すべてのWindowsシステム管理者が2019年に知っておくべきことですが、 「Windowsファイアウォール」サービスはWindowsネットワークスタックの重要なコンポーネントであり、決して停止して無効にすることはできません ;トラフィックをWindowsサーバーとの間でやり取りする正しい方法は、ファイアウォールを設定して、何も通過させるが、実際にはWindowsファイアウォールサービスを停止しないことです。実際、これはMicrosoftによってサポートされていないだけでなく、あらゆる種類の奇妙なネットワークの問題を引き起こす可能性があります。
これは、 ドキュメント で(ある程度)明示的に言及されています:
サービスを停止してWindowsファイアウォールを無効にしないでください。代わりに、前述の手順のいずれか(または同等のグループポリシー設定)を使用してファイアウォールをオフにします。 [...]セキュリティが強化されたWindowsファイアウォールに関連付けられたサービスの停止は、Microsoftではサポートされていません。
さて、以前のシステム管理者がWindowsファイアウォールサービスを無効にすることは良い考えであると考えていたサーバーがたくさんあります。再アクティブ化する必要がありますが、再アクティブ化するとすぐに、システムへのネットワーク接続が失われます(もちろん、RDPなどを許可するようにWindowsファイアウォールを実際に構成する必要がないため)。また、GUIまたはnetsh
を使用して、サービスを再起動する前にWindowsファイアウォールの構成を手動で変更することもできません。どちらのツールも、Windowsファイアウォールサービスが停止していると文句を言うため、何も構成できません。
これまでのところ、実行可能な唯一のアプローチは、これらのサーバーの物理(OK、仮想)コンソールを使用してWindowsファイアウォールサービスを再度有効にし、適切なファイアウォール例外を設定する(またはすべてのトラフィックを完全に許可する)ことでした。ただし、これは、多数のシステムの場合、または実際にコンソールにアクセスできない場合には実行できません。
すべて(または一部)の着信接続を受け入れるようにWindowsファイアウォールを構成するにはどうすればよいですかサービスがダウンしていて再起動する前?
それは本当にばかげた考えかもしれませんが、サービスを再起動した後にnetshを介して作成する必要があるルールがわかっている場合は、スクリプトを作成してみませんか? Windowsファイアウォールサービスを開始するスクリプトを記述します。次のコマンドは、すべてを許可するnetshです(少なくともRDPを使用して、リモートでリモートから調整できるようになります)。
別の方法は、グループポリシーを使用して、必要なファイアウォール設定を事前に構成することです。サーバーがドメインメンバーではない場合でも、ローカルグループポリシーを使用できます。
ただし、このシナリオで設定がすぐに開始されるかどうかはわかりません。それらは、次のグループポリシーの更新時にのみ有効になる場合があります。もちろん、ファイアウォールを起動してグループポリシーを更新するスクリプトを作成することもできます。