この資料では、Systems Management Server 管理コンソールを使用して Microsoft Systems Management Server 2.0 サイト データベースに接続する際のトラブルシューティングに関する情報を掲載しています。
Systems Management Server 2.0 は次のようなセキュリティ機構を組み合わせて、Systems Management Server サイト データベースのセキュリティ保護を行っています。
| ? |
ファイル システム
|
| ? |
Windows Management Instrumentation (WMI) (WBEM (Web-Based Enterprise Management) 規格のマイクロソフトの実装)
|
| ? |
Systems Management Server プロバイダ
|
すべてのセキュリティ オプションは、Systems Management Server サイト データベースにアクセスできるように適切に構成されている必要があります。
先頭へ戻る
Systems Management Server 管理コンソールは、管理ツールをホストするためのフレームワークである Microsoft 管理コンソール スナップインから利用できます。コンソール ファイル (.msc という拡張子が付いています) は Microsoft 管理コンソール スナップインの内容を定義するために使用され、特定のタスク用にカスタマイズすることができます。
Systems Management Server 管理コンソールを使用して Systems Management Server サイト データベースにアクセスできることを確認するには、以下の点を確認します。
| ? |
Systems Management Server 管理コンソールを使用して、リモート ドメインの Windows NT コンピュータから、信頼されていない別の Windows NT ドメインの Microsoft Systems Management Server サイトに接続しようとすると、接続の試行が失敗して、Systems Management Server 2.0 管理コンソールに以下のエラー メッセージが表示されることがあります。
接続に失敗しました。
Systems Management Server 2003 の場合、以下のエラー メッセージが表示されることがあります。
MMC は指定したファイルを開くことができません。
リモート ドメインの Systems Management Server サイトを管理できるようにするには、次のいずれかの条件を満たしている必要があります。
| ? |
ドメイン間の信頼関係が確立されていること (リモート ドメインは、ワークステーションが存在するドメインを信頼している必要があります)
| | ? |
サイト サーバーのドメインに、同じ名前とパスワードを持つユーザー アカウントが作成されていること
|
|
| ? |
Systems Management Server 管理コンソールを起動するユーザーは、Systems Management Server 2.0 サイト サーバーか、Systems Management Server 管理コンソールまたは Microsoft 管理コンソールがインストールされているローカル ワークステーション上の次のディレクトリに格納されているデフォルトの Sms.msc ファイルと Explore.msc ファイルに対する読み取りのアクセス許可が付与されている必要があります。
Drive\Sms\Bin\Platform Drive は Systems Management Server がインストールされているドライブのドライブ文字、Platform は Systems Management Server 管理コンソールを起動するプラットフォームです。
Systems Management Server 管理コンソールの起動時に次のメッセージが表示される場合があります。
選択したファイルは Microsoft 管理コンソール (MMC) のドキュメントではありません。
この場合には、ファイル マネージャやエクスプローラを使用して、これらのファイルのファイル アクセス許可を確認してください。
|
| ? |
Systems Management Server 2.0 のサイト データベースに接続する場合は、Systems Management Server プロバイダが存在するサーバーに対する適切な WBEM 権限も必要です。
必要な WBEM 権限がない場合に発生する現象としては、サイト データベースに接続しようとした際に、Systems Management Server 管理コンソールに "接続に失敗しました" というメッセージが表示されることが挙げられます。
デフォルトでは、Systems Management Server セットアップによって Windows NT ローカル グループが、SMS 2.0 では Systems Management Server Admins という名前で、SMS 2003 では SMS Admins という名前でそれぞれ作成されます。このグループは、SMS セットアップ プログラムによって WBEM ユーザー マネージャに追加され、適切な属性が設定されます。最初にこのグループに所属しているユーザーは、Systems Management Server サイト サーバーをインストールしたユーザーだけです。
このグループが変更されていない場合は、Windows NT ユーザー マネージャ (Windows NT 4.0 の場合) または Active Directory ユーザーとコンピュータ (Windows 2000 以降の場合) を使用して、この Systems Management Server Admins ローカル グループに、必要な Windows NT ユーザーまたはグローバル グループを追加します。
Systems Management Server Admins グループにユーザーが追加されても引き続き Systems Management Server 管理コンソールに "接続に失敗しました" というエラーが表示される場合は、Systems Management Server Admins グループに、Systems Management Server サイトと Systems Management Server プロバイダのサーバーに対する適切な WBEM 権限が付与されていることを確認します。
SMS 2.0 でこの問題が発生した場合にトラブルシューティングを行うには、Systems Management Server プロバイダが存在するサーバーで以下の手順を実行します。
注 : サイトの Systems Management Server プロバイダの場所が不明な場合は、サイト サーバーにある Smssetup.log ファイルで、"SMSProviderServer" を検索します。この後のトラブルシューティング手順は、以下の環境で検証されました。
| ? |
Systems Management Server 2.0 がインストールされた Windows NT Server 4.0
| | ? |
Systems Management Server 2.0 がインストールされた Windows 2000 Advanced Server
|
| 1. |
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。wbemperm と入力し、Enter キーを押して WBEM アクセス許可エディタを起動します。
| | 2. |
WBEM アクセス許可エディタのユーザー グループのウィンドウで、Systems Management Server Admins グループを確認します。グループ名の綴りが正しいことを確認します。
| | 3. |
[ユーザー] メニューの [グループのプロパティの編集] をクリックし、エントリを選択します。[属性] セクションで、以下のオプションが選択されていることを確認します。
| ? |
有効 (オンになっています)
| | ? |
メソッドの実行 (オンになっています)
| | ? |
スキーマ アクセス レベル : インスタンスの書き込み
|
| | 4. |
Systems Management Server プロバイダが Systems Management Server サイト サーバー (SQL Server など) とは別のサーバー上に存在する場合は、Systems Management Server Admins グループに、ローカルのサイト サーバーに対する適切な WBEM アクセス許可が付与されていることを確認する必要もあります。これは、Systems Management Server は最初にサイト サーバーに接続して Systems Management Server プロバイダの場所を特定する必要があるためです。この確認を行うには、前に記載されている手順を Systems Management Server サイト サーバー上で実行します。その際に、ユーザー グループのプロパティの [属性] セクション内で、次のオプションが選択されていることを必ず確認してください。
| ? |
有効 (オンになっています)
| | ? |
スキーマ アクセス レベル : 読み取り専用
|
|
ユーザーやグループのエントリに誤りや綴りの違いがあると、変更ができません。WBEM ユーザー マネージャで、[ユーザー] メニューの [新しいユーザーの追加] または [新しいグループの追加] をクリックしてユーザーまたはグループを新しく作成する必要があります。ユーザーやグループの正しいエントリを追加したら、誤りのあるエントリを選択し、[ユーザー] メニューの [ユーザーの削除] または [グループの削除] をクリックして削除できます。SMS 2003 でこの問題のトラブルシューティングを行うには、Wbemtest.exe を使用して、\\Server\root\default にあるサイト サーバーのリポジトリに接続可能であるかどうかをテストします。Wbemtest.exe は、サイト サーバーの WinDir\system32\Wbem\ フォルダに格納されています。WBEM アクセス許可を確認するには、次の手順を実行します。| 1. |
[スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントして、[コンピュータの管理] をクリックします。
| | 2. |
コンピュータの管理のコンソールで [サービスとアプリケーション] を展開し、[WMI コントロール] を右クリックして、[プロパティ] をクリックします。
| | 3. |
[WMI コントロールのプロパティ] ボックスの [セキュリティ] タブをクリックします。
| | 4. |
名前空間のセクションで、[Root] を展開して [SMS] をクリックし、[セキュリティ] ボタンをクリックします。
| | 5. |
[セキュリティ ROOT\SMS] ボックスで、WMI に対して次のアクセス許可が与えられている必要があります。
| ? |
アカウントの有効化
| | ? |
メソッドの実行
| | ? |
プロバイダによる書き込み
|
|
ファイル アクセス許可と WBEM のセキュリティ属性を確認したら、通常は Systems Management Server サイト データベースに接続できます。
|
| ? |
サイト データベースに接続するユーザーには、Systems Management Server 管理コンソール内のクラス レベルのオブジェクトとインスタンス レベルのオブジェクトに対する適切なアクセス権が必要です。十分なアクセス権が付与されていない場合、コンソール ウィンドウにオブジェクトが何も表示されないなどの現象が発生することがあります。
Systems Management Server では、次の種類のオブジェクトに対してセキュリティ アクセスの許可または拒否を行うことができます。
| ? |
コレクション
| | ? |
パッケージ
| | ? |
提供情報
| | ? |
システム ステータス
| | ? |
サイト
| | ? |
クエリ
|
以下に、サイト オブジェクトに対するユーザーまたはグループのクラス (すべてのインスタンス) セキュリティ権限を付与する手順を示します。
| 1. |
Systems Management Server のサイトを最初にインストールしたユーザーのアカウントを使用してログオンし、サイト データベースに接続します。このユーザーには、デフォルトで Systems Management Server のすべてのオブジェクトに対する完全な権限があります。
| | 2. |
サイト データベースで、[セキュリティ権限] を見つけてクリックします。
| | 3. |
[セキュリティ権限] を右クリックし、[新規作成] をポイントして、[クラス セキュリティ権限] をクリックします。
| | 4. |
[セキュリティ権限 プロパティ] ダイアログ ボックスで、以下の指定を行います。
| ? |
ユーザー名 : ユーザー名またはグループ名。名前には DOMAIN\USER または DOMAIN\GROUP の構文を使用します。
注 : 管理を単純化するには、ここにグローバル ユーザー グループを指定して、この権限のセットを明示的に付与するユーザーをそのグループに追加する方法もあります。
| | ? | クラス : サイト | | ? |
アクセス許可 : 管理、作成、削除、変更、読み取り (このクラスに指定できるすべての権限) |
| | 5. |
[OK] をクリックし、Systems Management Server 管理コンソールを閉じます。
| | 6. |
いったんログオフし、前の手順でセキュリティ権限を追加したユーザーとしてログオンし直します。
| | 7. |
Systems Management Server 管理コンソールを開きます。サイトのノード階層にあるすべてのオブジェクトが表示され、編集できます。
|
|
先頭へ戻る
WMI 1.5 が有効なコンピュータ
Windows Management Instrumentation (WMI) 1.5 にアップグレードされたコンピュータや Microsoft Windows 2000 ベースのコンピュータには、WMI 1.1 ツール (Wbemperm.exe) がありません。
注 : WMI 1.5 がインストールされた Windows NT 4.0 を使用している場合、Windows NT 4.0 Service Pack 4 (SP4) 以降の CD-ROM に収録されている Microsoft セキュリティ構成エディタ (SCE) をインストールする必要もあります。Windows NT ベースのコンピュータでは、Wbemcntl.exe がそのツールです。Microsoft SCE は、Windows Installer (WI) 名前空間のアクセス制御リスト (ACL) を編集するために必要です。
先頭へ戻る
Systems Management Server のセキュリティ権限の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
199869 (http://support.microsoft.com/kb/199869/)
[SMS] SMS ユーザー ウィザードを使用してクラスおよびインスタンスのセキュリティ権限を割り当てる
詳細については、以下の Microsoft Systems Management Server の Web サイトを参照してください。
また、Systems Management Server 管理コンソールで [操作] メニューの [ヘルプ] をクリックすると表示される『Systems Management Server Version 2.0 管理者ガイド』または『Systems Management Server 2.0』管理者ヘルプも参照してください。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
829825 (http://support.microsoft.com/kb/829825/)
サイト データベースを他のコンピュータに移動後、サイトのリセットを実行すると、Systems Management Server 2003 管理コンソールからサイト データベースに接続できない
295292 (http://support.microsoft.com/kb/295292/)
Windows XP で WMI 名前空間のセキュリティを設定する方法
325353 (http://support.microsoft.com/kb/325353/)
[HOWTO] Windows Server 2003 で WMI 名前空間のセキュリティを設定する方法
先頭へ戻る
Help and Support
