Systemwalker Desktop Keeperを導入する場合の留意事項を示します。
なお、各機能に関する留意事項は“運用ガイド 管理者編”の“機能に関する留意事項”を参照してください。

• 以下のプロトコルで通信可能であることが条件です。

  • [管理サーバ/統合管理サーバ]－[管理サーバ/統合管理サーバ]間:HTTP

  • [管理サーバ/統合管理サーバ]－[管理コンソール]間:HTTP

  • [管理サーバ/統合管理サーバ]－[クライアント(CT)]間:TCP/IPソケット通信

  • [管理サーバ/統合管理サーバ]－[ログアナライザサーバ]間:TCP/IPソケット通信

  • [管理サーバ/統合管理サーバ]－[Webコンソール]間:HTTP
    通信はHTTPSで行うことを推奨します。

  • [ログアナライザサーバ]－[レポート出力ツール]間:TCP/IPソケット通信

• 管理サーバ/統合管理サーバとクライアント(CT)間、または、管理サーバ/統合管理サーバと管理サーバ/統合管理サーバ間で、ファイアーウォールなどで通信パケットが制限される場合、クライアント(CT)から通信が可能な位置にサーバを配置する必要があります。この場合、通信が可能なドメインの範囲での閉じられた運用となり、独立し連携しないシステムが複数個稼働します。

• 管理サーバ/統合管理サーバとクライアント(CT)間の通信は暗号化されます。
  このため、V14.3.1以前の通信暗号化の修正を適用していないクライアント(CT)との通信など、暗号化されていない通信については制限されます。

  • V14.0.0～V14.3.1のクライアントは、2014年9月以降の緊急修正を適用するか、V15.1.0以降へのバージョンアップが必要です。

  • 管理サーバをV15.1.0以降にバージョンアップした後は、新規インストールできるクライアントはV15.0.0以降です。ただし、管理サーバのバージョンより新しいバージョンのクライアントはインストールできません。

• VLANを使用することによってセグメント間で通信が制限される場合も、通信可能な範囲でサーバを設置する運用となるので、Systemwalker Desktop Keeperサーバが複数必要となる場合があります。

• 以下の通信を行う場合、ポート137番～139番、および445番を開ける必要があります。
  プリンタサーバ経由の印刷について印刷ログを取得しない場合は、このポートを開放する必要はありません。

  • 統合管理サーバ－管理サーバ間の通信

  • 統合管理サーバ－クライアント(CT)間の通信

  • 管理サーバ－クライアント(CT)間の通信

• サーバとクライアント(CT)間が、NAT(Network Address Translation)で構成されている環境では、以下の通信は行えません。

  • 管理サーバ/統合管理サーバからクライアント(CT)に対するポリシーの即時送信

  • 管理サーバ/統合管理サーバからクライアント(CT)に対するリモート資料採取

  • 管理サーバ/統合管理サーバからクライアント(CT)に対するCTデバッグトレースの設定

  • 管理サーバ/統合管理サーバからクライアント(CT)に対するサービス一覧取得/サービス制御

  • 管理サーバ/統合管理サーバからクライアント(CT)に対するプロセス一覧取得/プロセス制御

  • 管理サーバ/統合管理サーバからクライアント(CT)に対する緊急対処

  • V15.0以前のクライアント(CT)から管理サーバ/統合管理サーバに対する自己版数管理機能の通信

• VPN接続で管理サーバ/統合管理サーバとクライアント(CT)を接続した場合、メール送信ログが採取できないなど、Systemwalker Desktop Keeperの動作に影響を及ぼす可能性があります。このような環境で運用する場合は、事前に動作を確認してください。

• ログアナライザサーバでファイアーウォールを使用する場合、ログアナライザサーバが使用するポートを開ける必要があります。ログアナライザサーバが使用するポート番号は、“リファレンスマニュアル”の“ポート番号とサービス”を参照してください。

• IPv6アドレスが使用できます。

• IPv6アドレスを利用した環境で、ログアナライザを利用する場合は、ホスト名の名前解決が必須です。

• リンクローカルアドレスは入力しないでください。リンクローカルアドレスを指定した場合の動作は保障していません。

• クライアント(CT)は、管理サーバ/統合管理サーバの名前解決(正引き、逆引き)ができている必要があります。

• 管理サーバは統合管理サーバの、統合管理サーバは管理サーバの名前解決(正引き、逆引き）ができている必要があります。

• クライアント(CT)に回線交換式(ダイヤルアップ)のアダプターが存在する場合は、無意識での通信費用発生を防止するために管理サーバとの通信をしないため、利用できません。また、VPN接続時に回線交換式のアダプターがクライアント(CT)組み込まれる場合もあり、この場合でも管理サーバとの通信をしません。

  このような環境で管理サーバと通信を行う場合は、管理サーバと通信できる状態で、管理サーバのCT動作パラメーター情報ファイルを使用してCTの設定を変更する必要があります。詳細は、“リファレンスマニュアル”の“CT動作パラメーター情報ファイル”を参照してください。

• セキュア通信を設定した場合、管理サーバ/統合管理サーバとクライアント(CT)間で暗号化プロトコルであるTLS1.2/TLS1.3を使用します。このため、セキュア通信を設定している場合はTLS1.2/TLS1.3を無効にしないでください。（TLS1.0/1.1は使用していません）

• 非永続環境(ユーザがログオンするたびにマスタイメージに戻る環境など)でログ格納フォルダを仮想PC上のディスクに設定している場合、仮想PCをログオフすると、蓄積された操作ログ、禁止ログが破棄されます。このため、ログが破棄されないように以下のいずれかの対策を行ってください。

  • 仮想化ソフトウェアの設定にて、仮想PC上のログ格納フォルダが破棄されないように設定する。

  • 仮想化ソフトウェアの設定にて、ログ格納フォルダが破棄されない領域を設定し、ログ格納フォルダをその領域に設定する。

  上記の対策が不可能な場合は、以下の運用を行うことで対処して下さい。

  • クライアント(CT)のログ送信のポリシーを「操作ログ発生時点で即時に送信する（蓄積した操作ログは接続直後に即時に送信する）」と設定する。かつ、

  • ログオフスクリプト等でログオフ時のWindows終了を2分程度遅延させる。

  なお、上記運用はクライアント(CT)のシャットダウン時、ログ格納フォルダに大量のログが蓄積しておらず、管理サーバも正常に稼働していることが前提となります。

• 仮想PCをダーティシャットダウンした場合(仮想PCを強制電源断するなど)や、仮想PCが動作している端末をダーティシャットダウンした場合(物理PC、ハイパーバイザーを強制電源断するなど)は、操作ログ、禁止ログが蓄積できない可能性があります。仮想PC、物理PCとも、必ず正規の手順でシャットダウンしてください。

• クローンPCについては、管理サーバ上で管理していないため、CTポリシー、ユーザーポリシーを即時で適用することはできません。CTポリシーについては、端末を再起動して適用してください。ユーザーポリシーについては、1度ログオフし、再ログオンしてください。

• UNICODE文字使用時の注意
  WindowsへのログオンIDがUNICODE固有文字を含むユーザーIDの場合(※1)、すべてのインストーラはインストール中にエラーが発生してインストールが中断することがあります。
  ※1：インストール時のユーザーIDに限らず、一度でもUNICODE固有文字を含むユーザーIDでログオンしたことのある端末が該当します。

• Windowsファイアーウォールを有効と設定している場合、製品をインストールすると、製品で使用するポート番号をファイアーウォールの「例外」として登録してポートを開放します。

• サーバ設定ツールで指定したIPアドレスが、実際のIPアドレスと違っていた場合には、管理サーバ/統合管理サーバのサービスが起動しません。正しいIPアドレスを指定してください。

• 管理サーバ/統合管理サーバのシステム時間を大きく変更しないでください。変更した場合、管理サーバ/統合管理サーバが正常に動作しなくなることがあります。
  システム時間を大きく変更した場合は、管理サーバ/統合管理サーバを再起動してください。

• サーバ設定ツールでのログオン情報、およびActive Directory連携実行情報がイベントログ(アプリケーション)に出力されます。

• クライアント(CT)をインターネット経由で管理サーバ/統合管理サーバにアクセスさせる場合は、管理サーバ/統合管理サーバにて、セキュア通信のための設定を行ってください。

• クライアント(CT)がプロキシサーバ経由でインターネットにアクセスする環境において、クライアント(CT)をインターネット経由で管理サーバ/統合管理サーバにアクセスさせる場合、管理サーバ/統合管理サーバにて、CT動作パラメーター情報ファイルを使用してプロキシサーバの設定を行ってください。詳細は“リファレンスマニュアル”の“CT動作パラメーター情報ファイル”を参照してください。

• 集計の結果、対象の件数分のログデータ量が2GBを超えた場合や、空きディスク容量が不足した場合には、集計処理や結果表示または、レポート出力が正常に動作しない、またはエラーとなることがあります。

• 文字データについて
  ログアナライザサーバで設定する文字列(インストールパスやフォルダパス、ユーザーID/パスワードなど)に、Shift JIS以外の文字(JIS2004を含めて、Shift JISに対応コードを持たないUNICODE文字など)は使用できません。
  Shift JIS以外の文字を使用した場合には、他の文字に変換される、またはエラーが発生するなど、正常に動作しません。
  ただし、ログアナライザ(Webコンソール)における[目的別集計]画面の[キーワード]欄と[設定管理]画面の[絞込条件設定]の[キーワード欄]については、JIS2004を含むUNICODE文字を使用できます。

中継サーバを再導入した場合、データベースへの接続情報が初期化されます。中継サーバの設定変更コマンド(SDSVSetMS.EXE)を利用して、データベースへの接続情報を再設定してください。コマンドの詳細は、“リファレンスマニュアル”の“SDSVSetMS.EXE(中継サーバの設定変更)”を参照してください。

3階層のシステム構成において、管理サーバ/統合管理サーバそれぞれに管理コンソールを設置できます。複数の管理コンソールからポリシーの設定がされた場合、最後に設定したポリシーがクライアント(CT)に反映されます。

• Systemwalker Desktop Keeperの管理サーバ/統合管理サーバとCitrix XenApp Serverは、別サーバに構築してください。

• Citrix XenApp Serverのアカウント管理は、Active Directoryで行ってください。

• Citrix XenApp クライアントの動作OSが、Systemwalker Desktop Keeperクライアントの動作OS以外の場合、Citrix XenApp監視機能により、操作ログは採取されますが、内容は保証されません。

• Citrix XenAppにて、公開アプリケーションから正常にログオフした後にアクティブ状態のセッションが残る場合があります。これはバックグラウンドで動作しているプロセスに終了が通知されないために発生しており、Citrix XenAppの設定により回避できる場合があります。
  設定方法については、Citrix社に確認してください。なお、設定方法に関してCitrix社から公開されている情報のドキュメントIDはCTX102282です。公開情報を元に設定を追加するプロセスのファイル名には以下を指定してください。
  fsw11eja.exe,fsw21ej0.exe,fsw21ej6.exe
  （Citrix XenAppのバージョンによってはワイルドカードを指定した設定（fsw11*.exe,fsw21*.exe）も可能ですが、XenApp6.5ではワイルドカードでの指定は正しく動作しません。）

• デバイスに対する書き込みを制限するフィルタードライバ制御、フック方式(INSTANT COPYなどの製品導入時)など、Systemwalker Desktop Keeperの制御と類似した制御をしているアプリケーションが同居している場合の動作は保証しません。また、VMware ThinAppはSystemwalker Desktop Keeperのフック方式と競合し、正しく動作しないことがわかっています。

• クライアント(CT)をインストールしたままOSのアップグレードを行うと、クライアント(CT)が正常に動作しなくなります。(例:Windows 10からWindows 11にOSのアップグレードを行う)
  OSのアップグレードを行う場合は、クライアント(CT)をアンインストールしたあとに、OSのアップグレードを行い、再度クライアント(CT)をインストールしてください。再インストール時に、以前と同じCTに紐付けて登録するためには、サーバ設定ツールの[システム設定]画面でCT登録時の同一CT判断条件の[OS種別]に[使用しない]を設定してください。

  また、Windows 11は、アップグレード前のOSに戻すことが可能です。(例:Windows 10からWindows 11にアップグレード後に再度Windows 10に戻す)。
  この場合も、クライアント(CT)をインストールした状態だとクライアント(CT)が正常に動作しなくなります。OSのアップグレード時と同じ手順で実施してください。

• 新規DVD/CDデバイスを初めて接続した場合には、再起動してください。再起動しないと新規に接続したDVD/CDデバイスが正常に使用できない場合があります。

• DVD/CDへの持出し禁止を設定しているポリシーでDVD-ROM(DVD-Video)やCPRMのDVDを再生する場合、DVD再生ソフトによっては正常に再生できない場合があります。一時的にDVD/CDへの持出し禁止を解除するか、他のDVD再生ソフトを使用してください。

• VPNソフトウェアなど、通信にかかわる製品と共存する場合、事前に動作検証を行ってください。
  製品が競合し、共存できない場合があります。（通信ができない、ブルースクリーンが発生するなど）

• キャプチャ製品と共存した環境では、互いの機能が正常に動作しない可能性があります。

• ウイルスバスター2007以降が導入されているマシンにクライアント(CT)をインストールした場合、ウイルスバスター2007以降の「ネットワーク接続環境が変わりました」というダイアログが表示される場合がありますが、問題はありません。

  • UACで権限昇格を許可し操作を続行した場合、以下のログが採取できません。

  • ネットワークプリンタへの印刷ログ

  • ネットワークドライブの構成変更ログ

• TCPlinkを導入している環境で、PrintScreenキーを押すと、ネットワークプリンタに2枚印刷される場合があります。ネットワークプリンタに[Lan Manager プリンタポート] ではなく[Standard TCP/IPポート]を設定してください。

• Windows 11へ印刷禁止ポリシーを設定した場合、ポップアップメニューの[印刷]メニューが非表示になります。

管理サーバ/統合管理サーバで、シャットダウン、または再起動する場合は、必ず以下の手順で行ってください。

1. 管理サーバ/統合管理サーバで、Windowsのサービス画面を表示し、以下の各サービスを選択して、[操作]メニューから[停止]を選択します。なお、停止するまでに30秒から1分程度かかる場合があります。また、SWServerServiceを起動した直後や日付が変更になったとき(午前0時)は、データベースの空き容量の確認が動作するため、確認動作が終了するまでの約15分間は、サービスが停止しないことがあります。時間をおいて、停止を確認してください。

   • SWLevelControlService

   • SWServerService

   • SWSecureCommunicationService（セキュア通信を設定している場合のみ）

   • PostgreSQL RDB SWDTK

2. 管理サーバ/統合管理サーバを、シャットダウンまたは再起動します。

以下に該当する環境では、Windowsの「リモートデスクトップ接続」など、Windowsターミナルサービス経由の操作はできません。リモート接続のセッションが残っている場合も同様です。リモート接続した後は、必ずログオフしてください。

管理サーバ/統合管理サーバ/ログアナライザサーバでシステムバックアップを行うソフトウェアを使用してシステムのバックアップを行う場合、以下の点に注意してください。

• 管理サーバ/統合管理サーバ/ログアナライザサーバをシステムドライブ以外にインストールした場合でも、システムドライブ上に一部Systemwalker Desktop Keeperのプログラムが導入されます。
  バックアップおよびリストアは、インストールしたドライブとシステムドライブの両方を対象としてください。

• バックアップ時は、サービスを停止する必要があります。必ず以下の手順でバックアップを行ってください。

  【管理サーバ/統合管理サーバの場合】

  1. 管理サーバ/統合管理サーバで、Windowsのサービス画面を表示し、以下の順に各サービスを選択して、[操作]メニューから[停止]を選択します。なお、停止するまでに30秒から1分程度かかる場合があります。また、SWServerServiceを起動した直後や日付が変更になったとき(午前0時)はデータベースの空き容量の確認が動作するため、確認動作が終了するまでの約15分間は、サービスが停止しないことがあります。時間をおいて、停止を確認してください。

     1. SWLevelControlService

     2. SWServerService

     3. PostgreSQL RDB SWDTK

     4. PostgreSQL RDB SWDTK2

  2. システムバックアップが完了したら停止したサービスを以下の順で起動してください。

     1. PostgreSQL RDB SWDTK2

     2. PostgreSQL RDB SWDTK

     3. SWServerService

     4. SWLevelControlService

  【ログアナライザサーバの場合】

  1. ログアナライザ機能を使用していないことを確認してください。

  2. ログアナライザサーバで、Windowsのサービス画面を表示し、以下の順に各サービスを選択して、[操作]メニューから[停止]を選択します。なお、停止するまでに30秒から1分程度かかる場合があります。

     • SymfoWARE RDB SWDTLA

  3. システムバックアップが完了したら停止したサービスを以下の順で起動してください。

     • SymfoWARE RDB SWDTLA

• 本製品は64ビット版コンポーネントです。そのため、32ビット版OSへインストールできません。

• 旧バージョンの32ビット版コンポーネント環境からのバージョンアップインストールはできません。なお、ログアナライザサーバは、バージョンアップインストール自体が未サポートです。

• 64ビット版WSUSサーバとの同居は可能です。

以下のエラーメッセージが出力される場合があります。

以下の対処を実施してください。

1. OKを押してインストールを続行させてください。

2. インストールしようとしたコンポーネントのインストーラ配下にあるC++再頒布可能パッケージフォルダ(※1)で始まるフォルダ配下のexeファイル全てを手動で実行し、Microsoft Visual C++再頒布可能パッケージをインストールしてください。(※2)

3. 再度製品をインストールしてください。

※1 各コンポーネントのインストーラ配下にあるC++再頒布可能パッケージフォルダは以下です。

• 管理サーバ

  • (DTK製品媒体のドライブ):\win32\DTKServer\x64\unified\vcredistおよびvcredist_2015-2019

• ログアナライザサーバ

  • (DTK製品媒体のドライブ):\win32\DtkLogAnalyzer\Server\x64\unified\vcredist

• レポート出力ツール

  • (DTK製品媒体のドライブ):\win32\DtkLogAnalyzer\ReportTool\x86\unified\vcredist

※2 手動で実行しても同じエラーが出る場合は何度か繰り返してください。解決しない場合は、以下の対策後実施してください。

• OSの再起動

• ウィルス対策ソフトの停止

• Windows UpdateでOSを最新化

以下のフォルダをウイルス対策ソフトのリアルタイムスキャンの対象から除外してください。

• 統合管理サーバおよび管理サーバ

  • 運用データベース作成先フォルダ(初期値:C:\DTK\OPEDB)

  • バックアップツールおよびバックアップコマンド利用時のバックアップファイル格納先フォルダ

• クライアント(CT)およびCitrix XenApp監視機能

  • クライアント(CT)インストール時に指定したログファイルの格納先フォルダ(標準ではC:\DTK\_Extension)

  • 32ビット版Windowsの場合: (OSインストールドライブ):\Windows\System32\_Extension

  • 64ビット版Windowsの場合: (OSインストールドライブ):\Windows\SysWOW64\_Extension

【Webコンソールのサイト(URL)が属するゾーンについて】

WebコンソールのサイトにアクセスするPCでは、Internet Explorerのセキュリティレベルの設定を必要に応じて行ってください。
Webコンソールのサイト(URL)が属するゾーンのセキュリティレベルが、以下に示すレベルより高い場合、正常に動作しない場合があります。

• セキュリティレベル「中高」

上記の理由で正常動作しない場合、Webコンソールのサイト(URL)を上記と同等以下のセキュリティレベルのゾーンに所属させるか、現在所属しているゾーンのセキュリティレベルを下げる必要があります。

通常、[イントラネット]または[信頼済みサイト]のゾーンは上記のセキュリティレベルが既定となっているため、どちらかのゾーンの[サイト]にWebコンソールのサイト(URL)を登録することをおすすめします。

なお、Webブラウザを表示させた際に属しているゾーン（「イントラネット」、「インターネット」など）は、ファイル・メニューの[プロパティ]を選択することで表示されるプロパティ・ページの中ほどの[ゾーン]項目で確認することができます。

【ファイルのダウンロードが成功しない場合の設定について】

Webコンソールのサイトでは必要に応じてファイルをダウンロードする場合があります。
ファイルをダウンロードする操作としては以下があります。

• ログ検索後、ファイル追跡後、設定変更ログ検索後のCSV出力機能でのファイルのダウンロード

• コマンドプロンプトログの内容ダウンロード機能によるファイルのダウンロード

• ファイル持出しログの付帯ファイルダウンロード機能によるファイルのダウンロード

• 画像表示画面からのファイル保存によるダウンロード

上記のファイルのダウンロード操作を行った場合、保存先のファイル名を入力した後に[～コピーしました]の画面が表示されたままダウンロードに時間がかかる、またはダウンロードが終了しない場合があります。
その場合、以下の設定の変更を行ってください。

1. Systemwalker Desktop Keeperのサイト(URL)を信頼済みサイトに登録し、Internet Explorer®の[SmartScreen フィルター機能]を無効にします。
   なお、この設定を行う事で、信頼済みサイトに登録している全てのサイトで[SmartScreen フィルター機能]が無効になります。

2. ログビューアを起動し[ログイン]画面を表示します。[ログイン]画面を表示したままで以下の設定を行ってください。ログビューアの起動方法は、“Systemwalker Desktop Keeper 運用ガイド 管理者編”の“ログビューアを起動する”を参照してください。

3. Internet Explorer®のメニューより[ツール]-[インターネットオプション]を選択し、[インターネットオプション]画面を表示します。

4. [セキュリティ]タブを開き、[信頼済みサイト]のアイコンをクリック後、[サイト]ボタンをクリックします。[信頼済みサイト画面]を表示します。

5. [このWebサイトをゾーンに追加する]にSystemwalker Desktop Keeperのサイト(URL)が設定されている事を確認し、[追加]ボタンをクリックします。

6. [信頼済みサイト画面]で[閉じる]ボタンをクリックして画面を閉じます。

7. [インターネットオプション]で[信頼済みサイト]のアイコンを選択し、[レベルのカスタマイズ]ボタンをクリックします。

8. [セキュリティ設定 - 信頼されたゾーン]画面で設定の中から、[その他]-[SmartScreen フィルター機能を使う]を探し[無効にする]をクリックします。

9. [セキュリティ設定 - 信頼されたゾーン]画面で[OK]ボタンをクリックして画面を閉じます。

10. [インターネットオプション]画面で[OK]ボタンをクリックして画面を閉じます。

【Systemwalker Desktop Patrolと連携する場合の設定について】

Systemwalker Desktop Patrolと連携し、Internet Explorerを使用する場合、以下の設定を行ってください。

1. [インターネットオプション]-[セキュリティ]タブを開きます。

2. Systemwalker Desktop KeeperおよびSystemwalker Desktop Patrolのサイト(URL)が所属するゾーンを選択して[レベルのカスタマイズ]をクリックし[セキュリティ設定]画面を開きます。

3. 設定欄で[その他]グループにある[異なるドメイン間のウィンドウとフレームの移動]を[有効] にします。

4. [セキュリティ設定]画面で[OK]をクリックします。

5. [セキュリティ]タブで[適用]または[OK]をクリックします。