Windows Media 9 シリーズ - ファイアウォール情報

ファイアウォール情報

Windows Media ストリームの配信と受信に問題があれば、ファイアウォールで追加ポートを開く必要があります。このドキュメントではファイアウォールや Windows Media がファイアウォールと対話する方法について手短かに説明して、ファイアウォール設定のヒントを示します。

一般的プロトコルとファイアウォール情報
ファイアウォールは、指定されたネットワークにデータパケットが入出力するのを防止するハードウェアまたはソフトウェアです。トラフィックの流れを制御するため、ファイアウォール内の番号付きポートはパケットの種類によって開閉されます。ファイアウォールは発着信する各パケットについて、パケットが送信されるプロトコルと送信されるポート番号という 2 つの情報を調査します。受信側のポートで指定されたプロトコルを受け付けるようにファイアウォールが設定されていると、パケットは通過を許可されます。

トップに戻る

Windows Media とファイアウォール
通常 Windows Media は、広範囲のポートを使って UDP/IP でストリームします (ポート番号については後述を参照)。 Microsoft はこの結果生まれるセキュリティ問題を認識しているので、Windows Media がポート (1755) だけで TCP/IP でストリーミングできるようにしました。 Windows Media は「既知」以外のポートを閉じているサイト (クライアント) に対しては、HTTP でポート 80 でストリームできます。

メモ Windows Media サービスからの HTTP ストリーミングは、標準では無効です。

Windows Media テクノロジは従来 NetShow と呼ばれていました。一部のファイアウォールはあらかじめ NetShow に設定済みですが、これは Windows Media でも有効です。

Windows Media ファイルにポートを割り当てる際には、ポート番号に対応したすべての UDP/TCP ポートを開く必要があります。下のドキュメントにあるポート番号範囲は、利用可能なポートの全体です。一般に実際に割り当てられるポート番号ははるかに少なくなっています。

トップに戻る

Windows Media 用のファイアウォール設定
Windows Media に適合したファイアウォールを設定する場合、以下の主要な 5 つのシナリオを検討する必要があります:

下の例のインポートは、ファイアウォールを通過するためにサーバーが使用するポートです。アウトポートは、サーバーと通信するために Microsoft Windows Media Player その他のクライアントが使用するポートです。ポートの割り当ては 1024 から 5000 の範囲でランダムです。

トップに戻る

サーバーからファイアウォールの背後にあるクライアントへ
以下にユーザーがファイアウォールの背後にある Windows Media Player を使ってファイアウォールの外側にある Windows Media サーバーにアクセスできるようにするファイアウォール設定を示します:

	UDP による ASF のストリーミングアウト: TCP、ポート 1755 アウト: UDP、ポート 1755 イン: UDP、ポート 1024-5000 (必要なポート数のみ開く)
	TCP による ASF のストリーミングイン/アウト: TCP、ポート 1755
	HTTP による ASF のストリーミングイン/アウト: TCP、ポート 80

トップに戻る

ファイアウォールの背後にあるサーバーからクライアントへ
以下のファイアウォール設定では、ユーザーはファイアウォールの外側にある Windows Media Player を使ってファイアウォールの背後にある Windows Media サーバーにアクセスできます:

	UDP による ASF のストリーミングイン: TCP、ポート 1755 イン: UDP、ポート 1755 アウト: UDP、ポート 1024-5000 (必要なポート数のみ開く)
	TCP による ASF のストリーミングイン/アウト: TCP、ポート 1755
	HTTP による ASF のストリーミングイン/アウト: TCP、ポート 80

トップに戻る

エンコーダからファイアウォールの背後にあるサーバーへ/サーバーからファイアウォールを越えてサーバーへ
以下のファイアウォール設定では、ユーザーはファイアウォールの外側にある Windows Media エンコーダを使ってファイアウォールの背後にある Windows Media サーバーにアクセスできます:

プロトコル: MSBD
イン/アウト: TCP、ポート 7007
エンコーダとサーバー間の通信について、別のポートを指定できます。標準ポートは 7007 ですが、Windows Media エンコーダの [アウトプット] ダイアログボックスでは、ほかのフリーポートを選択できます。またボタンを押すとエンコーダは別のポートを選択できます。別のポートを選択した場合、ステーションをセットアップする際にサーバーでは同じポートを指定する必要があります。

トップに戻る

DCOM 用のファイアウォールとレジストリ設定
DCOM は、プロセスごとにポートを動的に割り当てます。 DCOM プロセスに割り当てるポートの数を決定する必要があります。その数は、ファイアウォールを通して同時に可能な DCOM プロセスの数となります。選択したポート番号に対応したすべての UDP/TCP ポートを開く必要があります。また TCP/UDP 135 を開く必要があります。これは特に RPC エンドポイントマッピングに使用されます。さらに予約済みポートを DCOM に通知するため、レジストリを編集する必要があります。これには HKEY_LOCAL_MACHINES\Software\Microsoft\Rpc\Internet レジストリキーを使用します。このキーは、レジストリエディタを使用して作成する必要があります。

以下に、ポート範囲を 10 ポートに制限するため DCOM に通知する例を示します:

指定された値: ポート
タイプ: REG_MULTI_SZ
設定: ポートの範囲は以下のようになります:
3001-3010
135

指定された値: PortsInternetAvailable
タイプ: REG_SZ
設定: "Y"

指定された値: UseInternetPorts
タイプ: REG_SZ
設定: "Y"

このレジストリ設定は、以下に示すすべてのファイアウォール設定の他に設定する必要があります。

トップに戻る

アドミニストレータからファイアウォールの背後にあるクライアントへ
以下のファイアウォール設定では、ユーザーはファイアウォールの外側にある Windows Media アドミニストレータを使ってファイアウォールの背後にある Windows Media サーバーにアクセスできます:

	プロトコル: HTTP イン/アウト: TCP、ポート 80
	プロトコル: DCOM イン: TCP、ポート 135 TCP/UDP、ポート 135 を開く必要があります。このポートは、 Windows Media サーバーからクライアントおよびサーバーからエンコーダへの最初の通信、ならびに主要プロセスに使用されます。この初期通信に使用されるプロトコルは DCOM です。

トップに戻る

IP マルチキャスト
IP マルチキャストを経由した Windows Media ストリーミングを有効にするには、単に標準のクラス D IP アドレス (224.0.0.0 から 239.255.255.255) のトラフィックだけ有効にします。このドキュメントを書いている時点で、ほとんどのルータの IP マルチキャストは無効になっています。現在メディアストリームは圧縮されていて、望ましくないマルチキャストトラフィックを除去する規格が実施されているので、Microsoft は大手ルータベンダと共にこれを逆にするように作業中です。 Windows Media がサポートしている IGMP プロトコルは、クライアントが要求した際にマルチキャストトラフィックだけネットワークを通過するようにします。 Windows Media ストリームは大幅に圧縮されているので 1 台のモデム接続の帯域幅だけ使用します。そして一般的なビデオストリームが 10base-T ネットワークの 30% をしめる場合、ルータベンダはルータの標準を IP マルチキャストを無効に戻すようにしています。

以下のファイアウォール設定は、IP マルチキャストを有効にします:

マルチキャストによる ASF のストリーミング
IP マルチキャストアドレス範囲: 224.0.0.1 ～ 239.255.255.255
IP マルチキャストを有効にするには、ファイアウォールを通過する送信パケットのアドレスを上述の標準 IP マルチキャストアドレス範囲にする必要があります。この IP マルチキャストアドレス範囲は、すべての介在するルータとクライアント側およびサーバー側の両方で使用可能にする必要があります。

トップに戻る