ネットワーク接続が中断されて復元されると、WSFC の Windows ファイアウォール規則によって UDP 通信がブロックされる
この記事では、ネットワーク接続が中断されて復元されたときに、WSFC の Windows ファイアウォール規則によって UDP 通信がブロックされる問題の解決策について説明します。
適用対象: Windows Server 2012 R2
元の KB 番号: 2701206
現象
Windows Server 2008 R2 環境では、ネットワークへの接続が中断されて復元されると、受信 UDP 通信がブロックされる可能性があります。 この状況では、受信 TCP と ICMP 通信もブロックされる可能性があります。
この問題は、Windows ファイアウォールによって受信 UDP 通信が有効になっている場合に発生します。 この問題の影響を受ける可能性のあるサービスの 1 つは、Windows Server フェールオーバー クラスタリング (WSFC) です。 ハートビート通信 (UDP 3343) は既定で有効にできますが、通信がブロックされる可能性があります。 この問題が発生すると、フェールオーバー クラスター マネージャーの通信の状態が "到達不能" と表示されます。
注:
Windows ファイアウォールの受信 UDP 通信設定は、次の規則から参照できます。
[セキュリティが強化された Windows ファイアウォール] - [受信規則]
原因
この問題は、Windows ファイアウォールの問題が原因で発生します。 Windows ファイアウォールがプロファイルを再読み込みすると、ネットワークへの接続が中断され、復元されます。 この場合、意図しないルールによって、クラスターで必要な通信ポートがブロックされる可能性があります。
解決策 1: netsh コマンドを使用する
管理者特権のコマンド プロンプトで次 netsh
のコマンドを実行します。
netsh advfirewall firewall show rule "Failover Clusters (UDP-In)"
netsh advfirewall firewall set rule "Failover Clusters (UDP-In)" new enable=no
netsh advfirewall firewall show rule "Failover Clusters (UDP-In)"
注:
- この方法を使用すると、クラスター サービスが停止することがあります。 そのため、可能な場合は、この方法を開始する前にクラスター サービスを停止し、他の手順を完了した後にクラスター サービスを再起動する必要があります。
- この方法を使用すると、"フェールオーバー クラスター (UDP-in)" ルールも無効になります。
- クラスター サービスでは、起動時に UDP のファイアウォール ポートを設定してノード通信を有効にします。
解決策 2: 高度なセキュリティ アドインで Windows ファイアウォールを使用する
"セキュリティが強化された Windows ファイアウォール" Microsoft 管理コンソール アドインを実行します。 これを行うには、次の手順を実行します。
- [スタート] をクリックし、[プログラムとファイルの検索] ボックスに「wf.msc」と入力し、[プログラム] の [wf.msc] をクリックします。
- [ 受信規則] をクリックします。
- [フェールオーバー クラスター (UDP-In)] 規則を見つけて選択します。
- フェールオーバー クラスター (UDP-In) 規則を無効または削除します。
注:
- この方法を使用すると、クラスター サービスが停止することがあります。 そのため、可能な場合は、この方法を開始する前にクラスター サービスを停止し、他の手順を完了した後にクラスター サービスを再起動する必要があります。
- この方法を使用すると、"フェールオーバー クラスター (UDP-in)" ルールも無効になります。
- クラスター サービスでは、起動時に UDP のファイアウォール ポートを設定してノード通信を有効にします。
解決策 3: ネットワーク リスト サービスを無効にする
Network List Service サービスを無効にするには、次の手順に従います。
- [スタート] をクリックし、[プログラムとファイルの検索] ボックスに「services」と入力し、Enter キーを押します。
- [サービス (ローカル)] の [名前] 列で、[ネットワーク リスト サービス] を右クリックし、[プロパティ] をクリックします。
- [ 全般 ] タブで、[ スタートアップの種類 ] ボックスを [無効] に設定します。
- [OK の適用>]をクリックします。
- コンピューターを再起動します。
注:
ネットワーク リスト サービスを無効にする前に、このアクションによって次の変更が行われると考える必要があります。
- 既定では、Windows ファイアウォールによって [パブリック プロファイル] が選択されます。 そのため、ドメイン プロファイルまたはプライベート プロファイルに設定されている規則をパブリック プロファイルに追加する必要があります。
- ネットワーク共有センターには、プロファイルの種類やネットワーク接続の状態は表示されません。
- ネットワーク接続アイコンが Windows タスク バーに表示されなくなりました。
ネットワーク リスト サービスを切断した後に発生する変更は、ネットワーク情報の表示に制限されます。 システムの動作には影響しません。
状態
Microsoft は、これが Windows ファイアウォールの既知の問題であることを確認しました。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示