Windows Server 2008: 移行後にネットワーク通信障害?

この記事は2013年1月29日に書かれたものです。内容が古い可能性がありますのでご注意ください。


Windows Server 2003に比べ、Windows Server 2008では、多種多様な機能が増えており、それらを意識していて意外と気が付かない仕様変更:

「ダイナミックポートの割当範囲が変更されています。」

Windows Server 2003 ダイナミックポート範囲: 1025 ~ 5000
Windows Server 2008 ダイナミックポート範囲: 49152 ~ 65535

 

MS参照:http://support.microsoft.com/kb/929851/ja

気が付かないまま無事に移行が無事に行く現場も多いと思いますが、セキュリティが堅い現場だと、この仕様変更による問題にぶつかると可能性が高いと思います。 移行を経験していないファイアウォール系のサーバ/ネットワーク管理者でも、この仕様変更は「ウォ~ィ」と唸るはずです。

 

ダイナミックポートは、アプリケーション通信の際に自動で割り振られる範囲です。

で、この設定範囲が大きく変動すると、何が問題かというと、セキュリティの堅い社内ネットワークだと、この高いポート番号による通信を弾くように設定されているのです。

こんな高いポート番号を使うサービスなんて早々に無いかと思うと・・・

(上記セキュリティが高くても障害になっていると気が付かないケースもあるかも)

 

私はAD関連のRCP通信でこの問題に直面しましたが、意外とDFSR、ASP、クラスタ関連などの通信もこのダイナミックポートを使ったりするのです。

(厄介なのが、ほとんどが主サービス影響範囲じゃないので、構築直後は気が付かないケースもある)

MS参照:http://support.microsoft.com/kb/832017/ja

 

RODCだ「イェイ」、HyperVだ「ウォー」、DFSRだ「ワーイ」、IISだ「ギャー」と騒いでいる裏で・・・

「ウォ~イ、ポート番が飛びすぎだろぉ~」という仕様です。

ま、以下のコマンドでポート範囲を2003と同一にすればアクセスリスト問題は解決です。

netsh int ipv4 set dynamicport tcp start=1025 num=3975
netsh int ipv4 set dynamicport udp start=1025 num=3975

(要サーバ再起動、「イェーイ・・・」)

 

By T.S

  • このエントリーをはてなブックマークに追加

PAGE TOP