none
ADサーバへのファイル共有時のファイアウォールの設定について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    質問させていただきます。

    クラスタ構成のサーバを構築しており、

    ファイアウォールの設定について確認をしているところです。

    構成としては、ADサーバが2台、下にメンバサーバが2台いる状態です。

    ADサーバに共有フォルダを作成し、メンバサーバからファイルをコピーしたいのですが、

    他のサーバやクライアントからは見えないようにしたいと考えいます。

    そこで、ファイアウォールの設定の受信の規則で

    「Active Directory ドメインコントローラー-SAM/LSA(NP-TCP受信)」

    「ファイルサーバリモート管理(SMB受信)」

    「DFSの管理」

    がTCPの445ポートの全てのIPに対して許可をしていたので、

    ADサーバと下のメンバサーバのIPからのみ許可するようにしました。

    結果、他のクライアントやサーバからは共有フォルダは見えなくなりましたが、

    クラスタ構成的に上記の項目の許可するIPを絞り込んだことで、

    他の影響があるかどうかわかりますでしょうか?

    2018年5月2日 3:06
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この質問ですが、虚心に答えるとすれば

    他の影響があるかどうかわかりますでしょうか?

    といわれても、「お使いのシステム要件(やりたいと想定されていること)に依存するので、わかりません」となる気がします。Active Directoryの中核プロトコルであるSMBを制限するということは、一般的には行わないので、その環境下での実動作をきちんと確かめないと是非は判断できません。これは質問者さんが行うべき話しで、相談された側は(何がしたくて何がしたくないのか)わからないので、答えることは事実上できないでしょう。

    たとえばドメインコントローラー2台*メンバーサーバー2台だけの範囲で話しをされていますが、ドメインに参加しているほかのクライアントは存在しないのでしょうか?クライアントはグループポリシー適用のため、ドメインコントローラーのSYSVOL共有にSMBでアクセスしなければなりません。これに制限がかかっていれば、グループポリシーは適用できずエラーになるでしょう。

    また、運用方針の変更である日突然「ドメインに参加していないクライアントでも共有フォルダーを使わせたい」という話しが持ち上がり、その時に混乱を招かないよう、そのようなことはできない・させないといった根回しも必要になるかもしれません。

    うえは一例ですが、こういった「あらゆる可能性」を考慮すると、ふつう行わない設定をムリに行う危険性が理解できると思います。

    こういった場合ですが、ふつうは「隠し共有」という方法で、共有フォルダーを外部から見えないように設定することで、「共有名」を知っているメンバーだけがアクセスできる方法を採ります。この方法であれば、既定で外部に公開された共有フォルダー(SYSVOL等)に影響を与えず、対象の共有だけを別管理できるためです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年5月2日 7:14
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この質問ですが、虚心に答えるとすれば

    他の影響があるかどうかわかりますでしょうか?

    といわれても、「お使いのシステム要件(やりたいと想定されていること)に依存するので、わかりません」となる気がします。Active Directoryの中核プロトコルであるSMBを制限するということは、一般的には行わないので、その環境下での実動作をきちんと確かめないと是非は判断できません。これは質問者さんが行うべき話しで、相談された側は(何がしたくて何がしたくないのか)わからないので、答えることは事実上できないでしょう。

    たとえばドメインコントローラー2台*メンバーサーバー2台だけの範囲で話しをされていますが、ドメインに参加しているほかのクライアントは存在しないのでしょうか?クライアントはグループポリシー適用のため、ドメインコントローラーのSYSVOL共有にSMBでアクセスしなければなりません。これに制限がかかっていれば、グループポリシーは適用できずエラーになるでしょう。

    また、運用方針の変更である日突然「ドメインに参加していないクライアントでも共有フォルダーを使わせたい」という話しが持ち上がり、その時に混乱を招かないよう、そのようなことはできない・させないといった根回しも必要になるかもしれません。

    うえは一例ですが、こういった「あらゆる可能性」を考慮すると、ふつう行わない設定をムリに行う危険性が理解できると思います。

    こういった場合ですが、ふつうは「隠し共有」という方法で、共有フォルダーを外部から見えないように設定することで、「共有名」を知っているメンバーだけがアクセスできる方法を採ります。この方法であれば、既定で外部に公開された共有フォルダー(SYSVOL等)に影響を与えず、対象の共有だけを別管理できるためです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年5月2日 7:14
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    お世話になっております。

    Phantom0930です。

    説明が足りない質問に対してご丁寧な回答ありがとございました。

    おっしゃる通り、こちらのシステム要件もわからないのに相談者が答えられるわけがありませんでした・・・。

    今後、気を付けたいと思います。

    ただ、「Active Directoryの中核プロトコルであるSMBを制限するということは、一般的には行わない」

    という情報だけでも頂けただけでも大変助かりました。

    「隠し共有」も試してみたいと思います。

    ありがとうございました。

    2018年5月2日 8:32
    |