Windows サーバーへのディスカバリーアクセスをブロックするファイアウォール - Support and Troubleshooting

Windows サーバーへのディスカバリーアクセスをブロックするファイアウォール Issue この記事では、ファイアウォールが Windows サーバーへのディスカバリーアクセスをブロックする原因となるさまざまな問題を解決する方法について説明します。

目次 Windows サーバーへのディスカバリーアクセスをブロックするファイアウォール サービスマッピングが関連するすべてのポートをリッスンしない Windows Server へのアクセスが拒否されました サービスマッピングがコマンドの実行に失敗する Windows サーバーへのディスカバリーアクセスをブロックするファイアウォール 問題 ファイアウォールが MID サーバーから Microsoft Windows Server へのリモートプロシージャコール (Remote Procedure Call, RPC) 呼び出しをブロックし、検出プロセスを妨げています。この問題は、Windows ファイアウォール (組み込み) または外部ファイアウォールのいずれかが原因である可能性があります。

症状 ディスカバリーおよびマッピングプロセスの最後に、サービスマッピングは Windows サーバーに対して「0x800706BA - RPC サーバーを利用できません」というエラーを表示します。

原因 ファイアウォールが MID サーバーからの RPC 呼び出しを通過させるように正しく構成されていません。一般に、RPC は広範囲のポートを使用します。MID サーバーはポート 135 で RPC 接続を開始しますが、接続が確立されると、1024 以上の範囲の任意のポートを使用します。

解決 ファイアウォールが RPC 呼び出しをブロックしていることを確認するには、次の手順を実行します。

MID サーバーで、次のコマンドを実行します。 wmic /NODE:target_server_ip_address /user:domain\user /password:xxxx cpu get 結果を確認します。RPC サーバーを利用できないというメッセージが表示された場合は、MID サーバーと Windows Server の間のファイアウォールが接続をブロックしていることを意味します。エラーメッセージが表示されない場合は、次の手順に進みます。 Windows Server に Windows ファイアウォールが組み込まれている場合は一時的に無効にし、MID サーバーから同じコマンドを実行します。 wmic /NODE:target_server_ip_address /user:domain\user /password:xxxx cpu get 成功メッセージが表示された場合は、組み込まれた Windows ファイアウォールを MID サーバーからの RPC 呼び出しを通過させるように設定する必要があります。

このプライベート ネットワークで外部ファイアウォールを使用している場合は、ネットワークアドミニストレーターにお問い合わせください。 サービスマッピングが関連するすべてのポートをリッスンしない 問題 サービスマッピングは、検出およびマップしようとする Windows サーバーのすべての関連ポートをリッスンするわけではありません。

症状 ディスカバリーおよびマッピングプロセスの最後に、サービスマッピングは Windows サーバーに対して「0x800706BA - RPC サーバーを利用できません」というエラーを表示します。

原因 Windows サーバーには複数の IP アドレスがあります。サービスマッピングが自動で IP アドレスのうちの 1 つのみを検出したため、ポートの全範囲をリッスンしていません。通常、サービスマッピングはアプリケーション ポートのみを検出してリッスンします。

解決 次の手順を実行します。

マップ上で、検出エラーメッセージを右クリックし、[ 管理 IP の追加 ] を選択します。 この Windows Server の IP アドレスを 1 つ選択します。 検出とマッピングのプロセスがエラーなしで完了したことを確認します。 Windows Server へのアクセスが拒否されました 問題 サービスマッピングは Windows Server にアクセスできません。

症状 ディスカバリーおよびマッピングプロセスの最後に、サービスマッピングは Windows サーバーに対して「0x80070005 – E_ACCESS_DENIED」というエラーを表示します。

考えられる原因 ServiceNow プラットフォームでこの Windows Server 用に構成された認証情報が間違っています。

解決 Windows Server のユーザー名とパスワードが正しいことを確認します。

リモートデスクトップ接続を使用して検出する必要がある Windows Server にログインします。 接続に失敗した場合、この Windows Server のユーザー名とパスワードが間違っています。正しい認証情報を見つけ、サービスマッピングドキュメントの説明に従って設定します。正常に接続した場合は、このトラブルシューティング手順を続行します。 考えられる原因 アクセス拒否エラーは、ユーザーがローカル管理者グループに含まれていない場合に表示されます。

解決 このユーザーがローカルアドミニストレーターグループに追加されていることを確認します。

考えられる原因 グローバルアクティベーションポリシーとコールポリシーを制御する EnableDCOM レジストリエントリは、MID サーバーまたは Windows Server で無効になっています。

解決 MID サーバーと Windows Server の両方で次の手順を実行し、両方のサーバーで DCOM が有効になっていることを確認します。

レジストリに移動します。 両方のコンピューターで次のレジストリ エントリを確認します。 キー:HKEY LOCAL MACHINE\Software\Microsoft\Ole 名前:EnableDCOM タイプ:REG_SZ データ:Y 考えられる原因 この Windows Server で WMI が無効になっているか、正しく構成されていません。

解決 次の手順を実行して、Windows Management Instrumentation (WMI) が有効になっていることを確認します。

Windows Server で、[ [>実行を開始] に移動します。 「wbemtest」と入力します。 Windows Management Instrumentation Tester アプリケーションが起動していることを確認します。その場合、WMI は有効です。 [Windows Management Instrumentation Tester] ウィンドウで、[ Connect ] をクリックします。 [コネクト] ウィンドウで、 [名前空間] と [認証情報] のデフォルト値のままにして、[C onnect ] をクリックします。 [ クエリ ] をクリックします。 [クエリー] ウィンドウで、WMI クエリーとして「*」を Win32_ComputerSystem から選択し、[ 適用 ] をクリックします。 コンピューター名の返信が届いたことを確認します。 考えられる原因 WMI 関連のサービスが無効になっています。

解決 すべての WMI 関連サービスをオンデマンドで開始できることを確認します。

Windows エクスプローラーで、 サーバー マネージャー に移動します。 ツリーで [構成] を選択し、 右クリック [WMI コントロール] を選択します そして [プロパティ] を選択します 。 [WMI コントロールのプロパティ] ウィンドウ で クリック セキュリティ ルートのフォルダをクリックし セキュリティ をクリックします。 [Security for Root] ウィンドウで、[ Advanced ] をクリックします。

Advanced Security Settings for Root ウィンドウで、 Administrators をダブルクリックします> ルートの権限エントリ ウィンドウで、すべてのチェックボックスが選択されていることを確認します。

サーバー マネージャー で 構成 > サービス を選択し、次のサービスの状態が無効になっていないことを確認します。 リモートアクセス自動接続マネージャー リモートアクセス接続マネージャー リモートプロシージャコール (RPC) リモート プロシージャ コール (RPC) ロケーター リモートレジストリ サーバー Windows Management インスツルメンテーション Windows Management インストルメンテーション ドライバー拡張機能 WMI パフォーマンス アダプタ サービスマッピングがコマンドの実行に失敗する 問題 場合によっては、サービス マッピングは WMI に接続できる可能性がありますが、netstat などのすべてのコマンドまたは特定のコマンドを実行できません。

考えられる原因 Windows Server の Administrators グループでは、既定の Windows インストールと比較して DCOM 権限が減っています。

解決 次の手順を実行します。

コマンドラインシェルで、「exe」と入力します。 [コンポーネントサービス] ウィンドウで [コンポーネントサービス] > [コンピューター] に移動します。 マイコンピュータ を右クリックし、 プロパティ を選択します。 COMセキュリティをクリックします Edit Limits をクリックします。 [アクセス許可] ウィンドウで、[ 追加 ] をクリックします。 [ユーザーまたはグループの選択] ウィンドウで、「分散 COM ユーザー」と入力し、 OK をクリックします。 [アクセス許可] ウィンドウで、[ 分散 COM ユーザー ] を選択し、次のアクセス許可が許可されていることを確認します。 ローカル起動 リモート起動 ローカルアクティベーション リモートアクティベーション 考えられる原因 サービスマッピングユーザーまたはこのユーザーが属するグループに対して、適切なセキュリティポリシーが正しく構成されていません。

解決 次の手順を実行します。

検出した Windows Server で [>実行を開始 をクリックし、「secpol.msc」と入力します。

[ローカルセキュリティポリシー] ウィンドウで、[ [セキュリティ設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動します。 マイコンピュータ を右クリックし、 プロパティ を選択します。 関連するポリシーを右クリックし、それらのポリシー用に構成されたサービスマッピングユーザーを確認します。必要に応じて、[ ユーザーまたはグループを追加 をクリックし、このポリシーにサービスマッピングユーザーを追加します。次のポリシーに対してこれを実行します。 プログラムのデバッグ ファイルとディレクトリの復元 バッチジョブとしてログオン サービスとしてログオン