Windows XP Service Pack 2以降、Windows Server 2003 Service Pack 1以降、およびそれ以降のOSでは、大幅にセキュリティ機能が強化されています。(以下、まとめてSP2と記載しています。)これによって影響するSwim Manager の機能は以下の通りです。
SP2ではWindows ファイアウォールの機能強化によって、ICMPダイレクトブロードキャストに対する応答がドロップされます。このため、Swim Manager で「ダイレクトブロードキャストアドレスを使用」した自動探索を利用することができません。
この方法で自動探索を実行するには、Windows ファイアウォールに関する以下の設定が必要です。
Note
Windows Vistaなど一部のOSでは、ユーザーごとにWindows ファイアウォールの設定が保持されているため、ファイアウォールの設定は、Swim Manager を利用する各ユーザーに対して必要になります。
スタートメニューの「設定」から「コントロールパネル」を起動し、「Windows ファイアウォール」を選択します。
「Windows ファイアウォール」ダイアログの「全般」タブより「無効」を選択します。
「OK」ボタンをクリックしてダイアログを閉じます。
なお、探索条件に「個別のアドレスをシーケンシャルに使用」、または「PING の代わりにシードファイルを使用」を選択した場合、本設定を行う必要はありません。
スタートメニューの「コントロールパネル」を起動し、「システムとセキュリティ」または「システムとメンテナンス」の「管理ツール」から「セキュリティが強化されたWindows ファイアウォール」を起動します。
「受信の規則」を選択し、「操作」の「新規の規則...」を選択します。
「新規の受信の規則ウィザード」ダイアログで、「規則の種類」に「カスタム」を選択して、「次へ」をクリックします。
「プログラム」ステップで「このプログラムのパス」を選択し、「<Swim Manager インストールディレクトリ>\bin\SwimManager.exe」を指定します。
「サービス」の「カスタマイズ」をクリックして、「すべてのプログラムとサービスに適用する」が選択されていることを確認します。「OK」ボタンをクリックし、「次へ」をクリックします。
「プロトコルおよびポート」ステップにおいて、「プロトコルの種類」に「ICMPv4」を指定し、「カスタマイズ」をクリックします。
「ICMP設定のカスタマイズ」ダイアログで、「特定の種類のICMP」を選択し、「この種類のICMP」の「種類」に「0」、コードに「任意」を選択して「追加」をクリックします。追加された種類がチェックされているのを確認して「OK」ボタンをクリックし、「プロトコルおよびポート」に戻り、「次へ」をクリックします。
「操作」ステップで、「接続を許可する」を選択して、「次へ」をクリックします。
「プロファイル」ステップで、必要な適用先を選択します。(Swim Manager 以外で必要がない場合は「ドメイン」「プライベート」のみを選択します。)「次へ」をクリックします。
Note
「ネットワークの場所」が「パブリックネットワーク」になっている場合は、「パブリック」を選択しないと通信ができません。
「名前」ステップで、任意の名前を入力します。「完了」をクリックすると設定が完了します。
Windows ファイアウォールが有効になっている場合、デフォルトの状態ではトラップを受信できません。トラップを受信するには、以下の設定を行ってください。
スタートメニューの「設定」から「コントロールパネル」を起動し、「Windows ファイアウォール」を選択します。
「Windows ファイアウォール」ダイアログの「例外」タブで、「SNMP Trap」をチェックします。「OK」ボタンをクリックすると設定が完了します。
Windows Server 2008 の場合
スタートメニューの「コントロールパネル」を起動し、「システムとセキュリティ」→「Windows ファイアウォールによるプログラムの許可」を選択します。
「許可されたプログラムおよび機能」で「SNMP Trap」にチェックをします。「OK」ボタンをクリックすると設定が完了します。
Windows 7 の場合
スタートメニューの「コントロールパネル」を起動し、「システムとセキュリティ」→「Windows ファイアウォールによるプログラムの許可」を選択します。
「設定の変更」をクリックし「SNMP Trap」の「ホーム/社内」にチェックをします。「OK」ボタンをクリックすると設定が完了します。
Note
「ネットワークの場所」が「パブリックネットワーク」になっている場合は、「パブリック」を選択しないと通信ができません。
SP2でビューワを起動するためには、以下の設定を行う必要があります。
なお、ローカル接続で使用する場合とリモート接続で使用する場合で設定内容が異なります。
SP2に付属しているIEでは、デフォルトの設定でアクティブコンテンツの実行が許可されていません。
Swim Manager のビューワはアクティブコンテンツを含んでいるため、デフォルトの設定のままでは、毎回起動時に“情報バー”が表示され、実行の許可を行わなければなりません。
起動時の許可設定を不要にするためには、以下の設定を行ってください。
IEの「ツール」メニューの「インターネットオプション」を選択します。
「インターネットオプション」ダイアログにて「詳細設定」タブの 「マイコンピュータのファイルでのアクティブコンテンツの実行を許可する」 にチェックを入れます。
「OK」ボタンをクリックしてダイアログを閉じます。
IE 6.0 以降の場合は、以下の設定を行ってください。
IEの「ツール」メニューの「インターネットオプション」を選択します。
「インターネットオプション」ダイアログにて、「セキュリティ」タブの「ローカルイントラネット」(リモート接続の場合は「信頼済みサイト」)を選択して、「レベルのカスタマイズ」ボタンをクリックします。
「セキュリティ設定」ダイアログで、以下の設定を行います。
「ActiveX コントロールに対して自動的にダイアログを表示」:「有効にする」
「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」:「有効にする」
「未署名の ActiveX コントロールのダウンロード」:「有効にする」
「OK」ボタンをクリックして、「このゾーンの設定を保存しますか?」と表示されたら「はい(Y)」をクリックします。
「OK」ボタンをクリックしてダイアログを閉じます。
SP2に付属しているIEのデフォルトの設定では、Swim Manager のビューワに必要なモジュールをリモートPCからダウンロードすることができないため、ビューワが正常に起動できません。
リモートPCからSwim Manager のビューワをダウンロード、起動するためには、「ビューワ環境の設定」を行ったうえで、以下の設定を行ってください。
以下の手順で、グループ ポリシーの「Windows ファイアウォール: ローカル ポートの例外を許可する」設定が有効になっていることを確認します。
スタートメニューの「ファイル名を指定して実行」から、「gpedit.msc」を入力し、「グループ・ポリシーオブジェクトエディタ」を起動します。
「ローカル コンピュータ ポリシー」の下で、「コンピュータの構成」→「管理用テンプレート」→「ネットワーク」→「ネットワーク接続」→「Windows ファイアウォール」→「ドメイン プロファイル」を選択します。
「Windows ファイアウォール: ローカル ポートの例外を許可する」を右クリックし、「プロパティ」または「編集」を選択します。
「有効」をクリックし、「OK」ボタンをクリックします。
以下の手順で、DCOMポート(TCP:135)を開くように設定します。
「Windows ファイアウォール」の場合
スタートメニューの「設定」から「コントロールパネル」を起動し、「Windows ファイアウォール」を選択します。
「Windows ファイアウォール」ダイアログの「例外」タブで「Windows Management Instrumentation (WMI)」の項目にチェックをし、「OK」ボタンをクリックします。
※項目がない場合は、下記手順を行ってください。
「ポートの追加」をクリックします。
「名前」ボックスに DCOM_TCP135 と入力し、「ポート番号」ボックスに 135 と入力します。
「TCP」をクリックし選択します。
「OK」ボタンをクリックしてダイアログを閉じます。
「セキュリティが強化された Windows ファイアウォール」の場合
スタートメニューの「設定」から「コントロールパネル」を起動し、「セキュリティが強化された Windows ファイアウォール」を選択します。
左側のペインで「受信の規則」を選択し、中央の「受信の規則」欄で「Windows Management Instrumentation (DCOM 受信)」を選択、ダブルクリックします。
「Windows Management Instrumentation (DCOM 受信)のプロパティダイアログ」の「全般」タブで「有効」がチェックされていること、「操作」で「接続を許可する」がチェックされていることを確認します。「詳細設定」タブの「プロファイル」で適用したいものをチェックし、「OK」ボタンをクリックします。
以下の2つについても同様の設定をします。
Windows ファイアウォールの例外リストにビューワを追加します。
ビューワからサーバにリモートログインを行います。
ログイン時に、「Windows セキュリティの重要な警告」ダイアログとして以下の名前が表示された場合、「ブロックを解除する」を選択します。
Swim Manager (Viewer) for Windows
SwimMap.exe
Windows Management Instrumentation
ビューワの再起動を行います。
サーバとビューワを別PCで動作させるリモート監視を行う場合、SP2のデフォルト設定では正常に監視を行うことができません。 リモート監視を行う場合は、ビューワ側とサーバ側で以下の設定を行ってください。
Note
Windows Vista など一部のOSでは、ユーザーごとにWindows ファイアウォールの設定が保持されているため、ファイアウォールの設定は、Swim Manager を利用する各ユーザーに対して必要になります。
WMIの設定を行います。
スタートメニューの「ファイル名を指定して実行」から、「gpedit.msc」を入力し、 「グループ・ポリシーオブジェクトエディタ」を起動します。
Windows XP / Windows 2003 の場合
ツリーから「コンピュータの構成」→「管理用テンプレート」→「ネットワーク」→ 「ネットワーク接続」→「Windows ファイアウォール」を選択します。
リモート接続用ユーザーがドメインに所属していない場合は「標準プロファイル」を選択します。
リモート接続用ユーザーがドメインに所属している場合は「ドメインプロファイル」を選択します。
「Windows ファイアウォール:リモート管理の例外を許可する」を右クリックし、 「プロパティ」または「編集」を選択します。
「設定」タブの「有効」ラジオボタンを選択し、「要請されない着信メッセージを 許可するアドレス」に許可したいPCのIPアドレスを入力します。
(例)192.168.1.1, 192.168.1.0/24
設定が完了したらOKをクリックします。
Windows Vista / Windows 2008 / Windows 7 の場合
ツリーから「コンピュータの構成」→「管理用テンプレート」→「ネットワーク」→ 「ネットワーク接続」→「Windows ファイアウォール」を選択します。
リモート接続用ユーザーがドメインに所属していない場合は「標準プロファイル」を選択します。
リモート接続用ユーザーがドメインに所属している場合は「ドメインプロファイル」を選択します。
「Windows ファイアウォール:着信リモート管理の例外を許可する」を選択し「有効」にチェックをします。
オプションの「要請されない着信メッセージを許可するIPアドレス」欄に許可したいPCのIPアドレスを入力します。
(例)192.168.1.1, 192.168.1.0/24
設定が完了したらOKをクリックします。
Note
上記「グループ・ポリシーオブジェクトエディタ」での設定は、コマンドプロンプトで以下のコマンドを実行することでも可能です。
netsh firewall set service RemoteAdmin
「ファイル名を指定して実行...」 にて、「dcomcnfg.exe」 を 起動します。
「コンポーネント サービス」 にて、[+] アイコンを以下の順番でクリックします。
→「コンポーネント サービス」→「コンピュータ」
「マイ コンピュータ」 のプロパティを開きます。
「COM セキュリティ」にて、「起動とアクティブ化のアクセス許可」 内の 「制限の編集...」 をクリックします。
「追加」 をクリックし、リモート接続用ユーザアカウントを追加します。
「リモートからの起動」 の「許可」をチェックし、適用します。
「COM セキュリティ」にて、「アクセス許可」内の「制限の編集」をクリックします。
リモート接続用ユーザアカウントに対して「リモートアクセス」の「許可」をチェックし、適用します。
Windows Vista / Windows 2008 / Windows 7 の場合は以下の設定を確認します。
Windows Firewall が有効な場合、トラブルシューティングの「Windows Vista / Windows Server 2008 / Windows 7 でリモートPCと接続できない」の「対処法」に記載されている「Windows Firewall が有効な場合」の「1.」または「2.」の設定を行ってください。
ユーザアカウント制御が有効な場合、トラブルシューティングの「Windows Vista / Windows Server 2008 / Windows 7 でリモートPCと接続できない」の「対処法」に記載されている「ユーザアカウント制御が有効な場合」の設定を行ってください。
上記「サーバ側の設定」2番目の設定を行います。
トラブルシューティング「リモートPCと接続できない」 の、[対処法] 4番目を設定します。
WMI コントロールの設定を行います。
「マイ コンピュータ」 を右クリックし、 「管理」 を選択します。
「コンピュータの管理」 にて、[+] アイコンを「サービスとアプリケーション」→「WMI コントロール」の順番でクリックします。
※Windows Server 2008の場合は、「コンピュータ」 を右クリックし、 「管理」 を選択します。(または、「スタートメニュー」−「管理ツール」−「サーバマネージャ」を選択します。)「サーバマネージャ」で、「構成」の「WMI コントロール」を選択します。
「WMI コントロール」 のプロパティを開きます。
「セキュリティ」にて、[+] アイコンを以下の順番でクリックします。
→「Root」→「DEFAULT」
「セキュリティ」 ボタンをクリックします。
「追加」 をクリックし、「ANONYMOUS LOGON」 を追加します。
「リモートの有効化」 をチェックし、適用します。
「ファイル名を指定して実行...」 にて、「dcomcnfg.exe」 を 起動します。
「コンポーネント サービス」 にて、[+] アイコンを以下の順番でクリックします。
→「コンポーネント サービス」→「コンピュータ」
「マイ コンピュータ」 のプロパティを開きます。
「既定のプロトコル」タブで、「DCOM プロトコル」の一覧の「接続指向 TCP/IP」をクリックし、「プロパティ」をクリックします。
「COM インターネット サービスのプロパティ」ダイアログ ボックスで、「追加」をクリックします。
「ポート範囲」に「4000-4010」を入力して、「OK」ボタンをクリックします。
「ポート範囲の割り当て」および「既定の動的ポート割り当て」のオプションで、「インターネットの範囲」が選択されているのを確認して、「OK」ボタンをクリックします。
「COM セキュリティ」タブで、「起動とアクティブ化のアクセス許可」 内の 「制限の編集...」 をクリックします。
「追加」 をクリックし、「ANONYMOUS LOGON」 を追加します。
「リモートからの起動」 の「許可」をチェックし、適用します。
「COM セキュリティ」タブで、「アクセス許可」内の「制限の編集」をクリックします。
「ANONYMOUS LOGON」に対して「リモートアクセス」の「許可」をチェックし、適用します。
Windows ファイアウォールの例外リストにビューワを追加します。
ビューワからサーバにリモートログインを行います。
ログイン時に、「Windows セキュリティの重要な警告」ダイアログとして以下の名前が表示された場合、「ブロックを解除する」を選択します。
Swim Manager (Viewer) for Windows
SwimMap.exe
Windows Management Instrumentation
ビューワの再起動を行います。