none
ICSについて

    質問

  • リモートデスクトップ接続にてwindows2003サーバーのリモート管理をしようとしています。

    その際、IPアドレスを制限し、特定のIPからのみリモート接続をしようとしています。

    IPを特定するには、windows2003サーバー側のwindowsファイアウォールの詳細設定にて設定する旨が分かったため、ファイアウォールを有効にしようとしました。

    有効にしようとした際、「ICS(インターネット接続共有)も有効にしますか?」というメッセージが表示されました。

    ICSは初めて聞いた言葉なので、調べたところ、ルーターのような機能である旨が書かれていました。

    ここで本題なのですが、

    現在、別でルーターを設けているのですが、ICSを有効にした際、ルーターがもうひとつ増えてしまうようなイメージになるのでしょうか?

    ICSを下手に有効にしてしまうと、ネットワークに悪影響を及ぼしてしまうのではないかと思い、質問いたしました。

    どなたかご教授いただけると幸いです。

    当方の環境は、サーバーはwindows2003 R2、PCはwindows xpです。

    以上、よろしくお願いいたします。

     

    2012年3月2日 16:27

回答

  • RRASのフィルタは個別のNICごとにインバウンドやアウトバウンドのフィルタが可能なので、LAN用のNICにフィルタ設定を行えば可能です。

    ただ、RRASのフィルタは基本的にパケットの転送を許可もしくは拒否に設定し例外ルールを作成するという方法になります。
    今回のように特定のIPアドレスのに一致しないリモートデスクトップを拒否するのであれば、WindowsファイアウォールでもRRASでもインバウンドをデフォルトで拒否し、許可したいルールを全て作成する必要があります。
    (RRASであればデフォルトを許可にし、拒否したいパソコンを全て個別に登録することでも可能ですが、あまり実用的とは思えません)

    最初に書けばよかったのですが、本来であればパソコンによる制限よりもユーザー毎にアカウントを作成し、ユーザー権限でリモートデスクトップ接続を制限するのがいい方法だと思います。

    • 回答としてマーク peekoo 2012年3月27日 8:24
    2012年3月26日 23:52

すべての返信

  • 「Windows ファイアウォール/インターネット接続共有(ICS)サービスが実行していないため・・・開始しますか?」というメッセージでしょうか?
    もしそうであれば、Windows FirewallとICSは「Windows Firewall/Internet Connection Sharing (ICS)」というひとつのサービスで動作していますので、このサービスを開始するかどうかという確認なので開始してかまわないと思います。
    ただし、サービスが起動しただけの状態では特に問題はありませんが、その後にインターネット接続の共有の設定を実行するとLAN側IPアドレスが192.168.0.1に固定されルーターとして動作するようになりますので問題になる可能性が高いと思います。


    Windows Server 2003の場合には、Windows ファイアウォールの機能を使わずに、ルーティングとリモートアクセスを有効にしてフィルタリング機能を使ったほうが制御しやすいケースもあると思います。

    2012年3月3日 10:10
  • OMEGAT様

    返信ありがとうございます。

    また、回答いただいたにも関わらず、返信が遅くなってしまいまして、大変申し訳ございません。

    「ルーティングとリモートアクセス」を利用した方が良いということですが、

    いろいろインターネットで調べましたが、インターネット接続共有との違いが分かりませんでした。

    ルーティングということは、やはりルーターとして動作してしまうようなことはないでしょうか?

    何卒ご教示いただけますよう、お願い申し上げます。

    2012年3月21日 5:45
  • こんにちは。
    フォーラム オペレーターの田中夢です。

    OMEGAT さん
    参考になるアドバイスをありがとうございます。


    peekoo さん
    英語になってしまうのですが、TechNet ライブラリの文書も参考にしていただけるのではないかと思われますので、ご紹介させていただきますね。

    <参考情報>
    - Enabling and Disabling Windows Firewall
    http://technet.microsoft.com/en-us/library/cc778563(v=ws.10).aspx


    peekoo さんからの追加のご質問と入れ違いになってしまいましたが、今回のご質問につきましては、OMEGAT さんからの投稿を参考にしていただけたのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきました。もしも問題解決につながらないと思われるようでしたら、peekoo さんの方で[回答としてのマークの解除] をすることも可能です。
    また、回答マーク 済みとなっても、このままご質問を続けていただく事も出来ますので、どうぞご利用くださいね。


    今後とも TechNet フォーラムをどうぞよろしくお願いしますね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢


    2012年3月21日 5:52
  • 複数のNICがある場合には構成すればルーターやNATルーターとして機能させることは可能ですが、NICが1つの場合にはルーティングしようもないのでフィルタの目的のみで使用することが可能です。

    ちなみにWindows XPでもRRASサービスを開始させれば、コマンドベースでフィルタ設定が可能です。
    [参考]
    http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/019filter.html


    ファイアウォールとRRASのフィルタリング機能の違いについては、詳しくは書く知識がないのですが、Windows Server 2003のファイアウォールではインバウンドのフィルタしか行わないはずですが(2008以降は違います)、RRASのフィルタでは個別のNICごとにインバウンドやアウトバウンドのフィルタが可能です。
    [参考]
    http://www.atmarkit.co.jp/fwin2k/special/2003sp1_04/2003sp1_04_01.html

    2012年3月23日 5:04
  • OMEGAT様

    返信ありがとうございます。

    Windowsファイアウォールより、RRASの方が、利用がし易そうですね。

    申し訳ございません、私の質問の仕方が悪かったのですが、

    リモートアクセスですが、インターネットからではなく、社内ネットワーク内でのリモート操作です。

    ある特定のIPのみ、社内ネットワークにあるサーバーにリモートデスクトップによるアクセスを

    許可したいのですが、その際でもRRASは利用可能でしょうか?

    インターネット内で検索しますと、インターネットからの接続のように書かれておりましたので、

    質問いたしました。何とぞご教示いただけますよう、お願い申しあげます。

    以上、よろしくお願いいたします。

    2012年3月25日 8:56
  • RRASのフィルタは個別のNICごとにインバウンドやアウトバウンドのフィルタが可能なので、LAN用のNICにフィルタ設定を行えば可能です。

    ただ、RRASのフィルタは基本的にパケットの転送を許可もしくは拒否に設定し例外ルールを作成するという方法になります。
    今回のように特定のIPアドレスのに一致しないリモートデスクトップを拒否するのであれば、WindowsファイアウォールでもRRASでもインバウンドをデフォルトで拒否し、許可したいルールを全て作成する必要があります。
    (RRASであればデフォルトを許可にし、拒否したいパソコンを全て個別に登録することでも可能ですが、あまり実用的とは思えません)

    最初に書けばよかったのですが、本来であればパソコンによる制限よりもユーザー毎にアカウントを作成し、ユーザー権限でリモートデスクトップ接続を制限するのがいい方法だと思います。

    • 回答としてマーク peekoo 2012年3月27日 8:24
    2012年3月26日 23:52