none
Windows Server 2008のセキュリティが強化されたWindowsファイアウォールのプロファイルについて RRS feed

  • 質問

  • Windows Server 2008の「ネットワーク共有センター」に表示されるプロファイルについて確認したいことがあります。
    NICが2個有効になっているWindows Server 2008においてそれぞれ異なるネットワークアドレスのIPアドレスを設定しています。(WORKGROUP環境)
    「ネットワーク共有センター」を表示させた時、2個のネットワークが異なるプロファイル(パブリック又はプライベート)となうようにするには、それぞれどのようなネットワーク環境にすればよいのでしょうか?
    例えば、外にでないネットワーク環境であれば2個のネットワークは両方ともデフォルトでパブリックネットワークとなると思います。
    2個のネットワークがそれぞれ異なるプロファイルの環境で確認したいことがありますので、2個のネットワークがそれぞれ異なるプロファイルとなるように設定する方法をご存じであれば教えていただけないでしょうか?



    2010年2月23日 16:31

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    試験問題作成委員会 さん、ABE NAOKI さん、いつもアドバイスありがとうございます。

    少し私の方でもフォローさせていただきますね。

    下記は私の環境(Windows Server 2008 SP2 WorkGroup) で検証を行ってみた結果です。
    (あくまでも個人的な検証結果なので、実装とは異なる可能性もあります。その点ご了承ください)

    まず、「識別されていないネットワーク」 ですが、デフォルトゲートウェイの存在確認が行われているようで、デフォルトゲートウェイが設定していなかったり何らかの要因でデフォルトゲートウェイと通信出来ない場合には 「識別されていないネットワーク」 が選択されるようです。
    NIC 複数の構成で、それぞれが 「識別されていないネットワーク」 と認識された場合には、一つのネットワークとして扱われており、プロファイルの設定も共通です。

    NIC 複数の構成で、それぞれ異なるセグメントに設定されていてデフォルトゲートウェイが確認出来た場合には、それぞれ異なるネットワークと認識され、それぞれのネットワークに異なるプロファイルの設定が出来ました。

    ただし、複数のネットワークに異なるプロファイルを選択されていると、Windows ファイアウォールは、その中で一番厳しいプロファイルをアクティブにします。
    - 試験問題作成委員会 さんが案内されていた リンク より抜粋
    ---
    なるべく制限が厳しくなるようなプロファイル(ドメインよりもプライベート、プライベートよりもパブリック)が自動的に選択されるようになる。
    ---


    次に、「ローカルとインターネット」 と認識される条件ですが、下記のリンクを確認すると、「"http://www.msftncsi.com/ncsi.txt" への接続確認」・「プロキシサーバーの存在確認」 が行われるようで、そのどちらかが確認出来た場合には 「ローカルとインターネット」 と認識されるようです。

    - 参考情報
    付録 K : Windows Server 2008 のネットワーク接続状態インジケータとこれにより発生するインターネット通信
    http://technet.microsoft.com/ja-jp/library/cc732049(WS.10).aspx

    ネットワーク接続状況が誤って「ローカルのみ」として 1 つ以上のネットワーク アダプターをされている Windows Server 2008 ベースまたは Windows Vista ベースのコンピューターで表示されます。
    http://support.microsoft.com/default.aspx/kb/947041/ja


    といった形で、これが OO なら、次にこれが OO なら、と複数の条件で結果が異なってきます。
    実際のところはさらに複雑な処理が行われている可能性もありますので、詳細な情報が必要な場合には、弊社有償サポートのご利用をお勧めします。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年3月5日 2:53
    モデレータ
  • 阿部です

    >2個のネットワークがそれぞれ異なるプロファイルとなるように設定する方法をご存じであれば教えていただけないでしょうか?

    プロファイルはNIC単位で適応されません。あくまでもマシン単位です。

    ですのでNIC2枚の際には、よりセキュリティレベルの高いプロファイルが適応されます。例えば、ドメインとパブリックだった場合はパブリックになります。
    • 回答としてマーク 服部清次 2010年4月5日 9:05
    2010年2月23日 23:12
    モデレータ
  • 私の理解している範囲で回答します。

    VISTAのページですがよんでみてください。

    http://technet.microsoft.com/ja-jp/library/bb878110.aspx

    http://journal.mycom.co.jp/special/2007/windowsvista/058.html

     

    以下、したの方のベージを抜粋すると

    「プライベートネットワーク」・・家庭や会社のLANなど、比較的安全性が高いネットワーク

    「パブリックネットワーク」・・駅や喫茶店などの公衆無線LANアクセスポイントが想定されている。

     

    片方は、外部のインターネットに接続するようにする等の設定の必要はありません。企業では外部のインターネットに直接接続するのはルータやプロキシです。個人でも外部のインターネットに直接接続するのはブロードバンドルータ(ADSLモデム・フレッツ光用ルータ等)です。

     


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2010年4月5日 9:05
    2010年2月24日 16:41
  • 阿部です

    そもそもAFWにはプライベート、パブリック、ドメインが存在しますね。それはネットワークの状態によってAFWの適用を変えるというものです。

    ネットワークの状態に関しては、ドメインは自動で行われるので自分で切り替えることはできません。

    しかし、パブリックとプライベートは自分で切り替えられます。

    ですので現在両方ともパブリックとのことですので、片方を自分でプライベートに変更してみてください。

    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年2月25日 0:55
    モデレータ
  • http://www.atmarkit.co.jp/fwin2k/vista_feature/14firewall01/14firewall01_02.html

     

    うえのページに2枚のNICを持ったPCの図があるので一読してみてください。

    、[コントロールパネル]の[ネットワークとインターネット]にある[ネットワークと共有センター]の画面でNIC毎にネットワークを変更することができないのであれば、

     

    (以下本文を一部抜粋しました)

    「コンピュータに接続されているすべての有効なネットワーク・インターフェイスを検証し、パブリック・タイプが1つでもあれば、パブリック・プロファイルを選択する。

    そうでなく、プライベート・タイプが1つでもあれば、プライベート・プロファイルを選択する。

    すべてのインターフェイスがドメイン・タイプなら、ドメイン・プロファイルを選択する。

    以上のいずれでもなければパブリック・プロファイルを選択する(ネットワーク・ケーブルが接続されていないといったケースもこれに含まれる)。

     これらのルールにより、なるべく制限が厳しくなるようなプロファイル(ドメインよりもプライベート、プライベートよりもパブリック)が自動的に選択されるようになる。ただしこの原則により、例えばインターネットに接続しながらVPNを利用していると、パブリック・プロファイルが選択されてしまい、リモートから管理できないといったことも起こる可能性がある。そのような場合は、リモートからの管理を許可するような受信のフィルタ・ルールを作成し、VPNインターフェイスだけに適用させる、といった対策をとればよい。」

     

    2枚のNICを持ったPC環境がないので検証はできなかったのですが参考になればと思います。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年2月26日 11:31

すべての返信

  • 阿部です

    >2個のネットワークがそれぞれ異なるプロファイルとなるように設定する方法をご存じであれば教えていただけないでしょうか?

    プロファイルはNIC単位で適応されません。あくまでもマシン単位です。

    ですのでNIC2枚の際には、よりセキュリティレベルの高いプロファイルが適応されます。例えば、ドメインとパブリックだった場合はパブリックになります。
    • 回答としてマーク 服部清次 2010年4月5日 9:05
    2010年2月23日 23:12
    モデレータ
  • 阿部様>
    情報の提供ありがとうございます。
    書き込みが自宅でしたできない為、お礼が遅くなり申し訳ありません。

    >ですのでNIC2枚の際には、よりセキュリティレベルの高いプロファイルが適応されます。例えば、ドメインとパブリックだった場合はパブリックになります。
    了解しました。

    私の質問の内容が悪く、申し訳ありませんがもう少し確認させてください。
    >NICが2個有効になっているWindows Server 2008においてそれぞれ異なるネットワークアドレスのIPアドレスを設定しています。(WORKGROUP環境)
    上記の時、「ネットワーク共有センター」に2個の異なるネットワークが表示される場合はどのようなネットワーク環境の時でしょうか?
    現在は、両方のネットワークが確認用LAN内であるためか「識別されていないネットワーク」となっており、両方とも「パブリックネットワーク」となっています。これを、片方が「プライベートネットワーク」、もう片方が「パブリックネットワーク」のようにするには、どのようなネットワーク構成にすればよいのでしょうか?片方は、外部のインターネットに接続するようにする等の必要があるのでしょうか?

    ご存じの方がいらっしゃいましたらよろしくお願いします。
    2010年2月24日 14:49
  • 私の理解している範囲で回答します。

    VISTAのページですがよんでみてください。

    http://technet.microsoft.com/ja-jp/library/bb878110.aspx

    http://journal.mycom.co.jp/special/2007/windowsvista/058.html

     

    以下、したの方のベージを抜粋すると

    「プライベートネットワーク」・・家庭や会社のLANなど、比較的安全性が高いネットワーク

    「パブリックネットワーク」・・駅や喫茶店などの公衆無線LANアクセスポイントが想定されている。

     

    片方は、外部のインターネットに接続するようにする等の設定の必要はありません。企業では外部のインターネットに直接接続するのはルータやプロキシです。個人でも外部のインターネットに直接接続するのはブロードバンドルータ(ADSLモデム・フレッツ光用ルータ等)です。

     


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2010年4月5日 9:05
    2010年2月24日 16:41
  • 阿部です

    そもそもAFWにはプライベート、パブリック、ドメインが存在しますね。それはネットワークの状態によってAFWの適用を変えるというものです。

    ネットワークの状態に関しては、ドメインは自動で行われるので自分で切り替えることはできません。

    しかし、パブリックとプライベートは自分で切り替えられます。

    ですので現在両方ともパブリックとのことですので、片方を自分でプライベートに変更してみてください。

    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年2月25日 0:55
    モデレータ
  • 試験問題作成委員会様>
    返事が遅くなり申し訳ありません。
    貴重な情報の提供ありがとうございます。
    リンク先のサイトの内容を読みました。

    阿部様>
    返事が遅くなり申し訳ありません。
    アドバイスありがとうございます。

    NIC1,2共にプライベートネットワークに設定し、「ネットワーク共有センター」 にて、「プライベートネットワーク」としてNIC1,2が表示されているとします。この状態で「プライベートネットワーク」を「パブリックネットワーク」に変更するとNIC1,2共に「パブリックネットワーク」となりNIC毎にネットワークを変更することができません。

    また、NIC1が有効(「プライベートネットワーク」),NIC2が無効の状態でNIC2を有効にしてもNIC1,2共に「プライベートネットワーク」となります。

    上記のことから、NIC1が「プライベートネットワーク」,NIC2が「パブリックネットワーク」のように複数のネットワーク接続が異なるネットワークとなるようにするには、何らかの条件があるのではないかと思います。
    その条件をご存じであれば教えていただけないでしょうか?
    例えば、NIC1(「プライベートネットワーク」)は有効,NIC2は無効として、NIC1の方はW2K8サーバとインターネットの間にNATルーター等のデバイスを使用してネットワークを構築し、その後、NIC2を有効にする等の条件があるのでしょうか?
    2010年2月25日 14:10
  • http://www.atmarkit.co.jp/fwin2k/vista_feature/14firewall01/14firewall01_02.html

     

    うえのページに2枚のNICを持ったPCの図があるので一読してみてください。

    、[コントロールパネル]の[ネットワークとインターネット]にある[ネットワークと共有センター]の画面でNIC毎にネットワークを変更することができないのであれば、

     

    (以下本文を一部抜粋しました)

    「コンピュータに接続されているすべての有効なネットワーク・インターフェイスを検証し、パブリック・タイプが1つでもあれば、パブリック・プロファイルを選択する。

    そうでなく、プライベート・タイプが1つでもあれば、プライベート・プロファイルを選択する。

    すべてのインターフェイスがドメイン・タイプなら、ドメイン・プロファイルを選択する。

    以上のいずれでもなければパブリック・プロファイルを選択する(ネットワーク・ケーブルが接続されていないといったケースもこれに含まれる)。

     これらのルールにより、なるべく制限が厳しくなるようなプロファイル(ドメインよりもプライベート、プライベートよりもパブリック)が自動的に選択されるようになる。ただしこの原則により、例えばインターネットに接続しながらVPNを利用していると、パブリック・プロファイルが選択されてしまい、リモートから管理できないといったことも起こる可能性がある。そのような場合は、リモートからの管理を許可するような受信のフィルタ・ルールを作成し、VPNインターフェイスだけに適用させる、といった対策をとればよい。」

     

    2枚のNICを持ったPC環境がないので検証はできなかったのですが参考になればと思います。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年2月26日 11:31
  • 試験問題作成委員会様>
    情報の提供ありがとうございます。
    ご提示いただいたサイトの中程の図によると、プライベートネットワーク,パブリックネットワークに分かれています。当方の確認環境も外部に接続できていないのですが、上記の図によるとパブリックネットワークの方は「ローカルとインターネット」となっておりプライベートネットワークの方は「ローカルのみ」となっています。外部に出さない場合でもネットワークが分かれるようにするには、片方を「ローカルとインターネット」になるように設定する必要があるのではないかと思っています。
    外部に出さない状態で「ローカルとインターネット」になるように設定する方法は不明ですが、調査してみたいと思います。

     




    2010年2月28日 12:43
  • こんにちは、フォーラムオペレーターの三沢健二です。

    試験問題作成委員会 さん、ABE NAOKI さん、いつもアドバイスありがとうございます。

    少し私の方でもフォローさせていただきますね。

    下記は私の環境(Windows Server 2008 SP2 WorkGroup) で検証を行ってみた結果です。
    (あくまでも個人的な検証結果なので、実装とは異なる可能性もあります。その点ご了承ください)

    まず、「識別されていないネットワーク」 ですが、デフォルトゲートウェイの存在確認が行われているようで、デフォルトゲートウェイが設定していなかったり何らかの要因でデフォルトゲートウェイと通信出来ない場合には 「識別されていないネットワーク」 が選択されるようです。
    NIC 複数の構成で、それぞれが 「識別されていないネットワーク」 と認識された場合には、一つのネットワークとして扱われており、プロファイルの設定も共通です。

    NIC 複数の構成で、それぞれ異なるセグメントに設定されていてデフォルトゲートウェイが確認出来た場合には、それぞれ異なるネットワークと認識され、それぞれのネットワークに異なるプロファイルの設定が出来ました。

    ただし、複数のネットワークに異なるプロファイルを選択されていると、Windows ファイアウォールは、その中で一番厳しいプロファイルをアクティブにします。
    - 試験問題作成委員会 さんが案内されていた リンク より抜粋
    ---
    なるべく制限が厳しくなるようなプロファイル(ドメインよりもプライベート、プライベートよりもパブリック)が自動的に選択されるようになる。
    ---


    次に、「ローカルとインターネット」 と認識される条件ですが、下記のリンクを確認すると、「"http://www.msftncsi.com/ncsi.txt" への接続確認」・「プロキシサーバーの存在確認」 が行われるようで、そのどちらかが確認出来た場合には 「ローカルとインターネット」 と認識されるようです。

    - 参考情報
    付録 K : Windows Server 2008 のネットワーク接続状態インジケータとこれにより発生するインターネット通信
    http://technet.microsoft.com/ja-jp/library/cc732049(WS.10).aspx

    ネットワーク接続状況が誤って「ローカルのみ」として 1 つ以上のネットワーク アダプターをされている Windows Server 2008 ベースまたは Windows Vista ベースのコンピューターで表示されます。
    http://support.microsoft.com/default.aspx/kb/947041/ja


    といった形で、これが OO なら、次にこれが OO なら、と複数の条件で結果が異なってきます。
    実際のところはさらに複雑な処理が行われている可能性もありますので、詳細な情報が必要な場合には、弊社有償サポートのご利用をお勧めします。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年4月5日 9:06
    2010年3月5日 2:53
    モデレータ
  • しの さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    しの さんがこちらの質問を投稿されてから少し時間が経ちましたが、
    今回、しの さんと同じ疑問を持たれた方々にこちらのスレッドを参照していただくためにも、
    私の方で [回答としてマーク] のチェックを付けさせていただきました。

    また何か困ったことがありましたら、ぜひ TechNet フォーラムをご利用ください。
    今後とも、TechNet フォーラムをよろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年4月5日 9:08