付録F Windows Server 2008対応

Windows Server 2008では,セキュリティ機能が大幅に強化されています。

ここでは,Windows Server 2008のWindowsファイアウォールを有効に設定したコンピュータで,DPMを利用する際の設定項目について説明します。

【ヒント】
Windows Server 2008をDPMで管理する場合は,「(1) Windows Server 2008をDPMで管理する」を参照してください。それ以外は,「付録D Windows Server 2003 Service Pack 1,Service Pack 2対応」を参考にしてください。
<この節の構成>
(1) Windows Server 2008をDPMで管理する

(1) Windows Server 2008をDPMで管理する

Windows Server 2008をDPMで管理するため,手動でポートを開放する手順について説明します。

【注意!】
コンピュータでファイアウォールサービスを自動起動に設定している場合,ファイアウォール機能の有効/無効に関わらず,コンピュータ起動からファイアウォールサービスが起動するまでの間はすべてのポートが閉じられています。このためこのタイミングでシナリオ実行,電源状態取得,シャットダウンなどのDPMからの命令を発行すると失敗します。
  1. 管理対象コンピュータで使用するポートを手動で開放します。
    「スタート」メニュー→「コントロールパネル」→「セキュリティ-Windows ファイアウォールによるプログラムの許可」をクリックします。

    [図データ]

  2. 「Windows ファイアウォールの設定」画面の「例外」タブが表示されますので,「ポートの追加」ボタンをクリックします。

    [図データ]

  3. 「ポートの追加」画面が表示されますので「名前」項目,「ポート番号」に下表の各名前,ポート番号を入力し,プロトコルの「TCP/UDP」を選択して「OK」をクリックします。
    「ポート番号」はDPMのバージョンによって異なります。それぞれについて,同様の要領で追加してください。
    (例)「TCP56010」ポートを追加する場合

    [図データ]

    名前ポート番号プロトコル
    DeploymentManager(TCP56000)56000TCP
    DeploymentManager(UDP56001)56001UDP
    DeploymentManager(TCP56010)56010TCP
    DeploymentManager(UDP56025)56025UDP
    UDP137137UDP
     
    【注意!】
    DNSサーバやhostsファイルを利用していない場合は,個別に開けるポートに「UDP137」も追加してください。
    DPMは,コンピュータの生存確認やシナリオ実行を行うときに登録されたコンピュータ名から名前解決を行い,取得したIPアドレスを使ってTCP/IP通信を行います。詳細は,「1.1.8 ネットワーク環境の設定について」を参照してください。そのため,コンピュータ名から名前解決ができるネットワーク環境が必要になります。
    ※ 「UDP137」を開放するには,Windowsファイアウォール画面の「例外」タブで「ファイルとプリンタの共有」を編集し,「UDP137」にチェックを入れます。
  4. 次に「コントロールパネル」→「システムとメンテナンス」→「管理ツール」から「セキュリティが強化された Windows ファイアウォール」を選択します。

    [図データ]

  5. 「セキュリティが強化されたWindows ファイアウォール」画面が表示されますので,画面左側の「受信の規則」を選択後,画面右側の「新規の規則...」を選択します。

    [図データ]

  6. 「新規の受信の規則ウィザード」が表示されますので,以下の情報を入力します。
    (以降の手順で設定する情報は参考値であり,環境により変更が必要な場合があります)

    [図データ]

    ステップ選択する内容
    規則の種類カスタム
    プログラムすべてのプログラム
    プロトコルおよびポートプロトコルの種類:ICMPv4
    インターネット制御メッセージプロトコル(ICMP)の設定:
    「カスタマイズ」ボタンをクリックすると「ICMP設定のカスタマイズ」画面表示されますので,「特定の種類のICMP」で,「エコー要求」にチェックを入れます。
    スコープ
    この規則はどのローカルIPアドレスに一致しますか?:
    任意のIPアドレス
    この規則はどのリモート IPアドレスに一致しますか?:
    「これらの IPアドレス」を選択後,「追加」ボタンをクリックして,管理サーバ for DPMをインストールしたコンピュータのIPアドレスを追加します。
    操作接続を許可する
    プロファイルドメイン,プライベート,パブリックすべてにチェックを入れます。
    名前任意の名前

以上で,DPMで管理するための設定は完了です。