| [Network] | |||||||||||
Windows Server 2008/R2のRRASのNATでポート・マッピングを定義する
|
|||||||||||
|
|||||||||||
| 解説 |
TIPS「Windows Server 2008/R2のRRASでNAT機能を有効にする」では、Windows Server 2008/Server 2008 R2にルーティングとリモート・アクセス(以下RRAS)の役割を導入して、2つ(以上)のネットワーク・インターフェイス間でNAT(ネットワーク・アドレス変換)を利用する方法を紹介した。この機能を利用すると、Server OSをルータとして利用できるようになるほか、Hyper-Vの内部ネットワークから外部(イントラネットやインターネット)へ、(仮想マシンのIPアドレスを隠ぺいしたまま)アクセスできるように設定したりできる。
本TIPSではこのNAT機能の応用として、逆方向のポート・マッピングを許可する方法を紹介する。これはサービス(ポート)の公開ともいい、NATの外側のネットワークから、NATの内側にある特定のコンピュータの特定のポートへ接続できるようにするための機能である。内部ネットワークや仮想マシン上に置いたWebサーバを公開したり、サービス用のポート(Telnetや管理用ポートなど)を外側からアクセスできるようにする場合に利用する。
| 操作方法 |
NATタブでポート・マッピングを定義する
RRASのNATでポート・マッピングを利用するためにはまずNAT環境を導入し、その後、ネットワーク・インターフェイスのプロパティでポート・マッピングを定義する。NATを導入する方法ついてはTIPS「Windows Server 2008/R2のRRASでNAT機能を有効にする」を参照していただきたい。簡単にまとめておくと、「ネットワーク ポリシーとアクセス サービス」役割を導入後(役割サービスとしては[ルーティングとリモート アクセス サービス]を選択しておく)、RRASサービスを起動し、さらにNATの内側と外側の2つのネットワークをNATのインターフェイスとして追加するだけである。ここでは、以下のようにNATが導入されているものとする。
 |
||||||||||||
| RRASのNAT機能導入後の状態 | ||||||||||||
| 2つのネットワーク・インターフェイス間でNATを行っている。 | ||||||||||||
|
)へ送信される。
この画面のうち、「外部側ネットワーク接続」がNATの外側のネットワークである。このプロパティを確認すると、次のようになっているはずである。
 |
||||||||||||
| NATの外側のインターフェイスのプロパティ | ||||||||||||
| これはNATの外側のネットワーク・インターフェイスのプロパティの状態。 | ||||||||||||
|
NATに対して外部からのポート・マッピングを利用(定義)するには、上の画面にある[サービスとポート]タブを選択する(このタブはNATの内側のインターフェイスでは表示されない)。[サービスとポート]タブを開くと次のようになっている。
 |
|||||||||
| NATにおけるポート・マッピングの定義 | |||||||||
| よく使われるサービスに関しては、あらかじめサービス名とポート番号が定義されているので、簡単にマッピングを追加できる。 | |||||||||
|
ここでは例として、リモート・デスクトップ接続のポート(デフォルトではTCPの3389番)を特定のコンピュータにマッピングしてみよう。そのためには、この画面で[リモート デスクトップ]のチェックボックスをオンにするか、選択後に[編集]ボタンをクリックする。すると次のような画面が表示されるので、マッピング先(送信先)のコンピュータの情報を入力する。
 |
|||
| リモート・デスクトップ接続のマッピング先情報の指定 | |||
| ここでは「10.1.7.100」というコンピュータ(これはNATの内部ネットワーク側に存在するコンピュータのIPアドレス)に対するマッピングを追加している。この画面では、IPアドレス以外の情報は変更できない。 | |||
|
IPアドレスの入力後、[OK]をクリックすると直ちにポート・マッピングが有効になる。この例では、このWindows Server 2008/Server 2008 R2コンピュータのリモート・デスクトップ接続のポート(TCPの3389番)に接続しようとすると、そのパケットは自動的にNATの内側のコンピュータ(この例では「10.1.7.100」)に送信される。その結果、外部側からNATの内側のコンピュータへ直接接続できるようになる。
なお上の画面を見ても分かるように、マッピング先のコンピュータの指定は固定IPアドレスでのみ可能である。動的なIPアドレスを使っていると接続できなくなる可能性があるので、必要ならば固定IPアドレスを割り当てるか、DHCPで常に特定のIPアドレスを割り当てるように、DHCPの予約アドレスを定義しておく必要がある(TIPS「DHCPサーバで固定IPアドレスを割り当てる」参照)。
マッピングのカスタマイズ
上の例ではあらかじめ用意されているサービスを使ってNATのポート・マッピングを行ったが、ポート番号の衝突を避けるためにポート番号をカスタマイズしたいことがある。
例えば上の例ではリモート・デスクトップ接続のポート・マッピングを定義しているが、実際にこれを行うと、このNATを実行しているサーバ(Windows Server 2008/Server 2008 R2)に対するリモート・デスクトップ接続ができなくなってしまう。3389番に対する接続がマッピング先のコンピュータへ振り向けられるからだ。こういう場合は、例えば着信ポートの番号を変更してしまえばよい(例:3389番→13389番にする)。これならばサーバ自身のサービスには影響を与えることなく、ポート・マッピングが利用できる。
ポート・マッピングするポート番号などをカスタマイズするには、先のNATのプロパティの画面で[追加]ボタンをクリックする。すると次のような画面が表示されるので、着信ポート番号や発信ポート番号などをセットする。
 |
|||||||||||||||
| カスタム・ポート・マッピングの例 | |||||||||||||||
| ここでは、リモート・デスクトップの接続ポート番号を変更したものを定義している。 | |||||||||||||||
|
|
ここでは着信ポート番号を変更しているが、この場合、サービスを利用する側(クライアント側)では接続ポート番号がデフォルトとは異なっているので注意する。ポート番号を変更してサービスを利用する方法は各アプリケーションごとに異なるが、例えばリモート・デスクトップ接続の場合は「server:13389」のように、サーバ名の直後にコロン記号(:)とポート番号を追加すればよい(関連記事参照)。コマンド・プロンプト上から利用する場合は「mstsc server:13389」のようにするだけだ。Webサーバなら「http://server/」を「http://server:10080」のように変更すればよい。
なお、この例ではRRASサーバにおける着信ポート番号を変更しているが、マッピング先のコンピュータでサービスの着信ポート番号を変更する方法もある。その場合は、上の画面にある「発信ポート」の番号を変更する。これならば、クライアントから接続する場合にポート番号を変更する必要はない。
|
||||||||||||||||||||||||||||
 |
「Windows TIPS」 |
TechTargetジャパン
- フォルダの名前が変更できない不具合を解消する (2012/5/25)
Windows 7のエクスプローラで画像ファイルやPDFが含まれるフォルダの名前が変更できなかったり、削除できなかったりする不具合の解消方法を解説する - 通信相手のMACアドレスを調べる近隣探索プロトコル (2012/5/24)
イーサネットで通信する場合、相手のMACアドレスが分からないとパケットを送信できない。ARPに代わるIPv6の近隣探索機能とは? - 第316話 ネット対応トイレ (2012/5/22)
毎日用をたすだけで、体温に体重、血圧、体脂肪率も計測して、尿検査、便検査も自動で実施、データはネット経由で医師に送られます - 私物のスマートフォンを業務に活用、「BYOD」って何? (2012/5/21)
私物のスマホやノートPCを組織的に業務に活用する「BYOD」が新たなトレンドとして注目されている。なぜいまBYODなのか? BYODのメリットとデメリットは?
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。