▶ セイ・テクノロジーズ コーポレートサイトはこちら

サポート情報番号 000188
対象バージョン BOM 7.0 (全 SR), BOM 6.0 (全 SR), BOM 5.0 (全 SR)

[概要]
BOMの代理監視機能を使用して、リモートコンピューターを監視する際のポイントを説明します。

代理監視を設定する際の詳細な手順については、製品同梱の「インストールマニュアル」および「ユーザーズマニュアル」を参照してください。

[設定内容]

A. 監視に利用するアカウントの準備
代理監視では、”監視に利用するアカウント”という、代理監視元と代理監視先、双方のコンピューターにて利用できるユーザーアカウントが必要になります。

ワークグループユーザー認証の場合は、双方のコンピューターに同一のアカウント名、パスワードを設定し、Administratorsグループのメンバーとして追加します。
ドメインユーザー認証の場合は、任意のドメインアカウントを双方のコンピューターのAdministratorsグループのメンバーとして追加します。

B.認証、データ授受用ポートの開放
代理監視先コンピューターでは、ユーザー認証や監視データ取得のために、ポートを開放する必要があります。

サポート技術情報000156「BOMによる代理監視で使用するポートについて」を参考にして、ポートを開放してください。

C. 代理監視インスタンスの作成
代理監視先コンピューターを監視するための代理監視用インスタンスを、マニュアルの手順に沿って作成します。

[確認事項]
“設定内容”を元に代理監視インスタンスを作成したにもかかわらず正しく監視の設定、および監視の実行ができない場合は、以下の項目を確認してください。

A.名前解決がおこなえているか
インスタンス作成時に代理監視先コンピューターをコンピューター名で指定した場合、コンピューター名からIPアドレスに名前解決ができる必要があります。Ping、NSLookupなどのコマンドにて、名前解決ができることを確認してください。

B.経路上で通信遮断されていないか
代理監視元コンピューターと代理監視先コンピューターの経路上にFirewallが設置されている場合には、必要な通信をブロックしていないか確認してください。

C.Remote Registryサービスが開始しているか
代理監視先コンピューターの監視データを取得するためには代理監視先コンピューターにてRemote Registryサービスが開始している必要があります。サービスが開始していない場合には開始してください。また、スタートアップの種類が”無効”または”手動”になっている場合には、”自動”に変更してください。

D. Guest認証設定の確認
代理監視先コンピューターのセキュリティポリシーにて、ポリシー名”ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル”の設定値が”Guestのみ”に設定されている場合、代理監視元コンピューターからのアクセスがGuestアカウントとして扱われ、管理者権限を取得できません。”ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル”の設定値を”クラシック”に変更してください。

E.サービスアカウントの特権の確認
代理監視元コンピューターにて動作するBOM監視サービスは、”サービスのログオンアカウント”として”ローカルシステムアカウント”を設定しています。

“ローカルシステムアカウント”は、既定で特権”プロセス レベル トークンの置き換え”と”プロセスのメモリ クォータの増加”を保有しており、BOMではその特権を使用しております。”サービスのログオンアカウント”を”ローカルシステムアカウント”以外に変更したり、”ローカルシステムアカウント”から特権を削除したりした場合には、代理監視にて不具合が発生します。
BOM監視サービスの”サービスのログオンアカウント”が、特権”プロセス レベル トークンの置き換え”と”プロセスのメモリ クォータの増加”を保有するように構成してください。

  • BOMの”監視に利用するアカウント”とOSの”サービスのログオンアカウント”は異なります。
    代理監視先コンピューターに接続するのは”監視に利用するアカウント”ですのでご注意ください。

F.ユーザーアカウント制御(UAC)の無効化
Windows Server 2008、Windows Vista以降のOSでは既定でユーザーアカウント制御(UAC)が有効になっていますので、以下の方法のいずれかの対応を実施してください。

  1. 監視インスタンスのプロパティで設定する「監視に利用するアカウント」を、ビルトイン Administrator に設定します。
    この場合、代理監視元と代理監視先で同じパスワードである必要があります。
  2. ユーザーアカウント制御の変更、あるいはコンピューターのセキュリティポリシーを変更し、UACを無効化してください。
    ドメインユーザーの場合には、代理監視元と代理監視先の ユーザーアカウント制御を変更したAdministrators グループに所属させてください。

    • ユーザーアカウント制御の変更はコンピューターのセキュリティを低下させる可能性があります。
    • 一部の環境で「ユーザーアカウント制御の設定」からUACを無効に設定しただけではUACが完全に無効とならない現象を確認しています。この際は、ローカルセキュリティーポリシーの「セキュリティオプション」から、「ユーザーアカウント制御: 管理者承認モードですべての管理者を実行する」を無効にしてください。
    • UAC無効化の設定を行った際は、必ずコンピューターを再起動してください。再起動をすることで設定が反映されます。

G.管理共有の有効化
Windows OSの管理共有が無効化されていると、カスタム監視などの監視の設定で[参照]ボタンを押した際にドライブが表示されない現象が発生します。通常、管理共有は既定値で「有効」となっていますが、何らかの理由で無効化されている場合は有効化してください。

[更新履歴]
2010年12月1日 本技術情報を公開
2015年1月15日 UAC機能に関する内容を修正
2018年12月10日 UAC機能に関する内容を更新
2021年3月19日 管理共有に関する内容を追加、その他文言の小修正実施

関連記事