Windowsファイアウォールの問題
最終更新日: 17 年 2023 月 XNUMX 日リモートWMIを許可するようにWindowsファイアウォールを構成する
リモートコンピューターからデータを取得する場合、WMIはDCOM接続を確立する必要があります。 Windowsファイアウォールがデフォルト設定で実行されている場合、この接続は許可されません。 リモートWMIがファイアウォールを通過できるようにするには、監視対象のコンピューターで、次に概説する一連の手順のXNUMXつを実行します。
コマンドラインシェルの使用
コマンドラインシェルを使用してファイアウォールを介したリモートWMIを許可するには:
- Windowsのバージョンに応じて、次のいずれかのコマンドを入力します。
netsh firewall set service RemoteAdmin enable
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
グループポリシーエディタを使用する
グループポリシーエディターを使用してファイアウォールを介したリモートWMIを許可するには、次の手順を実行して、監視対象のコンピューターで[リモート管理を許可する]を有効にします。
- [ローカルコンピューターポリシー]見出しの下で、[コンピューターの構成]をダブルクリックします。
- [管理用テンプレート]、[ネットワーク]、[ネットワーク接続]、[Windowsファイアウォール]の順にダブルクリックします。
- コンピューターがドメイン内にある場合は、[ドメインプロファイル]をダブルクリックします。 それ以外の場合は、[標準プロファイル]をダブルクリックします。
- [Windowsファイアウォール:リモート管理の例外を許可する]をクリックします。
- [アクション]メニューで、[プロパティ]を選択します。
- [有効にする]をクリックし、[OK]をクリックします。
- 見る Windowsファイアウォールを介した接続
外部ファイアウォールを介した接続
監視業界では、通常、WMIを介して外部ファイアウォールを介してリモートWindowsコンピューターに接続することはお勧めしません。 むしろ、ファイアウォールまたはNATデバイスによって分離されたネットワーク内の異なるセキュリティゾーンがあり、これらの制限からホストが除外されていない場合は、ファイアウォールまたはNATデバイスの両側にXNUMXつずつ、複数のコレクターをインストールして、それらのゾーンを適切に。
外部ファイアウォールを介して接続することが推奨されない理由は、ホストをポート範囲に制限するように構成する必要があるためです。 このカスタマイズは、管理上の負担を生み出すだけでなく、他のアプリケーションがWMIに依存しているが使用可能なポートが制限されている場合、ポートの枯渇につながる可能性があります。これにより、それらのアプリケーションやLogicMonitorでさえデータを参照または収集できなくなる可能性があります。 さらに、カスタマイズが行われているため、問題が発生した場合、トラブルシューティングサポートを提供するLogicMonitorの機能が制限される可能性があります。
そうは言っても、ファイアウォールで保護されているコレクターからWindowsホストを監視しようとする場合は、DCOMが機能することを確認する必要があります。 NATは実行されていません。 それは可能ですが、この構成では多くのデータなしアラートが表示され、監視の信頼性が低下する可能性があるため、いくつかのリスクを受け入れています。