管理対象 Firebox は、常に Management Server に接続できるようになっている必要があります。Management Server コンピュータ の IP アドレスを変更した場合、または Gateway Firebox の外部インターフェイス上の IP アドレスを変更した場合は、管理対象クライアントデバイスは Management Server と接続できなくなります。Management Server の IP アドレスを変更した場合、ゲートウェイ Firebox 構成の Management Server の IP アドレス、証明書失効リスト (CRL) 配布先、および Management Server の管理対象デバイスで指定された IP アドレスを変更する必要があります。
CRL 配布先 IP アドレスとは、Management Server が管理する Firebox に設定する IP アドレスのことです。それから、管理対象クライアント デバイスはこの IP アドレスを使用して Management Server に接続します。CRL 配布先 IP アドレスは管理対象クライアントが Management Server に接続するために使用する外部 IP アドレスと同じでなければいけません。
Management Server がプライベート IP アドレスを持つ場合は、CRL 配布先 IP アドレスは Gateway Firebox の外部ンターフェースの IP アドレスです。Management Server がゲートウェイ Firebox の配下になく、パブリック IP アドレスを持つ場合、CRL 配布先 IP アドレスはManagement Serverのパブリック外部 IP アドレスです。
ゲートウェイ Firebox の IP アドレスを変更する場合、Management Server および 管理対象デバイスの IP アドレスも新しい IP アドレスに更新する必要があります。この手順については、次を参照してください: Management Server を新ゲートウェイ Firebox アドレスに更新する。
Management Server がプライベート IP アドレスを持つ場合
管理対象デバイスとして Management Server に Firebox を追加すると、WG-Mgmt-Server ポリシーが自動的に Firebox の構成に追加されます。このポリシーには、Management Server の IP アドレスが含まれます。それから、管理対象 Firebox はこの IP アドレスを使用して Management Server に接続します。
Management Server がプライベート IP アドレスを持ち、かつゲートウェイ Firebox の配下にある場合は、ゲートウェイ Firebox には WG-Mgmt-Server ポリシーも含まれます。このポリシーには WG-Mgmt-Server SNAT アクションが含まれ、管理対象 Firebox から Management Server への接続が Firebox の外部インターフェイスを通じて正常に送信されることを確認します。Management Server の IP アドレスを変更する際、管理対象デバイスが Management Server に接続できるよう、ゲートウェイ Firebox の WG-Mgmt-Server ポリシーで WG-Mgmt-Server SNAT アクション 構成を編集し、Management Server の新しい IP アドレスを含める必要があります。
WG-Mgmt-Server ポリシーには、WG-Mgmt-Server という名前の SNAT アクションが含まれている必要があります。ゲートウェイ Firebox 構成に WG-Mgmt-Server ポリシーを手動で追加する場合は、WG-Mgmt-Server SNAT アクションも手動で作成し、WG-Mgmt-Server ポリシーの 送信先 リストに追加する必要があります。
Management Server が サードパーティ NAT デバイスの配下にある場合、NAT デバイスを通じて新しい IP アドレスで Management Server に接続できるようにするため、サードパーティ NAT デバイスの構成を変更する必要があります。サードパーティ NAT デバイスの構成を変更する方法の詳細については、NAT デバイスに関する資料を参照してください。
Management Server の プライベート IP アドレスを変更するには、以下の手順を実行します:
- Policy Manager から、Management Server をインターネットから保護するゲートウェイ Firebox の構成を開きます。
- WG-Mgmt-Server ポリシーをダブル クリックします。
[ポリシーの編集] ダイアログ ボックスが表示されます。
- WG-Mgmt-Server ポリシーの 送信先 セクションから WG-Mgmt-Server (静的 NAT) を選択し、 編集 をクリックします。
[SNATの編集] ダイアログ ボックスが表示されます。 - SNAT メンバー リストから静的 NAT メンバーを選択して 編集 をクリックします。
静的 NAT の追加ダイアログ ボックスが表示されます。 - 外部/任意 IP アドレス ドロップダウン リストからゲートウェイ Firebox の IP アドレスが選択されていることを確認します。
- 内部 IP アドレス テキスト ボックスにて、Management Server の新 IP アドレスを入力します。
- OK をクリックして、各ダイアログ ボックスを閉じます。
- 構成ファイルを保存する.
Management Server がパブリック IP アドレスを持つ場合
Management Server がパブリック IP アドレスを持つ場合、Management Server はゲートウェイ Firebox の配下にありません。Management Server の IP アドレスを変更するには、Management Server 設定からサーバーの新しい IP アドレスを使用して、証明書失効リスト (CRL) 配布先 IP アドレスを更新します。これにより、次のセクションで説明されているように、管理対象デバイスを更新して新しい IP アドレスを取得することができます。
パブリック IP アドレスを使って構成されている場合は、Management Server のCRL 配布先 IP アドレスだけを更新できます。
Management Server コンピュータから以下の手順を実行します:
-
を右クリックして、WatchGuard Server Center を開く を選択します。
WatchGuard Server Center に接続 ダイアログ ボックスが表示されます。 - 管理者パスフレーズを入力して、ログイン をクリックします。
WatchGuard Server Center が表示されます。 - サーバー ツリーから、Management Server を選択します。
- 証明書 タブを選択します。
- 証明書失効リスト セクションに IP アドレスがある場合は、そのアドレスを 配布先 IP アドレス リストから選択して、削除 をクリックします。
- 新しいアドレスを追加するには、追加 をクリックします。
[CRL IP アドレス] ダイアログ ボックスが表示されます。 - IP アドレス テキスト ボックスに、Management Server の新 IP アドレスを入力します。
- OK をクリックします。
IP アドレスが配布先 IP アドレスリストに表示されます。 - 適用 をクリックします。
[Management Server に変更を更新したいことを確認する] ダイアログ ボックスが表示されます。 - OK をクリックします。
[コメント] ダイアログ ボックスが表示されます。 - (任意) 監査ログに対するコメントを追加します。
- OK をクリックします。
Management Server に変更内容が更新されます。
管理対象デバイスの更新
Management Server のアドレスを新しい公開 IP アドレスに変更後、IP アドレスの変更を完了するために、すべての管理対象クライアント デバイスを更新する必要があります。
- WatchGuard System Manager にて、Management Server に接続します。
- デバイス管理 タブを選択します。
- 管理対象デバイスを右クリックし、デバイスを更新 を選択します。
デバイスの更新 ダイアログ ボックスが表示されます。 - これらのオプションのチェックボックスを選択します。
- サーバー構成のリセット
- リースの期限の終了
- OK をクリックします。
- Management Server によって管理される各デバイスに対してステップ 3 ~5 を繰り返します。