インストールし、ファイアウォールの背後にある、または信頼されていないドメインでは、Microsoft Operations Manager 2005 エージェント コンピューターを管理する方法

適用対象: なし

概要


この資料では、インストールして、ファイアウォールの背後にある、または信頼されていないドメインでは、Microsoft Operations Manager (MOM) 2005 のエージェント コンピューターを管理する方法について説明します。 企業のファイアウォール外のコンピューターに MOM 2005 エージェントをインストールすることがあります。 場合によっては、境界ネットワーク内にあるサーバーに MOM 2005 エージェントをインストールすることがあります。 境界領域のネットワークは、他の 2 つのネットワーク間に存在するネットワークです。 通常、他の 2 つのネットワークでは、相互信頼していません。 境界領域のネットワークは、DMZ、非武装地帯、スクリーンド サブネットとも呼ばれます。

詳細情報


既定では、MOM 2005 エージェントは、MOM 管理サーバーにアラートやイベントなどのデータ情報を送信するのには TCP ポート 1270 を使用します。 MOM エージェントは、MOM 管理サーバーにハートビートの情報を送信するのに UDP ポート 1270 を使用します。 MOM エージェントと MOM 管理サーバーは、MOM エージェント コンピューター上で使用するのには、開いているポートをネゴシエートします。 MOM 管理サーバーでは、ネゴシエートされたポートを使用してルールをエージェントに送信します。

ファイアウォールの背後にある MOM エージェントの要件

MOM エージェント コンピューターがファイアウォールの背後にある場合、MOM エージェントが MOM 管理サーバーと通信できます。 ただし、TCP ポート 1270 および UDP ポート 1270 を開く必要があります。 さらに、する必要があります手動でインストールし、ファイアウォールの背後にある MOM エージェントを更新します。ファイアウォールを使用してポート 1270 にアクセスを有効にすることはできません、境界ネットワーク内の MOM 管理グループをインストールする必要があります。 境界ネットワークの管理グループを個別に監視できます。 または、アラートが境界ネットワークの管理グループから、内部 MOM 管理グループに転送ポート 1271.You を使用してユーティリティを使用して、MOM リモート前提条件チェッカー (MOMNetChk.exe) Microsoft オペレーション マネージャーのリソース キットのスキャンを有効にすることができます。関連サービスは、MOM サービスが使用するポートの状態のコンピューター。 MOM リソース キットを入手するには、次のマイクロソフト Web サイトにアクセスしてください。 リモート MOM 前提条件チェッカーでは、一連の接続テストを実施します。 これらのテストには、ping テストおよび DNS 接続のテストが含まれます。 ユーティリティは、MOM サービスが依存するサービスの状態に関する情報も提供します。 この情報は、レポート ウィンドウに表示されることができますか、Momscan.log ファイルに保存されます。 リモート MOM 前提条件チェッカーを使用して、MOMNetChk.exe を開始、コンピューター名を入力して、スキャンを実行] をクリックします。 結果をログ ファイルに保存する場合は、ログ ファイルに保存] をクリックし、ファイルの場所を指定します。 実行されたテストの結果を表示するのには、[ユーティリティ] ウィンドウの左側のペイン内のノードを展開します。注: MOMNetChk.exe ユーティリティは、必要なネットワークおよびサービス コンポーネントの状態をテストします。 それには、特定のエラーは報告されません。場合は、管理されたコンピューターは、内部ドメインに属している、次の条件に該当します。
  • 相互認証は、使用できます。
  • 署名と暗号化された通信が可能です。
  • 管理されたコンピューターが MOM 管理ドメインを認証し、ドメインと通信できるように、以下のポートが開いています。
    • UDP ポート 53 のドメイン ネーム システム (DNS) クエリと動的登録をサポートするには
    • UDP ポート 88 を Kerberos をサポートするために
    • UDP ポート 123 をネットワーク タイム プロトコル (NTP) をサポートするために
    • TCP ポート 135 はリモート プロシージャ コール (RPC) をサポートするために
    • UDP ポート 389 と TCP ポートが 389 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) をサポートするために
    • TCP ポート 445 がサーバー メッセージ ブロック (SMB) をサポートするために
    • すべてのポート 1024 RPC 通信用と、MOM エージェント コンピューター上の動的ソース ポートへの応答をします。
    場合は、管理されたコンピューターは、境界ネットワーク ドメインに属している、次の条件に該当します。
    • 管理サーバーのドメインとエージェントのドメインの間で完全な Active Directory ディレクトリ サービス信頼関係が存在する場合、次のオプションがあります。
      • 相互認証
      • 署名および暗号化された通信
    • Active Directory の完全な信頼関係が存在しない場合だけの署名および暗号化された通信を利用できます。 相互認証には使用できません。

MOM エージェントをインストールする方法

MOM エージェントが MOM 管理サーバーに接続できるように、MOM サーバーで相互認証を無効にする必要があります。 相互認証を無効にするには、次の手順を実行します。
  1. MOM 2005 管理者コンソールを起動します。
  2. 管理] を展開し、[グローバル設定] をクリックします。
  3. セキュリティ] をダブルクリックします。
  4. [セキュリティ] タブで、相互認証が必要] チェック ボックスをオフにする] をクリックし、し、[OK] をクリックします。
MOM エージェントを手動でインストールする必要があります。 既定では、承認されていないエージェントの自動インストールを防ぐために元に戻す新しい手動でインストールされたエージェントを MOM 2005 が構成されています。 この構成は、有害なまたは悪意のあるデータが MOM 管理サーバーに送信されることを防止するのに役立ちます。 エージェントの手動インストールは、手動のエージェントのインストール処理中に無効にするグローバル設定です。 エージェントを手動でインストールすると、MOM 環境を保護するためにもう一度この設定を有効にすることを強くお勧めします。すべての MOM 管理サーバーのエージェントのインストールを手動で許可するグローバル設定を変更するのには、次の手順に従います。
  1. MOM 管理者コンソールで、[管理] を展開し、[グローバル設定] をクリックします。
  2. 詳細ウィンドウでは、管理サーバーを右クリックし、し、[プロパティ] をクリックします。
  3. [エージェントのインストール] タブで、新しいエージェントの手動インストールを拒否する] チェック ボックスをオフにする] をクリックし、し、[OK] をクリックします。
単一の MOM 管理サーバーでエージェントの手動インストールを許可する設定を変更するには、以下の手順を実行します。
  1. MOM 管理者コンソールで、管理を展開し、コンピューター] を展開し、[管理サーバー] をクリックします。
  2. 詳細ペインで、構成する MOM 管理サーバーを右クリックし、プロパティ] をクリックします。
  3. [エージェントのインストール] タブで、[グローバル設定を使用] チェック ボックスをオフにするをクリックします。
  4. 新しいエージェントの手動インストールを拒否する] チェック ボックスをオフにする] をクリックし、[OK] をクリックします。
エージェントのインストールを手動で許可する MOM 管理サーバーを再構成すると、構成の変更をコミットし、すべての MOM 管理サーバー上で MOM サービスを再起動する必要があります。 変更をコミットし、MOM サービスを再起動して、次の手順を実行します。
  1. MOM 管理者コンソールで、管理パックを右クリックし、構成変更のコミット] をクリックします。
  2. MOM 管理サーバーで、[開始] をクリックして実行] をクリックして、services.msc」と入力し、[OK] をクリックします。
  3. MOM サービスを右クリックし、[再起動] をクリックします。
MOM エージェントを手動でインストールするには、次の手順を実行します。
  1. セットアップ先のコンピューター上には、CD ドライブに、MOM 2005 のソース CD を挿入します。 Microsoft Operations Manager 2005 セットアップ リソース] ダイアログ ボックスが自動的に表示されない場合は、MOM 2005 の元の CD から Setup.exe プログラムを実行します。
  2. 手動エージェントのインストール] タブで、[Microsoft Operations Manager 2005 エージェント セットアップ ウィザードを起動するのには、Microsoft Operations Manager 2005 のインストール エージェントをクリックします。
  3. [次へ2 回、[エージェントの構成] ダイアログ ボックスを開きます。
  4. 管理サーバー ] テキスト ボックスでは、MOM 管理サーバーの IP アドレスを指定します。 DNS 名または NetBIOS 名を使用する場合は、ネットワークのセキュリティを低下する可能性がある追加のポートを開く必要があります。 この資料に記載されていないポートを開くことはお勧めしません。
  5. [エージェントの制御レベルを [] をクリックします。 エージェントの制御レベル[なし]に設定では、MOM 管理サーバーはエージェントをアップグレードまたはエージェント構成の更新を実行できません。 ただし、エージェントことができます属性スキャンを実行、ダウンロード ルール、およびその他のタスクを実行します。
  6. 」「管理サーバー接続できませんでした」メッセージが表示された場合は [続行] をクリックします。
  7. MOM エージェント アクション アカウント] ダイアログ ボックスでローカル システム] をクリックし、[次へ] をクリックします。
  8. [ Active Directory の構成] ダイアログ ボックスで、残念ですが、自分の環境に適した次の条件のいずれかをクリックして、[次へ] をクリックし、[インストール] をクリックします。
MOM エージェントをインストールした後、MOM エージェントの手動インストールを承認する必要があります。 これを行うには、MOM 管理サーバー コンピューターには以下の手順を実行。
  1. MOM 管理者コンソールで、管理を展開し、コンピューター] を展開し、[保留中のアクション] をクリックします。
  2. コンピューターを右クリックし、手動エージェントのインストールを今すぐ承認] をクリックします。
エージェントを手動でインストールするごとに、DNS 名、ホスト名、および OnePoint データベース内のコンピューターのテーブルの完全修飾ドメイン名 (FQDN) の値を変更する必要があります。 これらの値を変更するには、OnePoint データベースを管理する Microsoft SQL Server を実行しているコンピューターには以下の手順を実行。
  1. SQL Server Enterprise Manager を起動します。
  2. Microsoft SQL サーバーを展開する。SQL Server グループ\(ローカル)(Windows NT)\データベースです。
  3. OnePointを展開し、[テーブル] をクリックします。
  4. コンピューターテーブルを右クリックし、テーブルを開く] をポイントし、[全行を返す] をクリックします。
  5. 手動でインストールされたエージェント コンピューターのコンピューター名を検索します。
  6. DNSName ] 列で、[ < NULL >の値をクリックし、手動でインストールされたエージェント コンピューターが含まれている境界ネットワーク ドメインの DNS 名を入力します。 たとえば、 DMZDOMAIN.COMを入力します。
  7. < NULL >列の値、ホスト名をクリックし、MOM エージェント コンピューターの FQDN を入力します。 たとえば、Computer1.DMZ.DOMAIN.COMを入力します。
  8. FQDN ] 列で、[ < NULL >の値をクリックし、MOM エージェント コンピューターの FQDN を入力します。 たとえば、 Computer1.DMZ.DOMAIN.COMを入力します。
注: DNS 名は、Active Directory 名、NetBIOS ドメイン名ではなく MOM エージェント コンピューターが含まれているです。 ホスト名と FQDN は、同じエントリがあります。 切り離された DNS 名前空間の構成を使用する場合、エントリには、MOM エージェント コンピューターの IP 構成ではなく、エントリの AD ドメインのメンバーシップに依存する別の DNS ドメイン サフィックスが含まれます。 切り離された DNS 名前空間は、2 つ以上のトップ レベル DNS ドメイン名を含む DNS インフラストラクチャです。 切り離された名前空間の名前解決を構成する方法の詳細については、次のマイクロソフト Technet Web サイトを参照してください。 重要 DNSNameホスト名FQDNテーブル内のエントリ、コンピューターが正しく構成されていない場合、Active Directory 管理パックなど、さまざまな管理パックのスクリプトを使用する多くのルールが正しく実行されません。 自動的に既にインストールされているエージェントでは、入力フィールドがあります。 例としては、既存のデータを使用できます。

接続の問題をトラブルシューティングする方法

MOM エージェントと、ファイアウォールの背後にある MOM 管理サーバーとの間の接続に関する問題をトラブルシューティングするには、MOM エージェント コンピューターでは以下の手順を実行。
  1. MOM 管理サーバーの IP アドレスに対して ping を実行しようとしてください。 MOM 管理サーバーに ping を実行できない場合は、MOM 管理サーバーが使用可能であり、ファイアウォールの背後にあるリソースにアクセスできることを確認します。 ファイアウォールの背後にある MOM 管理サーバーが正常に ping することができる場合は、手順 2 に進みます。
  2. コンピューター名を使用して MOM 管理サーバーに対して ping を実行しようとしてください。 MOM 管理サーバーのコンピューター名に ping を実行できる場合は、手順 3 に進みます。 コンピューター名に ping を実行できない場合は、次の可能性を考慮してください。
    • MOM エージェント コンピューターが名前解決に DNS または Windows インターネット ネーム サービス (WINS) を使用する構成されているでしょうか。
    • DNS および WINS サーバー、MOM エージェント コンピューターで使用できるでしょうか。
    • 内部ファイアウォールの通過を許可するファイアウォールの背後にあるコンピューターの名前解決とは
    境界ネットワーク ドメイン内を参照するのには、MOM エージェント コンピューターに対して静的エントリを含む DNS または WINS サーバーのインストールを検討してください。 DNS または WINS サーバー、境界ネットワーク内のネーム サーバーがファイアウォールの内側で情報をレプリケートしないようにします。 MOM エージェント コンピューター上に Lmhosts ファイルを使用して、MOM 管理サーバーのホスト名を事前にすることがあります。
  3. Telnet.exe プログラムを使用して、MOM エージェント コンピューターから MOM 管理サーバー上のポート 1270 に接続しようとしてください。 成功した telnet セッションでは、MOM エージェントが MOM 管理サーバーにデータを送信できることを証明します。 ただし、telnet 接続では、TCP 接続だけが証明されます。 Telnet 接続では、UDP 接続を確認できません。
  4. MOM 管理サーバーは、クライアントからのハートビートの情報が受信したないことを示している場合は UDP ポート 1270 が開いていません。 ファイアウォールで UDP ポート 1270 を開きます。
  5. MOM 管理サーバーは、MOM エージェントに対して ping を実行しようとすると、コンピューターを使用できる場合でも、応答を受け取りません、ファイアウォールがインターネット制御メッセージ プロトコル (ICMP) トラフィックをブロックしている可能性があります。 ICMP トラフィックをブロックするファイアウォールが構成されていないことを確認します。
MOM 管理サーバーの接続に関する問題をトラブルシューティングするには、次の手順を実行します。
  1. MOM エージェント コンピューターの IP アドレスを正常に ping できることを確認します。
  2. ホスト名と DNS 名を使用して MOM エージェント コンピューターを ping できることを確認します。 MOM エージェント コンピューターの名前が正常に ping することはできませんの名前解決に依存するスクリプトが失敗、エージェントが正常にインストールされている場合でもします。
MOM エージェント コンピューターで Windows ファイアウォールが有効の場合は、次の資料、マイクロソフト サポート技術情報を参照してください。
885726 Microsoft Operations Manager 2005 エージェントは、Windows XP Service Pack 2 (SP2) と Windows Server 2003 Service Pack 1 (S885726) を実行しているコンピューターにはインストールされません。
マイクロソフト サポート技術情報の記事 885726 では、Windows ファイアウォールのポートのトラフィックを許可するファイアウォールの設定を変更する方法について説明します。MOM エージェントの実行可能ファイルをインクルードする方法についても説明します。既定では、[Windows ファイアウォールの設定を実行している Microsoft Windows XP Service Pack 2 および Microsoft Windows Server 2003 の詳細については、Service Pack 1 を持つコンピューターでの MOM 2005 エージェントのプッシュが成功したのインストールを許可しない、「第 7 章を参照してください。: 環境の詳細に MOM 2005 を展開する」、 『 MOM 2005 展開ガイド 』で。MOM 2005 展開ガイド 』をオンラインを表示するには、次のマイクロソフト Web サイトを参照してください。さまざまなプログラムのファイアウォール ポートを開く方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。
832017 Windows Server システムのサービスの概要とネットワーク ポートの要件