CiscoWorks Network Compliance Manager 1.8 サテライト ユーザ ガイド
B トラブルシューティング
B トラブルシューティング
発行日;2012/11/19 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 650KB) | フィードバック

トラブルシューティング

NCM サテライトには、不正なプロセスがサテライトにアクセスできないようにするために 2 つのレベルのセキュリティがあります。通常は、それらのセキュリティ チェックによる接続拒否を引き起こした設定エラーの結果として NCM サテライトの障害が発生します。以下のセクションでは、NCM サテライトの稼働が失敗した場合にセキュリティのレベルをチェックする方法について説明します。

ゲートウェイ メッシュのセキュリティ

最初のセキュリティ レベルは、ゲートウェイ メッシュでのセキュリティ レベルです。NCM コア ホストのみが、コア ゲートウェイとの接続を許可されます。コア ゲートウェイのインストール時に正しくない NCM コアの IP アドレスが使用された場合、接続は失敗します。

ゲートウェイ メッシュのセキュリティによって接続が拒否されているかどうかをチェックするには、コア ゲートウェイ ホストのシェル プロンプトで以下のコマンドを実行して、コア ゲートウェイ ログ ファイルの中で「disallow」という単語を探します。

grep disallow /var/log/opsware/opswgw-*/opswgw.log

特定 IP アドレスからの接続を禁止することを記述した行がある場合は、コア ゲートウェイでのセキュリティが問題です。解決策は、ローカル ゲートウェイの NCM 管理設定とゲートウェイ IngressMap が同期していることを確認することです。

コア ゲートウェイが NCM コアと同じホスト上にある場合、IngressMap 内の IP アドレスは 127.0.0.1 である必要があります。ローカル ゲートウェイ管理設定は、ローカル ホストまたは 127.0.0.1 である必要があります。

コア ゲートウェイが別個のホスト上にある場合は、ローカル ゲートウェイ管理設定にコア ゲートウェイの正しい IP アドレスがなければなりません。IngressMap には NCM コア ホストの正しい IP アドレスがなければなりません。

properties ファイルで IngressMap の行を変更するには、
/etc/opt/opswgw-*/opswgw.properties ファイルを編集します。複数のゲートウェイがインストールされている場合は、アスタリスク(*)をゲートウェイの名前と置き換えます。次のような IngressMap の行を探します。

opswgw.IngressMap=127.0.0.1:NCM

NCM コアおよびサテライトでのセキュリティ

2 番目のセキュリティ レベルは、NCM コアと NCM サテライトでのセキュリティ レベルです。これらは、既知のホストからの接続のみを受け入れます。

NCM コアでは、既知のホストはローカル ゲートウェイ管理設定に含まれています。サテライトでは、既知のホストは常にローカル ホストです。これをチェックするには、NCM コア jboss wrapper ログで、「Rejected」を探します。次のように入力します。

grep Rejected $NCM/server/log/jboss_wrapper.log

(ここで $NCM は NCM コアのインストール先のルートです)。

誤った NCM コア ホストのホスト名を使用して Deploy Remote Agent タスクが実行された場合、サテライトは NCM コアに再接続することができなくなります。これをチェックするには、上記の「grep」コマンドを NCM サテライト ホストに入力します。詳細については、を参照してください。

さらに、コア ゲートウェイ上の EgressFilter で NCM サテライトの IP アドレスが正しいかどうかをチェックします。そのために、サテライト ホスト上でゲートウェイの properties ファイルを編集します。次のような行を探します。

opswgw.EgressFilter=tcp:*:443:XXX.XXX.XXX.XXX:*,tcp:*:22:NCM:,tcp:*:23:NCM:,tcp:*:513:NCM:

(ここで XXX.XXX.XXX.XXX は 127.0.0.1)。

ゲートウェイ インストーラでは、冗長コア ゲートウェイはサポートされません。しかし、冗長コア ゲートウェイを使用したい場合(推奨されません)には、 adjustable_options.rcx ファイルを編集し、以下の行をファイルに追加することにより、他のコア ゲートウェイ IP アドレスを追加します。

<array name="rpc/allowed_ips">
<value>10.255.52.10</value>
<value>10.255.54.22</value>
</array>

上記の IP アドレスを、NCM コア ゲートウェイの正しい IP アドレスと置き換える必要があります。