Cisco NAC アプライアンス - Clean Access Manager コンフィギュレーション ガイド
Agent セッションのモニタリングとトラブル シューティング
Agent セッションのモニタリングとトラブルシューティング
発行日;2012/02/01 | 英語版ドキュメント(2011/08/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Agent セッションのモニタリングとトラブルシューティング

Agent レポートの表示

Agent レポートのエクスポート

レポート数の制限

Cisco Log Packager を使用した Agent ログ ファイルの作成

証明済みデバイスの管理

免除デバイスの追加

証明済みデバイスまたは免除デバイスの手動消去

証明済みデバイスのレポートの表示

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

証明済みデバイス タイマーの設定

フローティング デバイスの追加

[Online Users] リスト

アクティブ ユーザの意味

オンライン ユーザの表示

IB ユーザ

OOB ユーザ

設定の表示

Agent のトラブルシューティング

クライアントが接続およびログインできない

Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS 規則のトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)

Agent セッションのモニタリングとトラブルシューティング

この章では、各種の Cisco NAC アプライアンス Agent レポートおよびログ ファイルの編集とアクセス、および Agent への接続や Agent の操作における問題のトラブルシューティングに関する事項について説明します。

「Agent レポートの表示」

「Cisco Log Packager を使用した Agent ログ ファイルの作成」

「証明済みデバイスの管理」

「[Online Users] リスト」

「Agent のトラブルシューティング」

Agent レポートの表示

管理者 Agent [Reports] ページ([Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer])には、Agent セッションに関する詳細が表示されます。この情報にはユーザ アクセスの試行回数、およびシステム チェック結果が含まれます。

[Reports] ページを使用すると、管理者は Agent レポートの記録と検索を実行して、情報収集を進めて編集されたレポート データをエクスポートし、統計分析と Agent 接続問題のトラブルシューティングに役立てることができます。[Reports] ページは、次のカラム ヘッダーを使用して Agent レポート エントリ情報を表示します。

[Status]:緑または赤のフラグは、Agent 接続の成功または失敗を示します。

[User]:クライアント マシンからのセッションを確立するのに使用されるユーザ ID です。

[Agent] :クライアント セッションを開始するのに使用される Cisco NAC アプライアンス Agent のタイプを指定します。

[IP]:クライアント マシンの IP アドレスです。

[MAC]:クライアント マシン インターフェイス MAC アドレスです。

[OS]:クライアント マシンで検出されたオペレーティング システムです。

[Time]:ユーザが Agent セッションの開始を試行した日付と時刻です。


) 背景が赤の Report List エントリは、システム チェックに失敗したクライアントを示します。


図 11-1 Agent 管理者レポート

 

[Reports] ページでは、追加のクライアント レポート表示基準をアクティブにして定義することにより、ユーザ セッションのリストをフィルタリングすることもできます。たとえば、ユーザが毎日(または 1 日数回)ログインする非常に大きなユーザ アクセス ベースがあり、管理しやすい数にレポートの総数を制限する場合は、単一のユーザ ID または特定のデバイスからのすべてのユーザ セッションに関するユーザ セッション情報を表示するように選択できます。ドロップダウン メニューから使用可能なフィルタ パラメータは次のとおりです。

[Status]:成功、失敗、または両方のタイプのユーザ セッションをリストすることができます。

[Username]:クライアント レポート リストに表示する、すべてまたは一部のユーザ ID を特定して、指定できます。

[IP]:クライアント レポートのリストを、指定された IP アドレスのすべてまたは一部に一致するものだけに限定することができます(このパラメータを使用すると、たとえば「starts with」「10.12.4.」と指定して、10.12.4. <x> の範囲にある IP アドレスにユーザ リストを限定できます)。

[MAC]:クライアント レポートを、指定された送信元 MAC アドレスのすべてまたは一部に一致するものに限定できます。

[OS]:クライアント マシンで検出されたオペレーティング システムに基づいてクライアント レポートを表示できます。

[Time]:特定の時間以降、または特定の時間までの、クライアント レポート エントリを表示できます(たとえば、直近の 1 時間、前日までなど)。

[Software]:特定のインストール済み AV、AS、または未サポートの AV/AS ソフトウェアに対するクライアント レポートを表示できます。

[Requirement]:特定の Agent 要件に関連したクライアント レポートだけを表示できます。

[Requirement Status]:指定された [Requirement](上記)の成功または失敗 Agent 要件のクライアント レポートを表示できます。

[System Name]:指定されたクライアント システム名のすべてまたは一部に関連したクライアント レポートを表示できます。

[System User]:特定のシステム ユーザ(つまり、実際のユーザ セッションが開始された時点でのクライアント マシンにログインしたユーザで、上記の [Username] と同じ ID でなくてもよい)に関連したクライアント レポートを表示できます。

[System Domain]:クライアント マシンがログインしたシステム ドメインに基づくクライアント レポートだけを表示できます。

[User Domain]:クライアント [System User] ID が関連しているユーザ ドメインに基づくクライアント レポートだけを表示できます。

検索オプションのパラメータを選択し定義した後で [Filter] ボタンをクリックすると、基準に一致するすべてのクライアント レポート エントリの概要と、各クライアントの詳細な管理者レポートが表示されます。

たとえば、[OS] フィルタ オプションを使用して、ドロップダウン リストからオプションを 1 つ選択することにより、Agent レポートで表示されるレポート エントリの数を減らすことができます(図 11-2)。

図 11-2 Agent 管理者レポート:OS フィルタ オプション

 

[Reset] をクリックすることにより、フィルタ ドロップダウン メニューからオプションの検索基準を無効にして、クライアント レポート表示リストをデフォルト設定に戻すことができます。

[View] ボタン(右端にある虫眼鏡アイコン)をクリックして、図 11-3 で示すように個別ユーザ レポートを表示します。

図 11-3 Agent レポートの例

 

Agent レポートには、ユーザ、オペレーティング システム、Agent のバージョン、およびドメイン情報のほか、ユーザ ロールに適用可能な要件(Mandatory および Optional の両方)が表示されます。ユーザが満たしている要件はグリーンで、満たしていない要件はレッドで表示されます。要件を構成している各チェックは、ステータス(Passed、Failed、または Not executed)を基準に表示されます。これにより、要件に違反した場合に、違反したチェックを正確に表示することができます。

[Not Executed] チェックは、別の OS に適用されたなどの理由により、適用されなかったチェックです。[Failed] チェックは、「OR」演算が原因の場合があります。レポートを削除するには、[Delete] ボタンをクリックします。これにより、フィルタリング基準に基づいて現在選択されているすべてのレポート エントリが削除されます。

Agent レポートのエクスポート

[Export] および [Export (with text)] ボタンを使用すると、Agent レポート データを含む CSV ファイルをローカル ハードディスク ドライブに保存して、トラブルシューティングまたは統計分析目的で必要な場合にいつでも検索、表示、変更できます。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer] に移動します 図 11-4 を参照)。

ステップ 2 [Export] または [Export (with text)] をクリックします。


) Microsoft Excel の制限により、この機能を使用してエクスポートできるエントリ数は最大で 65534 です。


図 11-4 Agent レポートのエクスポート

 

ステップ 3 次のいずれかを実行します。

[Open] をクリックして、結果として得られる Agent レポート ファイルを表示します。

[Save] をクリックして、Agent レポート ファイルを保存するローカル マシン内のディレクトリに移動して、ファイル名を入力し、ナビゲーション ダイアログ内の [Save] をクリックすると、後でレポートを表示できます。


 

レポート数の制限

ログ内のレポート数を制限するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Setting] を使用します。最大レポート数には 100 ~ 200000(デフォルトは 30000)を指定します。

Agent レポートは独自のテーブルに格納され、一般的なイベント ログとは別に扱われます。

Cisco Log Packager を使用した Agent ログ ファイルの作成

ユーザが Cisco NAC Agent をダウンロードすると、クライアント マシンの Program File を基準にした Agent ファイルと同じ場所に、インストール プロセスによって Cisco Log Packager ユーティリティが追加されます。Log Packager ユーティリティは、数種類の Agent ログを 1 つの .zip ファイル( CiscoSupportReport.zip )に編集して、クライアント マシンのデスクトップに保存します。これにより、ユーザは情報に簡単にアクセスでき、Agent セッションのログインや操作における問題のトラブルシューティングを受ける際に、ネットワーク管理者に転送することができます。


) Cisco NAC アプライアンス リリース 4.6(1) 以降では、Cisco Log Packager アプリケーションは英語および日本語の Windows プラットフォームでだけ使用できます。


Cisco Log Packager を起動する手順は、次のとおりです。


ステップ 1 Windows クライアント マシンで、[Start] > [Program Files] > [Cisco] > [Client Utilities] > [Cisco Log Packager] に移動します(図 11-5)。

図 11-5 Cisco Log Packager

 

ステップ 2 [Collect Data] をクリックし、Cisco Log Packager が Agent ログ情報の編集を完了するまで待ちます。この手順は、数秒から数分かかります。Cisco Log Packager の表示ウィンドウに「Log file has been archived」というメッセージが表示され、[Copy to Clipboard] および [Locate Log File] ボタンがアクティブになったら、このプロセスは完了です(図 11-6)。

図 11-6 Cisco Log Packager:ログ ファイルのアーカイブ完了

 

ステップ 3 編集後のログ ファイルが保存されたクライアント マシン上の場所に自動的に移動するには、[Locate Log File] をクリックします。Windows エクスプローラのダイアログボックスが開き、クライアント マシンのデスクトップ上で新しい CiscoSupprtReport.zip ログ ファイルが強調表示されます(図 11-7)。

図 11-7 Agent ログ ファイルの場所

 

CiscoSupprtReport.zip ログ ファイルを使用して、Agent のログインおよび操作に関する問題を診断し、トラブルシューティングに役立てます。ユーザは .zip ファイルをそれぞれの Cisco NAC アプライアンス システム管理者に送ることができます。ローカルのトラブルシューティングの場合は、クライアント マシン上の各種の Cisco Log Packager ファイルの内容を抽出して表示できます。 CiscoSupprtReport.zip ログ ファイルに含まれるファイルとその目的の詳細については、表 11-1 を参照してください。

 

表 11-1 Cisco Log Packager のファイル

Agent ログ ファイル名
内容/説明

CiscoSupportReportLog.txt

このテキスト ファイルには、CPU 使用率やメモリ割り当てなど、クライアント マシンのシステム情報が含まれます。

ipinfo.log

このログ ファイルには、クライアント マシンの IP インターフェイス ステータス、IP 統計情報、クライアント ARP テーブルなど、ネットワーク設定およびネットワーク接続ステータスが含まれます。

NACAgentLogPlugin.log

ユーザがアクセスできないこのログは、NACAgentDiags 関数を呼び出して NACAgentDiagnosticLog.txt ログ レポートを生成する LogPacker コンポーネントのモジュールの 1 つです。

NACAgentDiagnosticsLog.txt

ユーザがアクセスできないこのテキスト ファイルには、AV に関する問題をデバッグするために使用される診断メッセージが含まれています。

NACAgentDiagsLogMessages.txt

このテキスト ファイルには、診断出力では使用されない、その他の通常のログ メッセージが含まれています。

NACAgentLogCurrent.log

これは、アクティブなセッションからの最新の Cisco NAC Agent メッセージを含む暗号化されたログ ファイルで、主に Cisco NAC Agent に関する問題のデバッグに使用されます。システムが再起動されるかサービスが再開されると、それまでの NACAgentLogOld.log は消去され、アクティブな NACAgentLogCurrent.log が新しい NACAgentLogOld.log になって、新しい NACAgentLogCurrent.log が作成されます。

が作成されます。

NACAgentLogOld.log

これは、それまでアクティブだった Cisco NAC Agent セッションからの出力を含む暗号化されたログ ファイルで、Cisco NAC Agent に関する問題のデバッグにも使用されます。このファイルは、次の 2 つの方法のいずれかによって作成されます。

最大サイズ( NACAgentCFG.xml Agent コンフィギュレーション XML ファイルの LogFileSize パラメータで設定)に達した、アクティブな Cisco NAC Agent セッションから「アーカイブされた」ログ ファイル。

システムが再起動されるかサービスが再開されると、それまでの NACAgentLogOld.log は消去され、アクティブな NACAgentLogCurrent.log が新しい NACAgentLogOld.log になって、新しい NACAgentLogCurrent.log が作成されます。

クライアント マシン上のすべての .txt ファイルは、標準的なテキスト エディタ アプリケーションを使用して開き、レポート内容を表示することができます。図 11-8 に、クライアント マシンの Microsoft メモ帳アプリケーションで開いた CiscoSupportReportLog.txt ファイルの内容を示します。

図 11-8 CiscoSupportReportLog.txt ファイルの内容

 


 

証明済みデバイスの管理

ここでは、次の内容について説明します。

「免除デバイスの追加」

「証明済みデバイスまたは免除デバイスの手動消去」

「証明済みデバイスのレポートの表示」

「アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示」

「証明済みデバイス タイマーの設定」

「フローティング デバイスの追加」

Clean Access Manager の Web コンソールには、ユーザとそのデバイスを管理する 2 つの重要なリストである [Online Users] リストと [Certified Devices List] があります。[Online Users] リストには、IP アドレスとログイン証明書を使用してオンライン状態にあるユーザが表示されます(「イベント ログの意味」を参照)。インバンドとアウトオブバンドのオンライン ユーザ リストが別々に存在します。ユーザ デバイスがネットワーク スキャンを通過するか、またはエージェントの条件を満たしている場合、Clean Access Server は、そのデバイスの MAC アドレスを [Certified Devices List] に追加します(CAS に近接するレイヤ 2 ユーザの場合)。


) [Certified Devices List] はクライアント MAC アドレスに基づいて作成されているため、レイヤ 3 配置のユーザには適用されません。1 つ以上のレイヤ 3 ホップ分 CAS から離れている Web ログイン ユーザは、(クライアントの MAC アドレスを取得するために)ActiveX/Java アプレット Web クライアントがログイン ページでイネーブルになっていないかぎり、IP アドレスでだけ追跡されます。レイヤ 3 配置の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』の「Enable L3 Deployment Support」を参照してください。


[Online Users] リストからユーザが削除されても、[Certified Devices List] からクライアント デバイスは削除されません。ただし、[Certified Devices List] から手動で削除されたクライアントは、ネットワークからも [Online Users] リスト(IB または OOB)からも削除されます。

ネットワーク スキャンが実行される場合、[Certified Devices List] に追加されているデバイスは、その MAC アドレスが [Certified Devices List] 上にあるかぎり、そのデバイスのユーザがログアウトして別のユーザとしてネットワークにアクセスしても、再度証明プロセスを受ける必要はありません [Certified Devices List] からクライアントが削除されると、再度ユーザ認証とデバイスのネットワーク スキャンを受けないかぎり、ネットワーク アクセスは許可されません (マルチユーザ デバイスに対してログインのたびに再認証を求めるには、そのデバイスをフローティング デバイスとして設定する必要があります)。ネットワーク スキャン ユーザがログオフした場合に必ず [Certified Devices List] からデバイスが削除されるようにするには、[General Setup] > [Web Login] タブの [Require users to be certified at every web login] オプションをオンにします(「クライアント ログインの概要」を参照)。

Agent ユーザの場合は、デバイスがすでに [Certified Devices List] に含まれていても、ログインのたびにこのデバイスに対する Agent の条件が検査されます。さらに、そのデバイスを使用してログインした最初のユーザだけが [Certified Devices List] に記録されます。これは、ユーザ同意ページ(Web ログイン ユーザの場合)またはネットワーク ポリシー ページ(Agent ユーザの場合)を受け入れた認証ユーザの識別に役立ちます(そのロールにこれらのページが設定されている場合)。これらのページの詳細については、 表 1-2 「Web ログイン:[General Setup] の設定オプション」 および 表 1-3 「Web ログイン ユーザ ページの概要」 を参照してください。

証明済みデバイスは、以下の事象が発生するまで、[Certified Devices List] に表示されます。

このリストが証明済みデバイス タイマーによって自動的に消去された場合

管理者がリスト全体を手動で消去した場合

管理者がリストからそのクライアントを手動で削除した場合

ユーザがログアウトするか、またはネットワークから削除され、[General Setup] > [Web Login] ページで [Require users to be certified at every web login] オプションがロールに対して選択された場合

自動的に [Certified Device List] に追加されたデバイスは、手動で消去することも、間隔を指定して自動的に消去することも可能です。管理者は免除デバイスを手動でリストに追加するため、削除も手動で行う必要があります。したがって、グローバルの [Certified Devices Timer] フォームを使用して一定間隔で定期的にリストを消去しても、[Certified Devices List] 上の免除デバイスは自動的に削除されません。

[Certified Devices List] からデバイスを消去すると(手動でも自動でも)、次のアクションが実行されます。

IB ユーザは、[IB Online Users] リストから削除され、ネットワークからログオフされます。

OOB ユーザは、[OOB Online Users] リストから削除され、ポートをバウンスされます
(OOB VGW でポート バウンスがディセーブルになっていない場合は、詳細について「ポート プロファイルの追加」を参照してください)。

次回のログイン時にクライアント デバイスに対して再度 Clean Access 条件を強制します。

[Certified Devices List] から削除されたクライアントは、ネットワーク スキャンに合格し、再度エージェントの条件を満たさないと、ネットワークへの再アクセスが許可されません。ユーザ セッション期間中だけ証明済みとなるフローティング デバイスを追加することもできます。また、[Certified Devices List] にネットワーク スキャン デバイスを手動で追加して、Nessus スキャンの対象外にすることもできます。

証明済みデバイス タイマーを使用している場合、タイマーの [Keep Online Users] オプションをイネーブル/ディセーブルにすることにより、リストがクリアされる際にユーザを削除するかどうかを設定できます。詳細については、「証明済みデバイス タイマーの設定」を参照してください。

[Monitoring] > [Online Users] > [View Online Users] で IB ユーザまたは OOB ユーザをネットワークからログオフさせても、そのクライアントは [Certified Devices List] からは削除されません。したがって、このようなユーザのクライアント デバイスは、ネットワーク スキャンを強制されずに再度ログインできます。Agent ユーザの場合は、デバイスがすでに [Certified Devices List] に含まれていても、ログインのたびにこのデバイスに対する Agent 要件が検査されます。


) [Certified Devices List] には、既知の L2 MAC アドレスに基づいて認証および証明されたユーザが表示されるため、IP アドレスだけで追跡されるリモートの VPN/マルチホップ L3 ユーザに関する情報は、[Certified Devices List] には表示されません。認証済みの VPN/マルチホップ L3 ユーザを調べる場合は、[IB Online Users] リストを表示してください。これらのユーザの [User MAC] フィールドには、「00:00:00:00:00:00」が表示されます。


アクティブなユーザ セッションの終了に関する詳細については、「アクティブ ユーザの意味」および「OOB ユーザ」を参照してください。

証明済みデバイスが、ある CAS から別の CAS に移動した場合、そのデバイスがすべての Clean Access Server に対してグローバル レベルで免除デバイスとして手動でリストに追加されていなければ、新しい CAS で再度 Nessus スキャンを受ける必要があります。したがって、ある CAS のポスチャ評価条件を別の CAS より厳しくするといったことも可能です。

デバイスの証明とリストへの追加は Clean Access Server 別にしか実行できませんが、削除する場合は、すべての Clean Access Server からグローバルに証明済みデバイスを削除することも、特定の CAS だけからローカルに削除することも可能です(詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください)。詳細については、「OOB ユーザ」も参照してください。

免除デバイスの追加

デバイスを「 免除 」デバイスとして指定すると、そのデバイスはネットワーク スキャン(Nessus スキャン)から除外され、クライアントに対するネットワーク スキャン レポートも作成されません。デバイスを手動で免除するには、そのデバイスを [Certified Devices List] に追加します。この MAC アドレスがリスト上に存在している間はネットワーク スキャンの回避が許可されます。


) デバイスを免除デバイスとして追加しても、クライアント マシンの Agent ポスチャ評価は免除されません。



) ユーザまたはデバイスに対する認証を回避できるようにする手順については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。


免除デバイスの追加手順


ステップ 1 [Device Management] > [Clean Access] > [Certified Devices] > [Add Exempt Device] の順番に進みます。

図 11-9 免除デバイスの追加

.

ステップ 2 [Exempt Device MAC Address] フィールドに、MAC アドレスを入力します。一度に複数のアドレスを追加する場合は、アドレスの区切りに改行を使用してください。

ステップ 3 [Add Exempt] をクリックします。

ステップ 4 [Certified Devices] リスト ページが表示され、免除デバイスが強調表示されます(図 11-10)。


) このフォームで追加された免除デバイスは、すべての CAS で免除扱いとなります。特定の Clean Access Server だけに対する免除デバイスの指定については、『Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1)』を参照してください。


図 11-10 Clean Access の [Certified Devices List]

 


 

証明済みデバイスまたは免除デバイスの手動消去

デバイスの MAC アドレスを消去する場合は、[Device Management] > [Clean Access] > [Certified Devices] > [Certified Devices List] の順番に進み、以下をクリックします。

[Clear Exempt]:[Add Exempt] ボタンを使用して手動で追加された MAC アドレスだけを削除する場合

[Clear Certified]:Clean Access Server によって自動的に追加された MAC アドレスだけを削除する場合

[Clear All]:免除デバイスと証明済みデバイスの両方の MAC アドレスを削除する場合

アドレスを個別に削除する場合は、その MAC アドレスの横にある [Delete] をクリックします。

証明済みデバイスのレポートの表示

[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] から、証明済みデバイスに対する前回の Agent スキャンの結果を表示できます。[View] ボタンをクリックすると、個々のクライアントがどのような要件、規則、チェックに合格または不合格になったのかを調べることができます。詳細については、「スキャン レポートの表示」を参照してください。

[Device Management] > [Clean Access] > [Network Scanner] > [Reports] から、証明済みデバイスに対する前回のネットワーク スキャンの結果をいつでも表示できます。個別のスキャン レポートを表示する場合は、[Report] アイコンをクリックします。詳細については、「スキャン レポートの表示」を参照してください。

アウトオブバンドの証明済みデバイスに関するスイッチ/WLC 情報の表示

アウトオブバンド ユーザの場合にかぎり、[Certified Devices List](図 11-10)の [Location] カラムには、アウトオブバンド スイッチの IP アドレスおよび特定ポート、または (ワイヤレス LAN コントローラの場合は)特定のアウトオブバンド WLC の IP アドレスおよび SSID が読み込まれます。

OOB クライアントの詳細については、以下を参照してください。

第 3 章「スイッチ管理:アウトオブバンド配置の設定」 および「OOB ユーザ」

第 4 章「Wireless LAN コントローラの管理:ワイヤレス アウトオブバンド配置の設定」

証明済みデバイス タイマーの設定

自動的に [Certified Device List] を消去するように証明済みデバイスの タイマー を設定することができます。タイマーが適用されるたびに [Certified Devices List] 全体を削除することが不要になります。管理者は次のことが可能になります。

Clean Access Server、ユーザ ロール、認証プロバイダーごとに、またはこれら 3 つすべてを組み合わせて、[Certified Devices List] を消去することができます。

[Keep Online Users] オプションを使用して、ユーザをネットワークから削除することなく証明済みのデバイスを削除することができます。[Keep Online Users] オプションが選択されている場合、リストの削除時にユーザ セッションを即座に終了せず、ユーザ ログアウト時(または OOB のリンクダウン時)に終了します。ユーザ認証とデバイスの修復後にデバイスをリストに再入力することができます。

(ピーク時のユーザの再ログインおよび証明書を管理するために)[Certified Devices List] を一度に削除するか、またはバッチ処理で削除します。リストに掲載されている期間の長さや決められたバッチ間隔に応じてデバイスを削除することができます。これにより、数多くのデバイスを削除する際の CAM データベース管理が容易になります。

複数の独立したタイマーを設定します。管理者は、(スケジュール化されたジョブ/タスクのように)証明済みデバイス タイマーの複数インスタンスを作成し、保存できます。各タイマーは互いに独立しており、個別に更新することができます。たとえば、6 つの CAS ペアを管理する場合、管理者は各 HA-CAS ペアに対して別々のタイマーを作成できます。

 


) [Certified Devices Timer] フォームは、Clean Access によって [Certified Devices List] に追加されたデバイスだけを消去する自動プロセスです。手動で [Certified Devices List] に追加された免除デバイスは消去されません。[Keep Online Users] オプションが無効に設定されている場合、[Certified Devices List] を消去するとすべてのオンライン ユーザ セッションが中断されます。


新規証明済みデバイス タイマーを作成するには、次の手順を実行します。

1. [Device Management] > [Clean Access] > [Certified Devices] > [Timer] の順番に進みます。デフォルトで、[List] ページが表示されます。

図 11-11 証明済みデバイス タイマー:リスト

 

2. [New] サブリンクをクリックして、[New Timer] 設定フォームを起動します。

図 11-12 新規証明済みデバイス タイマー

 

3. [Timer Name] に、タイマーの名前を入力します。

4. (任意)タイマーの説明を [Description] フィールドに入力します。

5. [Enable this timer] のチェックボックスをオンにすると、設定してすぐにこのタイマーが適用されます。

6. ネットワークからユーザを削除せずに [Certified Devices List] からクライアント デバイスを削除する場合は、[Keep Online Users] チェックボックスをオンにします。

7. [Start Date and Time] に、タイマーの開始日付と時間を YYYY-MM-DD hh:mm:ss の形式で入力します。[Start Date and Timer] には、このタイマーで最初に [Certified Devices List] を消去する日付と時間を設定します。

8. [Recurrence] に、このタイマーの繰り返し間隔を日数単位で入力します。たとえば、[Recurrence] が 7 の場合、[Certified Devices List] は、初回の削除から 7 日後の [Start Time] の指定時間に消去されます。 0 を入力すると、[Certified Devices List] は 1 回だけ削除されます。

9. ドロップダウン メニューから任意の項目を選択して、以下の [Criteria] でこのタイマーを適用します。

a. [Clean Access Server]:このタイマーを [Any CCA Server](任意の CCA サーバ、デフォルト)に適用するか、IP アドレスで指定された CAS に適用します。

b. [User Role]:このタイマーを [Any User Role](任意のユーザ ロール、デフォルト)に適用するか、特定のシステム ユーザ ロールに適用します。

c. [Provider]:このタイマーを [Any Provider](任意のプロバイダー、デフォルト)に適用するか、特定のシステム [Auth Provider](ローカル DB またはその他)に適用します。

10. 指定した日数以上 [Certified Devices List] に存在しているデバイスだけを削除する場合は、[Minimum Age] に日数を入力します。 0 を入力すると、[Certified Devices List] に存在している期間に関係なく、すべてのデバイスが削除されます。

11. ([Criteria] によってソートされた)[Certified Devices List] からタイマーで一度にどの程度削除するか、その [Method](方法)を選択します。次のオプションがあります。

a. [Clear all matching certified devices](一致するすべての証明済みデバイスを削除)

b. [Clear the oldest [] matching certified devices only](古い方から [] 個の証明済みデバイスだけを削除) (たとえば、[10] の場合、ソート リストの中で古い方から 10 個の証明済みデバイスが削除されます)

c. [Clear the oldest [] certified devices every [] minutes until all matching certified devices are cleared](すべての一致する証明済みデバイスが削除されるまで、古い方から [] 個の証明済みデバイスを [] 分ごとに削除)

12. 設定が終了したら、[Update] をクリックします。これにより、証明済みデバイス タイマー リスト内にタイマーが保存されます。


) ユーザ セッションの終了に関するその他の事項については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」を参照してください。


フローティング デバイスの追加

フローティング デバイスの認証が有効なのは、1 回のユーザ セッションの間だけです。ユーザがログアウトすると、そのデバイスの次のユーザは再度認証を受けなければなりません。フローティング デバイスは、kiosk のコンピュータや図書館で貸し出される無線カードなどの共用機器を管理する場合に便利です。

セッション期間の証明だけでなく、デバイスが証明されないように設定することも可能です。これは、ネットワークの非信頼側からマルチユーザ トラフィックを導くダイヤルアップ ルータなど、マルチユーザ デバイスの管理に役立ちます。この場合、Clean Access Server はネットワーク トラフィックの送信元と宛先として、そのデバイスの MAC アドレスだけを認識します。このようなデバイスの証明を許可すると、最初のユーザの証明後、ほかのユーザも証明を免除されることになります。認証されないフローティング デバイスとしてルータの MAC アドレスを設定すれば、そのデバイスを通じてネットワークにアクセスする各ユーザは、脆弱性と要件に適合しているかどうかが個別に評価されます。

その場合、ユーザは IP アドレスで区別されるので、ユーザには異なる IP アドレスが必要です。ルータが Network Address Translation(NAT; ネットワーク アドレス変換)サービスを実行する場合、CAM はユーザを区別できず、最初のユーザだけが認証されます。

図 11-13 に、[Floating Devices] タブを示します。

図 11-13 [Floating Devices] タブ

 


) VPN コンセントレータまたはマルチホップ L3 配置の場合、管理者は、ルータ/VPN コンセントレータの MAC アドレスを [Floating Device] リストに追加しなければなりません(入力例:00:16:21:11:4D:67 1 vpn_concentrator)。『Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1)』の「Integrating with Cisco VPN Concentrators」を参照してください。


フローティング デバイスを設定する手順は、次のとおりです。

1. [Device Management] > [Clean Access] > [Certified Devices] > [Add Floating Device] の順番に進みます。

2. [Floating Device MAC Address] フィールドに、MAC アドレスを入力します。フォームのエントリを次のように入力します。

<MAC> <type> <description>
 

上記で

<MAC> は、そのデバイスの MAC アドレスです。

<type> は、次のいずれかです。

0 :セッション範囲での証明

1 :そのデバイスを証明済みとは見なさない場合

<description> は、そのデバイスの説明です(任意)。

各要素の区切りにはスペースを入力し、複数のエントリ間の区切りには改行を使用します。次の例を参考にしてください。

00:16:21:23:4D:67 0 LibCard1
00:16:34:21:4C:68 0 LibCard2
00:16:11:12:4A:71 1 Router1
 

3. [Add Device] をクリックして、設定値を保存します。

フローティング デバイスを削除する場合は、その MAC アドレスの [Delete] アイコンをクリックします。

[Online Users] リスト

[Monitoring] > [Online Users] > [View Online Users] タブでは、2 つの [Online Users] リストを表示できます。

In-Band Online Users

ネットワークにログインした、認証済みの IB ユーザを追跡します。ネットワーク上にアクティブ セッションを持つ IB ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールなどの特性別に表示されます。

[In-Band Online Users] リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフされます。

Out-of-Band Online Users

アクセス VLAN(信頼できるネットワーク)上で認証済みのすべての OOB ユーザを追跡します。OOB ユーザは、IP アドレス、MAC アドレス(使用可能な場合)、認証プロバイダー、ユーザ ロールだけでなく、スイッチ IP、ポート、およびアクセス VLAN を基準として表示することもできます。

[Out-of-Band Online Users] リストからユーザを削除すると、ポートの VLAN がアクセス VLAN から認証 VLAN に変更されます。さらに、ポートにバウンスするポート プロファイルを設定できます(Real-IP ゲートウェイ用)。詳細については、「OOB ユーザ」および「OOB ユーザ」を参照してください。

どちらの [Online Users] リストも、ユーザの IP アドレスに基づいています。次の点に注意してください。

レイヤ 2 配置の場合、[User MAC] アドレス フィールドは有効です。

レイヤ 3 配置の場合、[User MAC] アドレス フィールドは 無効 です(00:00:00:00:00:00 など)。

クライアント MAC アドレスに基づくのは、[Certified Devices List] だけであるため、レイヤ 3 配置のユーザに [Certified Devices List] は適用されません。

OOB 配置の場合、OOB ユーザは必ず最初に [In-Band Online Users] リストに表示され、その後 [Out-of-Band Online Users] リストに表示されます。管理対象スイッチの制御ポートからユーザ トラフィックが着信している場合、認証プロセス中はこのユーザは最初に [In-Band Online Users] リストに表示されます。その後ユーザが認証され、アクセス VLAN に移動すると、ユーザは [Out-of-Band Online Users] リストに移動されます。

最後に、[Display Settings] タブで、各 [Online Users] ページに表示するユーザ特性を選択できます。


) ユーザ デバイスが、VPN3000/ASA デバイスの背後から Cisco NAC アプライアンスに接続している場合、[Online Users] リスト上のユーザの特定には、CAS/CAM が使用できる最初の物理アダプタの MAC アドレスが使用されます。ユーザがネットワークに接続するために使用しているデバイスは、必ずしもアダプタであるとは限りません。有線(イーサネット カード)インターフェイスを使用してネットワークに接続している場合は、無線インターフェイスをディセーブルにする必要があります。


アクティブ ユーザの意味

Cisco NAC アプライアンス ネットワークにログインした場合、アクティブなユーザ セッションは、次のいずれかのイベントが発生するまで存続します。

ブラウザのログアウト ページまたは Agent ログアウトを通して、ユーザがネットワークからログアウトした場合

ネットワーク上のユーザは、コンピュータのシャットダウン/再起動後も、ログインし続けることができます。ユーザがネットワークからログアウトするには、Web ログアウト ページ、または Agent ログアウトを使用します。

Agent ユーザが Windows をログオフしたり、Windows マシンをシャットダウンした場合

ユーザが Windows ドメインからログオフした場合に、Clean Access システムからインバンド ユーザだけをログオフするように([Start] > [Shutdown] > [Log off current user])、またはマシンをシャットダウンするように([Start] > [Shutdown] > [Shutdown machine])、CAM および Agent を設定できます。

管理者がネットワークからユーザを手動で削除した場合

[Monitoring] > [Online Users] > [View Online Users] ページ(IB または OOB)を使用すると、[Certified Devices List] からクライアントを削除することなく、ネットワークからユーザを削除できます。

セッション タイマーを使用してセッションがタイムアウトした場合

セッション タイマーは、マルチホップ L3(IB)配置でも L2(IB または OOB)配置と同じ方法で機能します。設定は、[User Management] > [User Roles] > [Schedule] > [Session Timer] で行います。このタイマーはユーザ ロール単位で設定され、設定時間が経過すると、選択されたロール内のすべてのユーザをネットワークからログアウトします。詳細については、「セッション タイマーの設定(ユーザ ロール単位)」を参照してください。

CAS がハートビート タイマーを使用して、そのユーザが接続されていないと判断し、CAM がそのセッションを終了した場合

ハートビート タイマーは L2 IB 配置にだけ適用され、ロールに関係なくすべてのユーザに設定されます。このタイマーをすべての CAS にグローバルに設定するには、[User Management] > [User Roles> Schedule] > [Heartbeat Timer] フォームを使用します。特定の CAS に設定するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Heartbeat Timer] ローカル フォームを使用します。詳細については、「ハートビート タイマー(ユーザ非アクティブ タイムアウト)の設定」を参照してください。

ハートビート タイマーは L3 配置では機能せず、OOB ユーザには適用されません。ただし、CAS が Virtual Private Network(VPN; バーチャル プライベート ネットワーク)コンセントレータの背後にある最初のホップである場合は、ハートビート タイマーが機能します。この場合、VPN コンセントレータは、自身の現在のトンネル クライアントの IP アドレスに対する ARP クエリーに応答するからです。

Certified Device リストが消去され(自動または手動で)、そのユーザがネットワークから削除された場合

Certified Devices リストは L2(IB または OOB)配置にだけ適用され、グローバル Certified Devices タイマー フォーム([Device Management] > [Clean Access] > [Certified Devices] > [Timer])を使用して、自動的かつ定期的に削除されるようにスケジュールできます。Certified Devices リストから特定の Clean Access Server の認証済みデバイスを手動で削除するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filters] > [Clean Access] > [Certified Devices] ローカル フォームを使用します。すべての Clean Access Server の [Certified Devices List] を手動で削除するには、[Device Management] > [Clean Access] > [Certified Devices] グローバル フォームを使用します。詳細については、「証明済みデバイスの管理」を参照してください。

Certified Devices リストには、リモート VPN/L3 クライアントは表示されません(これらのセッションは MAC アドレスベースでなく IP ベースです)。

VPN コンセントレータに SSO および自動ログアウトが設定されていて、ユーザが VPN から切断された場合

自動ログアウトがイネーブルな場合に、ユーザが VPN クライアントから切断されると、そのユーザは [Online Users] リスト(IB)から自動的に削除されます。

マルチホップ L3 VPN コンセントレータ統合に SSO が設定されているときに、CAS 上のユーザのセッションがタイムアウトしたにもかかわらず、VPN コンセントレータに引き続きログインしている場合、そのユーザはユーザ名/パスワードを入力しなくても、CAS に再ログインできることに注意してください。


) CAS または別のサーバが DHCP に使用されているときに、ユーザの DHCP リース期間が切れた場合、そのユーザは [Online Users] リスト(インバンドまたはアウトオブバンド)にとどまります。リース期限が切れると、クライアント マシンはリースの更新を試みます。


詳細については、「ユーザ セッション タイムアウトおよびハートビート タイムアウトの設定」および「OOB ユーザ」も参照してください。

オンライン ユーザの表示

[View Online Users] タブには、[In-Band] と [Out-of-Band] の 2 つのオンライン ユーザ リストに対応した 2 つのリンクが表示されます。

デフォルトでは、[View Online User] ページには各ユーザのログイン ユーザ名、IP および MAC アドレス(使用可能な場合)、プロバイダー、およびロールが表示されます。OS バージョン、スイッチ ポート(アウトオブバンド ユーザの場合)など、表示するカラム情報を選択する方法については、「設定の表示」を参照してください。

グリーン のバックグラウンドのエントリは、Clean Access ネットワークにアクセス中のユーザ デバイスが、Quarantine ロールまたは Agent Temporary ロールいずれかの一時ロールであることを示しています。

ブルー のバックグラウンドのエントリは、Clean Access ネットワークにアクセス中のユーザ デバイスが制限付きネットワーク アクセス ロールであることを示しています。

[View Online Users] ページに表示されているにもかかわらず、Clean Access の [Certified Devices List] にないデバイスは、一般に、認証プロセス中のデバイスです。

IB ユーザ

[In-Band] リンクをクリックすると、IB ユーザの [View Online Users] ページが表示されます(図 11-14)。[In-Band Online Users] リストは、Clean Access ネットワークにログインしている IB ユーザを追跡します。

ユーザが Web ログインまたは Agent を介してネットワークにログインすると、CAM はこのリストにクライアント IP および MAC アドレス(使用可能な場合)を追加します。

[Online Users] リストからユーザを削除すると、そのユーザは IB ネットワークからログオフされます。

図 11-14 [View Online Users] ページ:インバンド

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User/User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


OOB ユーザ

[Out-of-Band] リンクをクリックすると、OOB ユーザの [View Online Users] ページが表示されます(図 11-15)。

[Out-of-Band Online Users] リストは、(信頼できるネットワーク上の)アクセス VLAN にある認証済みのすべての OOB ユーザを追跡します。クライアントがアクセス VLAN に切り替わると、CAM はユーザ IP アドレスを [Out-of-Band Online Users] リストに追加します。


アウトオブバンド オンライン ユーザの「User IP」は、認証 VLAN 上のユーザの IP アドレスです。定義により、CCA はユーザがいったんアクセス VLAN 上に配置されると、そのユーザを追跡しません。したがって、OOB ユーザは CCA ネットワーク内に存在する間、認証 VLAN IP アドレスによって追跡されます。


[Out-of-Band Online Users] リストからユーザが削除されると、通常は次のようになります。

1. CAM がスイッチ ポートをバウンスする(オフしてからオン)。

2. スイッチが CAM に SNMP トラップを再送信する。

3. CAM は、制御ポートに対応する設定済みポート プロファイルに基づいて、ポートの VLAN を変更します。


) [Certified Devices List] から OOB ユーザを削除すると、[Out-of-Band Online Users] リストからもそのユーザが削除され、ポートはアクセス VLAN から認証 VLAN に変更されます。



) ポート プロファイルの [Remove Out-of-Band online user without bouncing port] オプションをオンにすると、次の場合、OOB Virtual Gateway のスイッチ ポートはバウンスしません。

OOB Online Users リストからユーザが削除された場合

Certified Devices List からデバイスが削除された場合

代わりに、ポートに接続されたアクセス VLAN が認証 VLAN に変更されます(詳細については、「ポート プロファイルの追加」を参照してください)。


 

図 11-15 [View Online Users] ページ:アウトオブバンド

 


) AD SSO ユーザの場合は、[Online Users] ページと [Certified Devices] ページで、[Provider] フィールドに AD_SSO と表示され、[User/User Name] フィールドにはユーザ名とユーザのドメインの両方が示されます(たとえば、user1@domain.name.com)。


詳細については、 第 3 章「スイッチ管理:アウトオブバンド配置の設定」 を参照してください。

表 11-2 に、オンライン ユーザ ページからユーザを削除する場合の検索基準、情報/ナビゲーション要素、およびオプションを示します。カラム ヘッダーをクリックすると、そのカラムを基準としてページのエントリが並べ替えられます。

 

表 11-2 [View Online Users] ページの設定項目

項目
説明

[User Name]

ログインに使用するユーザ名が表示されます。

検索基準:

[CCA Server]

任意の Clean Access Server

<特定の CAS IP アドレス>

[Provider]

任意のプロバイダー

<特定の認証プロバイダー>

[Role]

任意のロール

Unauthenticated ロール

Temporary ロール

Quarantine ロール

<特定のロール>

[Location]

任意のスイッチまたはワイヤレス LAN コントローラ

<特定のスイッチ/WLC IP アドレス>

[Select Field]

[User Name]

[IP Address]

MAC アドレス

[Operator]

[equals]:検索テキスト値がこの演算子と完全一致する必要があります。
[starts with]:
[ends with]:
[contains]:

[Search Text]

選択された演算子を使用して検索するときの値を入力します。

制御:

[View]

検索基準を選択したら、[View] をクリックして、結果を表示します。CAS、プロバイダー、ユーザ ロール、ユーザ名、IP アドレス、MAC アドレス(使用可能な場合)、またはスイッチ(OOB のみ)別にユーザを表示できます。

[Reset View]

デフォルト ビューに戻します(検索基準は「Any」にリセットされます)。

[Kick Users]

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、該当する複数のページですべて終了します。ユーザへの View 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除することができます。図 11-14 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] をクリックした場合に終了するフィルタリング済みユーザの総数が表示されます。

[Reset Max Users]

最大ユーザ数を、[Active users] ステータス フィールドに表示されるユーザの実数にリセットします(図 11-14)。

[Kick User]

ページに表示されたユーザ数と同数のユーザを削除するには、各ユーザの横にあるチェックボックスをオンにして、[Kick User] ボタンをクリックします。

ナビゲーション:

[First/Previous/Next/Last]

これらのナビゲーション リンクを使用すると、オンライン ユーザ リストのページ間を移動することができます。各ページには最大で 25 のエントリが表示されます。

CAS、認証プロバイダー、またはロール別のユーザ表示

1. [View Online Users] ページで、特定の Clean Access Server を選択するか、先頭フィールドを [Any CCA Server] のまま残します。

2. 特定の認証プロバイダーを選択するか、[Any Provider] のまま残します。

3. 特定のユーザ ロールを選択するか、[Any Role] のまま残します。

4. [View] をクリックし、CAS、プロバイダー、ロール、またはこれらの任意の組み合わせを基準として、ユーザを表示します。

ユーザ名、IP、または MAC アドレスによる検索

1. [Search For:] の横にある [Select Field] ドロップダウン メニューで、[User Name]、[IP Address]、または [MAC Address] をクリックします。

2. [starts with]、[ends with]、[contains]、[exact match] 4 つの演算子のうち 1 つを選択します。

3. [Search For] テキスト フィールドに検索するテキストを入力します。 exact match 演算子を使用する場合は、入力した検索テキストに完全一致したエントリだけが返されます。

4. [View] をクリックして、結果を表示します。

ネットワークからのユーザのログオフ

[Kick Users] をクリックすると、検索基準を使用してフィルタリングされたユーザ セッションが、該当する複数のページですべて終了します。1 ページに表示される最大エントリ数は 25 であることに注意してください。ユーザの [View] 操作に使用された任意の検索基準に従って、ネットワークからユーザを選択的に削除できます。図 11-14 の「フィルタリング済みユーザ インジケータ」には、[Kick Users] ボタンをクリックした場合に終了するフィルタリング済みユーザ セッションの総数が表示されます。

1. [Monitoring] > [Online Users] > [View Online Users] に移動します。

2. ユーザ セッションを終了するには、次のいずれかを実行します。

[Kick Users] をクリックして、ネットワークからすべてのユーザ(検索基準に従ってフィルタリングされたユーザ)を削除します。

各ユーザの横にあるチェックボックスをオンにし、[Kick User] ボタンをクリックして、ユーザを個別に削除します。

オンライン ユーザ リスト(およびネットワーク)からユーザを削除しても、[Certified Devices List] から削除されないことに注意してください。ただし、[Certified Devices List] からユーザを削除すると、このユーザはネットワークからもログオフされます。詳細については、「証明済みデバイスまたは免除デバイスの手動消去」を参照してください。

設定の表示

図 11-16 に、IB ユーザの [Display Settings] ページを示します。

図 11-16 [Display Settings] ページ:インバンド

 


) [Role]:ログイン時にユーザに割り当てられるロールです。



 

図 11-17 に、OOB ユーザの [Display Settings] ページを示します。

図 11-17 [Display Settings] ページ:アウトオブバンド

 

[View Online Users] ページに表示される情報を選択する手順は、次のとおりです。


ステップ 1 [Display Settings] タブをクリックします。

ステップ 2 リストに表示する項目の横にあるチェックボックスをオンにします。

ステップ 3 [Update] をクリックします。

ステップ 4 [View Online Users] タブをクリックして、目的の設定が表示されることを確認します。


 

Agent のトラブルシューティング

ここでは、次の項目について説明します。

クライアントが接続およびログインできない

Agent がポップアップしない、ログインがディセーブル

クライアントが接続できない(トラフィック ポリシー関連の問題)

AV/AS 規則のトラブルシューティング

Cisco NAC Web Agent のステータス コード

Windows Script 5.6 の既知の問題

MS Update Scanning Tool の既知の問題(KB873333)


) Agent のロギングおよびデバッグ ロギングの詳細については、『Release Notes for Cisco NAC Appliance, Version 4.7(1)』の「Debug Logging for Cisco NAC Appliance Agents」のトラブルシューティングの項を参照してください。


クライアントが接続およびログインできない

次のログイン時のクライアント エラーは、CAM/CAS 証明書関連の問題(つまり、CAS が CAM の証明書を信頼しない、またはその逆)があることを示します。

Web ログインを試みているユーザが証明書を入力した後で、ログイン ページが表示されたままになり、リダイレクトされない

Agent ログインを試みているユーザに「Clean Access Server could not establish a secure connection to the Clean Access Manager at <IPaddress or domain> 」のエラーが表示される

これらの問題を解決するには、「証明書に関する問題のトラブルシューティング」を参照してください。

Agent がポップアップしない、ログインがディセーブル

L2 または L3 配置において、Agent の Popup Login Window をイネーブルにしてあると Agent がクライアントでポップアップし、Agent が Clean Access Server の背後にあることを検出します。Agent がポップアップしない場合は、CAS に到達できないことを示します。

L2 配置のトラブルシューティング:

1. クライアント マシンが正しい IP アドレスを取得できるようにします。コマンド ツール([Start] > [Run] > [cmd])を開き、 ipfconfig または ipconfig /all を入力して、クライアント IP アドレス情報をチェックします。

2. 必要な場合は、 ipconfig /release を入力してから、 ipconfig /renew を入力して、クライアントの DHCP リース時間をリセットします。

L3 配置のトラブルシューティング:

1. [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation | Discovery Host] で、Discovery Host フィールドに CAM の IP アドレスが設定されているかどうかをチェックします。このフィールドは、信頼できる側の装置のアドレスである必要があり、CAS のアドレスにすることはできません。

2. クライアント マシンから Agent をアンインストールします。

3. [Discovery Host] フィールドを CAM の IP アドレスに変更し、[Update] をクリックします。

4. CAS をリブートします。

5. クライントに Agent を再ダウンロードし、再インストールします。


) Agent の [Login] オプションは、次の場合にディセーブルになります(グレー表示)。

OOB 配置において、Agent ユーザが CAS 経由ですでにログインしていて、クライアント ポートがアクセス VLAN 上にある場合

マルチホップ L3 配置において、Single Sign-On(SSO)がイネーブル化されていて、ユーザが VPN コンセントレータを介してすでに認証されている場合(したがって、すでに Cisco NAC アプライアンスに自動的にログインしている場合)

MAC アドレスベースの認証がこのユーザのマシンに設定されており、ユーザ ログインが必要ない場合


 

クライアントが接続できない(トラフィック ポリシー関連の問題)

次のエラーは、DNS、プロキシまたはネットワーク トラフィック ポリシー関連の問題である場合があります。

ユーザは Agent 経由でログインできるが、ログイン後に Web ページおよびインターネットにアクセスできない。

URL に https://<CAS_IP_address> と入力しないと、Web ログイン ページにアクセスできない。

これらの問題をトラブルシューティングする手順は、次のとおりです。

CAS の [Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DNS] で、[DNS Servers] 設定を必要に応じて確認、変更します。

DHCP サーバとして CAS をイネーブルにしている場合は、[Device Management] > [CCA Servers] > [Manage <CAS_IP>] > [Network] > [DHCP] > [Subnet List] > [List | Edit] で、Subnet List の [DNS Servers] フィールドを必要に応じて確認、変更します。

ログイン後に復旧サイトに到達できない場合は、[User Management] > [User Roles] > [Traffic Control] > [Host] で、Temporary ロールのデフォルトのホスト ポリシー(Allowed Hosts)がイネーブルであることを確認します。

プロキシ サーバを使用している場合、プロキシ サーバへの HTTP トラフィックを許可しているトラフィックが Temporary ロールでイネーブルにされていることを確認します。ブラウザでプロキシが正しく設定されていることを確認します(IE で [Tools] > [Internet Options] > [Connections] > [LAN Settings | Proxy server] に進みます)。

詳細については、「ホストベースのポリシーに関するトラブルシューティング」を参照してください。

AV/AS 規則のトラブルシューティング

Agent の管理者レポートを表示するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] に進みます。クライアントから情報を表示するには、Agent タスクバー アイコンを右クリックし、[Properties] を選択します。

AV/AS 規則のトラブルシューティングを行う場合は、次の情報が必要です。

1. CAS、CAM、および Agent のバージョン

2. クライアント OS のバージョン(たとえば、Windows XP SP2)

3. AV/AS ベンダー製品の名前およびバージョン

4. 障害の内容:AV/AS インストール チェックであるか、または AV/AS 更新チェックであるか エラー メッセージの内容

5. 障害のあるクライアント マシンの AV/AS 定義日/バージョンの現在値

6. CAM で検索されている AV/AS 定義日/バージョンの対応する値 ([Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照)

Cisco NAC Web Agent のステータス コード

表 11-3 に、クライアント マシンに Cisco NAC Web Agent をインストールするために使用される ActiveX または Java アプレット ダウンローダが渡すステータス コードを示します。

 

表 11-3 ActiveX コントロールまたは Java ダウンローダ アプレットからの Java サーバ ページ ステータス コード

ActiveX/Java アプレットのステータス コード
値および説明

ACTIVEX_FAILURE

-1 「ActiveX コントロールを起動できない」

DL_FAILURE

-2 「Web Agent 実行ファイルをダウンロードできない」

EXE_FAILURE

-3 「Web Agent の実行中にエラー」

ACTIVEX_START

0

STATUS_DL_START

1

DL_IN_PROGRESS

2

EXE_IN_PROGRES

3

表 11-4 は、ポスチャ評価および修復において Cisco NAC Web Agent システムが Cisco NAC アプライアンス システムに戻すステータス コードを示します。

 

表 11-4 Cisco NAC Web Agent のステータス コード

Cisco NAC Web Agent のステータス コード

COMPLIANT/SUCCESS

32

NON_COMPLIANT

33

REJECTED_AUP

34

REMEDIATION TIMEOUT

35

GENERAL ERROR

36

TEMPORARY/RESTRICTED ACCESS

37

WEB AGENT ALREADY RUNNING

38

Windows Script 5.6 の既知の問題

Agent を適切に機能させるには、Windows Script 5.6 が必要です。Windows 2000 以前のほとんどの OS には、Windows Script 5.1 コンポーネントが付属しています。Windows Updates を実行すると、新しい 5.6 コンポーネントが自動的にインストールされます。Windows インストーラ コンポーネント 2.0 および 3.0 にも Windows Script 5.6 は必要です。ただし、Windows 2000 をインストールしただけで Windows Update を一度も実行していない PC マシンには、Windows Script 5.6 コンポーネントは存在しません。Microsoft はこのコンポーネントをマージ モジュール/再配布可能コンポーネントとして提供していないため、Cisco NAC アプライアンスはこのコンポーネントを再配布できません。

この場合、管理者は MSDN Web サイトにアクセスして、このコンポーネントを入手し、Windows Script 5.6 にアップグレードする必要があります。参考のために、MSDN からコンポーネントへのリンクを次に示します。

ファイル名: scripten.exe

URL: http://www.microsoft.com/downloads/details.aspx?familyid=C717D943-7E4B-4622-86EB-95A22B832CAA&displaylang=en

MSDN でこれらのリンクが変更された場合は、上記のファイル名を検索するか、「Windows Script 5.6」という語句を検索してみてください。

MS Update Scanning Tool の既知の問題(KB873333)

背景

KB873333 は、SP1 および SP2 に対応した Windows XP Professional および Windows XP Home Edition に必要な重要なアップデートです。これにより、リモート コードを実行できる OS の脆弱性が修正されます。ただし、このホットフィックスにはバグがあり、SP2 Edition(Home/Pro)では問題が発生します。SP2 に KB873333 が組み込まれている場合は、Double Byte Character Sets(DBCS)の表示問題が発生するため、このバグには別のフィックス(KB894391)が必要でした。ただし、KB894391 は DBCS 表示問題を解決するだけであり、KB873333 の代替手段ではありません。

ユーザ マシンに KB873333 が組み込まれていない場合は、KB894391 がインストールされず、アップデートにも表示されないことが望ましい状態です。しかし、KB873333 がインストールされているかどうかに関係なく、MS Update Scanning Tool ツールでは KB894391 が表示されます。また、アップデートを指示して KB894391 をインストールした場合、MS Update Scanning Tool では KB873333 がインストール済みであると表示されないため、脆弱性が解消されません。このようになるのは、表示されたアップデート リストからインストールするときに、ユーザが KB873333 をインストールしないで KB894391 だけを選択した場合、または KB873333 を先にインストールしないで、KB894391 を手動でインストールした場合です。この場合、次にアップデートを実行するときに、必要なアップデートとして KB873333 が表示されなくなります。KB873333 がインストールされておらず、マシンが脆弱なままであっても、KB894391 がインストールされていれば、MS Update Scanning Tool(MS Baseline Analyzer を含む)は KB873333 がインストールされていると想定するためです。

対処法

この脆弱性があるために、シスコでは Clean Access の規則セットから KB87333 のアップデート チェックを削除する予定はありません。ユーザは手動で KB873333 をダウンロードおよびインストールして、マシンを保護する必要があります。そのためには、次の 2 つの方法のいずれかで実行できます。

方法 1(シスコが推奨する方法)

次の手順に従って、CAM Web コンソールで、KB873333 を検索する新しいリンク要件を作成します。

1. KB873333 の有無を調べる規則を作成します。この規則を作成するには、Web コンソールの [Rules] セクションに移動し、[New Rule] をクリックします。規則に名前(「KB873333_Rule」など)を付け、このページに表示されたチェック リストから規則式に、KB873333 チェックの正確な名前をコピーアンドペーストします(使用可能なチェック リストが、新しい規則作成セクションの下に表示されます)。[Add Rule] をクリックして規則を保存します。

2. Microsoft 社の Web サイトから KB873333 の実行可能アップデートをダウンロードして、使用可能な Web サーバに配置します。

3. Cisco NAC アプライアンスのリンク要件を作成し、ステップ 2. の URL を入力します。

4. ステップ 1. で作成した規則を選択して、この要件の要件/規則を作成します。

5. 最後に [Role-Requirements] セクションに移動して、作成した要件に、この要件を適用するロールを対応付けます。


) [Requirements] ページで、KB873333 要件が Windows Hotfix 要件の上にあることを確認します。


方法 2

関連するマシンから KB894391 をアンインストールします。再起動してから、Windows Update ページを再表示します。Windows Update に両方のアップデートが表示されます。クライアント マシンに KB873333 および KB894391 をインストールします。この方法の場合は、管理者がユーザを教育するか、または各ユーザ マシンでこのタスクを手動で実行する必要があります。