Windows ファイヤーウォール の設定によって iSCSI の通信が制限される

現象
iSCSI イニシエーターになっているシステムの Windows ファイアウォールのプロファイルで、送信接続をブロックしている場合、送信の規則において「iSCSI サービス(TCP 送信)」のルールが有効になっていても、Windows ファイアウォールの動作によって iSCSI ターゲットと iSCSI イニシエーター間の通信が制限されます。

この結果、iSCSI イニシエーターは iSCSI ターゲットに対する接続に失敗します。

イベント ビューアーのシステム ログには以下のイベントが記録されます。

ソース: iScsiPrt 
イベント ID: 20
レベル: エラー
説明: ターゲットへの接続が失われました。イニシエーターは接続を再試行します。

ソース: iScsiPrt
イベント ID: 1
レベル: エラー
説明: イニシエーターはターゲットへの接続に失敗しました。ダンプ データにターゲット IP アドレスと TCP ポート番号が示されています。

原因
Windows ファイアウォールの送信の規則 「iSCSI サービス(TCP 送信)」では、Microsoft iSCSI Initiator Service (MSiSCSI) サービスの通信のみが許可されるよう構成されています。
Microsoft iSCSI Initiator Service (MSiSCSI) サービスを提供する svchost.exe のプロセスによって iSCSI ターゲットに接続が行われた場合、接続は成功します。

しかし、 iSCSI イニシエーターは svchost.exe のプロセスでは無く、SYSTEM のプロセスによる通信も行います。
この場合、Windows ファイアウォールによって送信接続をブロックしている場合、規則に当てはまらない通信であると判断されるため、通信は制限され、iSCSI ターゲットとの通信に失敗します。


回避策
Windows ファイアウォールの送信の規則に SYSTEM プロセスによるリモート システムの 3260 ポートへの接続を許可する規則を追加します。


「セキュリティが強化された Windows ファイアウォール」スナップインを使って設定する場合:
  1. 管理者権限を持つユーザーでシステムにログオンします。
  2. [スタート] メニュー - [管理ツール] - [セキュリティが強化された Windows ファイアウォール] を開きます。
  3. 左側ペインで [送信の規則] を右クリックし、[新しい規則] を選択します。
    新規の送信の規則ウイザードが開始されます。
  4. 規則の種類 にて [カスタム] を選択し、[次へ] をクリックします。
  5. プログラム にて [このプログラムのパス] を選択し、パスの入力欄に 「SYSTEM」 と入力して、 [次へ] をクリックします。
  6. プロトコルおよびポート にて プロトコルの種類で [TCP] を選択します。
     リモート ポート で [特定のポート]を選択し、ポート番号の入力欄に  「3260」  を設定して、[次へ] をクリックします。
  7. スコープ は既定のまま、[次へ] をクリックします。
  8. 操作 にて [接続を許可する] を選択し、[次へ] をクリックします。
  9. プロファイル にて、規則を適用するプロファイルを選択して [次へ] をクリックします。
  10. 名前 にて、規則を判別するための任意を名前を設定して [次へ] をクリックします。

コマンドで設定する場合:
  1. 管理者権限を持つユーザーでコマンド プロンプトを起動します。
  2. 以下のコマンドラインを実行します。

    netsh advfirewall firewall add rule name="iSCSI" dir=out program=SYSTEM action=allow protocol=tcp remoteport=3260 profile=any

    このコマンドでは全てのプロファイルに対して規則を追加します。特定のプロファイルにのみ追加する場合には、 profile=any を profile=domain (ドメイン プロファイルの場合) などに変更します。

状況
マイクロソフトでは、この問題について現在調査中です。詳細については、分かり次第この資料に掲載する予定です。 
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2739879 - 最終更新日: 09/20/2016 10:49:00 - リビジョン: 2.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbfirewall KB2739879
フィードバック