6.1 インストールレス型エージェントで監視する場合

Systemwalker Centric Manager 導入手引書 - UNIX/Windows(R)共通 -

目次索引

第6章 Systemwalker Centric Managerを導入しないコンピュータの構築

6.1 インストールレス型エージェントで監視する場合

■監視サーバ(運用管理サーバ、部門管理サーバ)側の設定

インストールレス型エージェントで監視するための設定について説明します。

運用管理サーバと監視対象が異なる種類(プラットフォーム)の場合は、必ず部門管理サーバを設置し、運用管理サーバと同様に以下の設定を行います。

インストールレス型エージェント監視で利用できる機能については、“Systemwalker Centric Manager 使用手引書監視機能編”の“インストールレス型エージェント監視”を参照してください。

◆監視に必要なアカウントの準備 (Windowsの場合のみ)

運用管理サーバ/部門管理サーバで、インストールレス型エージェントのサーバの監視に必要なアカウントを設定します。設定手順は、“Windowsの場合”を参照してください。Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systemsの場合は、アカウントのグループに、監視機能の管理系ロールである、DmAdmin権限を設定してください。

なお、インストールレス型エージェントのサーバで設定したアカウントと、運用管理サーバ/部門管理サーバで設定するアカウントは同じアカウントである必要はありません。

◆telnetサービスの起動を変更する

telnetサービスの起動について設定を変更します。

Windows XPを使用する場合
サービスを自動起動に変更します。
Windows Vista/Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systemsを使用する場合
サービスを有効化し、自動起動に変更します。
UNIXを使用する場合
telnetデーモンを起動します。

業務サーバがUNIXシステムの場合、SSH通信により、セキュリティを強化して通信を行えます。セキュリティを強化して通信を行う場合は、監視サーバ側(運用管理サーバ/部門管理サーバ)もUNIXシステムにしてください。

また、セキュリティを考慮してSSHで運用することを推奨します。

◆セキュリティを強化するためにSSHを使用する場合

SSHで通信できる環境をユーザ自身で準備/設定します。

SSH通信用のアカウントを準備します。
監視サーバ(運用管理サーバ/部門管理サーバ)、および監視対象のサーバでSSH通信用のアカウントを準備します。

同じ名前で登録してください。このアカウントを、[インストールレス型エージェント監視定義]画面の[SSHの設定]の[アカウント]に指定します。
SSHを起動します。
監視サーバ(運用管理サーバ/部門管理サーバ)、および監視対象のサーバでSSHデーモンを起動します。

SSHがインストールされていない環境では、SSH(またはOpenSSH)をインストールしてください。インストール方法やデーモン起動方法は、SSHのマニュアルを参照してください。
公開鍵と秘密鍵を設定します。
監視サーバに秘密鍵、監視対象のサーバに公開鍵を置き、認証の設定をします。設定をしない場合は、監視サーバから監視対象のサーバに接続する時に、パスワードの問い合わせが発生します。また、公開鍵と秘密鍵は、SSHのデフォルトのファイル名で作成してください。
1. SSH通信用に準備したアカウントで公開鍵と秘密鍵を生成します。この時、パスフレーズは指定しません。
2. 秘密鍵を監視サーバの規定ディレクトリに格納します。
3. 公開鍵を監視対象のサーバの規定ディレクトリに格納します。
各作業の詳細については、SSHのマニュアルを参照してください。

なお、運用中に公開鍵と秘密鍵を変更した場合、公開鍵と秘密鍵を各サーバに再設定してください。Systemwalker Centric Managerの再起動は不要です。

■Systemwalker Centric Managerをインストールしないサーバ側の設定

■UNIXの場合

リモート接続(ログイン)するためのアカウントを作成します。
ログインシェルを/bin/sh に設定します。
Firewallで使用する以下のポートを設定します。
- telnetで使用するポート：23
- SSHで使用するポート：22
telnetデーモンを起動します。

■Windowsの場合

WMIでアクセスするために管理者アカウントを作成します。

管理者アカウントは、「ユーザーは次回ログオン時にパスワードの変更が必要」を設定しないでください。

なお、Windows Vista以降のユーザアカウント制御を使用している場合、以下のどちらかの作業を実施してください。

Active Directoryを導入している場合
Active Directory が導入されたドメイン環境のとき、接続先のローカルAdministrators グループに所属するドメインアカウントを設定してください。
Active Directoryを導入していない場合
用意した管理者アカウントに対して、以下を実施してください。
1. “コンピュータの管理”にて[ローカルユーザとグループ]-[ユーザ]で、用意した管理者アカウントに対して“Event Log Readers”権限を付加します。
2. “コンポーネントサービス(注)”(DCOMCNFG.EXE)にて[コンポーネントサービス]-[コンピュータ]-[マイコンピュータ]を右クリックして[プロパティ]を選択します。
  注)Windows Vistaの場合、[スタート]メニューから[ファイル名を指定して実行]を選択し、「DCOMCNFG.EXE」コマンドを起動します。
  
  [マイコンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。
  - [アクセス許可]の[制限の編集]をクリックし、“ANONYMOUS LOGON”に対する[リモートアクセス]を許可します。
  - [起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[起動許可]ダイアログボックスを表示します。
  - [グループ名またはユーザ名]に用意したアカウントを追加します。[アクセス許可]では、“リモートからの起動”、“リモートからのアクティブ化”を許可します。
3. “コンピュータの管理”で[サービスとアプリケーション]-[WMIコントロール]を右クリックして、[プロパティ]を選択します。
  [WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。
  
  ＜名前空間＞
  - Root
  - Root\CIMV2
  - Root\DEFAULT
  [セキュリティ]では用意した管理者アカウントを追加し、すべての項目に対してアクセスを許可します。

◆Firewallの設定

FirewallでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。

Firewallの環境では、以下の設定を実施します。

【Windows XP、Windows Server 2003の場合】

動的に割りあたるポートを制御し特定のポートを使用するように設定します。
Microsoft社から公開されている“文書番号：154596”を参照して設定します。

設定後、135、および設定したポートのTCP/UDPを許可します。
“Windows ファイアウォール”を設定します。
1. [グループポリシー]（gpedit.msc）より、[ローカルコンピュータポリシー]-[コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windows ファイアウォール]を順に展開します。
2. WORKGROUP環境の場合は[標準プロファイル]、ドメイン環境の場合は[ドメインプロファイル]を選択します。
3. [Windows ファイアウォール: リモート管理の例外を許可する] を右クリックし、[プロパティ]を選択します。
4. [有効]を選択し、[OK]ボタンをクリックします。
telnetで使用するポートを設定します。
telnetで使用するポートは、23を設定します。

ポート番号23について、TCP/UDPを許可します。

【Windows Vista、Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systemsの場合】

動的に割りあたるポートを制御し特定のポートを使用するように設定します。
Microsoft社から公開されている“文書番号：154596”を参照して設定します。

設定後、135、および設定したポートのTCP/UDPを許可します。
Windows Management Instrumentationの例外許可を設定します。
- [セキュリティが強化された Windows ファイアウォール]で設定する場合
  1. [管理ツール] - [セキュリティが強化された Windows ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。
    
    Windows Management Instrumentation (DCOM 受信)
    Windows Management Instrumentation (WMI 受信)
  2. 操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
- [Windows ファイアウォール]で設置する場合
  1. [コントロールパネル] - [Windows ファイアウォール] の[設定の詳細]を選択して、[Windowsファイアウォールの設定]を表示します。
  2. [例外] タブに表示されている以下の項目をチェックして有効にします。
    
    Windows Management Instrumentation(WMI)
スコープを設定します。
1. [管理ツール] - [セキュリティが強化された Windows ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。
  
  Windows Management Instrumentation (DCOM 受信)
  Windows Management Instrumentation (WMI 受信)
2. [スコープ]タブで、以下のどちらかの方法で設定します。
  - [リモート IP アドレス]で[任意のIPアドレス]を選択する。
  - [リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)のIPアドレスを設定する。
Windows Vistaの場合、初期設定では[これらの IP アドレス]の領域に[ローカルサブネット]が表示されています。[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットの監視サーバ(運用管理サーバ、または部門管理サーバ)から監視することができません。設定を変更してください。
telnetで使用するポートを設定します。
telnetで使用するポートは、23を設定します。

ポート番号23について、TCP/UDPを許可します。

[セキュリティが強化された Windows ファイアウォール]－[受信の規則]/[送信規則]で設定する項目について

以下の項目は、プロファイル(ドメイン、パブリック、プライベート)ごとにあります。システムで使用しているプロファイルに対する項目を許可してください。

Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)

使用しているプロファイルは、netshコマンドで確認できます。

netsh advfirewall show currentprofile

◆telnetサービスの起動を変更する

telnetサービスの起動を変更します。
Windows XPの場合：サービスを自動起動に変更します。

Windows Vista/Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systemsの場合：サービスの有効化、および自動起動に変更します。
ドメインに参加していない Windows XP Professional の場合は、セキュリティ設定を変更します。
1. [ローカルセキュリティポリシー]-[ローカルセキュリティの設定]のコンソールツリーで、[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]を選択します。
2. ポリシー“ネットワークアクセス：ローカルアカウントの共有とセキュリティモデル”のセキュリティ設定を“クラシック : ローカルユーザーがローカルユーザーとして認証する”に変更します。

telnet接続時の問い合わせ項目について

telnetで接続した場合に、ログインIDとパスワード以外は、接続元サーバに対して問い合わせをしないでください。

管理者モード移行コマンドは、バスワード以外は問い合わせをしないでください。

目次索引