2.3 保護ネットワークにわたるアクセスおよび通信の要件

2.3.1 ワークロードに関するアクセスおよび通信の要件

次の表では、PlateSpin Forgeを使用して保護するワークロードのソフトウェア、ネットワーク、およびファイアウォールの要件が示されています。

表 2-2 ワークロードに関するアクセスおよび通信の要件

ワークロードタイプ

前提条件

必要なポート

すべてのワークロード

ping (ICMPエコー要求と応答)機能。

 

Windowsのすべてのワークロード

.NEt Frameworkバージョン2.0以降

 

Windows 7、

Windows Server 2008、

Windows Vista

  • ビルトインAdministratorまたはドメインの管理者アカウント資格情報(ローカル管理者グループ内のメンバーシップのみでは不十分です)。Vistaの場合、アカウントを有効にする必要があります(デフォルトでは無効です)。

  • 次の受信規則が有効で[許可]に設定されたWindowsファイアウォール:

    • ファイルおよびプリンタ共有(エコー要求 - ICMPv4In)

    • ファイルおよびプリンタ共有(エコー要求 - ICMPv6In)

    • ファイルおよびプリンタ共有(NBデータグラム受信)

    • ファイルおよびプリンタ共有(NB名受信)

    • ファイルおよびプリンタ共有(NBセッション受信)

    • ファイルおよびプリンタ共有(SMB受信)

    • ファイルおよびプリンタ共有(スプーラサービス - RPC)

    • ファイルおよびプリンタ共有(スプーラサービス - RPC-EPMAP)

これらのファイアウォール設定は、セキュリティが強化されたWindowsファイアウォールユーティリティ(wf.msc)を使用して構成されます。基本的なWindows Firewallユーティリティ(firewall.cpl)を使用しても同じ結果を実現できます。例外のリストで[ファイルとプリンタの共有]項目を選択します。

TCP 3725

NetBIOS 137~139

SMB (TCP 139、445およびUDP 137、138)

TCP 135/445

Windows Server 2000、

Windows XP、

Windows NT 4

  • インストールされたWindows Management Instrumentation (WMI)

Windows NT Serverのデフォルトインストールには、WMIは含まれません。MicrosoftのWebサイトからWMI Coreを入手します。WMIがインストールされていない場合、ワークロードの検出が失敗します。

WMI (RPC/DCOM)では、TCPポート135および445に加えて、1024より大きいランダムまたはダイナミックに割り当てられたポートを使用できます。検出プロセス中に問題が発生した場合、DMZにワークロードを一時的に配置するか、またはファイアウォールが設定されたポートを検出プロセスに対してのみ一時的に開くことを検討します。

DCOMおよびRPCに対してポートの範囲を制限する方法など、追加情報については、次のMicrosoft技術情報記事を参照してください。

TCP 3725

NetBIOS 137~139

SMB (TCP 139、445およびUDP 137、138)

TCP 135/445

Linuxのすべてのワークロード

Secure Shell (SSH)サーバ

TCP 22、3725

2.3.2 NATを通じたパブリックおよびプライベートネットワーク経由の保護

場合によっては、ソース、ターゲット、またはPlateSpin Forge自体は、NAT(ネットワークアドレストランスレータ)の背後にある内部(プライベート)ネットワーク上にあり、保護中に相手先と通信できません。

PlateSpin Forgeは、次のホストのうちのどれがNATデバイスの背後にあるかに応じて、ユーザがこの問題に対応することができるようにします。

  • PlateSpin Forge Server: サーバのweb.config設定ファイルで、そのホストに割り当てられた追加IPアドレスを次の通り、記録します。PlateSpin Forge Serverの追加IPアドレスのパラメータ(NAT設定)を参照してください。

  • ソースのワークロード: フェールバック詳細(ワークロードをVMへ)の回復ワークロードに対して代替IPアドレスを指定することができる、フェールバックのみに対してサポートされます。

  • フェールバックターゲット: フェールバックターゲットを登録する場合は、検出/登録パラメータで、パブリック(または外部)IPアドレスを指定してください。