Comments
Description
Transcript
DeskView 5
「Microsoft(R) Windows(R) XP Service Pack 2 セキュリティ強化機能搭載」 インストール時の設定方法について このドキュメントは Microsoft(R) Windows(R) XP Professional に「Microsoft(R) Windows(R) XP Service Pack 2 セキュリティ強化機能搭載」をインストールした環境で DeskView を利用する場合の設定方法を説明したものです。 本ドキュメントの構成は、以下のようになっています。 1.はじめに 2.データ実行防止の設定 3.Windows ファイアウォールの設定 4.グループポリシーの設定 5.トラブルシューティング 6.注意事項 7.著作権など この文書に記載されている製品名称を、次のように略して表記します。 - Microsoft(R) Windows(R) XP Professional を、Windows XP と表記します。 - Microsoft(R) Windows(R) XP Service Pack 2 セキュリティ強化機能搭載 を、Service Pack 2 と表記します。 1.はじめに Windows XP に Service Pack 2 をインストールした環境では、コンピュータの安全のため、ネットワーク通信やプ ログラムの実行が一部制限されています。このため、DeskView が正しく動作できるよう、Windows XP の設定を変更 する必要があります。 設定変更の必要な Windows XP の機能と、DeskView のインストール種別の組み合わせは、次のとおりです。 DeskView 種別 Windows XP の機能 ローカルコンピュータ 管理者用コンピュータ クライアントコンピュータ (ネットワークなし) データ実行防止 (*1) 設定必要 設定必要 設定必要 Windows ファイアウォール (*2) − 設定必要 設定必要 グループポリシー (*2) − − 設定必要 *1: DeskView のインストール前に Windows XP の設定を変更してください。 *2: DeskView のインストール後に Windows XP の設定を変更してください。また、DeskView のインストールおよび Windows XP の設定変更は、必ず管理者用コンピュータ→クライアントコンピュータの順に行ってください。管理 者用コンピュータへの DeskView のインストールおよび Windows XP の設定変更が完了していない状態でクライア ントコンピュータに DeskView をインストールした場合、管理者用コンピュータと通信できず、インストールが 正しく行われない可能性があります。 なお、Windows ファイアウォール機能を無効にしている場合は、設定を変更する必要はありません。 -1- 2.データ実行防止の設定 DeskView はコンピュータを管理するために、一部のシステムファイルを書き換えたり、システムの管理機能を利用 したりします。これらの動作を正しく実行できるよう、データ実行防止の設定を変更する必要があります。この設 定は DeskView のインストール前に変更してください。 1. 準備 1) Administrator 権限を持ったユーザーアカウントでログオンします。 2) 「スタート」ボタン →「コントロールパネル」の順にクリックします。 「コントロールパネル」が開 きます。 3) 「コントロールパネル」を「クラシック」表示に切り替えます。 4) 「システム」をダブルクリックします。 「システムのプロパティ」の設定ダイアログが開きます。 5) 「詳細設定」タブをクリックします。 図 1. 「詳細設定」タブ 6) 「パフォーマンス」グループの「設定(S)」ボタンをクリックします。 「パフォーマンス オプション」 ダイアログが開きます。 7) 「データ実行防止」タブをクリックします。 -2- 2. プログラム(実行ファイル)を追加する 1) 「次に選択するものを除くすべてのプログラムおよびサービスについて DEP を有効にする(U):」を クリックします。 「追加(D)」ボタンが有効になります。 図 2. 「データ実行防止」タブ 2) 「追加(D)」ボタンをクリックします。 「ファイルを開く」ダイアログが開きます。 3) 「ファイル名(N):」欄に「%WinDir%¥System32¥WBEM¥WMIPRVSE.exe」と入力します。 図 3. 「wmiprvse」の指定 -3- 4) 「開く(O)」ボタンをクリックし、 「ファイルを開く」ダイアログを閉じます。 5) 「データ実行防止」の注意ダイアログが表示されたら、記載されている内容を確認し、 「OK」ボタン をクリックします。 図 4. 「データ実行防止」の注意事項 6) プログラムの一覧に「WMI」が追加され、有効 になっていることを確認します。 図 5. 「WMI」の追加 7) 「パフォーマンス オプション」ダイアログで「OK」ボタンをクリックし、ダイアログを閉じます。 -4- 8) 設定を有効にするにはコンピュータの再起動が必要であることを示すメッセージが表示されたら、 「OK」ボタンをクリックします。 図 6. 「再起動」の通知メッセージ 9) 「システムのプロパティ」ダイアログで「OK」ボタンをクリックし、ダイアログを閉じます。 10) コンピュータを再起動します。 :この設定を行わなかった場合、DeskView のインストール後やアンインストール後に、まれに「データ実行 防止」のエラーメッセージが通知されることがあります。また、OS のイベントログに wmiprvse.exe の アプリケーションエラーが記録されることがあります。 なお、エラーが通知された場合でも、システムの動作に影響はありません。 :データ実行防止については、以下の Microsoft サポート技術情報も参照してください。 - サポート技術情報 - 875351 「Windows XP Service Pack 2 で "データ実行防止" というエラーメッセージが表示される」 http://support.microsoft.com/default.aspx?kbid=875351 以上でデータ実行防止の設定は完了です。 -5- 3.Windows 3.Windows ファイアウォールの設定 DeskView のネットワーク機能を利用する場合、Windows ファイアウォールの設定を変更し、DeskView が正しく通 信できるようにする必要があります。管理者用コンピュータ、クライアントコンピュータに共通の設定と、管理者 用コンピュータ、クライアントコンピュータそれぞれ独自の設定があります。この設定は DeskView のインストール 後に変更してください。 1. 準備(管理者用コンピュータ、クライアントコンピュータ共通) 1) Administrator 権限を持ったユーザーアカウントでログオンします。 2) 「スタート」ボタン →「コントロールパネル」の順にクリックします。 「コントロールパネル」が開 きます。 3) 「コントロールパネル」を「クラシック」表示に切り替えます。 4) 「Windows ファイアウォール」をダブルクリックします。 「Windows ファイアウォール」の設定ダイ アログが開きます。 5) ファイアウォールの設定が「有効(推奨)(O)」になっていること、 「例外を許可しない(D)」にチェ ックがついていないことを確認します。 図 7. 「Windows ファイアウォール」ダイアログ :Windows ファイアウォール機能を無効にする場合は、以後の手順は必要ありません。 -6- 2. ファイルとプリンタの共有を有効にする(管理者用コンピュータ、クライアントコンピュータ共通) 1) 「例外」タブをクリックします。 2) 「ファイルとプリンタの共有」をクリックし、有効 にします。 図 8. 「ファイルとプリンタの共有」を有効にする 3) 「編集(E)」ボタンをクリックします。 「サービスの編集」ダイアログが開きます。 図 9. 「サービスの編集」ダイアログ 4) すべての項目が有効 閉じます。 になっていることを確認します。 「OK」ボタンをクリックし、ダイアログを -7- 3. ICMP エコー要求を許可する(管理者用コンピュータ、クライアントコンピュータ共通) 1) 「詳細設定」タブをクリックします。 図 10. 「詳細設定」タブ 2) 「ICMP」グループの「設定(E)」ボタンをクリックします。 「ICMP 設定」ダイアログが開きます。 -8- 3) 「エコー要求の着信を許可する」をクリックし、有効 にします。 図 11. 「エコー要求の着信を許可する」を有効にする 4) 「OK」ボタンをクリックし、ダイアログを閉じます。 : 「2. ファイルとプリンタの共有を有効にする」を行った場合、すでにこの項目が有効になっている ことがあります。 -9- 4. ポートを追加する(管理者用コンピュータ、クライアントコンピュータ共通) 1) 「例外」タブをクリックします。 2) 「ポートの追加(O)」ボタンをクリックします。 「ポートの追加」ダイアログが開きます。 3) 「名前(N):」欄に「DCE RPC」と入力します。 4) 「ポート番号(P):」欄に「135」と入力します。 5) 「TCP(T)」をクリックします。 図 12. ポートを追加する 6) 「OK」ボタンをクリックし、ダイアログを閉じます。 :手順 3) で入力する名前には、任意のものを使用することもできます。 - 10 - 5. プログラムを追加する(管理者用コンピュータのみ) :この設定は、管理者用コンピュータで Alert on LAN/ASF の管理者用機能を使用する場合にのみ必要な 手順です。設定の必要がない場合は、 「6. プログラムを追加する(クライアントコンピュータのみ; Alert on LAN) 」に進んでください。 1) 2) 3) 4) 「例外」タブをクリックします。 「プログラムの追加(R)」ボタンをクリックします。 「プログラムの追加」ダイアログが開きます。 「参照(B)」ボタンをクリックします。 「参照」ダイアログが開きます。 「ファイル名(N):」欄に「%ProgramFiles%¥Intel¥Alert on LAN¥Proxy¥Aolnsrvr.exe」と入力し ます。 図 13. 「Aolnsrvr」の指定 5) 「開く(O)」ボタンをクリックし、 「参照」ダイアログを閉じます。 6) 「OK」ボタンをクリックし、 「プログラムの追加」ダイアログを閉じます。 - 11 - 7) もう一度「プログラムの追加(R)」ボタンをクリックします。 「プログラムの追加」ダイアログが開き ます。 8) 「参照(B)」ボタンをクリックします。 「参照」ダイアログが開きます。 9) 「ファイル名(N):」欄に「%WinDir%¥System32¥snmptrap.exe」と入力します。 図 14. 「SNMPTrap」の指定 10) 「開く(O)」ボタンをクリックし、 「参照」ダイアログを閉じます。 11) 「OK」ボタンをクリックし、 「プログラムの追加」ダイアログを閉じます。 - 12 - 6. プログラムを追加する(クライアントコンピュータのみ;Alert on LAN) :この設定は、クライアントコンピュータで Alert on LAN のクライアント機能を使用する場合にのみ 必要な手順です。ASF のクライアントコンピュータや管理者用コンピュータなど、設定の必要がない 場合は、 「7. プログラムを追加する(クライアントコンピュータのみ;SNMP) 」に進んでください。 1) 2) 3) 4) 「例外」タブをクリックします。 「プログラムの追加(R)」ボタンをクリックします。 「プログラムの追加」ダイアログが開きます。 「参照(B)」ボタンをクリックします。 「参照」ダイアログが開きます。 「ファイル名(N):」欄に「[DeskView をインストールしたフォルダ]¥AlertOnLAN¥AOLAgentFB.exe」 と入力します。 図 15. 「AOLAgentFB」の指定 :起動ドライブが C ドライブ(出荷状態)で、DeskView を標準のインストールフォルダにインストール した場合は、 「C:¥Program Files¥DeskView¥AlertOnLAN¥AOLAgentFB.exe」になります。 5) 「開く(O)」ボタンをクリックし、 「参照」ダイアログを閉じます。 6) 「OK」ボタンをクリックし、 「プログラムの追加」ダイアログを閉じます。 - 13 - 7. プログラムを追加する(クライアントコンピュータのみ;SNMP) :この設定は、クライアントコンピュータで DeskInfo の SNMP 連携機能(SNMP によるデータの統合)を 使用する場合にのみ必要な手順です。設定の必要がない場合は、 「8. スコープを変更する」に進んで ください。 1) 2) 3) 4) 「例外」タブをクリックします。 「プログラムの追加(R)」ボタンをクリックします。 「プログラムの追加」ダイアログが開きます。 「参照(B)」ボタンをクリックします。 「参照」ダイアログが開きます。 「ファイル名(N):」欄に「%WinDir%¥System32¥snmp.exe」と入力します。 図 16. 「SNMP」の指定 5) 「開く(O)」ボタンをクリックし、 「参照」ダイアログを閉じます。 6) 「OK」ボタンをクリックし、 「プログラムの追加」ダイアログを閉じます。 - 14 - 8. スコープを変更する(管理者用コンピュータ、クライアントコンピュータ共通) 1) 「例外」タブをクリックします。 2) 「ファイルとプリンタの共有」をクリックし、選択します。 図 17. 「ファイルとプリンタの共有」を選択 3) 「編集(E)」ボタンをクリックします。 「サービスの編集」ダイアログが開きます。 4) 「スコープの変更(C)」ボタンをクリックします。 「スコープの変更」ダイアログが開きます。 図 18. 「スコープの変更」ダイアログ - 15 - 5) 「カスタムの一覧(C)」をクリックし、入力欄を有効にします。 6) 管理者用コンピュータの場合はクライアントコンピュータの IP アドレス、またはクライアントコン ピュータが存在するサブネットのアドレスを入力します。クライアントコンピュータの場合は管理者 用コンピュータの IP アドレス、または管理者用コンピュータが存在するサブネットのアドレスを入 力します。複数のアドレスを入力する必要がある場合はコンマで区切って入力します。 7) 「OK」ボタンをクリックし、 「スコープの変更」ダイアログを閉じます。 8) 「OK」ボタンをクリックし、 「サービスの編集」ダイアログを閉じます。 9) 「4. ポートを追加する」から「7. プログラムを追加する」で例外に追加したポートとプログラムに ついて、同様にスコープの変更を繰り返します。 : 「カスタムの一覧(C)」を使用して管理者用コンピュータやクライアントコンピュータを IP アドレスで 指定した場合は、異なる IP アドレスのコンピュータに管理者用コンピュータを変更したり、クライア ントコンピュータの IP アドレスが DHCP により変更されたりすると、DeskView の設定の変更とは別に、 このスコープの設定変更も必要となります。 管理者用コンピュータが頻繁に変更される場合、またはコンピュータにどの IP アドレスを使用するか 決まっていない場合は、コンピュータが存在するネットワークのサブネットアドレスを入力してください。 :管理者用コンピュータとクライアントコンピュータが同一のサブネットに存在する場合は、 「カスタムの 一覧(C)」の代わりに「ユーザーのネットワーク(サブネット)のみ(M)」を使用することもできます。 9. Windows ファイアウォールの設定を終了する(管理者用コンピュータ、クライアントコンピュータ共通) 1) 「Windows ファイアウォール」ダイアログで「OK」ボタンをクリックし、ダイアログを閉じます。 以上で Windows ファイアウォールの設定は完了です。 - 16 - 4.グループポリシーの設定 クライアントコンピュータでは、リモート管理に関するグループポリシーの設定を変更する必要があります。この 設定は DeskView のインストール後に変更してください。 1. 準備 1) Administrator 権限を持ったユーザーアカウントでログオンします。 2) 「スタート」ボタン →「ファイル名を指定して実行(R)」の順にクリックします。 「ファイル名を指 定して実行」ダイアログが開きます。 3) 「名前(O):」欄に「gpedit.msc」と入力し、 「OK」ボタンをクリックします。 「グループ ポリシー」 が開きます。 図 19. 「gpedit.msc」の実行 4) 「グループ ポリシー」で、以下の順にツリーを展開します。 「ローカル コンピュータ ポリシー」→「コンピュータの構成」→「管理用テンプレート」 →「ネットワーク」→「ネットワーク接続」→「Windows ファイアウォール」 →「ドメイン プロファイル」 (ドメインに参加するクライアントコンピュータの場合) →「標準プロファイル」 (ワークグループ運用のクライアントコンピュータの場合) 図 20. 「グループ ポリシー」 - 17 - 2. ポリシーの設定 1) 「ドメイン プロファイル」または「標準プロファイル」の設定項目のうち、 「Windows ファイア ウォール:リモート管理の例外を許可する」をダブルクリックします。 「Windows ファイアウォール: リモート管理の例外を許可するのプロパティ」ダイアログが開きます。 2) 「有効(E)」をクリックします。 3) 「要請されない着信メッセージを許可するアドレス:」欄に、DeskView の管理者用コンピュータの IP アドレス、または管理者用コンピュータが存在するネットワークのサブネットアドレスを入力しま す。 図 21. リモート管理の例外の許可を有効にする 4) 「OK」ボタンをクリックし、ダイアログを閉じます。 5) 「グループ ポリシー」で、 「ファイル(F)」→「終了(X)」の順にクリックし、ウィンドウを閉じます。 6) コンピュータを再起動します。 :コンピュータのネットワークの運用方法が不明の場合は、 「ドメイン プロファイル」 「標準プロファイル」 の両方に同じ設定を行ってください。 :コンピュータのセキュリティを保つためには、管理者用コンピュータの IP アドレスのみを入力する ことが推奨されます。なお、異なる IP アドレスのコンピュータに管理者用コンピュータを変更する 場合には、DeskView の管理者設定の変更とは別に、このポリシーの設定変更も必要となります。 管理者用コンピュータが頻繁に変更される場合、またはどの IP アドレスを使用するか決まっていな い場合は、管理者コンピュータが存在するネットワークのサブネットアドレスを入力してください。 以上でグループポリシーの設定は完了です。 - 18 - 5.トラブルシューティング 5.トラブルシューティング 項目 状況 対処 データ実行防止 DeskView をインストール、アンインストール 「2. 2. データ実行防止の設定」 データ実行防止の設定 を行ってください。 すると、 「データ実行防止」で WMI のエラーが 通知される DeskView Browser を使 クライアントコンピュータがコンピュータの ■クライアントコンピュータの電源が入ってい 用したクライアントコ 一覧に出てこない ることを確認してください。 ンピュータの管理 ■「3. 3. Windows ファイアウォールの設定」の、 ファイアウォールの設定 [2. 2.ファイルとプリンタの共有を有効にする 2.ファイルとプリンタの共有を有効にする] ファイルとプリンタの共有を有効にする を行ってください。 クライアントコンピュータに接続できない ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 (アイコンに×が付く) [3.ICMP 3.ICMP エコー要求を許可する] 4.ポ エコー要求を許可する および [4. 4.ポ ートを追加する]を行ってください。 ートを追加する クライアントコンピュータからの応答がない ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 [8. 8.スコープを変更する 4. グループ 8.スコープを変更する]、 スコープを変更する および「4. ポリシーの設定」 ポリシーの設定 で、適切なアドレスを設定して ください。 ■ Windows ファイアウォールが有効の場合、ク ライアントコンピュータからの応答には時間が かかります。 ※上記の設定を行っても解決しない、または Windows ファイアウォールを無効にしても状況 が変わらない場合、以下をご確認ください。 ■クライアントコンピュータのインストール種 別(ローカルコンピュータでないこと) ■管理者コンピュータ、クライアントコンピュー タのアカウントの設定およびアクセス権限の設 定(ソフトウェア説明書の DeskView Browser の 注意事項をご参照ください) クライアントコンピュータの Alert on LAN の ■「3. 3. Windows ファイアウォールの設定」の ァイアウォールの設定 設定ができない [6. 6.プログラムを追加する 6. プログラムを追加する] プログラムを追加する (AOLAgentFB.exe) を行ってください。 ※上記の設定を行っても解決しない、または Windows ファイアウォールを無効にしても状況 が変わらない場合、以下をご確認ください。 ■クライアントコンピュータのインストールオ プション(Alert on LAN/ASF クライアント機能が インストールされていること) ■管理者コンピュータのインストールオプショ ン(Alert on LAN/ASF 管理者機能がインストール されていること) - 19 - 項目 状況 対処 DeskView Browser を使 クライアントコンピュータの ASF の設定がで ■「4. 4. グループポリシーの設定」を行ってくだ グループポリシーの設定 用したクライアントコ きない( 「Connect2Namespace failed」という さい。 ンピュータの管理 エラーが表示される) ※上記の設定を行っても解決しない、または Windows ファイアウォールを無効にしても状況 が変わらない場合、以下をご確認ください。 ■クライアントコンピュータのインストールオ プション(Alert on LAN/ASF クライアント機能が インストールされていること) ■管理者コンピュータのインストールオプショ ン(Alert on LAN/ASF 管理者機能がインストール されていること) 管理者コンピュータを別のコンピュータに変 ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 更したら、クライアントコンピュータに接続 [8. 8.スコープを変更する 4. グループ 8.スコープを変更する]、 スコープを変更する および「4. できなくなった ポリシーの設定」 ポリシーの設定 で設定した、接続を許可するア ドレスの範囲を確認してください。 コンピュータの IP アドレスを変更したら、ク ライアントコンピュータに接続できなくなっ た 別のサブネットに存在するクライアントコン ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 ピュータに接続できない [8. 8.スコープを変更する 4. グループ 8.スコープを変更する]、 スコープを変更する および「4. ポリシーの設定」 ポリシーの設定 で、適切なアドレスを設定して ください。 情報の受信 クライアントコンピュータのアラートを管理 ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 者コンピュータで受信できない [4. 4.ポートを追加する 4.ポートを追加する]を行ってください。 ポートを追加する ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 [8. 8.スコープを変更する 4. グループ 8.スコープを変更する]、 スコープを変更する および「4. ポリシーの設定」 ポリシーの設定 で、適切なアドレスを設定して ください。 ※上記の設定を行っても解決しない、または Windows ファイアウォールを無効にしても状況 が変わらない場合、以下をご確認ください。 ■クライアントコンピュータのインストール種 別(ローカルコンピュータでないこと) Alert on LAN/ASF のアラートを管理者コン ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 ピュータで受信できない [5. 5. プログラムを追加する] プログラムを追加する (aolnsrvr.exe、 SNMP 機能を使用してエンタープライズソフト ■「3. 3. Windows ファイアウォールの設定」の ファイアウォールの設定 ウェアと連携しているが、SNMP Get でクライ [7. 7.プログラムを追加する 7.プログラムを追加する] プログラムを追加する (snmp.exe) を行っ アントコンピュータの情報を取得できない てください。 snmptrap.exe) を行ってください。 ※上記の設定を行っても解決しない、または Windows ファイアウォールを無効にしても状況 が変わらない場合、以下をご確認ください。 ■クライアントコンピュータのインストールオ プション(DeskInfo の SNMP 機能がインストール されていること) - 20 - 6.注意事項 ● ● ● ● ● ● ● 上記の手順は、Service Pack 2 で追加されたセキュリティ機能の設定を一部変更します。DeskView を使用 するために必要な設定ですが、プログラム実行管理の変更や、特定のネットワークポートに対する外部から のコンピュータへの接続を許可しますので、十分ご注意ください。特に、 「スコープの変更」および「リモー ト管理の例外を許可する」について、接続を許可するコンピュータやサブネットの指定は慎重に行い、不要 なアドレスを登録しないようにしてください。 Windows ファイアウォールが有効になっている場合は、上記の手順を行って DeskView の通信を許可しても、 ファイアウォールが無効の場合に比べて DeskView のネットワーク機能のパフォーマンスは低下します。例え ば、管理者用コンピュータから DeskView Browser を使用してクライアントコンピュータの情報を取得する場 合の応答時間が、ファイアウォールが無効の場合よりも長くなります。 DeskView の使用を終了しアンインストールするときは、データ実行防止の設定、ポートやプログラムの例外 の設定、リモート管理の許可の設定を元に戻し、コンピュータの安全性を保ってください。 Windows XP の設定を変更するまで、DeskView の機能を正しく使用することはできません。例えば、DeskView のインストール完了からWindows XP の設定変更までの間にクライアントコンピュータでアラートが発生した 場合、そのアラートが管理者用コンピュータに通知されないことがあります。 管理者用コンピュータをクライアントコンピュータとしても運用する場合(例えば、管理者用コンピュータ を、別の管理者用コンピュータから管理する場合) 、管理者用コンピュータ用の設定に加えて、クライアント コンピュータ用の設定も行ってください。 Active Directory(R) で構成されたネットワークでは、Windows ファイアウォールおよびグループポリシー の設定は、個々のコンピュータでの設定よりもドメインコントローラ上でのグループポリシーの設定が優先 して適用されます。Windows ファイアウォールおよびグループポリシーの設定の変更は、ドメインコントロ ーラ上でグループポリシーを編集することで行ってください。 データ実行防止、Windows ファイアウォール、グループポリシーの設定変更の詳細および操作方法について は、それぞれのオンラインヘルプもご参照ください。 7.著作権など Microsoft、Windows および Active Directory は、米国 Microsoft Corporation の米国および その他の国における登録商標です。 Alert on LAN は IBM Corporation の商標です。 DeskView 製品は、富士通株式会社および、Fujitsu Siemens Computers GmbH の著作物です。 Copyright(c) 1981-2004 Microsoft Corporation. All Rights Reserved. All Rights Reserved, Copyright(c) 富士通株式会社 2004 ―以上― - 21 -