4.2.8 エージェントレスで管理するための前提条件
エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。
なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。
取得できる機器情報の差異については、「2.6.2 機器情報の収集」を参照してください。
- 重要
-
NAT環境では、エージェントレスの機器は管理できません。
- 重要
-
ネットワークの探索で発見した機器をエージェントレスで管理している場合、その機器に対する探索範囲および認証情報を削除しないでください。また、Active Directoryの探索で発見した機器をエージェントレスで管理している場合は、その機器が登録されているActive Directoryの設定を削除しないでください。削除すると、機器情報が取得されなくなります。削除してしまった場合は、探索範囲、認証情報、またはActive Directoryの設定を追加したあとにネットワークの探索またはActive Directoryの探索を再実行して、機器を発見してください。
- 重要
-
DHCP環境の場合、機器のIPアドレスが変更され探索範囲外になると、機器情報が取得されなくなります。
Windowsの管理共有を利用してエージェントレス管理する場合
次の条件をすべて満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※1
-
利用者のコンピュータで、簡易ファイル共有が無効になっている。
-
利用者のコンピュータで、Windowsの管理共有(ADMIN$)が有効になっている。
-
利用者のコンピュータで、プロセス間通信用共有(IPC$)が有効になっている。
-
管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている。※2
注※1 有効の場合でも、TCP(ポート番号:445)を許可しておけば条件が満たされます。
注※2 Windowsの管理共有を使用して対象のコンピュータにログオンするための認証情報は、次の条件のどちらかを満たしている必要があります。
-
利用者のコンピュータのビルトインAdministratorアカウントとパスワードを使用する。
-
利用者のコンピュータのUAC機能が無効になっている。
管理用サーバからWindowsの管理共有にアクセスできるようにする設定は、利用者のコンピュータのOSによって異なります。Windowsの管理共有にアクセスするためには、次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
|
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP※2 |
|
|
Windows Server 2019 |
ネットワークと共有センターの、[ファイル共有]または[ファイルとプリンタの共有]の有効化 |
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
設定不要(デフォルトで有効) |
|
Windows 2000 |
ファイル共有の追加 |
|
Windows以外のコンピュータ |
対象外(設定できない) |
|
ネットワーク装置 |
対象外(設定できない) |
注※1 エディションがないWindows 8.1およびWindows 8の場合は、コマンドプロンプトでnet userコマンドを実行して有効化してください。WindowsのコントロールパネルからはAdministratorユーザーを有効にできません。
注※2 Windows XP Home Edition(Service Pack 2、3)の場合は、管理共有が使用できません。
これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。
SNMPを利用してエージェントレス管理する場合
次の条件を満たしている必要があります。
-
SNMPを利用できる。
-
コミュニティ名を認証できる。
なお、SNMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
|
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP |
|
|
Windows Server 2019 |
|
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
|
|
Windows 2000 |
|
|
Windows以外のコンピュータ |
|
|
ネットワーク装置 |
Active Directoryを利用してエージェントレス管理する場合
次の条件をどちらも満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※
-
Active Directory連携機能を使用して、管理用サーバでActive Directoryが管理する機器情報を収集できる。
注※ 有効の場合でも、設定画面の[他システムとの接続]−[Active Directoryの設定]画面で指定したポート番号での接続を許可しておけば、条件が満たされます。
ICMPを利用してエージェントレス管理する場合
ICMPを利用できる必要があります。
なお、ICMPを使用して機器情報を取得するためには、次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
ICMPエコー要求の着信許可※ |
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP |
|
|
Windows Server 2019 |
|
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
|
|
Windows 2000 |
|
|
Windows以外のコンピュータ |
|
|
ネットワーク装置 |
注※ Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。
関連リンク