-
2021.03.19 -
2024.03.01
代理監視にてリモートコンピューターを監視する場合
サポート情報番号 | 000188 |
対象バージョン | BOM 8.0 (全 SR), BOM 7.0 (全 SR), BOM 6.0 (全 SR), BOM 5.0 (全 SR) |
[概要]
BOMの代理監視機能を使用して、リモートコンピューターを監視する際のポイントを説明します。
代理監視を設定する際の詳細な手順については、製品同梱の「インストールマニュアル」および「ユーザーズマニュアル」を参照してください。
-
- 設定の流れ
-
- 監視に利用するアカウントを準備します
代理監視では、”監視に利用するアカウント” として代理監視元と代理監視先、双方のコンピューターで利用できるユーザーアカウントを用意する必要があります。- ワークグループユーザー認証の場合は、双方のコンピューターに同一のアカウント名、パスワードを設定し、Administratorsグループのメンバーとして追加します。
- ドメインユーザー認証の場合は、任意のドメインアカウントを双方のコンピューターのAdministratorsグループのメンバーとして追加します。
- 認証、データ授受用にポートを開放します
代理監視先コンピューターでは、ユーザー認証や監視データ取得のために、ポートを開放する必要があります。
サポート技術情報000156「BOMによる代理監視で使用するポートについて」を参考にして、ポートを開放してください。 - 代理監視インスタンスを作成します
代理監視先コンピューターを監視するための代理監視用インスタンスを、マニュアルの手順に沿って代理監視元に作成します。
- 監視に利用するアカウントを準備します
-
- 確認事項
-
“設定内容”を元に代理監視インスタンスを作成したにもかかわらず正しく監視の設定、および監視の実行ができない場合は、以下の項目を確認してください。
A.名前解決がおこなえているか
インスタンス作成時に代理監視先コンピューターをコンピューター名で指定した場合、コンピューター名からIPアドレスに名前解決ができる必要があります。Ping、NSLookupなどのコマンドにて、名前解決ができることを確認してください。B.経路上で通信遮断されていないか
代理監視元コンピューターと代理監視先コンピューターの経路上にFirewallが設置されている場合には、必要な通信をブロックしていないか確認してください。C.Remote Registryサービスが開始しているか
代理監視先コンピューターの監視データを取得するためには代理監視先コンピューターにてRemote Registryサービスが開始している必要があります。サービスが開始していない場合には開始してください。また、スタートアップの種類が”無効”または”手動”になっている場合には、”自動”に変更してください。
D. Guest認証設定の確認
代理監視先コンピューターのセキュリティポリシーにて、ポリシー名”ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル”の設定値が”Guestのみ”に設定されている場合、代理監視元コンピューターからのアクセスがGuestアカウントとして扱われ、管理者権限を取得できません。“ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル”の設定値を”クラシック”に変更してください。
E.サービスアカウントの特権の確認
代理監視元コンピューターにて動作するBOM監視サービスは、”サービスのログオンアカウント”として”ローカルシステムアカウント”を設定しています。“ローカルシステムアカウント”は、既定で特権”プロセス レベル トークンの置き換え”と”プロセスのメモリ クォータの増加”を保有しており、BOMではその特権を使用しています。そのため、”サービスのログオンアカウント”を”ローカルシステムアカウント”以外に変更したり、”ローカルシステムアカウント”から特権を削除した場合には、代理監視で不具合が発生します。
BOM監視サービスの”サービスのログオンアカウント”が、特権”プロセス レベル トークンの置き換え”と”プロセスのメモリ クォータの増加”を保有するように構成してください。
- BOMの”監視に利用するアカウント”とOSの”サービスのログオンアカウント”は異なります。
代理監視先コンピューターに接続するのは”監視に利用するアカウント”ですのでご注意ください。
F.ユーザーアカウント制御(UAC)の無効化
Windows Server 2008、Windows Vista以降のOSでは既定でユーザーアカウント制御(UAC)が有効になっているため、以下のいずれかの対応を実施してください。- 監視インスタンスのプロパティで設定する「監視に利用するアカウント」を、UACの影響を受けないビルトイン Administrator に設定します。
この場合、代理監視元と代理監視先で同じパスワードである必要があります。 - 以下の方法で、UACを無効化します。
このユーザーアカウント制御の変更は、コンピューターのセキュリティを低下させる可能性があります。- 「ユーザーアカウント制御の設定」からUACを無効に設定します。
- ローカルセキュリティーポリシーの「セキュリティオプション」から、「ユーザーアカウント制御: 管理者承認モードですべての管理者を実行する」を無効に設定します。
- ドメインユーザーの場合には、代理監視元と代理監視先の ユーザーアカウント制御を変更したAdministrators グループに所属させます。
- UAC無効化の設定後、必ずコンピューターを再起動させます。設定を反映するため、再起動は必ず実行してください。
G.管理共有の有効化
Windows OSの管理共有が無効化されていると、カスタム監視などの監視の設定で[参照]ボタンを押した際にドライブが表示されない現象が発生します。通常、管理共有は既定値で「有効」となっていますが、何らかの理由で無効化されている場合は有効化してください。
- BOMの”監視に利用するアカウント”とOSの”サービスのログオンアカウント”は異なります。
[更新履歴]
2010年12月1日 本技術情報を公開
2015年1月15日 UAC機能に関する内容を修正
2018年12月10日 UAC機能に関する内容を更新
2021年3月19日 管理共有に関する内容を追加、その他文言の小修正実施
2022年6月16日 BOM 8.0 を追加
2023年10月11日 レイアウトおよび、文言の小修正を実施