Windows TIPS
[Network]
Tips   Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windows Server 2008/R2のRRASのNATでポート・マッピングを定義する

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2010/03/12
対象OS
Windows Server 2008
Windows Server 2008 R2
Windows Server 2008/R2でNAT機能を利用するには、「ネットワーク ポリシーとアクセス サービス」役割を追加後、RRASサービスのNAT機能を有効化させる。
NATの内側のネットワークに外部からアクセスするには、ポート・マッピングの定義を追加する。
ポート・マッピングのポート番号がRRASサーバ自身のサービス・ポート番号と衝突するのを避けるためには、着信ポートと発信ポートのいずれかのポート番号を変更する。

解説

 TIPS「Windows Server 2008/R2のRRASでNAT機能を有効にする」では、Windows Server 2008/Server 2008 R2にルーティングとリモート・アクセス(以下RRAS)の役割を導入して、2つ(以上)のネットワーク・インターフェイス間でNAT(ネットワーク・アドレス変換)を利用する方法を紹介した。この機能を利用すると、Server OSをルータとして利用できるようになるほか、Hyper-Vの内部ネットワークから外部(イントラネットやインターネット)へ、(仮想マシンのIPアドレスを隠ぺいしたまま)アクセスできるように設定したりできる。

 本TIPSではこのNAT機能の応用として、逆方向のポート・マッピングを許可する方法を紹介する。これはサービス(ポート)の公開ともいい、NATの外側のネットワークから、NATの内側にある特定のコンピュータの特定のポートへ接続できるようにするための機能である。内部ネットワークや仮想マシン上に置いたWebサーバを公開したり、サービス用のポート(Telnetや管理用ポートなど)を外側からアクセスできるようにする場合に利用する。

操作方法

NATタブでポート・マッピングを定義する

 RRASのNATでポート・マッピングを利用するためにはまずNAT環境を導入し、その後、ネットワーク・インターフェイスのプロパティでポート・マッピングを定義する。NATを導入する方法ついてはTIPS「Windows Server 2008/R2のRRASでNAT機能を有効にする」を参照していただきたい。簡単にまとめておくと、「ネットワーク ポリシーとアクセス サービス」役割を導入後(役割サービスとしては[ルーティングとリモート アクセス サービス]を選択しておく)、RRASサービスを起動し、さらにNATの内側と外側の2つのネットワークをNATのインターフェイスとして追加するだけである。ここでは、以下のようにNATが導入されているものとする。

RRASのNAT機能導入後の状態
2つのネットワーク・インターフェイス間でNATを行っている。
NATの設定を確認するにはこれを選択する。すると右側のペインにNATで使用されている2つ(以上)のネットワーク・インターフェイスが表示される。
NATの内側のネットワーク・インターフェイス名。このインターフェイスに属するネットワーク・アドレスは、すべてアドレス変換されて外部側()へ送信される。
NATの外側のネットワーク・インターフェイス名。内部側から外へ向けて送信されたパケットは、すべてこのインターフェイスを経由して外部とやりとりされる。
ポート・マッピングなどの設定を行うにはこれを選択する。

 この画面のうち、「外部側ネットワーク接続」がNATの外側のネットワークである。このプロパティを確認すると、次のようになっているはずである。

NATの外側のインターフェイスのプロパティ
これはNATの外側のネットワーク・インターフェイスのプロパティの状態。
このタブを選択する。
これが選択されていることを確認する。
このチェックボックスがオンになっているインターフェイスでNATによるアドレス/ポート番号変換が行われる。
ポート・マッピングを利用するにはこのタブを選択する。

 NATに対して外部からのポート・マッピングを利用(定義)するには、上の画面にある[サービスとポート]タブを選択する(このタブはNATの内側のインターフェイスでは表示されない)。[サービスとポート]タブを開くと次のようになっている。

NATにおけるポート・マッピングの定義
よく使われるサービスに関しては、あらかじめサービス名とポート番号が定義されているので、簡単にマッピングを追加できる。
リモート・デスクトップのポートに対してマッピングを追加するには、この行を選択する。
希望のサービスが定義されていない場合や、カスタマイズしたい場合はこれをクリックする。
マッピング先を追加/編集するにはこれをクリックする。

 ここでは例として、リモート・デスクトップ接続のポート(デフォルトではTCPの3389番)を特定のコンピュータにマッピングしてみよう。そのためには、この画面で[リモート デスクトップ]のチェックボックスをオンにするか、選択後に[編集]ボタンをクリックする。すると次のような画面が表示されるので、マッピング先(送信先)のコンピュータの情報を入力する。

リモート・デスクトップ接続のマッピング先情報の指定
ここでは「10.1.7.100」というコンピュータ(これはNATの内部ネットワーク側に存在するコンピュータのIPアドレス)に対するマッピングを追加している。この画面では、IPアドレス以外の情報は変更できない。
マッピング先のIPアドレスを指定する。プロトコルやポート番号は変更できない。

 IPアドレスの入力後、[OK]をクリックすると直ちにポート・マッピングが有効になる。この例では、このWindows Server 2008/Server 2008 R2コンピュータのリモート・デスクトップ接続のポート(TCPの3389番)に接続しようとすると、そのパケットは自動的にNATの内側のコンピュータ(この例では「10.1.7.100」)に送信される。その結果、外部側からNATの内側のコンピュータへ直接接続できるようになる。

 なお上の画面を見ても分かるように、マッピング先のコンピュータの指定は固定IPアドレスでのみ可能である。動的なIPアドレスを使っていると接続できなくなる可能性があるので、必要ならば固定IPアドレスを割り当てるか、DHCPで常に特定のIPアドレスを割り当てるように、DHCPの予約アドレスを定義しておく必要がある(TIPS「DHCPサーバで固定IPアドレスを割り当てる」参照)。

マッピングのカスタマイズ

 上の例ではあらかじめ用意されているサービスを使ってNATのポート・マッピングを行ったが、ポート番号の衝突を避けるためにポート番号をカスタマイズしたいことがある。

 例えば上の例ではリモート・デスクトップ接続のポート・マッピングを定義しているが、実際にこれを行うと、このNATを実行しているサーバ(Windows Server 2008/Server 2008 R2)に対するリモート・デスクトップ接続ができなくなってしまう。3389番に対する接続がマッピング先のコンピュータへ振り向けられるからだ。こういう場合は、例えば着信ポートの番号を変更してしまえばよい(例:3389番→13389番にする)。これならばサーバ自身のサービスには影響を与えることなく、ポート・マッピングが利用できる。

 ポート・マッピングするポート番号などをカスタマイズするには、先のNATのプロパティの画面で[追加]ボタンをクリックする。すると次のような画面が表示されるので、着信ポート番号や発信ポート番号などをセットする。

カスタム・ポート・マッピングの例
ここでは、リモート・デスクトップの接続ポート番号を変更したものを定義している。
サービス名は適当に付けておく。元のサービス名に近いものがよいだろう。
適切なプロトコルを選択する。
これはNATを実行しているサーバが着信を受けるポートの番号。3389番はサーバ自身のリモート・デスクトップ接続ポートなので、それを避け、ここでは13389番にしてみた。
マッピング先(パケットの送信先)のIPアドレス。固定IPアドレスしか指定できないので、常にこのIPアドレスになるようにクライアント側を設定しておくこと。
マッピング先のポート番号。リモート・デスクトップ接続の場合はTCPの3389番。

ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する

 ここでは着信ポート番号を変更しているが、この場合、サービスを利用する側(クライアント側)では接続ポート番号がデフォルトとは異なっているので注意する。ポート番号を変更してサービスを利用する方法は各アプリケーションごとに異なるが、例えばリモート・デスクトップ接続の場合は「server:13389」のように、サーバ名の直後にコロン記号(:)とポート番号を追加すればよい(関連記事参照)。コマンド・プロンプト上から利用する場合は「mstsc server:13389」のようにするだけだ。Webサーバなら「http://server/」を「http://server:10080」のように変更すればよい。

 なお、この例ではRRASサーバにおける着信ポート番号を変更しているが、マッピング先のコンピュータでサービスの着信ポート番号を変更する方法もある。その場合は、上の画面にある「発信ポート」の番号を変更する。これならば、クライアントから接続する場合にポート番号を変更する必要はない。End of Article

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間