none
Windows7でネットワークの場所を強制する方法について RRS feed

  • 質問

  • ファイアウォールのプロファイルに「ドメイン」、「プライベート」、「パブリック」という区分があります。これらの区分を利用するにはネットワークの場所がきちんと設定されている必要があると思います。

    社内ネットワークに接続している場合には「ドメイン ネットワーク」になるようにポリシー強制する方法はあるでしょうか?

    強制する条件が満たされない場合は「プライベート」や「パブリック」になってよいです。

     

    グループポリシー管理エディター内の下記箇所の設定が関連するかと思いましたが、手動でネットワーク登録ができないので使えませんでした。

    [コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ネットワーク リスト マネージャ ポリシー] 

    <環境>

    ドメインコントローラ:2008R2×2、2003R2×3、2003×1 FSMOは2008R2、ドメインの機能レベルはWindowsServer2003

     

    2010年9月14日 0:51

回答

  • 阿部です

    これはNetwork Location Awarenessという機能を使用していて、自動的にプロファイルの区分を決定しています。ドメインに参加している場合は、自動的に「ドメイン」の区分になります。

    「パブリック」から「プライベート」への変更はできますが、「ドメイン」への変更はできません。

    以下の文章が参考になると思われます。

    Network Location Awareness
    http://technet.microsoft.com/en-us/library/cc753545(WS.10).aspx

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
    • 回答としてマーク 服部清次 2010年10月6日 8:24
    2010年9月14日 6:23
    モデレータ

すべての返信

  • 阿部です

    これはNetwork Location Awarenessという機能を使用していて、自動的にプロファイルの区分を決定しています。ドメインに参加している場合は、自動的に「ドメイン」の区分になります。

    「パブリック」から「プライベート」への変更はできますが、「ドメイン」への変更はできません。

    以下の文章が参考になると思われます。

    Network Location Awareness
    http://technet.microsoft.com/en-us/library/cc753545(WS.10).aspx

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.spaces.live.com/
    • 回答としてマーク 服部清次 2010年10月6日 8:24
    2010年9月14日 6:23
    モデレータ
  • http://www.youtube.com/watch?v=uCQtk_HEwt4&feature=related

    http://journal.mycom.co.jp/column/windows/074/index.html

    うえのビデオ・ページにあるように、デフォルトゲートウェイが未設定であったり認識出来ない場合などにはローカルセキュリティポリシーで「プライベート」、「パブリック」のネットワークアロケーションの変更をユーザーに許可または禁止することはできますが、ドメイン参加しているときは自動的に「ドメイン」となります。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年9月14日 23:44
  • 情報ありがとうございます。

    Network Location Awareness
    http://technet.microsoft.com/en-us/library/cc753545(WS.10).aspx

    上記サイトを読みましたが、ドメイン ネットワークが選択されるのはドメインコントローラと通信可能な時のみという解釈でよいということでしょうか?

    また場所を「プライベート」に強制するということは可能でしょうか?社内ネットワークでも海外拠点との通信はルータで以下に示すようなブロックをかけています。この制限によってドメインコントローラとの通信もブロックされますので、ネットワークの場所はドメインにはならないと思います。そこで、取得するIPアドレスやDNSドメイン名によってネットワークの場所をが制御できるようにしておきたいです。

    TCP 137,138,139,445
    UDP netbios-ns,netbios-dgm,netbios-ss,445

    2010年9月15日 3:03
  • 情報ありがとうございます。

    ネットワークロケーションの強制ができないとユーザーに変更を許可する必要があります。ファイアウォールポリシーでパブリックプロファイルの場合はほぼ全てのポートをブロックするように設定を考えています。もし意図せずしてパブリックが選択されてしまうとマズイです。プライベートに変更できるようにしておかないと、リモートメンテナンスなどに支障がでてしまうと考えています。

    2010年9月15日 3:41
  • >ドメインネットワークが選択されるのはドメインコントローラと通信可能な時のみという解釈でよいということでしょうか?

    はいそのとおりです。キャッシュログオンでは識別されていないネットワークとなり「パブリック」となります。

     

    また、ご要望のことは「セキュリティが強化されたWindows ファイアウォールの管理」である程度可能かもしれません。(したのページと資料を参照してください。)

    http://technet.microsoft.com/ja-jp/library/cc748991(WS.10).aspx

    http://www.atmarkit.co.jp/fwin2k/win7/09network2/09network2_03.html

     


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年9月15日 8:06
  • http://technet.microsoft.com/ja-jp/library/cc748991(WS.10).aspx#bkmk_3a

    上記のサイトを読んでみましたが、NetworkLocationAwareness(NLA)によって識別された後の動作に関する解説のようですね。NLAによる識別時にプライベートネットワークを強制する方法については触れられていないですね。クラスCアドレスを取得した場合には必ずプライベート ネットワークに分類されるものなのでしょうか?

    2010年9月16日 7:52
  • TORU_WADA さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    TORU_WADA さんがこちらの質問を投稿されてから少し経ちましたが、今回、1つの情報として
    ABE NAOKI さんの回答が参考になるのではないかと思いましたので、
    勝手ながら、私の方で [回答としてマーク] させていただきました。

    ドメイン ネットワークが選択されるのはドメインコントローラと通信可能な時のみという解釈でよいということでしょうか?

    こちらと最後のご質問に関しましては、正確な情報が見当たりませんので、
    もし TORU_WADA さんが詳細をご希望とのことであれば、
    弊社のサポート窓口へのお問い合わせをご検討いただくのが良いかもしれません。。。
    http://support.microsoft.com/select/?target=assistance

    また何か困ったことがありましたら、ぜひ TechNet フォーラムに質問をご投稿ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年10月6日 8:23