クライアント コンピューターの構成
ボリューム ライセンス認証管理ツール (VAMT) が正常に機能するためには、すべてのクライアント コンピューターで、次のように一部の構成を変更する必要があります。
クライアント コンピューターのファイアウォールで例外が設定されている必要があります。
ワークグループ内のコンピューターに対してレジストリ キーが作られ、適切に設定されている必要があります。設定されていない場合、Windows(R) ユーザー アカウント制御 (UAC) でリモート管理操作が許可されません。
VAMT を大規模に使う組織では、Windows のマスター イメージ内でこれらの変更を実行しておくと便利です。
重要
この手順は、Windows Vista(R) 以降が実行されているクライアントにのみ該当します。Windows XP Service Pack 1 が実行されているクライアントについては、Windows ファイアウォールを通過する接続に関するページをご覧ください。
VAMT のアクセスを許可する Windows ファイアウォールの構成
コントロール パネルの [Windows ファイアウォール] を使って、VAMT がクライアント コンピューターにアクセスできるようにします。
コントロール パネルを開き、[システムとセキュリティ] をダブルクリックします。
[Windows ファイアウォール] をクリックします。
[Windows ファイアウォールを介したプログラムまたは機能を許可する] をクリックします。
[設定の変更] オプションをクリックします。
[Windows Management Instrumentation (WMI)] チェック ボックスをオンにします。
[OK] をクリックします。
警告
既定では、Windows ファイアウォール例外は、ローカル サブネットが送信元のトラフィックにのみ適用されます。例外が複数のサブネットに適用されるように拡張するには、以下で説明するように、セキュリティが強化された Windows ファイアウォールの例外設定を変更する必要があります。
複数のサブネットにわたる VAMT アクセスを許可する Windows ファイアウォール構成
コントロール パネルの [セキュリティが強化された Windows ファイアウォール] を使って、VAMT が複数のサブネットにわたるクライアント コンピューターにアクセスできるようにします。
.gif "VAMT - 複数のサブネットのファイアウォール構成")
コントロール パネルを開き、[管理ツール] をダブルクリックします。
[セキュリティが強化された Windows ファイアウォール] をクリックします。
適用されるネットワーク プロファイル (ドメイン、パブリック、プライベート) の、次の 3 種類の各 WMI 項目について、手順 a. から c. に示すように変更します。
Windows Management Instrumentation (非同期受信)
Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)
[セキュリティが強化された Windows ファイアウォール] ダイアログ ボックスの左側のパネルの [受信の規則] を選びます。
使う規則を右クリックし、[プロパティ] をクリックして、[プロパティ] ダイアログ ボックスを開きます。
[全般] タブ、[接続を許可する] チェック ボックスをオンにします。
[スコープ] タブで、[リモート IP アドレス] 設定を "ローカル サブネット" (既定値) から変更し、必要な特定のアクセスを許可します。
[詳細設定] タブで、ネットワークに対して適用するプロファイル (ドメイン、プライベート、またはパブリック) がすべて選ばれていることを確認します。
一部のシナリオでは、TCP/IP ポートの一部のみで、ハードウェア ファイアウォールの通過が許可されます。管理者は、WMI (RPC over TCP/IP に依存します) にこれらの種類のファイアウォールの通過が許可されるようにする必要があります。既定では、WMI ポートは 1024 より大きい数字のポートにランダムに動的に割り当てられます。以下に示す Microsoft サポート技術情報の記事では、動的に割り当てられるポートの範囲を管理者が制限する方法について説明しています。これは、たとえば、ハードウェア ファイアウォールで特定の範囲のポートのトラフィックのみが許可される場合に使うことができます。
ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法について詳しくは、「ファイアウォールで動作するように RPC の動的ポート割り当てを構成する方法」をご覧ください。
ワークグループに追加されているコンピューターに VAMT がアクセスできるようにするレジストリ値の作成
注意
このセクションには、レジストリの変更方法に関する情報が含まれます。レジストリを変更する前に、バックアップを必ず実行してください。また、問題が発生した場合のレジストリの復元方法を調べておいてください。レジストリをバックアップ、復元、変更する方法について詳しくは、Microsoft サポート技術情報の記事「上級ユーザー向けの Windows レジストリ情報」をご覧ください。
クライアント コンピューターで regedit.exe を使って、次のレジストリ キーを作ります。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\systemに移動します。次のように設定します。
値の名前: LocalAccountTokenFilterPolicy
種類: DWORD
値のデータ: 1
注意
VAMT で管理できるワークグループ内の Windows コンピューターを検出するには、各クライアントでネットワーク探索を有効にしておく必要があります。
展開オプション
組織で、コンピューターに対して WMI ファイアウォール例外を構成する場合、いくつかのオプションがあります。
イメージ: すべてのクライアントに展開するマスター Windows イメージに構成を追加します。
グループ ポリシー: クライアントがドメインに追加されている場合は、グループ ポリシーを使って、すべてのクライアントを構成できます。WMI ファイアウォール例外に関するグループ ポリシーの設定は GPMC.MSC (Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Inbound Rules) にあります。
スクリプト: Microsoft System Center Configuration Manager またはサードパーティのリモート スクリプト実行機能を使ってスクリプトを実行します。
手動: 各クライアントに対して個別に WMI ファイアウォール例外を構成します。
上記の構成を行うと、対象とするコンピューターの Windows ファイアウォールで追加ポートが開かれます。この構成は、ネットワーク ファイアウォールで保護されているコンピューター上で実行する必要があります。VAMT を使って、ライセンスの最新の状態を照会できるように、WMI 例外を維持する必要があります。管理者が WMI 例外を作る場合は、ネットワーク セキュリティ ポリシーを詳しく検討し、明確な決定を下すことをお勧めします。