Windows 2000 Advanced ServerによるPDSサーバーの構築 | ||
******************************************************************************************** | ||
不具合対応Q&A | ||
******************************************************************************************** | ||
[Q1.DHCPのローカルからwwwやftpを公開出来ないか] DHCPでつながっているローカルネットワーク内にサーバーを立ち上げました。 このサーバーを使いインターネット側(グローバルIP)からホームページやFTPを 公開したいのですが、出来ますか? A:比較的簡単に出来ます。 ローカルネットワークのハブに公開しようとするサーバーをつなぎます。 このサーバーをDHCPのIP取得として立ち上げます。次にこの取得したIPを確認します。 次にWindows2000 Adv Serverの管理ツール⇒ルーティングとリモートアクセス⇒ IPルーティング⇒ネットワークアドレス変換(NAT)⇒外部ネットワーク接続を右クリックして プロパティを開き⇒特別ポートのプロトコルをTCPとして、追加を押します。 パブリックアドレスは、このインターフェイスとし、着信ポートを80とします。 次に、先程確認した内部サーバーのローカルIPをプライベートアドレスに入れます。 そして、着信ポートは80とします。そして、OKとすれば登録されます。 同様に、20,21のポートも設定し、OKとすれば完了です。 Windows2000 Adv ServerのグローバルIPを指定してwww,ftpにて接続すると、 内部のローカルIP192.168.0.* につながっているサーバーにつながります。 | ||
******************************************************************************************** | ||
[Q2.80ポートが閉じてしまう] ネットワークの設定を変更すると、Webに繋がらない事があります。 WinNT4.0でも同様で、IP指定すると、Webの80ポートが閉じてしまう事があります。 そしてWebにつながらなくなります。FTPの21ポートは、つながっている様です。 又、NATのルーティングを有効に すると、Webの80ポートが閉じる事があります。 WinNT4.0の時は、1個のNICでバインドを2つ作り、必ず1個はDHCP指定にしておく。 こうすればつながりましたが、 Win2000は、NICが無いとバインドを作れません。 そこで、ダミーDHCP接続で一旦バインドを作り機能を無効として、バインド記録を 残して80ポートを開き易くしているわけですが、ところが設定を変えた途端80ポート が閉じてしまうことがあるわけです。 A:この様な場合は、ネットワークとダイヤルアップ接続⇒「内部ネットワーク接続」を 選択して、右クリックして「無効にする」をクリックして、バインドを無効にします。 この状態で、Webブラウザーを起動して見ましょう。上手く起動したら、「有効にする」 をクリックします。 再起動時にWebブラウザーがネットワークにつながらない時も、上記の操作により 起動する事が出来ます。 A:それでも駄目な場合は、「内部ネットワーク接続」、「外部ネットワーク接続」を全てIP指 定からDHCP取得に変更して、サービス⇒DHCPクライアントを起動させてみてください。 A:もう一つの方法は、Laneed製 LD-10/100ALのNICカードを2枚用意しておいて、最初に 「内部用」「外部用」の2個をLD-10/100ALで認識させます。その時、「内部用」のみ DHCP取得として下さい。その後、「内部用」のみメルコ LGY-PCI-TXRに付替えて 「内部ネットワーク接続」として最終設定します。 もう一つの「外部用」は、取替えせず当初より「外部ネットワーク接続」として設定します。 同じスロットにLD-10/100AL⇒LGY-PCI-TXRを取付けることにより、LD-10/100ALの DHCP取得のバインド記録が残るため、比較的容易に80ポートが開く様に出来ます。 A:もう一つの方法に、「内部用」「外部用」の何れかを選択して、右クリックして「無効にする」 をクリックして、バインドを無効にします。その後、「有効にする」をクリックしてWebブラウザ がネットワークにつながるようであれば、その選択したNICカードのバインドが正しく認識 出来ていない可能性があります。その場合は、選択したNICカードのみをPCIスロット位置 変更をします。他の機器が使っているPCIスロットや空きスロットに交換して、再度バインド 設定して下さい。うまくつながる場合があります。 この辺りは、若干の思考錯誤を必要とします。 |
||
******************************************************************************************** | ||
[Q3.PAT(IPマスカレード)が働かない] A:各自の設定仕様やプロバイダーの違い、そして更には、個々の設定上の問題に なってしまうので、少しずつ設定を変えてトライしてみるより、今の所良い方法が 見つかりません。(^^; 上手くいかない時は、どの状態が良かったのか解らなくなりますし、又、元に戻そう としても戻せなくなります。 そこで、初期状態のバックアップが有効活用出来るわけです。 そんな時は、Professionalから立上げ、C:¥をフォーマットして、BuckUPを 復元して再トライして下さい。 A:DOSプロンプトで、ipconfig /all として、IP設定割付を確認して下さい。 「内部ネットワーク接続」のDefault Gateway値が空欄となっている場合があります。 この様な場合は、ネットワークとダイヤルアップ接続⇒「内部ネットワーク接続」を 選択して、右クリックして「無効にする」をクリックして、バインドを無効にします。 更に「有効にする」として戻すとDefault Gateway値に正しく表示されます。 但し、表示が空欄であっても設定が正しくされていれば正常に動作します。 A:DOSプロンプトで、nbtstat -n として、NetBIOSのネームテーブルを確認して下さい。 外部、内部共に、ADMINISTRATORの項目迄、正しく表示されていればOKです。 NetBIOSを無効にしている場合は、IpAddressのみの表示となります。 | ||
******************************************************************************************** | ||
[Q4.フィルターはどう設定したら良いか] A:管理ツール⇒ルーティングとリモートアクセス⇒IPルーティング⇒全般を選択します ここで、「外部ネットワーク接続」では、外からネットワークに侵入されない為に 宛先ネットワーク制限をします。 ・「入力フィルター」 (下の条件に一致するパケットを除き、全てのパケットを受信する) IPアドレス サブネットワーク プロトコル 10.0.0.0 255.0.0.0 任意 172.16.0.0 255.240.0.0 任意 192.168.0.0 255.255.0.0 任意 宛先ポート TCP 19,23,42,53,79,88,98,111,113,135,137,138,139,143,389,443,445,464,593,636,4444,5000 TCP20,21(FTPを使わない場合) UDP 42,69,111,135,137,138,139,445,1434 ・「出力フィルター」では自らの情報を外部に出さない様設定します。 (下の条件に一致するパケットを除き、全てのパケットを転送する) IPアドレス サブネットワーク プロトコル 10.0.0.0 255.0.0.0 任意 172.16.0.0 255.240.0.0 任意 192.168.0.0 255.255.0.0 任意 発信元ポート TCP 7,9,11,13,17,23,42,53,79,87,95,98,109,110,111,113,135,137,138,139,143,443,445 UDP 42,53,67,68,69,111,135,137,138,139,143,445,514 A:「内部ネットワーク接続」では、内部ローカルネットワークのクライアント接続に 制限を掛ける事が出来ます。 (入口は開いていますが、出口で必要なものだけを許可する設定です) ・「出力フィルター」 (下の条件に一致するパケットを除き、全てのパケットを破棄する) 発信元ポート UDP 53 、TCP 25,80,110,119 など ローカルネットのクライアントで接続したいポートだけを許可設定して下さい。 A:フィルターが正しく働き、外部から悪意のあるアクセスから最低限度の制限が 設定出来ているかどうかを確認する方法があります。 Shields UP! -- Internet Connection Security Analysisと言うHPです。 https://grc.com/x/ne.dll?bh0bkyd2 ここで、チェックしてみて、ご自分のServerのIPアドレスは隠せませんが、 それ以外のDomain名やServer名や共有名が見つけ出されないようにします。 又、ポートが「Stealth!」又は「Closed」であれば更に良好です。 「OPEN!」の項目は、外部攻撃を受ける(或いは踏み台にされる)可能性があります。 これ以上の対応が必要かどうかは、ご自分で責任が取れるかどうかに係わってきます。 自己責任でご検討下さい。 | ||
******************************************************************************************** | ||
[Q5.ログオンスクリプトを使いたいが設定方法は] A:Win2000Server等では「W32Time」と言うタイムサービスがあり、起動しておくと 1〜数時間毎にWan側のNTPに接続してサーバーの時間を同期させてくれます。 一方、Win9X,2000のPCについては、時刻をサーバーと一致させるため 「net time \\***** /set /yes」と記述したbatを作り、各パソコンの スタートアップに入れておくと、ログオン時batが一瞬動き時刻を合わせてくれます。 (さくら時計など使わなくても正確に時刻を合わせることが可能) これを、サーバーへのログオン時にLogon Scriptsとして 「net time \\***** /set /yes」を起動させれば、各パソコン側に何も細工をしな くても済みます。ログオンのユーザー・パスワードチェックと共に時刻も合わせられ て便利ですし、ログオンメッセージを表示させたり、ウィルスチェックをしたりも出来ます。 管理ツール⇒Active Directory ユーザーとコンピュータ⇒目的のUsersのプロパティ ⇒プロファイルを選択します。「プロファイルパス」にネットワークパスを「ログオンスプリクト」 に起動したいBatを設定しておきます。 対象クライアントがLogonするとBatにプログラムされた様に実施出来ます。 Logon時に「インフォメーションテキスト」や「ホームページ」などを強制的に 表示したり「セキュリティソフト等を自動でインストールして起動させる」などの 使い方が出来ます。 |
||
******************************************************************************************** | ||
[Q6.BuckUPソフトなどを定期的に自動で起動したい] A:Win2000では「ATコマンド」で定期的にソフトを起動させることが出来ます。 指定した時間や毎週1回起動するするような使い方が出来ます。 BuckUPソフトなどを定期的実行するのに便利です。 設定は、[タスク]のスケジュールされたタスクの追加でタスクウィザードを起動して 設定して下さい。 |
||
元のページへ戻る | ||
******************************************************************************************** | ||
SINCE 05/27/2000 Copyright(C) 2000 artおじさん |