メモ: どのWindowsファイアウォールのルールが接続をブロックしているのか調べる

基本的にこの記事をそのままやるだけ。

1.監査ログの有効化

auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:enable /failure:enable
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable /failure:enable

• カテゴリー名はロケールにそって設定しないといけない模様。マジ糞

2. 問題を再現する

ファイアウォールによってブロックされている(と思われる)処理を実行する

3. ファイアウォールのログをファイルに出力

netsh wfp show state

カレントディレクトリーにwfpstate.xmlが作成される

4. イベントビューアーから、失敗イベントの特定

1. イベントビューアーを起動する
2. 左側のツリーから「Windowsログ」「セキュリティ」を選択
3. 原因と思しきログを探す
4. 「フィルターの実行時ID」をメモ

5. ルールの特定

1. 3で作成したファイルを開き、4で特定した「フィルターの実行時ID」で検索をかける
2. ファイアウォールが原因であれば<item>要素下の<filterId>にマッチするはず
3. 同<item>要素のdisplayData.nameから、原因のルールがわかる

6. ログをオフにする

auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:disable /failure:disable
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:disable /failure:disable

Tips

• auditpol /list /category auditpol /list /subcategory:"オブジェクト アクセス"で監査ポリシーのカテゴリーを調べられる
• auditpol /backup /file:c:\auditpol.csvで現状のポリシーを出力できる