Jaa


Forefront TMG 2010 のファイアウォール機能を一時的に無効化するには

こんにちは。日本マイクロソフトの伊藤です。

Forefront TMG 2010 や ISA Server 2004, 2006 をご利用のお客様から、ファイアウォールの機能を一時的に無効化したい、というご質問をいただくことがあります。
例えば、通信の失敗や遅延などの問題が発生した時に、TMG の影響かどうかを切り分けるための手段として、無効化を試したいという背景を良く聞きます。

なお、ファイアウォールを無効化するために下記のサービスを停止すると、逆に通信が拒否されますのでご注意ください。

Forefront TMG 2010 の場合
Microsoft Forefront TMG ファイアウォール サービス

ISA Server 2004, 2006 の場合
Microsoft Firewall サービス

具体的には、TMG や ISA が "ロックダウン モード" へ移行します。
ロックダウン モード中はシステム ポリシーで特に許可されない限り、着信方向の通信がすべて拒否されます。

(参考情報)
ロックダウンを回避するようにログを構成する
http://technet.microsoft.com/ja-jp/library/cc441592.aspx

正しいファイアウォール無効化 (= TMG の機能停止) の方法は、管理者権限にてコマンドプロンプトを開き、下記のコマンドを実行します。

> net stop fweng

本コマンドを実行すると、依存関係の設定された下記サービスも同時に停止します。

Forefront TMG 2010 の場合
Microsoft Forefront TMG ジョブ スケジューラ
Microsoft Forefront TMG Managed Control
Microsoft Forefront TMG ファイアウォール
Microsoft Forefront TMG コントロール

ISA Server 2004, 2006 の場合
Microsoft ISA Server Job Scheduler
Microsoft Firewall
Microsoft ISA Server Control

動作の確認が終わり、ファイアウォール機能を再開する場合には、下記のコマンドを実行します。

> net start fweng

その後、依存関係の設定されたサービスを個別に開始させて下さい。

(参考情報)
ISA Server 2006 Firewall Core
http://download.microsoft.com/download/e/7/6/e76fdda3-5c2c-4fbb-9c6f-3bcd0ed4b8ef/Firewall_Corewp.doc