CATEGORY ： コラム ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法 2008/03/02 Sun ﾄﾗｯｸﾊﾞｯｸ ： ｺﾒﾝﾄ ： 0 ページの先頭

shutdown.exeでリモートからシャットダウンさせる為には、ファイアウォールでポートを開放しなければいけません。
ただ、shutdown.exeで使用されるリモート プロシージャ コール (RPC) の動的ポート割り当ては、DHCP (Dynamic Host Configuration Protocol) マネージャ、Windows インターネット ネーム サービス (WINS) マネージャなどのリモート管理アプリケーションによって使用されます。RPC の動的ポート割り当てでは、RPC プログラムによって 1024 より大きな特定のランダム ポートが使用されます。

ファイアウォールを使用しているユーザーは、RPC で使用するポートを制御することによって、ファイアウォール ルーターでこれらの TCP (Transmission Control Protocol) ポートのみが転送されるように構成することができます。

簡単に説明すると、まずリモート プロシージャ コール (RPC)の元TCP135ポートへ接続した後、動的に割り当てられた1024以上のわからないポートを使用して、このコマンドは、実行されます。
このわからないポートというのが曲者で、ポートが指定できないと、ファイアウォールの設定が出来ないので、動的に割り当てられるポートの範囲を指定してファイアウォールの設定ができるようにすれば、使用できますよ。って事です。

設定方法

以下で説明する値 (および Internet キー) は、レジストリに含まれていません。レジストリ エディタを使用して手動で追加する必要があります。また、REG_MULTI_SZ 値を追加する場合は、Regedit.exe ではなく Regedt32.exe を使用する必要があります。

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとしま す。レジストリの変更は、自己の責任において行ってください。

RPC に関する以下のパラメータは、レジストリ エディタを使用して変更することができます。以下に説明する RPC ポートに関連する値はすべて、レジストリ内の次のキーにあります。

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type

Ports (REG_MULTI_SZ)

インターネットから使用できるすべてのポートを含む IP ポートの範囲、またはインターネットから使用できないすべてのポートを含む IP ポートの範囲を指定します。単一のポート ("5984" など) またはポートの範囲 ("5000 ～ 5100" など) を文字列で指定します。指定した文字列の表す数字が 0 ～ 65535 の範囲にない場合、または解釈できない文字列がある場合、RPC ランタイムにより、構成全体が無効なものとして処理されます。

PortsInternetAvailable (REG_SZ) : Y または N (大文字小文字は区別されません)

Y の場合、Ports キーで指定したポートは、そのコンピュータ上でインターネットから使用できるすべてのポートを示します。N の場合、Ports キーで指定したポートは、インターネットから使用できないすべてのポートを示します。

UseInternetPorts (REG_SZ) : Y または N (大文字小文字は区別されません)

システムのデフォルトのポリシーを指定します。

Y の場合、デフォルト値を使用するプロセスには、事前の定義に従って、インターネットから使用できるポートのセットからポートが割り当てられます。

N の場合、デフォルト値を使用するプロセスには、イントラネット専用ポートのセットからポートが割り当てられます。

以下に例を示します。

1.	以下のキーに Internet キーを追加します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
2.	Internet キーの下に、Ports 値 (REG_MULTI_SZ)、PortsInternetAvailable 値 (REG_SZ)、および UseInternetPorts 値 (REG_SZ) を追加します。 次の例で、ポート 5000 ～ 5100 は、新しいレジストリ キーがどのように設定されるかを示すために任意に選択されています。たとえば、新しいレジストリ キーは次のように表示されます。 Ports (REG_MULTI_SZ) : 5000-5100 PortsInternetAvailable (REG_SZ) : Y UseInternetPorts (REG_SZ) : Y
3.	サーバーを再起動す ると、RPC の動的ポート割り当てを使用するすべてのアプリケーションが、5000 ～ 5100 の範囲のポートを使用するようになります。ほとんどの環境では、これらの RPC ポートに依存して相互に通信するシステム サービスが複数あるため、少なくとも 100 のポートを開く必要があります。

開くポートの範囲には、5000 番より上のポートを指定します。5000 番より下のポート番号は、他のアプリケーションによって既に使用されている場合があり、DCOM アプリケーションとの競合を引き起こす可能性があります。また、これらの RPC ポートに依存して相互に通信するシステム サービスが複数あるため、少なくとも 100 のポートを開く必要があることが経験上わかっています。

注 : ポートの最小数は、コンピュータの構成に応じて、コンピュータ間で異なる場合があります。