被監視サーバの性能情報を収集するために必要な設定について以下に説明します。
■WMIで通信する場合
WMIでアクセスするためのアカウントの準備
リモート接続(ログイン)するために管理者アカウントを準備してください。
管理者アカウントは、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。
なお、ユーザーアカウント制御(UAC)を使用している場合、以下のどちらかの作業を実施してください。
Active Directoryを導入している場合
Active Directoryが導入されたドメイン環境のとき、接続先のローカルAdministratorsグループに所属するドメインアカウントを設定してください。
Active Directoryを導入していない場合
用意した管理者アカウントに対して、以下を実施してください。
[コントロールパネル] - [ユーザーアカウント] - [別のアカウントの管理]で、用意した管理者アカウントを選択し、[アカウントの種類の変更]で「管理者」を選択します。
[コンポーネントサービス](注)にて[コンポーネントサービス] - [コンピュータ] - [マイコンピュータ]を右クリックして[プロパティ]を選択します。
注) コマンドプロンプトから「DCOMCNFG.EXE」コマンドを起動します。
[マイコンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。
[アクセス許可]の[制限の編集]をクリックし、「ANONYMOUS LOGON」に対する[リモートアクセス]を許可します。
[起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[グループ名またはユーザー名]に用意したアカウントを追加します。[<ユーザー名>のアクセス許可]では、「リモートからの起動」、「リモートからのアクティブ化」を許可します。
設定の際に、[DCOM のコンピューター全体の設定]のメッセージが表示されることがあります。その場合は、[はい]をクリックして設定を更新してください。
[コンピューターの管理]の、[サービスとアプリケーション]で、[WMIコントロール]を選択後右クリックし、[プロパティ]を選択します。
[WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。
<名前空間>
Root
Root\DEFAULT
Root\CIMV2
Root\WMI
[セキュリティ]では用意した管理者アカウントを追加し、[特殊なアクセス許可]以外のすべての項目に対してアクセスを許可します。
注意
管理者アカウントとしてAdministratorでないユーザーを選択した場合、UACによって権限が制限され、一般ユーザーの権限で接続されます。これにより、アクセス拒否が発生し、性能情報を取得できないことがあります。
これを回避するためには、被監視サーバにおいて、以下の1,2のいずれかを行ってください。
UACを無効化する場合
ローカルセキュリティポリシーまたはグループポリシーでUACを無効にします。
UACでリモート接続を許可するレジストリの設定を実施する場合
コマンドプロンプトで、以下のコマンドを実行します。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f |
なお、元に戻す場合は、以下のコマンドを実行してください。
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /f |
ファイアーウォールの設定
ファイアーウォールでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。
ファイアーウォールの環境では、以下の設定を実施します。
「Windows Management Instrumentationの例外許可」を設定します。
例外許可を設定します。
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[全般]タブで、全般の[有効]をチェックし、操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
スコープを設定します。
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[スコープ]タブで、以下のどちらかの方法で設定します。
・[リモート IP アドレス]で[任意のIPアドレス]を選択する。
・[リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(Manager/Proxy Manager)のIPアドレスを設定する。
[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットのManager/Proxy Managerから監視することができません。設定を変更してください。
注意
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信規則]で設定する項目について
以下の項目が、プロファイル(ドメイン、パブリック、プライベート)ごとにある場合、システムで使用しているプロファイルに対する項目を許可してください。
[受信の規則]
Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)
[送信の規則]
Windows Management Instrumentation (WMI 送信)
使用しているプロファイルは、netshコマンドで確認できます。
netsh advfirewall show currentprofile |
WMIサービスの設定
WMIのサービス(Windows Management Instrumentation)を自動起動に設定します。
最後に、設定したサーバにWMIで接続し、作成したユーザーでログインできることを確認してください。
■TELNETで通信する場合
リモートで接続するためにユーザーを作成します。
ユーザーは、「ユーザーは次回ログオン時にパスワードの変更が必要」を設定しないでください。
リモートで接続して情報を収集するために必要なグループ(「TelnetClients」グループと「Performance Monitor Users」グループ)をユーザーに追加します。
以下の手順に従って、設定してください。
「TelnetClients」ローカルグループを作成します。
[コントロール パネル] - [管理ツール] - [コンピュータの管理]を開きます。
コンソール ツリーで、[ローカル ユーザーとグループ]を展開し、[グループ]をクリックします。
グループ「TelnetClients」が詳細ウィンドウにすでに存在する場合は、次の手順をスキップして、「b. ユーザーを「TelnetClients」グループに追加します。」を実施してください。
[グループ]を右クリックし、[新しいグループ]をクリックします。
[新しいグループ]ダイアログボックスに、「TelnetClients」と入力します。必要に応じて、説明を追加できます。
ユーザーを作成済みの場合、[追加]をクリックして、[ユーザー、コンピュータ、またはグループの選択]ダイアログボックスにユーザー名を入力します。
[作成]をクリックします。
ユーザーを「TelnetClients」グループに追加します。
[コントロール パネル] - [管理ツール] - [コンピュータの管理]を開きます。
コンソール ツリーで、[ローカル ユーザーとグループ]を展開し、[グループ]をクリックします。
「TelnetClients」グループをダブルクリックします。
[追加]をクリックします。
[ユーザー、コンピュータまたはグループの選択]ボックスの指示に従って、「TelnetClients」グループにユーザーを追加し、[OK]をクリックします。
ユーザーを「Performance Monitor Users」グループに追加します。
[コントロール パネル] - [管理ツール] - [コンピュータの管理]を開きます。
コンソール ツリーで、[ローカル ユーザーとグループ]を展開し、[グループ]をクリックします。
「Performance Monitor Users」グループをダブルクリックします。
[追加]をクリックします。
[ユーザー、コンピュータまたはグループの選択]ボックスの指示に従って、「Performance Monitor Users」グループにユーザーを追加し、[OK]をクリックします。
注意
セキュリティの観点から「Administrators」グループに所属するユーザーは使用しないことを推奨します。
グループ名「TelnetClients」のスペルは、表示どおりに作成してください。
「TelnetClients」グループを作成した後は、「Telnet サーバー」サービスを停止して開始するまでユーザーはログオンできません。
「Telnet」サービスを自動起動に設定します。
「Telnet サーバー」機能を有効化し、「Telnet」サービスを自動起動に設定します。
注意
「Telnet サーバー」機能は、デフォルトでは無効化されています。
また、「Telnet」サービスは、デフォルトでは自動起動に設定されていません。
「Telnet サーバー」機能を有効化し、「Telnet」サービスを自動起動する手順は以下のとおりです。
Windowsの[サーバー マネージャー]を起動します。
上部のメニューで[管理]を選択し、 [役割と機能の追加]をクリックして[役割と機能の追加ウィザード]を起動します。
[開始する前に]画面が表示されている場合は[次へ]をクリックします。
[インストールの種類の選択]画面で、[役割ベースまたは機能ベースのインストール]を選択し、[次へ]をクリックします。
[サーバーの選択]画面で、「Telnet」サービスを有効にしたいサーバを選択します。
[サーバーの役割の選択]画面では何も変更せず、[次へ]をクリックします。
[機能の選択]画面で[Telnet サーバー]を選択し、[次へ]をクリックします。
[インストール オプションの確認]画面で、[インストール]をクリックします。
[インストールの進行状況]画面が表示されます。Telnet サーバー機能が正常にインストールされることを確認します。
インストールが完了したら、Windowsの[サービス]を起動し、[Telnet]サービスを自動起動に設定する手順は以下のとおりです。
[コントロール パネル] - [管理ツール] - [コンピュータの管理]を開きます。
コンソール ツリーで、[サービス]をクリックします。
「Telnet」サービスをダブルクリックします。
スタートアップの種類を[自動]にし、[適用]をクリックします。
サービス状態を[開始]にし、[OK]をクリックします。
「Telnet」サービスの同時に接続できるセッションの最大数を変更します。
「Telnet」サービスは、デフォルトの同時に接続できるセッションの最大数は「2」です。
「接続セッション数」に記載されている必要なセッション数を考慮して、最大数を設定します。
Windowsの「tlntadmn」コマンドで同時に接続できるセッションの最大数を設定します。
tlntadmn config maxconn=<接続セッションの最大数> |
注意
管理者権限で実行する必要があります。
新しく作成したユーザーでコンピュータにログオンします。
注意
リモートで接続して情報を収集するためには、接続するユーザーのユーザー・プロファイルが必要です。そのために、接続するユーザーでWindowsのコンピュータに必ずログオンしてください。
設定したサーバに、TELNETで接続し、作成したユーザーでログインできることを確認してください。
注意
Solarisのglobal zoneを監視する場合は、接続アカウントとしてシステム管理者(スーパーユーザー)を指定してください。
SolarisのUX_MEMSTATの情報を収集する場合は、接続アカウントとしてシステム管理者(スーパーユーザー)を指定してください。
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
注意
被監視サーバがAIXの場合、sarコマンドを実行するためには、admグループに登録されているユーザーが必要です。
リモートで接続するためのユーザーがrootでない場合、ユーザーをadmグループに登録してください。
TELNETデーモンを自動起動に設定します。
デーモンの起動、設定方法は、TELNETのマニュアルを参照してください。
設定したサーバに、TELNETで接続し、作成したユーザーでログインできることを確認してください。また、ログインしたときのカレントディレクトリが、作成したホームディレクトリになっていることを確認してください。
注意
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■被監視サーバがLinuxの場合」の手順を実施してください。
被監視サーバがSolarisの場合は、「■被監視サーバがSolarisの場合」の手順を実施してください。
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
注意
被監視サーバがAIXの場合、sarコマンドを実行するためには、admグループに登録されているユーザーが必要です。
リモートで接続するためのユーザーがrootでない場合、ユーザーをadmグループに登録してください。
SSHデーモンを自動起動に設定します。
SSHがインストールされていない環境では、SSH(またはOpenSSH)をインストールしてください。
インストール方法やデーモンの起動、設定方法は、SSHのマニュアルを参照してください。
注意
SSHに接続する側(クライアント)の定期的な生存確認の設定を行う場合、設定値は以下のようにしてください。
ClientAliveInterval: 10以上
ClientAliveCountMax: 2以上
設定したサーバに、SSHで接続し、作成したユーザーでログインできることを確認してください。また、ログインしたときのカレントディレクトリが、作成したホームディレクトリになっていることを確認してください。
注意
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■被監視サーバがLinuxの場合」の手順を実施してください。
被監視サーバがSolarisの場合は、「■被監視サーバがSolarisの場合」の手順を実施してください。
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■TELNETで通信する場合」または「■SSHで通信する場合」の設定を行ったうえで、以下の手順を実施して作成したユーザーに性能情報を収集するために使用するコマンドを実行する権限を追加します。
被監視サーバにログインし、スーパーユーザーになります。
visudoコマンドを実行し、sudoersファイルを編集します。
# /usr/sbin/visudo |
sudoersファイルの最後に以下の行を追加して、保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1 ALL=(ALL) NOPASSWD: /sbin/fdisk user1 ALL=(ALL) NOPASSWD: /bin/df user1 ALL=(ALL) NOPASSWD: /sbin/ethtool user1 ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode user1 ALL=(ALL) NOPASSWD: /sbin/chkconfig |
接続アカウントでログインして、「sudo -l」コマンドを実行します。
# sudo -l |
【実行結果例】
# sudo -l
User user1 may run the following commands on this host:
(ALL) NOPASSWD: /sbin/fdisk
(ALL) NOPASSWD: /bin/df
(ALL) NOPASSWD: /sbin/ethtool
(ALL) NOPASSWD: /usr/sbin/dmidecode
(ALL) NOPASSWD: /sbin/chkconfig被監視サーバがSolarisの場合は、「■TELNETで通信する場合」または「■SSHで通信する場合」の設定を行ったうえで、以下の手順を実施して接続アカウントに性能情報を収集するために使用するコマンドを実行する権限を追加します。
被監視サーバにログインし、スーパーユーザーになります。
/etc/security/prof_attrファイルを編集します。
【例】
# vi /etc/security/prof_attr |
ファイルの最後に以下の行を追加して保存します。
sqcprof-net:::SQC Network profile: |
/etc/security/exec_attrファイルを編集します。
【例】
# vi /etc/security/exec_attr |
ファイルの最後に以下の行を追加して保存します。
sqcprof-net:suser:cmd:::/sbin/dladm:uid=0;gid=0 |
/etc/user_attrファイルを編集します。
【例】
# vi /etc/user_attr |
ファイルの最後に以下の行を追加して保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1::::type=normal;profiles=sqcprof-net |