【Azure】間違って「Microsoft Defender ファイアウォールの設定を復元」したら、VMに繋がらなくなった話【復旧手順】
はじめに
Azureで構築したWindows仮想マシン(以降、VM)上で作業していたときに、
うっかり「Microsoft Defender ファイアウォールの設定を復元」ボタンを押してしまい、
VMがBastionでも接続不能になるトラブルが発生しました。
そのときの調査内容と、最終的な復旧手順をまとめます。
Bastionでも接続不可に
設定を復元した直後から、Bastion経由で接続しようとすると以下のエラーが発生:
"The target machine is either currently unreachable..."
🔍 Bastionとは?
Azure Bastionは、パブリックIPを使わずに仮想マシンにリモートデスクトップ(RDP)接続できるセキュアな踏み台サーバー機能です。
内部的にはTCP 3389番ポートを利用してRDP接続を行います。
つまり、RDPのファイアウォール設定が無効になっていると接続に失敗します。
PowerShellでファイアウォール設定を確認
Azureポータルの「実行コマンド」→「RunPowerShellScript」から、
次のコマンドでRDP関連のファイアウォールルールを確認しました:
Get-NetFirewallRule -DisplayGroup "Remote Desktop"
🔍 実行結果から判明したこと
DisplayName : Remote Desktop - User Mode (TCP-In)
Enabled : False
DisplayName : Remote Desktop - User Mode (UDP-In)
Enabled : False
RDP接続に必要な**TCP 3389番ポートの受信ルール(Allow)**は存在していたが、Enabled = False になっていました。
つまり、ポートは存在するが、ファイアウォールでブロックされていた状態です。
RDP受信ルールを再度有効化
以下のコマンドで、Remote Desktop関連のすべてのファイアウォールルールを有効化:
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
実行後、すぐにBastion接続が復旧しました!
VM内でも設定が反映されていることを確認
その後、VMにログインしてGUIからファイアウォールの「受信の規則」を確認すると、
「リモート デスクトップ - ユーザー モード(TCP 受信)」が有効になっていました。
VM作成時のRDP設定との関係性
Azure VMを作成する際に、「受信ポートの選択」でRDP (3389) を許可していました。
この設定、ずっとNSG(ネットワークセキュリティグループ)側だけの設定かと思ってたんですが、
もしかして…VM内部のWindows Defenderファイアウォールにも影響を与えてる?
(つまり、3389番の受信ルールを最初から有効にしてくれてる?)
だとしたら、今回うっかり「設定の復元」を押してしまったことで
Defender側の3389設定が無効化されたのが、Bastion接続できなくなった直接的な原因なのかもしれません。
❗補足:NSG(ネットワークセキュリティグループ)で3389を許可していても、
OS内部のファイアウォール(Defender)でブロックされていれば通信できません。
おわりに
VMで「Microsoft Defender ファイアウォールの設定を復元」すると、リモート接続用のポートも無効化されるため、
Bastionすら使えなくなるという落とし穴にハマりました。
今回はAzureポータルの「実行コマンド」機能が命綱となって復旧できましたが、
今後は復元操作をする際は事前に確認を取るよう注意したいと思います。