 ドメインのポリシーにより IPsec 経由でネットワーク通信を行う必要がある場合は、UDP ポート 4500 と UDP ポート 500 も例外の一覧に追加する必要があります。If the domain policy requires network communications to be done through IPsec, you must also add UDP port 4500 and UDP port 500 to the exception list. IPsec は、Windows ファイアウォール スナップインの 新規の受信の規則ウィザード を使用するオプションです。IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in. 詳細については、後の「 セキュリティが強化された Windows ファイアウォールのスナップインの使用 」を参照してください。For more information, see Using the Windows Firewall with Advanced Security Snap-in below.
信頼されたドメインでの Windows 認証の使用Using Windows Authentication with Trusted Domains 認証要求を許可するようにファイアウォールを構成する必要があります。Firewalls must be configured to allow authentication requests. 詳細については、「 ドメインの信頼関係を使用するためのファイアウォールの構成方法」を参照してください。For more information, see How to configure a firewall for domains and trusts.
SQL ServerSQL Server と Windows のクラスタリングand Windows Clustering クラスタリングでは、 SQL ServerSQL Serverに直接関連付けられていない追加のポートが必要です。Clustering requires additional ports that are not directly related to SQL ServerSQL Server. 詳細については、「 クラスターで使用するネットワークを有効にする」を参照してください。For more information, see Enable a network for cluster use.
HTTP サーバー API (HTTP.SYS) で予約された URL 名前空間URL namespaces reserved in the HTTP Server API (HTTP.SYS) 通常は TCP ポート 80 を使用しますが、他のポートに構成することもできます。Probably TCP port 80, but can be configured to other ports. 一般的な情報については、「 HTTP および HTTPS の構成」を参照してください。For general information, see Configuring HTTP and HTTPS. HttpCfg.exe を使用した HTTP.SYS エンドポイントの予約に関する SQL ServerSQL Server 固有の情報については、「URL の予約と登録について (SSRS 構成マネージャー)」を参照してください。For SQL ServerSQL Server specific information about reserving an HTTP.SYS endpoint using HttpCfg.exe, see About URL Reservations and Registration (SSRS Configuration Manager).

ポート 135 に関する注意事項Special Considerations for Port 135

RPC と共にトランスポートとして TCP/IP または UDP/IP を使用する場合、必要に応じて受信ポートがシステム サービスに動的に割り当てられることがよくあります。ポート 1024 より大きい TCP/IP ポートや UDP/IP ポートが使用されます。When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are frequently dynamically assigned to system services as required; TCP/IP and UDP/IP ports that are larger than port 1024 are used. これらはしばしば "ランダム RPC ポート" と呼ばれます。These are frequently informally referred to as "random RPC ports." これらの場合、RPC クライアントは RPC エンドポイント マッパーを使用して、サーバーにどの動的ポートが割り当てられたかを指示します。In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. RPC ベースのサービスによっては、RPC によってポートが動的に割り当てられるのではなく、ユーザーが特定のポートを構成できます。For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. サービスに関係なく、RPC によって動的に割り当てられるポートを狭い範囲に制限することもできます。You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. ポート 135 は多くのサービスで使用されるので、悪意のあるユーザーによって頻繁に攻撃されます。Because port 135 is used for many services, it is frequently attacked by malicious users. ポート 135 を開く場合は、ファイアウォール ルールのスコープを制限することを検討してください。When opening port 135, consider restricting the scope of the firewall rule.

ポート 135 の詳細については、次の資料を参照してください。For more information about port 135, see the following references:

その他のファイアウォール ルールの操作Interaction with Other Firewall Rules

Windows ファイアウォールでは、ルールおよびルール グループを使用して、その構成が設定されます。The Windows Firewall uses rules and rule groups to establish its configuration. 各ルールまたはルール グループは一般に、特定のプログラムやサービスに関連付けられており、そのプログラムやサービスによって、ユーザーの知らない間にそのルールが変更されたり削除されたりする場合があります。Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. たとえば、ルール グループ [World Wide Web サービス (HTTP)][セキュア World Wide Web サービス (HTTPS)] は IIS に関連付けられています。For example, the rule groups World Wide Web Services (HTTP) and World Wide Web Services (HTTPS) are associated with IIS. これらのルールを有効にすると、ポート 80 とポート 443 が開き、これらのルールが有効になっている場合にポート 80 とポート 443 に依存する SQL ServerSQL Server 機能が有効になります。Enabling those rules will open ports 80 and 443, and SQL ServerSQL Server features that depend on ports 80 and 443 will function if those rules are enabled. ただし、IIS を構成する管理者が、それらのルールを変更するか無効にする可能性があります。However, administrators configuring IIS might modify or disable those rules. したがって、 SQL ServerSQL Serverにポート 80 またはポート 443 を使用している場合は、他の IIS ルールとは別に希望のポート構成を維持する独自のルールまたはルール グループを作成する必要があります。Therefore, if you are using port 80 or port 443 for SQL ServerSQL Server, you should create your own rule or rule group that maintains your desired port configuration independently of the other IIS rules.

セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用して、該当する許可ルールと一致するトラフィックを許可できます。The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. したがって、どちらもポート 80 に該当する、パラメーターの異なるルールが 2 つある場合、いずれかのルールと一致するトラフィックが許可されます。So if there are two rules that both apply to port 80 (with different parameters), traffic that matches either rule will be permitted. 一方のルールでローカル サブネットからのポート 80 経由のトラフィックが許可され、もう一方のルールで任意のアドレスからのトラフィックが許可される場合、結果として、発信元に関係なくポート 80 へのすべてのトラフィックが許可されます。So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is permitted regardless of the source. SQL ServerSQL Serverへのアクセスを有効に管理するために、管理者はサーバーで有効になっているすべてのファイアウォール ルールを定期的に確認する必要があります。To effectively manage access to SQL ServerSQL Server, administrators should periodically review all firewall rules enabled on the server.

ファイアウォール プロファイルの概要Overview of Firewall Profiles

オペレーティング システムではファイアウォール プロファイルを使用して、接続性、接続状態、およびカテゴリに関して、接続する各ネットワークが識別され記憶されます。Firewall profiles are used by the operating systems to identify and remember each of the networks to which they connect with regard to connectivity, connections, and category.

セキュリティが強化された Windows ファイアウォールでは、ネットワークの場所として 3 種類の設定があります。There are three network location types in Windows Firewall with Advanced Security:

  • ドメイン: Windows では、コンピューターが参加しているドメインのドメイン コントローラーへのアクセスを認証できます。Domain: Windows can authenticate access to the domain controller for the domain to which the computer is joined.
  • パブリック: ドメイン ネットワーク以外のすべてのネットワークがパブリックとして最初に分類されます。Public: Other than domain networks, all networks are initially categorized as public. インターネットへの直接接続となるネットワーク、または空港やコーヒー ショップのような公共の場所にあるネットワークです。Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.
  • プライベート: ユーザーまたはアプリケーションによってプライベートと見なされるネットワークです。Private: A network identified by a user or application as private. 信頼されたネットワークだけをプライベート ネットワークと見なす必要があります。Only trusted networks should be identified as private networks. 通常は、ホーム ネットワークまたは小規模ビジネス ネットワークをプライベートと見なすことができます。Users will likely want to identify home or small business networks as private.

管理者はネットワークの場所の種類ごとにプロファイルを作成できます。各プロファイルに、さまざまなファイアウォール ポリシーを指定できます。The administrator can create a profile for each network location type, with each profile containing different firewall policies. どの時点においても 1 つのプロファイルのみが適用されます。Only one profile is applied at any time. 次のようなプロファイル順序が適用されます。Profile order is applied as follows:

  1. Windows では、コンピューターが参加しているドメインのドメイン コントローラーへのアクセスに対してすべてのインターフェイスが認証される場合、ドメイン プロファイルが適用されます。If all interfaces are authenticated to the domain controller for the domain of which the computer is a member, the domain profile is applied.
  2. すべてのインターフェイスがドメイン コントローラーに対して認証されるか、プライベート ネットワークの場所として分類されるネットワークに接続されている場合、プライベート プロファイルが適用されます。If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.
  3. それ以外の場合は、パブリック プロファイルが適用されます。Otherwise, the public profile is applied.

セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用して、すべてのファイアウォール プロファイルを表示し、構成できます。Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. コントロール パネルの [Windows ファイアウォール] では、現在のプロファイルのみを構成できます。The Windows Firewall item in Control Panel only configures the current profile.

コントロール パネルの [Windows ファイアウォール] を使用した追加のファイアウォール設定Additional Firewall Settings Using the Windows Firewall Item in Control Panel

ファイアウォールに例外を追加した場合、特定のコンピューターまたはローカル サブネットからの着信接続のみに対してポートを開くように制限できます。Exceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. ポートを開くスコープを制限すると、コンピューターが悪意のあるユーザーの攻撃にさらされるリスクを軽減できるので、このように設定することをお勧めします。This restriction of the scope of the port opening can reduce how much your computer is exposed to malicious users, and is recommended.


コントロール パネルの [Windows ファイアウォール] では、現在のファイアウォール プロファイルのみを構成できます。Using the Windows Firewall item in Control Panel only configures the current firewall profile.

コントロール パネルの [Windows ファイアウォール] を使用して、ファイアウォールの例外のスコープを変更するにはTo change the scope of a firewall exception using the Windows Firewall item in Control Panel

  1. コントロール パネルの [Windows ファイアウォール][例外] タブでプログラムまたはポートを選択し、 [プロパティ] または [編集] をクリックします。In the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties or Edit.

  2. [プログラムの編集] または [ポートの編集] ダイアログ ボックスの [スコープの変更] をクリックします。In the Edit a Program or Edit a Port dialog box, click Change Scope.

  3. 次のいずれかのオプションを選択します。Choose one of the following options:

    • [任意のコンピューター (インターネット上のコンピューターを含む)] : 推奨されません。Any computer (including those on the Internet): Not recommended. この設定によって、自分のコンピューターのアドレスを指定した任意のコンピューターが、特定のプログラムまたはポートに接続できるようになります。This will allow any computer that can address your computer to connect to the specified program or port. このような設定は、インターネット上の匿名ユーザーに情報を提供できるようにするために必要な場合がありますが、悪意のあるユーザーの攻撃にさらされるリスクが大きくなります。This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. この設定を有効にし、[エッジ トラバーサルを許可する] オプションなどのネットワーク アドレス変換 (NAT) トラバーサルも許可する場合は、悪意のあるユーザーの攻撃にさらされる可能性がさらに高くなります。Your exposure can be further increased if you enable this setting and also allow Network Address Translation (NAT) traversal, such as the Allow edge traversal option.

    • [ユーザーのネットワーク (サブネット) のみ] : [任意のコンピューター] より安全な設定です。My network (subnet) only: This is a more secure setting than Any computer. ネットワークのローカル サブネット上のコンピューターのみがプログラムまたはポートに接続できます。Only computers on the local subnet of your network can connect to the program or port.

    • [カスタムの一覧] : 一覧に IP アドレスが載っているコンピューターだけが接続できます。Custom list: Only computers that have the IP addresses listed can connect. この設定は、 [ユーザーのネットワーク (サブネット) のみ] よりもさらに安全ですが、DHCP を使用するクライアント コンピューターでは、その IP アドレスが変更されることがあります。This can be a more secure setting than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address. その場合、意図していたコンピューターは接続することができません。Then the intended computer will not be able to connect. その代わり、認証の対象として意図していなかった別のコンピューターに一覧の IP アドレスが割り当てられてしまい、そのコンピューターから接続できるようになる可能性があります。Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect. [カスタムの一覧] オプションは、固定 IP アドレスを使用するように構成されている他のサーバーの一覧を作成する場合に適しています。ただし、侵入者が IP アドレスを偽装する可能性もあります。The Custom list option might be appropriate for listing other servers that are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder. ファイアウォール ルールを制限することは、最低限のネットワーク インフラストラクチャです。Restricting firewall rules are only as strong as your network infrastructure.

セキュリティが強化された Windows ファイアウォールのスナップインの使用Using the Windows Firewall with Advanced Security Snap-in

セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用して、さらに詳細なファイアウォール設定を構成できます。Additional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. スナップインにはルール ウィザードが組み込まれており、コントロール パネルの [Windows ファイアウォール] では使用できない設定も表示されます。The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel. これらの設定は次のとおりです。These settings include the following:

  • 暗号化の設定Encryption settings
  • サービスの制限Services restrictions
  • 名前によってコンピューターの接続を制限するRestricting connections for computers by name
  • 特定のユーザーまたはプロファイルに接続を制限するRestricting connections to specific users or profiles
  • エッジ トラバーサルにより、トラフィックが NAT (Network Address Translation) ルーターをバイパスするのを許可するEdge traversal allowing traffic to bypass Network Address Translation (NAT) routers
  • 送信ルールを構成するConfiguring outbound rules
  • セキュリティ ルールを構成するConfiguring security rules
  • 着信接続用に IPsec を要求するRequiring IPsec for incoming connections

新しい規則ウィザードを使用して、新しいファイアウォール ルールを作成するにはTo create a new firewall rule using the New Rule wizard

  1. [スタート] メニューで [ファイル名を指定して実行] を選択し、「WF.msc」と入力して、 [OK] を選択します。On the Start menu, select Run, type WF.msc, and then select OK.
  2. [セキュリティが強化された Windows ファイアウォール] の左ウィンドウにある [受信の規則] を右クリックし、 [新しい規則] を選択します。In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then select New Rule.
  3. 新規の受信の規則ウィザード で、必要な設定を行います。Complete the New Inbound Rule Wizard using the settings that you want.

ファイアウォール設定のトラブルシューティングTroubleshooting Firewall Settings

ファイアウォールの問題をトラブルシューティングする場合は、次のツールと手法が役立ちます。The following tools and techniques can be useful in troubleshooting firewall issues:

  • 有効なポート ステータスは、ポートに関連付けられているすべてのルールの和集合です。The effective port status is the union of all rules related to the port. ポートを経由するアクセスをブロックしようとするときは、そのポート番号を参照しているすべての規則の確認が有効となる場合があります。When trying to block access through a port, it can be helpful to review all the rules that cite the port number. このためには、セキュリティが強化された Windows ファイアウォールの MMC スナップインを使用して、ポート番号によって受信ルールと送信ルールを並べ替えます。To do this, use the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.

  • SQL ServerSQL Server を実行しているコンピューターでアクティブになっているポートを確認します。Review the ports that are active on the computer on which SQL ServerSQL Server is running. この確認処理では、リッスンしている TCP/IP ポートの確認とポートのステータスの確認も行います。This review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.

    受信待ちしているポートを確認するには、 netstat コマンド ライン ユーティリティを使用します。To verify which ports are listening, use the netstat command-line utility. netstat ユーティリティでは、アクティブな TCP 接続の表示以外にさまざまな IP の統計および情報も表示されます。In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information.

    リッスンしている TCP/IP ポートの一覧を表示するにはTo list which TCP/IP ports are listening

    1. コマンド プロンプト ウィンドウを開きます。Open the Command Prompt window.

    2. コマンド プロンプトで、「 netstat -n -a」と入力します。At the command prompt, type netstat -n -a.

      -n スイッチは、 netstat に対して、アクティブな TCP 接続のアドレスおよびポート番号を数字で表示するように指示します。The -n switch instructs netstat to numerically display the address and port number of active TCP connections. -a スイッチは、 netstat に対して、コンピューターがリッスンしている TCP ポートおよび UDP ポートを表示するように指示します。The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

  • PortQry ユーティリティを使用して、TCP/IP ポートのステータスを LISTENING、NOT LISTENING、FILTERED としてレポートできます。The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. (FILTERED ステータスは、ポートが、LISTENING、NOT LISTENING のどちらか不明で、ユーティリティがポートからの応答を受信していないことを示します)。PortQry ユーティリティは、 Microsoft ダウンロード センターからダウンロードできます。(With a filtered status, the port might or might not be listening; this status indicates that the utility did not receive a response from the port.) The PortQry utility is available for download from the Microsoft Download Center.

参照See Also

Windows サーバー システムのサービス概要とネットワーク ポート要件 Service overview and network port requirements for the Windows Server system
方法: ファイアウォール設定を構成する (Azure SQL Database)How to: Configure Firewall Settings (Azure SQL Database)