インストールレス型エージェントで監視するための被監視システム側の設定について説明します。

被監視システム側にインストールされている必要がある関連ソフトウェアについては、“Systemwalker Centric Manager 解説書”の“関連ソフトウェア資源”を参照してください。

• TELNET接続の場合

  1. リモート接続(ログイン)するためのアカウントを準備してください。

  2. Firewallの設定

     TELNETで使用するポート： 23

  3. TELNETデーモンを起動します。

     TELNETがインストールされていない環境では、TELNETをインストールしてください。

• SSH接続の場合

  1. Firewallの設定

     SSHで使用するポート： 22

  2. SSHデーモンを起動します。

     SSHがインストールされていない環境では、SSHをインストールしてください。

• アプリケーション監視と性能監視で出力する全てのメッセージレベルを監視する場合

  以下のようにsyslogdの環境定義ファイル/etc/syslog.confを変更し、user.info以上のメッセージが出力されるように設定します。

  【Solaris】

  user.info /var/adm/messages

  【Linux】

  user.info /var/log/messages

  • /etc/syslog.confを変更した場合は以下のように、変更したことをsyslogdデーモンに通知するか、syslogdデーモンを再起動します。通知する場合

    syslogdに対してHUPシグナルを送ります。

    ps -ef | grep syslogd kill -HUP <上記で求めたプロセスID>

    Solaris 10でZoneを作成している場合、/etc/syslog.confに変更を加えたZoneのsyslogdをZone名で特定し、HUPシグナルを送ります。なお、ログインしているZoneのZone名は“/usr/bin/zonename”コマンドで確認できます。

    ps -Zef | grep syslogd | grep `/usr/bin/zonename` kill -HUP <上記で求めたプロセスID>

  • 再起動する場合

    【Solaris 9】

    sh /etc/rc2.d/S74syslog stop sh /etc/rc2.d/S74syslog start

    【Solaris 10】

    再起動ではなく、上記の「通知する場合」の方法を使用してください。

    【Linux】

    sh /etc/rc.d/init.d/syslog restart

    ※再起動を行った場合、syslogdが停止している間に発生したメッセージはsyslogdで処理されないことがあります。

• TELNET接続の場合

  1. リモート接続(ログイン)するためのアカウントを準備してください。

  2. Firewallの設定

     TELNETで使用するポート： 23

  3. TELNETサービスを起動します。

• SSH接続の場合

  1. リモート接続(ログイン)するためのアカウントを準備してください。

  2. Firewallの設定

     SSHで使用するポート： 22

  3. SSHサービスを起動します。

     SSHがインストールされていない環境では、SSHをインストールしてください。

  4. Cygwinのrebaseallコマンドを実行します。

     rebaseallコマンドの詳細については、Cygwinのrebaseパッケージに同梱されるドキュメントを参照してください。

• WMI接続の場合

  1. リモート接続(ログイン)するためのアカウントを準備してください。

  2. Firewallの設定

     WMIで使用するポート： 135と1024以降の動的に割りあたるポート

  3. WMIサービスを起動してください。

     WMIがインストールされていない環境では、WMIをインストールしてください。

被監視システムのアカウント権限

○：利用可能です。

×：利用できません。

△：デプロイ方式でもアプリケーション監視、サーバ性能監視の機能は使用できません。

非デプロイ方式では、アプリケーションの監視、サーバ性能の監視、監視ログファイルの機能が使用できません。

デプロイ方式、非デプロイ方式のサポート機能の詳細の詳細については、“Systemwalker Centric Manager 解説書”の“Systemwalker Centric Managerのエージェントを導入していないサーバ/クライアントの監視”を参照してください。

リモート接続(ログイン)するためのアカウントを準備してください。

WMIでアクセスするために管理者アカウントを用意します。

管理者アカウントは、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。

なお、ユーザアカウント制御(UAC)を使用している場合、以下のどちらかの作業を実施してください。

• Active Directoryを導入している場合

  Active Directory が導入されたドメイン環境のとき、接続先のローカルAdministrators グループに所属するドメインアカウントを用意してください。

• Active Directoryを導入していない場合

  “Administrator”ユーザを用意してください。

リモート接続(ログイン)するためのアカウントを準備してください。

WMIでアクセスするために管理者アカウントを作成します。

管理者アカウントは、「ユーザーは次回ログオン時にパスワードの変更が必要」を設定しないでください。

なお、Windows Vista以降のユーザアカウント制御を使用している場合、以下のどちらかの作業を実施してください。

• Active Directoryを導入している場合

  Active Directory が導入されたドメイン環境のとき、接続先のローカルAdministrators グループに所属するドメインアカウントを設定してください。

• Active Directoryを導入していない場合

  用意した管理者アカウントに対して、以下を実施してください。

  1. “コンピュータの管理”にて[ローカルユーザとグループ]-[ユーザ]で、用意した管理者アカウントに対して“Event Log Readers”権限を付加します。

  2. “コンポーネントサービス(注)”(DCOMCNFG.EXE)にて[コンポーネントサービス]-[コンピュータ]-[マイ コンピュータ]を右クリックして[プロパティ]を選択します。

     注)Windows Vista以降の場合、コマンドプロンプトから「DCOMCNFG.EXE」コマンドを起動します。

     [マイ コンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。

     • [アクセス許可]の[制限の編集]をクリックし、“ANONYMOUS LOGON”に対する[リモートアクセス]を許可します。

     • [起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[起動許可]ダイアログボックスを表示します。

     • [グループ名またはユーザ名]に用意したアカウントを追加します。[アクセス許可]では、“リモートからの起動”、“リモートからのアクティブ化”を許可します。

  3. “コンピュータの管理”で[サービスとアプリケーション]-[WMIコントロール]を右クリックして、[プロパティ]を選択します。

     [WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。

     ＜名前空間＞

     Root
     Root\CIMV2
     Root\DEFAULT

     [セキュリティ]では用意した管理者アカウントを追加し、すべての項目に対してアクセスを許可します。

監視を行うための管理者アカウントを、被監視サーバ上に準備してください。

管理者アカウントは“Administrator”ユーザを用意し、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。

準備した管理者アカウントは、[インストールレス型エージェント監視]画面でリモート接続（ログイン）するためのアカウントに指定します。

FirewallでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。

Firewallの環境では、以下の設定を実施します。

手順(1)

この手順は、以下のWindows OSの場合に実施してください。

• Windows(R) XP

• Windows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE

以下のどちらかを実施してください。

• 動的に割り当てられるポートを制御し特定のポートを使用するように設定します。

  Microsoft社から公開されている“文書番号：154596”を参照して設定します。

  設定後、135、および設定したポートのTCP/UDPを許可します。

• “Windows ファイアウォール”を設定します。

  1. [グループポリシー]（gpedit.msc）より、[ローカル コンピュータ ポリシー]-[コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windows ファイアウォール]を順に展開します。

  2. WORKGROUP環境の場合は[標準プロファイル]、ドメイン環境の場合は[ドメインプロファイル]を選択します。

  3. [Windows ファイアウォール: リモート管理の例外を許可する]を右クリックし、[プロパティ]を選択します。

  4. [有効]を選択し、[OK]ボタンをクリックします。

手順(2)

この手順は、以下のWindows OSの場合に実施してください。

• Windows 7

• Windows Vista

• Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/Windows Server 2008 Foundation/Windows Server 2008 R2

以下のどちらかを実施してください。

• 動的に割り当てられるポートを制御し特定のポートを使用するように設定します。

  Microsoft社から公開されている“文書番号：154596”を参照して設定します。

  設定後、135、および設定したポートのTCP/UDPを許可します。

• Windows Management Instrumentationの例外許可を設定します。

  1. 例外許可を設定します。

     [セキュリティが強化された Windows ファイアウォール]で設定する場合

     1. [管理ツール]-[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。

        Windows Management Instrumentation (DCOM 受信)
        Windows Management Instrumentation (WMI 受信)

     2. 操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。

     [Windows ファイアウォール]で設定する場合

     1. [コントロール パネル]-[Windows ファイアウォール]の[設定の詳細]を選択して、[Windowsファイアウォールの設定]を表示します。

     2. [例外]タブに表示されている以下の項目をチェックして有効にします。

        Windows Management Instrumentation(WMI)

  2. スコープを設定します。

     1. [管理ツール]-[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。

        Windows Management Instrumentation (DCOM 受信)
        Windows Management Instrumentation (WMI 受信)

     2. [スコープ]タブで、以下のどちらかの方法で設定します。

        ・[リモート IP アドレス]で[任意のIPアドレス]を選択する。

        ・[リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)のIPアドレスを設定する。

     Windows Vista以降の場合、初期設定では[これらの IP アドレス]の領域に[ローカルサブネット]が表示されています。[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットの監視サーバ(運用管理サーバ、または部門管理サーバ)から監視することができません。設定を変更してください。

手順(3)

この手順は、以下のWindows OSの場合に実施してください。

• Windows Server 2008 Server Core

以下のどちらかを実施してください。

• FirewallでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。

  Firewallの環境では、以下の設定を実施します。

  1. 動的に割り当てられるポートを制御し特定のポートを使用するように設定します。

     Microsoft社から公開されている“文書番号：154596”を参照して設定します。

  2. 設定後、135、および設定したポートのTCP/UDPを許可します。

     “Windows Management Instrumentationの例外許可”を設定します。

     【netshコマンドで設定する場合】

     netsh advfirewall firewall set rule name="Windows Management Instrumentation (WMI 受信)" new enable=yes [profile=... remoteip=...]
     netsh advfirewall firewall set rule name="Windows Management Instrumentation (DCOM 受信)" new enable=yes [profile=... remoteip=...]

     スコープの設定では、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)からアクセスできるように設定します。

• リモートシステムから設定する

  1. MMC.exeを起動し、[スナップインの追加と削除]から[セキュリティが強化されたファイアウォール]を追加し、[コンピュータの選択]で[監視するServer Core]を選択します。

  2. [受信の規則]で、以下の項目について設定します。

     Windows Management Instrumentation (DCOM 受信)
     Windows Management Instrumentation (WMI 受信)

     1. 上記の項目を右クリックして、[プロパティ]を表示します。

     2. 操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。

     3. [スコープ]タブで、[リモートIPアドレス]を設定します。

        [リモート IP アドレス]では、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)からアクセスできるように設定します。

netsh advfirewall show currentprofile

TELNETサービスの起動を変更します。

手順(1)

この手順は、以下のWindows OSの場合に実施してください。

• Windows(R) XP

• Windows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE

サービスを自動起動に変更します。

手順(2)

この手順は、以下のWindows OSの場合に実施してください。

• Windows 7

• Windows Vista

• Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/Windows Server 2008 Foundation/Windows Server 2008 R2

“Telnetサーバー”をインストールし、サービスの有効化、および自動起動に変更します。

TELNETで接続した場合に、ログインIDとパスワード以外は、接続元サーバに対して問い合わせをしない設定にしてください。

管理者モード移行コマンドは、バスワード以外は問い合わせをしないでください。

ドメインに参加していない Microsoft(R) Windows(R) XP Professional の場合は、セキュリティ設定を変更します。

• [ローカル セキュリティ ポリシー]-[ローカル セキュリティの設定]のコンソール ツリーで、[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]を選択します。

• ポリシー“ネットワークアクセス：ローカルアカウントの共有とセキュリティモデル”のセキュリティ設定を“クラシック : ローカル ユーザーがローカル ユーザーとして認証する”に変更します。