Help and Support

文書番号: 313562 - 最終更新日: 2006年2月6日 - リビジョン: 2.1

[HOWTO] 境界領域のネットワーク上で Web サーバーを公開する方法

対象製品

目次

すべて展開する | すべて折りたたむ

概要

Microsoft Internet Security and Acceleration (ISA) Server を構成して、内部ネットワーク上の Web サーバーを公開することやパケット フィルタを使用することができます。パケット フィルタを使用するように ISA Server を構成することにより、Web 要求は境界領域のネットワーク (非武装地帯 (DMZ) とも呼ばれます) 上の Web サーバーを通過できるようになります。 この資料では、3 つのネットワークに接続された ISA Server を使用して、境界領域上の Web サーバーを公開する方法について説明します。3 つのネットワークに接続されたコンピュータとは、3 つのネットワーク アダプタが装着されているコンピュータのことを指します。

先頭へ戻る

境界領域のネットワークのアドレスを構成する

境界領域のネットワーク上の Web サーバーを公開するには、境界領域のネットワーク上のコンピュータに対してパブリック IP アドレスの範囲を割り当てる必要があります。IP アドレスを割り当てるには、次の方法のいずれかを使用します。

方法 1 :

境界領域のネットワーク上のコンピュータに対して、別のパブリック IP アドレスの範囲を割り当てます。

方法 2 :

パブリック IP アドレスの範囲をサブネットに分割します。外部ネットワーク上のコンピュータと境界領域のネットワーク上のコンピュータとの間で、IP アドレスを分割します。

: 各サブネットが別のネットワークとして認識されるように、アップストリーム用のルーターを構成する必要もあります。

IP アドレスをサブネットに分割する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
269098? (http://support.microsoft.com/kb/269098/ ) Windows 2000 でサブネットを構成する方法
方法 3 :

NAT (ネットワーク アドレス変換) ルーターの内側にある ISA Server を構成する場合は、プライベート IP アドレスの範囲を境界領域のネットワーク上のコンピュータに割り当てることができます。ISA Server では、これらのアドレスは外部 IP アドレスまたはパブリック IP アドレスと見なされます。

たとえば、以下のサンプルの図にあるネットワークは、次のようなネットワーク構成になっています。
  • IP アドレスは、ISA Server コンピュータのネットワーク インターフェイスに割り当てられています。
  • パブリック ネットワーク インターフェイスと境界領域のネットワーク インターフェイスに割り当てられているサブネット マスクは 255.255.255.128 です。
  • ISP (Internet Service Provider) ルーターは、次の 2 つのサブネットで構成されています。
    • 172.16.16.0、サブネット マスク 255.255.255.128 (ローカル)
    • 172.16.16.128、サブネット マスク 255.255.255.128 (172.16.16.4 にルーティング)
サンプル : 
   ISP ルーター --- 172.16.16.4 - ISA Server - 192.168.0.1 --- LAT
                                  |
                              172.16.16.130
                                  |
                                  |
                              境界領域のネットワーク
先頭へ戻る

DNS エントリを確認する

NAT ルーターの内側で ISA Server をインストールし、境界領域のネットワークでプライベート アドレスの範囲を使用するには、インターネットからアクセス可能な DNS サーバーで、Web サーバーの A リソース レコードまたは CNAME リソース レコードを、NAT ルーターの外部ネットワーク インターフェイスの IP アドレスに解決するように構成する必要があります。この場合、ISA Server コンピュータの外部ネットワーク インターフェイスに、この IP アドレスを割り当てる必要があります。

: 独自に管理している外部 DNS サーバーがない場合は、DNS の構成についてインターネット サービス プロバイダ (ISP) に問い合わせてください。 DNS サーバーの設定方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
172953? (http://support.microsoft.com/kb/172953/ ) Microsoft DNS Server のインストールおよび設定方法
308201? (http://support.microsoft.com/kb/308201/ ) [HOW TO] DNS サーバー上に新しいゾーンを作成する方法
先頭へ戻る

ISA Server のパケット フィルタを構成する

ISA Server コンピュータでパケット フィルタを構成するには、次の手順を実行します。
  1. ISA Server コンピュータに管理者としてログオンします。
  2. ISA の管理を開始します。
  3. ISA の管理のコンソール ツリーで、[サーバーとアレイ]、ISA Server コンピュータの名前、[アクセス ポリシー] の順にクリックし、[IP パケット フィルタ] を右クリックし、[プロパティ] をクリックします。
  4. [パケット フィルタを有効にする] チェック ボックスをオンにします。
  5. [IP ルーティングを有効にする] チェック ボックスをオンにします。

    注意 : IP ルーティングを有効にする場合は、パケット フィルタも有効にする必要があります。IP ルーティングを有効にして、パケット フィルタを有効にしないと、すべてのパケットはフィルタされずに宛先のアドレスに自動的に転送されます。このイベントの順序では、ISA Server のファイアウォール保護はバイパスされます。
  6. アタックの検出を有効にする場合は、[アタックの検出を有効にする] チェック ボックスをオンにします。
  7. [パケット フィルタ] タブをクリックして、以下の設定を行います。
    • フラグメント化された IP パケットを拒否 (破棄) するように ISA Server を構成するには、[IP フラグメントのフィルタを有効にする] チェック ボックスをオンにします。IP フラグメントをフィルタすることによって、フラグメント化された IP パケットを元に戻す処理の悪用を防止できますが、ストリーミング メディア接続によっては処理速度が低下する場合があります。
    • source-route (始点経路制御) オプションを悪用した処理 (戻りパケットの経路を差し替えるなど) から保護するには、[IP オプションのフィルタを有効にする] チェック ボックスをオンにします。
    • 転送に成功したパケットをログに出力するには、[許可フィルタからのパケットをログに記録する] チェック ボックスをオンにします。このオプションを使用すると、パケット フィルタのオプションの問題をトラブルシューティングできます。

      : このオプションは、プロセッサのリソースやディスクのリソースを大量に使用します。
  8. [アタックの検出] タブで、ISA Server で検出と応答を行うアタックのチェック ボックスをオンにします。
  9. [適用] をクリックし、[OK] をクリックします。
先頭へ戻る

外部 Web サーバーに対するパケット フィルタを構成する

境界領域のネットワーク上の Web サーバーに対するパケット フィルタを構成するには、次の手順を実行します。
  1. ISA Server コンピュータに管理者としてログオンします。
  2. ISA の管理を開始します。
  3. ISA の管理のコンソール ツリーで、[サーバーとアレイ]、ISA Server コンピュータの名前、[アクセス ポリシー]、[IP パケット フィルタ] の順にクリックします。
  4. [パケット フィルタの作成] をクリックします。
  5. [IP パケット フィルタの名前] ボックスに、適切な名前を入力します。たとえば、Web プロトコル フィルタと入力します。[次へ] をクリックします。
  6. [パケット転送を許可するフィルタ] チェック ボックスがオンになっていることを確認して、[次へ] をクリックします。
  7. [定義済みのフィルタ] をクリックし、[定義済みフィルタ] ボックスの一覧の [HTTP サーバー (ポート 80)] をクリックして、[次へ] をクリックします。
  8. [指定したコンピュータ (境界領域のネットワーク上)] をクリックし、境界領域のネットワーク上の Web サーバーの IP アドレスを入力して、[次へ] をクリックします。
  9. [すべてのリモート コンピュータ] をクリックし、[次へ] をクリックします。
  10. 構成内容が正しいことを確認して、[完了] をクリックします。
先頭へ戻る

Web サーバーでルーティングを構成する

Web サーバーで、ISA Server コンピュータの、境界領域のネットワークに接続しているネットワーク アダプタの IP アドレスに対するデフォルト ゲートウェイを設定します。
  1. 管理者として Web サーバーにログオンします。
  2. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  3. [ネットワークとダイヤルアップ接続] をダブルクリックします。
  4. [ローカル エリア接続] アイコンを右クリックして、[プロパティ] をクリックします。

    : 複数のローカル エリア接続がある場合は、ISA Server コンピュータへの接続に使用する接続を右クリックします。
  5. コンポーネントの一覧で、[インターネット プロトコル (TCP/IP)] をクリックして、[プロパティ] をクリックします。
  6. [デフォルト ゲートウェイ] ボックスに、このアダプタで接続している ISA Server コンピュータのネットワーク インターフェイスの IP アドレスを入力します。
  7. [OK] をクリックして、再度 [OK] をクリックし、[ネットワークとダイヤルアップ接続] ウィンドウを閉じます。
先頭へ戻る

トラブルシューティング

  • 境界領域のネットワーク上にあるコンピュータの IP アドレスがローカル アドレス テーブル (LAT) に含まれていないことを確認する

    LAT を表示するには、次の手順を実行します。
    1. ISA Server コンピュータに管理者としてログオンします。
    2. ISA の管理を開始します。
    3. ISA の管理のコンソール ツリーで、[サーバーとアレイ]、ISA Server コンピュータの名前、[ネットワークの構成]、[ローカル アドレス テーブル (LAT)] の順にクリックします。
    4. 詳細ウィンドウに、IP アドレスが一覧表示されるのを確認します。ISA Server では、これらのアドレスが内部ネットワークの一部と見なされます。
    5. この設定を変更するには、IP アドレスの範囲をダブルクリックします。内部ネットワークに含める IP アドレスだけが IP アドレスの範囲に含まれるように構成し、[OK] をクリックします。
  • IPSec (Internet Protocol security) や Kerberos 認証が使用できない

    境界領域のネットワークでプライベート ネットワーク アドレスを使用する場合、IPSec や Kerberos 認証は使用できません。



先頭へ戻る

関連情報

Microsoft Internet Security and Acceleration (ISA) Server のその他のヘルプ情報とサポートについては、次の Web サイトを参照してください。
http://www.microsoft.com/japan/isaserver/ (http://www.microsoft.com/japan/isaserver/)
http://www.isaserver.org/ (http://www.isaserver.org/)
Windows 2000 を Web サーバーとして設定する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
308192? (http://support.microsoft.com/kb/308192/ ) [HOWTO] Windows 2000 を Web サーバーとして構成する方法
ネットワーク アダプタの IP アドレスの変更方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
308199? (http://support.microsoft.com/kb/308199/ ) [HOW TO] ネットワーク アダプタの IP アドレスを変更する方法
先頭へ戻る

用語集

  • 内部ネットワーク インターフェイス : ISA Server コンピュータのネットワーク アダプタのうち、ファイアウォールに保護されている (ファイアウォールの内側にある) 部分に接続されている方のアダプタです。このネットワーク セグメントのコンピュータは、ISA Server ファイアウォールの保護対象と見なされます。
  • 外部ネットワーク インターフェイス : ISA Server コンピュータのネットワーク アダプタのうち、インターネットまたは保護対象と見なされていないネットワークに接続されている方のアダプタです。このネットワーク セグメントのコンピュータは、ISA Server ファイアウォールでは保護されません。
  • 境界領域のネットワークまたは非武装地帯 (DMZ) : 外部の保護対象でないネットワークと内部の保護対象のネットワークの間に存在するネットワークです。






先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
先頭へ戻る
キーワード:?
kbhowto kbhowtomaster KB313562
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Get Help Now

Contact a support professional by E-mail, Online, or Phone

サポート技術情報の翻訳