4.2.7 エージェントレスで管理するための前提条件
エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。
なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。
- 注意事項
-
NAT環境では、エージェントレスの機器は管理できません。
- 注意事項
-
ネットワークの探索で発見した機器をエージェントレスで管理している場合、その機器に対する探索範囲および認証情報を削除しないでください。また、Active Directoryの探索で発見した機器をエージェントレスで管理している場合は、その機器が登録されているActive Directoryの設定を削除しないでください。削除すると、機器情報が取得されなくなります。削除してしまった場合は、探索範囲、認証情報、またはActive Directoryの設定を追加したあとにネットワークの探索またはActive Directoryの探索を再実行して、機器を発見してください。
- 注意事項
-
DHCP環境の場合、機器のIPアドレスが変更され探索範囲外になると、機器情報が取得されなくなります。
セキュリティ管理をする場合(大部分の機器情報を取得する場合)
利用者のコンピュータで、次の条件をすべて満たしている必要があります。
-
Windowsファイアウォールが無効になっている。※
-
簡易ファイル共有が無効になっている。
-
ファイルとプリンタの共有が有効になっている。
-
Windowsの管理共有(ADMIN$)が有効になっている。
-
プロセス間通信用共有(IPC$)が有効になっている。
注※ 有効の場合でも、TCP(ポート番号:445)を許可しておけば条件が満たされます。
また、管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている必要もあります。ただし、OSがWindows7、Windows Vista、またはWindows Server 2008の場合、UAC(ユーザーアカウント制御)の認証なしにログオンできるようにしてください。
なお、Windowsの管理共有を有効にして機器情報を取得するためには次の表に示すような設定が必要です。
OS |
設定内容 |
---|---|
Windows 8 |
|
Windows 7 |
|
Windows Vista |
|
Windows XP |
|
Windows Server 2012 |
ネットワークと共有センターの、[ファイル共有]または[ファイルとプリンタの共有]の有効化 |
Windows Server 2008 |
|
Windows Server 2003 |
設定不要(デフォルトで有効) |
Windows 2000 |
ファイル共有の追加 |
Windows以外のコンピュータ |
対象外(設定できない) |
ネットワーク装置 |
対象外(設定できない) |
注※ エディションがないWindows 8の場合は、コマンドプロンプトでnet userコマンドを実行して有効化してください。WindowsのコントロールパネルからはAdministratorユーザーを有効にできません。
これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。
機器管理だけをする場合(一部の機器情報を取得する場合)
- Active Directoryを利用するとき
-
次の条件をどちらも満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※
-
管理用サーバで、Active Directoryを探索して機器情報を収集できる。
注※ 有効の場合でも、設定画面の[他システムとの接続]−[Active Directoryの設定]画面で指定したポート番号での接続を許可しておけば、条件が満たされます。
-
- SNMPを利用するとき
-
次の条件を満たしている必要があります。
-
SNMPを利用できる。
-
コミュニティ名を認証できる。
なお、SNMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
OS
設定内容
Windows 8
-
SNMPエージェントの導入
-
SNMPエージェントの設定
Windows 7
Windows Vista
Windows XP
Windows Server 2012
Windows Server 2008
Windows Server 2003
Windows 2000
Windows以外のコンピュータ
ネットワーク装置
これらの条件を満たしている場合、機器種別やコンピュータ名などの一部の機器情報を取得できます。セキュリティ管理が不要な場合は、こちらの方法で機器を管理できます。
-
機器の存在を確認する場合
ICMPを利用して、機器の存在を確認します。
ICMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
OS |
設定内容 |
---|---|
Windows 8 |
ICMPエコー要求の着信許可※ |
Windows 7 |
|
Windows Vista |
|
Windows XP |
|
Windows Server 2012 |
|
Windows Server 2008 |
|
Windows Server 2003 |
|
Windows 2000 |
|
Windows以外のコンピュータ |
|
ネットワーク装置 |
注※ Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。
関連リンク