Windows Server 2003 で ISA ファイアウォールを使用して企業からインターネットに接続する方法

文書翻訳 文書翻訳
文書番号: 323387 - 対象製品
この記事は、以前は次の ID で公開されていました: JP323387
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

概要

この資料では、255 台までのワークステーションを使用する小規模な企業内の Windows ベースの既存ネットワークで、Internet Security Acceleration (ISA) Server のファイアウォールで保護されたサービスを使用してコンピュータをインターネットに接続する方法について説明します。

ISA Server をインストールする

ISA のファイアウォールをインストールするには、2 つのネットワーク アダプタを搭載したコンピュータが必要です。これらのアダプタの一方を内部ネットワークに接続し、もう一方のアダプタをインターネット サービス プロバイダ (ISP) に接続します。この接続のサポートは ISP から受けることができます。ファイアウォールは、内部ネットワーク (イントラネット) とインターネットの間のセキュリティ バリアとして機能し、インターネット上の他のユーザーがイントラネットやコンピュータに格納されている機密情報にアクセスできないようにします。

インストールを計画する

  • ISA Server Standard Edition は、スタンドアロン コンピュータ、Microsoft Windows NT ドメインに所属するコンピュータ、または Active Directory ドメインに所属するコンピュータで実行できます。
  • 最大限のセキュリティを確保するには、スタンドアロン コンピュータで ISA Server を実行します。
  • ネットワーク アダプタの構成では、インターネットへの外部インターフェイスを設定した後に、Windows ベースのネットワークへの内部インターフェイスを設定します。
  • ISP から提供されている静的 IP アドレス、サブネット マスク、デフォルト ゲートウェイおよび DNS (ドメイン ネーム システム) サーバーを、ISP に接続するアダプタの TCP/IP 設定に入力します。一部の ISP では、DHCP (動的ホスト構成プロトコル) を使用してこの情報を割り当てますが、この場合も適切に動作します。
  • 内部ネットワーク側の内部アダプタには、固定アドレスとそれに応じたサブネット マスクが必要です (内部インターフェイスでは DHCP を使用しないでください)。このアダプタのデフォルト ゲートウェイは必ず空欄にします。ISA Server に必要なデフォルト ゲートウェイは 1 つです。デフォルト ゲートウェイは、外部インターフェイス上に構成します。内部アダプタにデフォルト ゲートウェイを構成すると、ISA が正常に機能しなくなります。

サーバーのネットワーク アダプタを構成する

  1. [スタート] ボタンをクリックし、[コントロール パネル] をポイントして、[ネットワーク接続] をダブルクリックします。
  2. 使用するインターネット接続を右クリックし、[名前の変更] をクリックして、Internet connection と入力します。

    これにより、どちらのネットワーク カードがインターネットに接続されているかがわかりやすくなります。
  3. [Internet connection] を右クリックし、[プロパティ] をクリックします。
  4. [全般] タブで、[接続時に通知領域にインジケータを表示する] チェック ボックスをオンにします。

    このインターフェイスでデータを転送すると、タスク バー上の小さなアイコンが点滅します。
  5. [Microsoft ネットワーク用クライアント] および [Microsoft ネットワーク用ファイルとプリンタ共有] チェック ボックスをオフにします。

    ISA Server はこれらのプロトコルを自動的にブロックしますが、これらのチェック ボックスをオフにしておくと、メモリを節約できます。
  6. [インターネット プロトコル (TCP/IP)] をダブルクリックし、次のいずれかの操作を行います。
    • DHCP を使用して ISP から IP アドレスを割り当てる場合は、[インターネット プロトコル (TCP/IP) のプロパティ] の [IP アドレスを自動的に取得する] および [DNS サーバーのアドレスを自動的に取得する] をクリックします。手順 7. に進みます。
    • ISP から提供された IP アドレス情報を手作業で入力する必要がある場合は、[インターネット プロトコル (TCP/IP) のプロパティ] ダイアログ ボックスの [次の IP アドレスを使う] をクリックし、ISP から提供された IP アドレス、サブネット マスクおよびデフォルト ゲートウェイの情報を入力します。[次の DNS サーバーのアドレスを使う] をクリックし、ISP が提供する DNS サーバーのアドレスを 1 つ以上入力します。
  7. [詳細設定] をクリックし、[DNS] タブをクリックします。[この接続のアドレスを DNS に登録する] チェック ボックスをオフにします。
  8. 次に、[WINS] タブをクリックします。[NetBIOS 設定] の [NetBIOS over TCP/IP を無効にする] をクリックします。

内部ネットワークへの内部インターフェイスを構成する

  1. [スタート] ボタンをクリックし、[コントロール パネル] をポイントして、[ネットワーク接続] をクリックします。
  2. 使用中のローカル エリア接続を右クリックし、[名前の変更] をクリックして、Local network と入力します。
  3. [Local network] を右クリックし、[プロパティ] をクリックします。
  4. [全般] タブの [接続時に通知領域にインジケータを表示する] チェック ボックスをオンにします。
  5. [Microsoft ネットワーク用クライアント] および [Microsoft ネットワーク用ファイルとプリンタ共有] チェック ボックスがオフの場合は、オンにします。
  6. [インターネット プロトコル (TCP/IP)] をダブルクリックし、[次の IP アドレスを使う] をクリックします。
  7. [IP アドレス] ボックスに、内部ネットワークのアドレス設定に合った内部 IP アドレスおよびサブネット マスクを入力します。[デフォルト ゲートウェイ] ボックスは空欄にしておきます。[優先 DNS サーバー] ボックスに、ネットワークの DNS サーバーの IP アドレスを入力します。

    : 255 台までのコンピュータが接続された小規模なネットワークでは、Windows 2000 のデフォルトの TCP/IP 構成を使用していて、ネットワーク内に DNS サーバーがない場合、自動プライベート アドレス指定 (APIPA) によって IP アドレスがコンピュータに割り当てられます。マイクロソフトでは、APIPA の使用をやめ、クライアント ワークステーションで静的アドレスを使用することを推奨します。ネットワーク内のコンピュータには、それぞれ一意の IP アドレスが必要です。ISA Server の内部インターフェイスには静的アドレスを入力する必要があります。アドレスに 192.168.0.254、サブネット マスクに 255.255.255.0 を使用して構成します。[デフォルト ゲートウェイ] ボックスを空欄にしておきます。[DNS サーバー] ボックスに ISP の DNS サーバーのアドレスを入力します。

    ここから、各クライアントで静的アドレスを構成します。
    1. 最初のコンピュータでは、アドレスに 192.168.0.1、サブネット マスクに 255.255.255.0、デフォルト ゲートウェイに 192.168.0.254 を使用します。DNS には、ISP の DNS サーバーのアドレスを 1 つ以上入力します。
    2. 2 台目のコンピュータでは、IP アドレスに 192.168.0.2 を使用する以外は、上記の手順と同じ値を使用します。アドレス以外の値は常に同じにし、アドレスについてはコンピュータごとに 1 つずつ大きな値を使用します。それぞれのコンピュータで使用したアドレスの一覧を作成しておきます。
  8. 画面の指示に従って、コンピュータを再起動します。

Microsoft Internet Security and Acceleration Server をインストールする

ISA Server セットアップ ウィザードを使用する

  1. エクスプローラで、CD-ROM ドライブをダブルクリックして開きます。

    : 挿入の自動通知機能を無効にしていない場合は、ISA Server セットアップ ウィザードが自動的に開始されます。ウィザードが自動的に開始されない場合は、CD-ROM のルート ディレクトリに移動し、ISAAutorun.exe ファイルをダブルクリックして実行します。[ISA Server のインストール] をクリックして手順を開始します。
  2. 最初の画面で [継続] をクリックします。該当するボックスにプロダクト ID を入力します。この番号は、CD-ROM ケースの背面に記載されています。
  3. 使用許諾契約書をよく読んだ後、[同意します] をクリックします。
  4. インストールの種類として [標準インストール] をクリックします。これにより、ISA サービスおよび管理ツールがインストールされます。
  5. [ファイアウォール モード] をクリックし、[続行] をクリックします。ISA によって、コンピュータ上の関連サービスが停止されます。
  6. ISA のローカル アドレス テーブル (LAT) を構成します。LAT を構成する際には、十分な注意が必要です。LAT を構築する、またはインストーラ ウィザードを使用するという 2 つの選択肢があります。以下の条件に基づいて選択します。
    • 内部ネットワークで使用しているサブネットがわかる場合は、ここに入力します。

      注意 : [テーブルの作成] はクリックしないでください。クリックすると、入力した LAT の情報が上書きされます。
    • ローカル サブネットが不明な場合は、[テーブルの作成] をクリックします。ISA セットアップ ウィザードにより、コンピュータのルーティング テーブルに基づいてローカル サブネットが決定されます。
      • [プライベート アドレス 10.x.x.x、192.168.x.x、172.16.x.x - 172.31.x.x と 169.254.x.x を追加する] チェック ボックスがオフの場合は、オンにします。
      • [Windows 2000 ルーティング テーブルに基づいたアドレス範囲を追加する] チェック ボックスがオフの場合は、オンにします。
      • サーバーの外部 (インターネット) インターフェイスに対応するサブネットを含むチェック ボックスをオフにします。
      • サーバーの内部 (LAN) インターフェイスに対応するサブネットを含むチェック ボックスをオンにします。
  7. セットアップが完了したら、ISA Server の簡易設定ウィザードを開始し、これ以降の説明をよく読んでから、このウィザードを完了します。
ISA Server のインストール後の状態では、インターネットとのアクセスはすべてブロックされています。ここではファイアウォールの設定を行っているので、これは適切な状態です。ファイアウォールの主な機能は、2 つのネットワーク間のチェック ポイントとして動作することです。ISA Server の動作は、ポリシーで特に許可されていないアクセスをすべてブロックすることです。

ISA Server のインストール後の状態を構成する

アクセス ポリシーの以下の 2 つのコンポーネントを構成し、クライアントからインターネットにアクセスできるようにします。次の説明に目を通してください。
  • サイトとコンテンツ ルールを 1 つ以上構成する必要があります。このルールでは、ユーザーがアクセス可能な場所と読み込み可能なコンテンツの種類を指定します。
  • プロトコル ルールを 1 つ以上構成する必要があります。このルールでは、ISA Server 経由で許可されるトラフィックの種類を指定します。
インストール後、デフォルトのサイトとコンテンツ ルールが作成されます。この時点では、すべてのクライアントがすべてのサイトの全コンテンツにいつでもアクセスできるようになっています。しかし、まだプロトコル ルールを定義していないため、ユーザーがインターネット サーフィンを開始するには十分ではありません。プロトコル ルールが定義されていない場合、どのトラフィックも ISA 経由で許可されません。

簡易設定ウィザード

  1. 簡易設定ウィザードの [プロトコル ルールの構成] をクリックします。Microsoft 管理コンソール (MMC) に、プロトコル ルールの一覧が表示されます。
  2. [プロトコル ルールの作成] をクリックします。All protocols などの名前を入力します。
  3. [ルールの動作] ページの [許可する] をクリックします (これがデフォルトです)。
  4. [プロトコル] ページの [このルールの適用先] ボックスで [すべての IP トラフィック] をクリックします (これがデフォルトです)。
  5. [スケジュール] ページの [常時] をクリックします (これがデフォルトです)。
  6. [クライアントの種類] ページの [すべての要求] をクリックします (これがデフォルトです)。
  7. [完了] をクリックします。

ユーザーのインターネット接続の方法に関するポリシーを作成する

ISA Server には、全クライアントがすべての (定義済み) プロトコルを使用してすべてのサイトのコンテンツにいつでもアクセスできるようにする以外にも、数多くの機能があります。ISA では、ユーザーがどのようにインターネットにアクセスできるかを正確に定義するアクセス ポリシーを作成できます。

ISA のアクセス ポリシーは、以下の 3 つの要素から構成されています。
  • サイトとコンテンツ ルール
  • プロトコル ルール
  • IP パケット フィルタ
また、これらのルールは以下のポリシー要素から構成されます。
  • スケジュール
  • 宛先セット
  • クライアント アドレス セット
  • プロトコルの定義
  • コンテンツ グループ
ISA ポリシーで複雑な設定を行う前に、依存関係を理解しておく必要があります。以下の表は、どのポリシー要素がどのポリシー ルールに属するかを示しています。
元に戻す全体を表示する
サイトとコンテンツ ルール プロトコル ルール
宛先セット プロトコルの定義
コンテンツ グループ スケジュール
スケジュール クライアント アドレス セット
クライアント アドレス セット

ISA コンピュータからインターネットにアクセスする

ISA コンピュータ自体からインターネットにアクセスする場合を考えます。実際に ISA コンピュータを使用し、特定の Web サイトにアクセスする場合、作成したプロトコル ルールおよびサイトとコンテンツ ルールは、ISA サーバーのクライアントにのみ適用されます。クライアントからインターネットにアクセスする場合、ルールで要求が許可されていれば、ISA によって接続要求に必要な動的パケット フィルタが作成されます。しかし、ISA コンピュータを操作しているときにインターネットにアクセスする場合、生成するトラフィックの種類に応じて、静的パケット フィルタを作成する必要があります。たとえば、Web サイトにアクセスするには、以下の手順を実行します。
  1. ISA の管理で、[サーバー]、[server-name] の順に展開し、[アクセス ポリシー]、[IP パケット フィルタ] の順にクリックします。
  2. [パケット フィルタの作成] をクリックし、ウィザードを開始します。
  3. パケット フィルタの名前として Web access と入力します。
  4. [パケット転送を許可するフィルタ] をクリックし、[次へ] をクリックして、[カスタム フィルタ] をクリックします。
  5. [IP プロトコル] ボックスの [TCP] をクリックします。[方向] ボックスの [発信]、[ローカル ポート] ボックスの [すべてのポート]、[リモート ポート] ボックスの [特定のポート] をそれぞれクリックします。[ポート番号] ボックスに 80 と入力します。
  6. [ISA Server コンピュータの各外部インターフェイスの既定 IP アドレス] をクリックします。
  7. [すべてのリモート コンピュータ] をクリックします。
これで ISA サーバーから Web サイトにアクセスできます。また、多くの Web サーバーでは SSL プロトコルも使用されるため、手順 3. で名前に SSL access を使用し、手順 5. で (80 の代わりに) 443 を使用して、上記の手順を繰り返し、IP パケット フィルタを追加することをお勧めします。さらに他のプロトコルを許可するには、同じ手順に従い、手順 3. で適切な名前を使用して、手順 5. で適切な値を入力します。

トラブルシューティング

最も一般的な問題として、ポリシー要素、ポリシー ルールおよびパケット フィルタの間の相互作用を十分に理解していないことが挙げられます。この資料の「ユーザーのインターネット接続の方法に関するポリシーを作成する」の手順に従って最初に作成した汎用のアクセス ポリシーを使用する以外の操作を実行する場合には、「Microsoft Internet Security and Acceleration Server をインストールする」の内容を十分に理解するようにしてください。さらに、Microsoft Internet Security and Acceleration Server のオンライン ヘルプをよく読んでください。いくつかのポリシーを作成したら、テストを行います。また、ISA Server の用語とコンポーネントの相互作用について理解すれば、アクセス ポリシーについても理解しやすくなります。

: ISA Server が LAT と外部との間で接続をダイレクトすることはありません。許可するアクセスを記述したポリシーを作成する必要があります。

関連情報

ISA Server のトラブルシューティングについては、Microsoft Internet Security and Acceleration Server のオンライン ヘルプを参照してください。

プロパティ

文書番号: 323387 - 最終更新日: 2014年2月27日 - リビジョン: 7.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbnosurvey kbarchive kbhowto kbhowtomaster kbnetwork KB323387
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com