6.2.4 Windowsを管理対象にするための設定

ここでは,JP1/ITRMで物理ホストまたは仮想ホストとしてWindowsがインストールされているホストを管理するために必要な設定について説明します。

仮想ホストを設定する場合は,あわせて次の個所を参照してください。

<この項の構成>
(1) WMIサービスの設定
(2) ドメインの設定
(3) OSのセキュリティの設定
(4) UACを使用したWMIリモート接続の設定
(5) ローカルセキュリティポリシーの設定

(1) WMIサービスの設定

JP1/ITRMではWindows Serverの管理にWMIを使用します。

管理対象のホストでWMIサービスが自動起動する設定にしてください。

JP1/ITRM接続用アカウントとして,一定期間経過しても,情報収集やタスク実行の操作時にログインできるアカウントを用意してください。なお,このホストを仮想イメージテンプレートにする場合は,仮想イメージテンプレートの作成からデプロイするまでの期間が経過することになります。

また,Windows Server 2003がインストールされている管理対象のホストにFCのSANディスク装置が接続されている場合,そのディスク装置に関する構成情報を取得するためには,Microsoftのfcinfoをインストールしてください。

fcinfoをインストールすると,Windows上でFCを使用するためのユーティリティコマンド,HBA API(CインターフェースとWMIクラスのdll)を使用できるようになります。また,FCのWMIクラスを使用して,WMIで構成情報を取得できるようになります。

fcinfoは,Microsoftのホームページからダウンロードしてください。

なお,Windows Server 2008以降の場合,この設定は不要です。

(2) ドメインの設定

管理対象への認証にはユーザーIDとパスワードに加え,ドメイン名(ホスト名)が必要な場合があります。

ドメイン名(ホスト名)の指定の要否を次の表に示します。

表6-4 ドメイン名(ホスト名)の指定の要否

ITリソース管理サーバログオン管理対象のホスト接続ドメイン名指定
ローカル権限ローカル権限×
ローカル権限ネットワークドメイン権限
(凡例)
×:ドメイン名(ホスト名)の指定が不要である。
○:ドメイン名(ホスト名)の指定が必要である。

(3) OSのセキュリティの設定

Windows Serverと連携する管理対象のホストの場合,WindowsファイアウォールとDCOMを次のとおり設定してください。

●Windows ファイアウォールの設定

次の条件に当てはまる管理対象のホストで,Windowsのファイアウォールが有効になっている場合,リモート管理の例外を許可する設定が必要です。

なお,Windowsのファイアウォールが有効かどうかは,[コントロールパネル]の[Windowsファイアウォール]ダイアログで確認してください。

 

リモート管理の例外を許可する手順を次に示します。

  1. スタートメニューから[ファイル名を指定して実行]※1を選択する。
  2. [ファイル名を指定して実行]のテキストボックスに「gpedit.msc」と入力して,[OK]ボタンをクリックする。
    [グループポリシーオブジェクトエディタ]ダイアログが表示されます。※2
  3. [コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windowsファイアウォール]の順番でツリーを展開して,[標準プロファイル]をクリック※3する。
  4. 右ペインの[Windowsファイアウォール: リモート管理の例外を許可する]※4を[有効]に設定し,許可するIPアドレスを登録する。
  5. [設定]タブをクリックして,[有効]をチェックする。
  6. [OK]ボタンをクリックします。
注※1
Windowsの[スタート]メニューに[ファイル名を指定して実行]が表示されない場合があります。
その場合,[Windows]+[r]キーを押して呼び出すなどして表示してください。
注※2
Windows Server 2008以降の場合,[ローカルグループポリシーエディタ]が表示されます。
注※3
管理対象となるホストがドメイン環境の場合,[ドメインプロファイル]をクリックしてください。
なお,このWindowsを仮想イメージテンプレートとして,JP1/ITRMのデプロイに使用する場合,デプロイ時にはJP1/ITRMがローカルユーザーも使用します。
そのため,デプロイ後の管理対象にする仮想ホストがドメイン環境の場合は,両方のプロファイルを設定してください。
注※4
Windows Server 2008以降の場合,[Windowsファイアウォール: 着信リモート管理の例外を許可する]を[有効]に設定してください。
●DCOMの設定

JP1/ITRMではWMIを使用するため,ITリソース管理サーバおよび管理対象となるホストでDCOMを有効にする必要があります。

Windows Serverのインストール時にDCOMの設定を変更していない場合,DCOMは有効に設定されています。DCOMの設定を無効に変更している場合,次の手順で有効にしてください。

  1. スタートメニューから[ファイル名を指定して実行]を選択する。
  2. [ファイル名を指定して実行]のテキストボックスに「dcomcnfg.exe」と入力して,[OK]ボタンをクリックする。
  3. [コンポーネント サービス]画面が表示されます。
  4. [コンポーネント サービス]-[コンピュータ]の順番でツリーを展開する。
  5. [マイ コンピュータ]を右クリックして,メニューから[プロパティ]を選択する。
  6. [既定のプロパティ]タブをクリックして,[このコンピュータ上で分散COMを有効にする]にチェックする。
  7. [OK]ボタンをクリックする。
  8. システムを再起動する。
注※
Windowsの[スタート]メニューに[ファイル名を指定して実行]が表示されない場合があります。
その場合,[Windows]+[r]キーを押して呼び出すなどして表示してください。

(4) UACを使用したWMIリモート接続の設定

Windows Server 2008以降を使用している場合,UACの機能によって,管理者権限を持つローカルユーザー(OSのインストール後に作成されるAdministratorユーザーは除く)に対して権限が制限されます。そのため,Windows Server 2008以降の管理対象サーバのWMIリモート接続を,管理者権限を持つローカルユーザーで実行すると,管理者権限ではなく,一般ユーザーの権限で接続されてしまい,アクセス拒否が発生しエラー終了する場合があります。これを回避するためには,UACを有効にしている場合,次のどちらかの設定を実施してください。

なお,UACを無効にしている場合は,認証に使用するユーザーにAdministratorsグループのメンバーを使用してください。

(5) ローカルセキュリティポリシーの設定

管理対象サーバに接続するユーザーに対して,パスワードを設定することを推奨します。もし,Windowsの管理対象サーバへの接続にパスワードが設定されていないユーザーを使用する場合は,ローカルセキュリティポリシーを次のとおり設定してください。

  1. スタートメニューから[管理ツール]-[ローカル セキュリティ ポリシー]を選択する。
  2. [セキュリティの設定]-[ローカルポリシー]の順番でツリーを展開して,[セキュリティオプション]をクリックする。
  3. 右ペインの[アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する]を右クリックして,メニューから[プロパティ]を選択する。
  4. [ローカル セキュリティの設定]タブで[無効]をチェックする。
  5. [OK]ボタンをクリックする。