インストールレス型エージェントで監視するための監視サーバ側の設定について説明します。

インストールレス型エージェント監視で利用できる機能については、“Systemwalker Centric Manager 解説書”の“Systemwalker Centric Managerのエージェントを導入していないサーバ/クライアントの監視”を参照してください。

• TELNET接続の場合

  1. デプロイ方式を利用する場合は、以下を実施してください。

     1. FTP接続(ログイン)するためのアカウントを準備する
        準備するアカウントについては、“監視に必要な起動アカウントの準備”を参照してください。

     2. Firewallを設定する

        FTPで使用するポート： 20、21

     3. FTPデーモンを起動する

        FTPがインストールされていない環境では、FTPをインストールしてください。インストール方法やデーモン起動方法は、FTPのマニュアルを参照してください。

  2. 以下のコマンドを実行して、監視サーバから被監視システムにTelnet接続し、監視サーバにFTP通信ができることを確認してください。

     # telnet %1           (監視サーバ上で実行する)
     login: %2
     Password: %3
     # ftp %4              (被監視システム上で実行する)
     Name : %5
     Password: %6
     230 Login successful.
     ftp>

     %1：
     被監視システムのホスト名(ノードプロパティの[ネットワーク]タブにあるホスト名)、またはIPアドレス

     %2：
     被監視システムへのTELNET接続用ログインユーザ名(“Systemwalker Centric Managerをインストールしない被監視システム側の設定”の作業で準備したTELNET接続用ユーザ)

     %3：
     被監視システムへのTELNET接続用ログインパスワード

     %4：
     監視サーバのホスト名(ノードプロパティの[ネットワーク]タブにあるホスト名)、またはIPアドレス

     %5：
     監視サーバへのFTP接続用ログインユーザ名(手順1.-a. の作業で準備したFTP接続用のユーザ)

     %6：
     監視サーバへのFTP接続用ログインパスワード

     →コマンドの実行結果として、FTP接続に成功し、プロンプトが表示されます。

• SSH接続の場合

  SSHに関する設定を行う場合、インストールレス型エージェント監視導入支援ツールを使用できます。詳細については“インストールレス型エージェント監視導入支援ツールによるSSH接続の設定”を参照してください。

  1. SSHデーモンを起動します。

     SSHがインストールされていない環境では、SSH(またはOpenSSH)をインストールしてください。インストール方法やデーモン起動方法は、使用するSSHのマニュアルを参照してください。

     また、SSHクライアント設定ファイル(ssh_config)により、環境変数の送信が有効になっていないことを確認してください。確認方法の詳細については、“SSHクライアント設定ファイル(ssh_config)の確認”を参照してください。

  2. SSH接続用に、システム管理者(root)の公開鍵と秘密鍵を作成してください。作成手順は、“公開鍵と秘密鍵の作成”を参照してください。

  3. 以下のコマンドを実行して、被監視システムとSSH通信ができること、その際パスフレーズの問い合わせが発生しないことを確認してください。

     /usr/bin/ssh -q -l %1 -p 22 %2 hostname

     %1：
     被監視システムへのログインユーザ名(手順2.の作業で公開鍵を格納したユーザ)

     %2：
     被監視システムのホスト名(ノードプロパティの[ネットワーク]タブにあるホスト名)、またはIPアドレス

     コマンドの実行結果として、被監視システムのホスト名が表示されます。

     注意

     監視サーバの環境がRed Hat Enterprise Linux 9の場合

     Red Hat Enterprise Linux 9では、署名の暗号化に使用されるSHA-1アルゴリズムが非推奨となり、デフォルトではシステムの暗号化ポリシーで無効化されています。この場合、SHA-1アルゴリズムの署名を使用する古いOSへのssh接続は、暗号化に関するエラーを出力し失敗します。

     出力されるメッセージの例

     ssh_dispatch_run_fatal: Connection to %1 port 22: error in libcrypto

     Unable to negotiate with %1 port 22: no matching key exchange method found. Their offer: gss-group1-sha1-to...

     %1:sshコマンドに指定した接続先のホスト名、またはIPアドレス

     被監視システムのOSがSHA-1アルゴリズムの署名を使用する古いOSの場合、以下の方法で監視サーバの暗号化ポリシーを確認し、SHA-1が無効な場合は有効化してください。

     なお、本操作はrootユーザでログインして行ってください。

     1. 以下のコマンドを実行し、システムの暗号化ポリシーを確認します。

        update-crypto-policies --show

        表示された暗号化ポリシーが「LEGACY」以外、かつ「:SHA1」を含んでいない場合、SHA-1は無効化されています。

     2. 以下のコマンドを実行し、システムの暗号化ポリシーにSHA1サブポリシーを適用します。

        update-crypto-policies --set %1:SHA1

        %1:手順1.のコマンドで表示された暗号化ポリシー

        実行例) 手順1.で表示された暗号化ポリシーが「DEFAULT」の場合

        # update-crypto-policies --set DEFAULT:SHA1
        Setting system policy to DEFAULT:SHA1
        Note: System-wide crypto policies are applied on application start-up.
        It is recommended to restart the system for the change of policies
        to fully take place.

     3. システムを再起動します。

• HACMPを使用しているAIXの被監視システムを監視する場合

  以下の設定を実施してください。

  なお、本監視方法で対応できるのはHACMP5.3～7.1になります。

  • Systemwalkerコンソールの被監視システムのノードプロパティにおいて、[ネットワーク]タブの[ホスト名]には、永続ノードIPラベルに対応したホスト名を設定してください。

  • 監視サーバで、AIXを監視する監視ポリシーを配付する前に、インストールレス型エージェント監視のクラスタノード定義ファイル(als_clshosts)を用意してください。定義するホスト名は上記で設定した永続ノードIPラベルに対応したホスト名を設定してください。インストールレス型エージェント監視のクラスタノード定義ファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

• TELNET接続の場合

  1. 「Telnetクライアント」をインストールしてください。

  2. デプロイ方式を利用する場合は、以下を実施してください。

     1. FTP接続(ログイン)するためのアカウントの準備
        準備するアカウントについては、“監視に必要な起動アカウントの準備”を参照してください。

     2. FTPサーバに対する設定

        デプロイ方式を利用するためには、監視サーバ上のFTPサーバに対して、以下に示す仮想ディレクトリの設定を行う必要があります。FTPサーバの説明書に従い、以下の設定を行ってください。

        仮想ディレクトリの設定	設定内容
        エイリアス名	systemwalker_mpopals
        仮想ディレクトリの物理パス	Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopals\ftp
        アクセス許可	読み取り

     3. Firewallの設定

        FTPで使用するポート： 20、21

     4. FTPサービスの起動

        FTPがインストールされていない環境では、FTPをインストールしてください。インストール方法やデーモン起動方法は、FTPのマニュアルを参照してください。

• SSH接続の場合

  SSHに関する設定を行う場合、インストールレス型エージェント監視導入支援ツールを使用できます。詳細については“インストールレス型エージェント監視導入支援ツールによるSSH接続の設定”を参照してください。

  1. リモート接続(ログイン)するためのアカウントを準備してください。

     被監視システムで用意したアカウントと同じ名前のアカウントを準備してください。準備するアカウントについては、“監視に必要な起動アカウントの準備”を参照してください。

  2. SSHサービスを起動します。

     SSHがインストールされていない環境では、SSHをインストールしてください。インストール方法やサービス起動方法は、使用するSSHのマニュアルを参照してください。

     また、SSHクライアント設定ファイル(ssh_config)により、環境変数の送信が有効になっていないことを確認してください。確認方法の詳細については、“SSHクライアント設定ファイル(ssh_config)の確認”を参照してください。

  3. SSH接続用の公開鍵と秘密鍵を作成してください。作成手順は、“公開鍵と秘密鍵の作成”を参照してください。

  4. SSHのGUI等を使用して、被監視システムとSSH通信ができること、その際パスフレーズの問い合わせが発生しないことを確認してください。

• WMI接続の場合

  • リモート接続(ログイン)するためのアカウントを準備してください。

    被監視システムで用意したアカウントと同じ名前のアカウントである必要はありません。準備するアカウントについては、“監視に必要な起動アカウントの準備”を参照してください。

  注意

  OSにより以下のようなメッセージが出力され、レジストリファイルがアンロードされてしまい、このレジストリファイルを保持しているインストールレスのサービスが正しく動作しなくなる場合があります。

  • OSのメッセージ(詳細内容はその都度異なります)

    ログ名: アプリケーション ソース: Microsoft-Windows-User Profiles Service 日付: XXXXX イベント ID: 1530 タスク カテゴリ: なし レベル: 警告 キーワード: クラシック ユーザー: システム コンピューター: XXXXX 説明: レジストリ ファイルは他のアプリケーションまたはサービスで使用されています。ファイルはすぐにアンロードされます。レジストリ ファイルを保持しているアプリケーションまたはサービスはこれ以降正しく機能しない可能性があります 詳細 - 3 user registry handles leaked from \Registry\User\S-1-5-21-4225776877-4089810645-787839094-500_Classes:Process 60520 (\Device\HarddiskVolume2\Systemwalker\MPWALKER.DM\mpopals\bin\mpalssyseg.exe) has opened key\REGISTRY\USER\S-1-5-21-4225776877-4089810645-787839094-500_CLASSES

  以下の手順で対処してください。なお、現象発生サーバのユーザが「移動ユーザープロファイル」を使用している場合は、以降の“現象発生サーバのユーザが、「移動ユーザープロファイル」を使用している場合”を参照してください。

  1. 管理者でサーバにログオンします。

  2. コマンドプロンプトを右クリックして[管理者として実行]で起動します。

  3. コマンドプロンプトより以下のコマンドを実行して、[ローカルグループポリシーエディタ]画面を起動します。

     > gpedit.msc

  4. [ローカルグループポリシーエディタ]画面の左ペインより、[コンピュータの構成]-[管理テンプレート]-[システム]-[ユーザープロファイル]を選択します。

  5. グループポリシー項目「ユーザーのログオフ時に強制的にユーザーレジストリをアンロードしない」をクリックして表示させ、[有効]を選択し、[適用]ボタンをクリックします。[OK]ボタンをクリックし、設定を保存します。

  6. [ローカルグループポリシーエディタ]画面を終了します。

  7. 念のため、コマンドプロンプトより以下のコマンドを実行し、ポリシーを更新します。

     > gpupdate /force

  8. ポリシーが適用されたか確認します。

     1. コマンドプロンプトより、以下のコマンドを実行します。

        > gpresult /V > gpresult.txt

     2. gpresult.txt をテキストエディタで開きます。

     3. [コンピュータ設定]の[管理用テンプレート]配下で、以下のようにポリシー DisableForceUnloadが有効となっていることを確認してください。

        GPO: ローカル グループ ポリシー
        キー名:Software\Policies\Microsoft\Windows\System\DisableForceUnload
        値: 1, 0, 0, 0
        状態: 有効

  現象発生サーバのユーザが「移動ユーザープロファイル」を使用している場合

  ユーザが移動ユーザープロファイルの最新バージョンを取得できなくなる可能性があるため、下記の確認手順で確認の上、対処の実施を検討してください。

  現象発生サーバのユーザが、移動ユーザープロファイルを使用していないことを確認するには、以下の手順で確認します。

  1. 管理者権限のユーザでサーバにログオンします。

  2. [コントロールパネル]-[システム]を選択します。

  3. 画面左側の[システムの詳細設定]をクリックします。

  4. 「システムのプロパティ」画面の[詳細設定]タブを選択して、ユーザープロファイルの[設定]ボタンをクリックします。

  5. プロファイル一覧の[種類]と[状態]に「移動」がなく、すべて「ローカル」となっていることを確認します。

• HACMPを使用しているAIXの被監視システムを監視する場合

  以下の設定を実施してください。

  なお、本監視方法で対応できるのはHACMP5.3～7.1になります。

  • Systemwalkerコンソールの被監視システムのノードプロパティにおいて、[ネットワーク]タブの[ホスト名]には、永続ノードIPラベルに対応したホスト名を設定してください。

  • 監視サーバで、AIXを監視する監視ポリシーを配付する前に、インストールレス型エージェント監視のクラスタノード定義ファイル（als_clshosts）を用意してください。定義するホスト名は上記で設定した永続ノードIPラベルに対応したホスト名を設定してください。インストールレス型エージェント監視のクラスタノード定義ファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

運用管理サーバ/部門管理サーバで、インストールレス型エージェントのサーバの監視に必要な起動アカウントを設定します。起動アカウントには管理者権限(Administrators)を持ったアカウントを用意してください。Windows版の場合は、アカウントのグループに、監視機能の管理系ロールである、DmAdmin権限を設定してください。

なお、Windowsシステムの監視サーバでインベントリ収集を行う場合、WMIまたはSSHでアクセスするために必要な監視サーバ用起動アカウントには、ビルトイン管理者ユーザ(Administrator)、またはDmOperation 以上(DmAdmin、またはDmOperation)の権限を持ったアカウントを指定してください。

監視サーバのアカウント権限

○：利用可能です。

×：利用できません。

－：使用しません。

注)
Solaris 11の場合は、以下のコマンドを実行し、rootアカウントでログインするための設定を行ってください。

rolemod -K type=normal root

非デプロイ方式では、アプリケーションの監視、サーバ性能の監視、監視ログファイルの機能が使用できません。

デプロイ方式、非デプロイ方式のサポート機能の詳細については、“Systemwalker Centric Manager 解説書”の“Systemwalker Centric Managerのエージェントを導入していないサーバ/クライアントの監視”を参照してください。

SendEnvの設定項目により、環境変数の送信が有効になっていないことを確認してください。

例)
Red Hat Enterprise Linux 5.x監視サーバで、ssh_configファイルのSendEnv項目が有効になっている場合の例

     # Send locale-related environment variables
         SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
         SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
         SendEnv LC_IDENTIFICATION LC_ALL

環境変数の送信が有効になっている場合、インストールレス型エージェント監視機能を利用して正しく監視できない場合があります。

環境変数の送信が有効に設定されている場合は、リモート接続(ログイン)するためのアカウントでSendEnvの設定が無効になるように設定変更してください。

設定変更の方法については、使用するSSHのマニュアルを参照してください。

SSHで通信できる環境をユーザ自身で準備/設定します。

SSHに関する設定を行う場合、インストールレス型エージェント監視導入支援ツールを使用してください。詳細については“インストールレス型エージェント監視導入支援ツールによるSSH接続の設定”を参照してください。

監視サーバに秘密鍵、被監視システムに公開鍵を置き、認証の設定をします。設定をしない場合は、監視サーバから被監視システムに接続するときに、パスワードの問い合わせが発生します。また、公開鍵と秘密鍵は、SSHのデフォルトのファイル名で作成してください。

以下の各作業の詳細については、SSHパッケージの種別およびバージョンによって異なります。使用するSSHのマニュアルを参照してください。

1. SSH通信用に準備したアカウントで公開鍵と秘密鍵を生成します。このとき、パスフレーズは指定しません。

2. 秘密鍵を監視サーバのデフォルトのディレクトリに格納します。

3. 公開鍵を被監視システム上のシステム管理者のデフォルトのディレクトリに格納します。

なお、運用中に公開鍵と秘密鍵を変更した場合、公開鍵と秘密鍵を各サーバに再設定してください。このときSystemwalker Centric Managerの再起動は不要です。