Cisco Active Directory Agent インストレーション/ セットアップ ガイド、リリース 1.0
Active Directory Agent のインストールと設定
Active Directory Agent のインストールと設定
発行日;2012/05/31 | 英語版ドキュメント(2011/06/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Active Directory Agent のインストールと設定

要件

ハードウェア要件

接続要件

AD Agent マシンで設定する必要がある Windows Firewall 例外

個別の Active Directory ドメイン コントローラ マシンで設定する必要がある Windows Firewall 例外

オープン ポートのリスト

Active Directory の要件

Active Directory Agent のインストール

インストールされた Active Directory Agent の確認

Active Directory Agent のアンインストール

Active Directory Agent の設定

AD Agent での Syslog サーバへのログ送信の設定

AD Agent での AD ドメイン コントローラからの情報取得の設定

AD Agent でクライアント デバイスによる AD Agent からの情報取得を許可する設定

Active Directory Agent のインストールと設定

Active Directory Agent は、Windows インストーラとしてパッケージングされているソフトウェア アプリケーションです。Windows マシンにインストールし、クライアント デバイスおよび AD ドメイン コントローラを設定する必要があります。

この章は次のトピックで構成されています。

要件

Active Directory Agent のインストール

インストールされた Active Directory Agent の確認

Active Directory Agent のアンインストール

「Active Directory Agent の設定」

「AD Agent での Syslog サーバへのログ送信の設定」

「AD Agent での AD ドメイン コントローラからの情報取得の設定」

「AD Agent でクライアント デバイスによる AD Agent からの情報取得を許可する設定」


) ASA デバイスに関連する設定については、ASA エンドユーザ マニュアルを参照してください。


要件

ここでは、次の項目について説明します。

「ハードウェア要件」

「接続要件」

「オープン ポートのリスト」

「Active Directory の要件」

ハードウェア要件

Active Directory Agent をインストールするには、次のいずれかが必要です。

Windows 2003 マシン

Windows 2008 マシン

Windows 2008 R2 マシン


) Windows 2003 R2 はサポートされていません。



国際化はサポートされていません。


この AD Agent マシンは、モニタ対象の Active Directory ドメイン コントローラであるか、または個別の専用 Windows マシンです。

ソリューションで複数の AD Agent マシンをインストールする必要がある場合は、以下の点に注意してください。

ドメイン コントローラ マシンではない AD Agent マシンの数に制限はありません。

特定の AD ドメインでは 1 つのドメイン コントローラ マシンにのみ AD Agent を直接インストールできます。

いずれの場合でも、AD Agent マシンは 表 2-1 に示すハードウェアの最小仕様要件を満たしている必要があります。

 

表 2-1 AD Agent マシンの最小ハードウェア仕様要件

コンポーネント
仕様

CPU

Intel Xeon 2.66 GHz Q9400(クアッド コア)

システム メモリ

4 GB の SDRAM

ハード ディスクの空き容量

500 GB

接続要件

AD Agent が適切に機能するためには、この AD Agent で設定されているすべてのクライアントデバイス、Active Directory ドメイン コントローラ マシン、ターゲット Syslog サーバと自由に通信できる必要があります。Windows Firewall(またはその他の互換サードパーティ ファイアウォール ソフトウェア)が AD Agent マシンまたは Active Directory ドメイン コントローラ マシンで実行されている場合、各エンドポイントのファイアウォール ソフトウェアで、自由な通信のために必要な例外を設定する必要があります。

このセクションでは、Windows Firewall を例に、Windows Firewall を実行するすべてのエンドポイントで定義する必要がある例外について詳しく説明します。

「AD Agent マシンで設定する必要がある Windows Firewall 例外」

「個別の Active Directory ドメイン コントローラ マシンで設定する必要がある Windows Firewall 例外」

その他の互換サードパーティ ファイアウォール ソフトウェアについては、ベンダーのマニュアルで該当する例外の設定方法を参照してください。

AD Agent マシンで設定する必要がある Windows Firewall 例外

AD Agent マシンで Windows Firewall が有効に設定されている場合は、次の操作を実行する必要があります。

a. 次のプログラムについて Windows Firewall 例外を明示的に定義してください。

C:¥IBF¥adObserver¥ADObserver.exe

C:¥IBF¥radiusServer¥runtime¥win32¥bin.build¥rt_daemon.exe

AD Agent マシンで Windows Server 2008 または Windows Server 2008 R2 が実行されている場合は、以下の Windows コマンド ラインを使用してこれらの例外を定義します(それぞれのコマンドは 1 行に入力します)。

netsh advfirewall firewall add rule name="Cisco AD Agent (AD Observer)" dir=in action=allow program="C:¥IBF¥adObserver¥ADObserver.exe" enable=yes

netsh advfirewall firewall add rule name="Cisco AD Agent (RADIUS Server)" dir=in action=allow program="C:¥IBF¥radiusServer¥runtime¥win32¥bin.build¥rt_daemon.exe" enable=yes

AD Agent マシンで Windows Server 2003(SP1 以上インストール済)が実行されている場合、以下の Windows コマンド ラインを使用してこれらの例外を定義します(それぞれのコマンドは 1 行に入力します)。

netsh firewall add allowedprogram C:¥IBF¥adObserver¥ADObserver.exe "Cisco AD Agent (AD Observer)" ENABLE

netsh firewall add allowedprogram C:¥IBF¥radiusServer¥runtime¥win32¥bin.build¥rt_daemon.exe "Cisco AD Agent (RADIUS Server)" ENABLE


) 元の Windows Server 2003 では Windows Firewall はサポートされていません。Windows Server 2003 SP1 で Windows Firewall に対応しましたが、デフォルトでは Windows Firewall は無効に設定されています。Windows Server 2003 SP2 では Windows Firewall はデフォルトで有効に設定されています。


1. adacfg dc create コマンドを使用して AD Agent マシンとは別の Active Directory ドメイン コントローラ マシンを設定する場合は、AD Agent マシンで、必要な WMI 関連通信を許可する Windows Firewall 例外も定義する必要があります。


) AD Agent マシンと、このマシンとは別のドメイン コントローラ マシンで Windows Firewall が有効に設定されており、AD Agent が AD ドメイン コントローラ マシンと通信する必要がある場合は常に、各マシンで WMI の例外を設定する必要があります。いずれかのマシンで Windows Firewall が実行されていない場合、そのマシンでは WMI 例外は必要ありません。AD ドメイン コントローラが 1 つであり、AD Agent がこのドメイン コントローラと同じマシンで実行されている場合も、WMI 例外は不要です。


AD Agent マシンで Windows Server 2008 または Windows Server 2008 R2 が実行されている場合は、以下の Windows コマンド ラインを使用してこの WMI 関連の例外を定義します(それぞれのコマンドは 1 行に入力します)。

netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes

AD Agent マシンで Windows Server 2003(SP1 以上インストール済)が実行されている場合は、以下の Windows コマンド ラインを使用してこの WMI 関連の例外を定義します(それぞれのコマンドは 1 行に入力します)。

netsh firewall add portopening protocol=tcp port=135 name="Cisco AD Agent (WMI_DCOM_TCP135)"

netsh firewall add allowedprogram program=%windir%¥system32¥wbem¥unsecapp.exe name="Cisco AD Agent (WMI_UNSECAPP)"

個別の Active Directory ドメイン コントローラ マシンで設定する必要がある Windows Firewall 例外

AD Agent マシンで adacfg client create コマンドを使用して設定した個別の Active Directory ドメイン コントローラ マシンで、Windows Firewall が有効な場合は、そのドメイン コントローラ マシンで必要な WMI 関連の通信を許可する Windows Firewall 例外を定義する必要があります。

このドメイン コントローラ マシンで Windows Server 2008 または Windows Server 2008 R2 が実行されている場合は、以下の Windows コマンド ラインを使用してこの WMI 関連の例外を設定できます(コマンドは 1 行に入力します)。

netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes

 

このドメイン コントローラ マシンで Windows Server 2003(SP1 以降インストール済)が実行されている場合は、以下の Windows コマンド ラインを使用してこの WMI 関連の例外を設定できます(コマンドは 1 行に入力します)。

netsh firewall set service RemoteAdmin enable

オープン ポートのリスト

表 2-2 に、AD Agent がクライアント デバイスおよび Active Directory ドメイン コントローラとの通信に使用する伝送制御プロトコル(TCP)ポートとユーザ データグラム プロトコル(UDP)ポートの一部を示します。AD Agent ではこれらのポートがオープンでなければなりません。


) このリストには、WMI により使用される動的割り振り(ランダム)ポート番号は含まれていません。


 

表 2-2 AD Agent のオープン ポートのリスト

ポート番号
プロトコル
サービス

8888
(ローカル ホスト)

TCP

設定変更

514

UDP

Syslog

すべてのインターフェイスで 1645

UDP

レガシー RADIUS

すべてのインターフェイスで 1646

UDP

レガシー RADIUS Accounting

すべてのインターフェイスで 1812

UDP

RADIUS

すべてのインターフェイスで 1813

UDP

RADIUS Accounting

設定変更および RADIUS 用のポート番号はハードコーディングされており変更できません。AD Agent マシンでこれらのポート番号を使用する他のソフトウェア アプリケーションを実行しないでください。たとえば、AD Agent マシンで別の RADIUS サーバが実行されていてはなりません。

Active Directory の要件

AD Agent がドメイン コントローラと通信するためには、以下の前提条件を満たしている必要があります。

ユーザがログイン中に認証を実行し、セキュリティ ログが AD Agent によりモニタされる個々の各 AD ドメイン コントローラでは、次のサポートされている Windows Server バージョンのいずれかが実行されている必要があります。

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2


) Windows Server 2003 R2 はサポートされていません。



) 国際化はサポートされていません。


また、Windows Server 2008 または Windows Server 2008 R2 が実行されている各ドメイン コントローラ マシンでは、該当する Microsoft ホットフィックスがインストールされている必要があります。AD Agent がドメイン コントローラ マシンに直接インストールされているか、またはドメイン コントローラ マシンをリモート操作でモニタしているかどうかに関係なく、ホットフィックスをインストールする必要があります。

Windows Server 2008 が実行されているドメイン コントローラには、以下の 2 つの Microsoft ホットフィックスをインストールする必要があります。

a. http://support.microsoft.com/kb/958124

このパッチは、Microsoft の WMI でのメモリ リークを修正します。このメモリ リークを修正しないと、AD Agent がドメイン コントローラに接続して「アップ」ステータスになることができません。

b. http://support.microsoft.com/kb/973995

このパッチは、Microsoft の WMI でのメモリ リークを修正します。このメモリ リークを修正しないと、Active Directory が必要な認証関連イベントをドメイン コントローラのセキュリティ ログに書き込めない状況が散発的に発生します。この場合、AD Agent はそのドメイン コントローラを介して認証されるユーザ ログインの一部に対応するマッピングを学習できません。

Windows Server 2008 R2 が実行されているドメイン コントローラ マシンでは、以下の Microsoft ホットフィックスをインストールする必要があります(SP1 がインストールされていない場合)。

http://support.microsoft.com/kb/981314

このパッチは、Microsoft の WMI でのメモリ リークを修正します。このメモリ リークを修正しないと、Active Directory が必要な認証関連イベントをドメイン コントローラのセキュリティ ログに書き込めない状況が散発的に発生します。この場合、AD Agent はそのドメイン コントローラを介して認証されるユーザ ログインの一部に対応するマッピングを学習できません。

同様に、ユーザがログイン中に認証を実行し、セキュリティ ログが AD Agent によりモニタされる個別の AD ドメイン コントローラでは、「監査ポリシー」([Group Policy Management] の設定の一部)で正常なログオンによってその AD ドメイン コントローラ マシンの Windows セキュリティ ログに必要なイベントが生成されるように設定されている必要があります。「AD Agent での AD ドメイン コントローラからの情報取得の設定」を参照してください。

adacfg dc create コマンドを使用して単一ドメイン コントローラ マシンを設定する前にも、(AD Agent マシンで設定するドメイン コントローラ マシンを介した)ユーザ認証をモニタするすべてのドメイン(例: ドメイン D[i] )との間に信頼関係が設定されているドメイン(例: ドメイン J )に、AD Agent が最初に参加していることを確認してください。

Active Directory ドメインの構造に応じて可能なシナリオを以下に示します。

1. シングル フォレスト、シングル ドメイン:すべてのドメイン コントローラ マシンに対するドメインが 1 つのみ( D[i] )であり、これはドメイン J と同一です。AD Agent マシンは最初にこのシングル ドメインに参加する必要があります。その他のドメインは使用されないため、その他のドメインとの間に信頼関係を設定する必要はありません。

2. シングル フォレスト、マルチ ドメイン:シングル フォレスト内のすべてのドメイン間で、すでに固有の双方向の信頼関係が設定されています。したがって、AD Agent は最初にこのフォレスト内の 1 つのドメイン J に参加します。このドメイン J は、ドメイン コントローラ マシンに対応するドメイン D[i] のいずれとも同一である必要はありません。ドメイン J と各 D[i] ドメインとの間には固有の信頼関係が設定されているため、信頼関係を明示的に設定する必要はありません。

3. マルチ フォレスト、マルチ ドメイン:ドメイン J が属するフォレストが、ドメイン コントローラ マシンに対応する D[i] の 1 つ以上のドメインが属するフォレストとは異なることがあります。この場合、各 D[i] ドメインとドメイン J の間に、次のいずれかまたは両方の方法で有効な信頼関係が設定されていることを明示的に確認する必要があります。

a. 2 つのドメイン( D[i] J )の間には双方向の外部信頼関係を設定できます。

b. ドメイン D[i] に対応するフォレストとドメイン J に対応するフォレストの間に、双方向のフォレスト信頼関係を設定できます。

信頼関係を設定するには、[Start] > [All Programs] > [Administrative Tools] > [Active Directory Domains and Trusts] を選択します。


) この要件に対応せず、特定の DC マシンに関連付けられているドメインとの間に必要な信頼関係が設定されているドメインに AD Agent マシンが参加していない場合、adacfg dc create コマンドを使用してその DC マシンを設定する操作を実行すると、正常に完了したように見えます。しかし、その DC マシンでは非常に高い CPU 負荷などのさまざまな問題が発生し始めることがあります。


Active Directory Agent のインストール

Active Directory Agent をインストールするには、次の手順を実行します。


ステップ 1 Active Directory Agent をインストールする Windows マシンに、Active Directory Agent インストーラ実行ファイルをコピーします。

ステップ 2 AD_Agent-v1.0.0.32-build-539.Installer.exe ファイルを実行します。

[Cisco AD Agent Setup] ダイアログボックスが表示されます。

ステップ 3 [Yes] をクリックし、インストールを続行します。

インストーラにより AD Agent が Windows マシンの C:¥IBF¥ ディレクトリにインストールされます。インストール処理の進行状況を確認できます。インストールが正常に完了すると、[Completed] メッセージが表示されます。

ステップ 4 [Close] をクリックして、インストーラを終了します。


 

インストールされた Active Directory Agent の確認

インストール後に Active Directory Agent が実行されているかどうかを確認するには、次の手順を実行します。


ステップ 1 Windows Command Line Prompt に移動します([Start] > [All Programs] > [Accessories] > [Command Prompt])。

ステップ 2 cd C:¥IBF¥CLI と入力します。

ステップ 3 adactrl.exe show running と入力します。

次のような出力が表示されます。

running C:¥¥IBF¥¥watchdog¥¥radiusServer.bat since 2010-12-27 T15:32:31
running C:¥¥IBF¥¥watchdog¥¥adObserver.bat since 2010-12-27 T15:32:38
 

この出力には、AD Agent 内部プロセスがこのマシンで実行開始した日時に関する情報が示されます。


 

Active Directory Agent のアンインストール

Active Directory Agent をアンインストールするには、次の手順を実行します。


ステップ 1 C:¥IBF¥ フォルダに移動します。

デフォルトでは、Active Directory Agent は Windows マシンの C:¥IBF¥ ディレクトリにインストールされています。

ステップ 2 AD_Agent.Uninstaller.exe ファイルを実行します。

AD Agent がアンインストールされます。


 

Active Directory Agent の設定

AD Agent のインストール後に、Windows Firewall などのファイアウォールが AD Agent マシンで実行されている場合には AD Agent マシンで必要な例外が設定されていることを最初に確認してください(「AD Agent マシンで設定する必要がある Windows Firewall 例外」を参照)。その後、AD Agent で以下を設定する必要があります。

ユーザがログイン中に認証を実行する個別の Active Directory ドメイン コントローラ。このドメイン コントローラから新しいマッピングを学習するため、このコントローラのセキュリティ ログが AD Agent によりモニタされます。


) また、導入するバックアップ ドメイン コントローラをすべて含める必要があります。


AD Agent マシンから IP-to-user-identity マッピングを取得するように設定されているクライアントデバイス(ASA デバイスなど)。

Syslog サーバにログを送信するように AD Agent を設定することもできます。


) AD ドメイン コントローラとクライアント デバイスの設定前にまず AD Agent で Syslog サーバを設定すると、トラブルシューティング情報が localStore に加え Syslog サーバでも使用できるようになります。このトラブルシューティング情報を Syslog サーバで保持しておくと、セットアップ中に問題が発生した場合に役立ちます。


AD Agent のインストール後、adacfg コマンドを実行する前に、AD Agent が適切に初期化されるまでしばらく(約 30 秒)お待ちください。

AD Agent が実行されていないときにいずれかの adacfg コマンドを実行すると、次のメッセージが表示されます。

Error: HTTP request sending failed with error “Couldn’t connect to server”! For further syntax information, use adacfg help.
 

AD Agent が完全に初期化される前にいずれかの adacfg コマンドを実行すると、次のメッセージが表示されます。

Caught exception: Module PipConfigurator not initialized!
 

ここでは、次の項目について説明します。

「AD Agent での Syslog サーバへのログ送信の設定」

「AD Agent での AD ドメイン コントローラからの情報取得の設定」

「AD Agent でクライアント デバイスによる AD Agent からの情報取得を許可する設定」


) このセクションでは、AD Agent で行う必要がある設定についてのみ説明します。ソリューションが適切に機能するためには、クライアント デバイスで AD Agent と AD ドメイン コントローラを設定する必要もあります。詳細については、ASA のエンドユーザ マニュアルを参照してください。


AD Agent での Syslog サーバへのログ送信の設定

管理上の目的と、トラブルシューティング情報の入手のために、Syslog サーバへログを送信するように AD Agent を設定できます。

Syslog サーバへログを送信するように AD Agent を設定するには、次の手順を実行します。


ステップ 1 AD Agent Windows マシンにログインします。

ステップ 2 コマンド ライン プロンプトで cd C:¥IBF¥CLI と入力します。

ステップ 3 次のコマンドを入力します。

adacfg syslog create -name < syslog-target-nickname > -ip < IP-address > [ -facility < syslog-facility >]

説明:

syslog-target-nickname は、Syslog サーバに割り当てるフレンドリ名です。

IP-address は Syslog サーバの IP アドレスです。

syslog-facility の値は LOCAL0 ~ LOCAL7 です。デフォルトは LOCAL6 です。

次のメッセージが表示されます。

Reply: Command completed successfully.


 

AD Agent での AD ドメイン コントローラからの情報取得の設定

ユーザがログイン中に認証を実行する個別 Active Directory ドメイン コントローラは AD Agent 上で個別に設定する必要があります。これにより、AD Agent はその特定のドメイン コントローラのセキュリティ ログをモニタし、そのドメイン コントローラから新しい IP-to-user-identity マッピングを学習できます。


) 導入するバックアップ ドメイン コントローラ マシンをすべて含める必要があります。


特定の AD ドメイン コントローラ マシンから情報を取得するように AD Agent を設定するには、次の手順を実行します。


ステップ 1 AD ドメイン コントローラ マシンで実行されている Windows Server オペレーティング システムのバージョンが、サポートされているバージョンであることを確認します。(「Active Directory の要件」を参照)。

ステップ 2 AD ドメイン コントローラ マシンで Windows Server 2008 または Windows Server 2008 R2 が実行されている場合は、該当する Microsoft ホットフィックスがマシンにインストールされていることを確認します(「Active Directory の要件」を参照)。指定されているホットフィックスが適用されていない Windows Server 2008 または 2008 R2 が実行されている AD ドメイン コントローラを使用してはなりません。

ステップ 3 Windows Firewall などのファイアウォール ソフトウェアが AD ドメイン コントローラ マシンで有効になっている場合は、AD ドメイン コントローラ マシンで必要なファイアウォール例外が定義されていることを確認します(「個別の Active Directory ドメイン コントローラ マシンで設定する必要がある Windows Firewall 例外」を参照)。

ステップ 4 ドメイン コントローラ マシンに関連付けられているドメインに、AD Agent マシンが参加するドメインとの適切な信頼関係が設定されていることを確認します。

ステップ 5 「監査ポリシー」([Group Policy Management] の設定の一部)で、正常なログオンによってその AD ドメイン コントローラ マシンの Windows セキュリティ ログに必要なイベントが生成されるように設定されていることを確認します(通常これは Windows のデフォルト設定ですが、この設定が正しいことを明示的に確認する必要があります)。これを確認するには、[Start] > [Programs] > [Administrative Tools] > [Group Policy Management] を選択します。[Group Policy Management] の左側のナビゲーション ペインで次の操作を実行します。

a. [Domains] の下で該当するドメインに移動します。

b. ナビゲーション ツリーを展開します。

c. [Default Domain Policy] を右クリックします。

d. [Edit] メニュー項目を選択します。これにより [Group Policy Management Editor] が開きます。

e. [Group Policy Management Editor] の左側のナビゲーションペインで次の操作を実行します。

f. [Default Domain Policy] > [Computer Configuration] > [Policies] > [Windows Settings] > [Security Settings] を選択します。

Windows Server 2003 または Windows Server 2008(R2 以外)の場合は [Local Policies] > [Audit Policy] を選択します。2 つのポリシー項目([Audit Account Logon Events] [Audit Logon Events])で、対応する [Policy Setting] に [Success] 状態が直接的または間接的に含まれていることを確認します。[Success] 状況を間接的に含めるには、[Policy Setting] に [Not Defined] を設定します。この場合、上位ドメインから有効値が継承されるため、[Success] 状態を明示的に含めるようにその上位ドメインの [Policy Setting] を設定する必要があります。

Windows Server 2008 R2 の場合は [Advanced Audit Policy Configuration] > [Audit Policies] > [Account Logon] を選択します。2 つのポリシー項目([Audit Kerberos Authentication Service] [Audit Kerberos Service Ticket Operations])に対応する [Policy Setting] に、前述のように [Success] 状態が直接または間接的に含まれていることを確認します。

g. [Audit Policy] の項目設定が変更されている場合は、「 gpupdate /force 」を実行して新しい設定を強制的に有効にする必要があります。

ステップ 6 AD Agent Windows マシンにログインします。

ステップ 7 コマンド ライン プロンプトで cd C:¥IBF¥CLI と入力します。

ステップ 8 次のコマンドを入力します。

adacfg dc create -name < DC-nickname > -host < DC-hostname-or-FQDN > -domain < full-DNS-name-of-AD-domain > -user < username-member-of-Domain-Admins-group > -password < password-of-user >

説明:

DC-nickname は、ドメイン コントローラに割り当てるフレンドリ名です。

DC-hostname-or-FQDN は、AD Agent によりモニタされる AD ドメイン コントローラ マシンのホスト名または完全修飾ドメイン名です。

full-DNS-name-of-AD-domain は、AD ドメインの完全 DNS 名です。

username-member-of-Domain-Admins-group は、ドメイン コントローラ マシンのセキュリティ ログのモニタに使用される既存のアカウントのユーザ名です。

このアカウントにはドメイン コントローラ マシンのセキュリティ ログを読み取るために必要な権限が付与されている必要があります。「-domain」オプションに指定したドメインの AD グループ「Domain Admins」に属するアカウントを指定することで、容易かつ確実にこの操作を実行できます。

あるいは、以下のすべての要件に対応していれば、「Domain Admins」グループに属さないメンバーでも必要な権限を取得できます。

アカウントが AD グループ「Distributed COM Users」に属している。

アカウントに、ドメイン コントローラ マシンの WMI 名前空間(特に「CIMV2」名前空間)へのアクセス権限が付与されている。この権限を設定するには、「wmimgmt.msc」スナップインを使用するか、またはグループ ポリシーを使用します(すべてのドメイン コントローラ マシンに反映する場合)。詳しくは、 http://blogs.msdn.com/b/spatdsg/archive/2007/11/21/set-wmi-namespace-security-via-gpo-script.aspx を参照してください。

ドメイン コントローラ マシンのセキュリティ イベント ログを読み取る権限がアカウントに付与されている。この権限を設定するには、レジストリの CustomSD キーを使用するか、または Group Policy を使用します(すべてのドメイン コントローラ マシンに反映する場合)。詳しくは、 http://msdn.microsoft.com/en-us/library/aa363648%28v=vs.85%29.aspx を参照してください。

password-of-user は、指定したユーザ名に対応するパスワードです。

次のメッセージが表示されます。

Reply: Command completed successfully.
 

現在設定されている AD ドメイン コントローラ マシンとそのアップまたはダウン ステータスのリストを表示するには、 adacfg dc list コマンドを使用します。このコマンドを定期的に実行し、AD ドメイン コントローラ マシンのステータスを再確認できます。

特定の AD ドメイン コントローラを作成する adacfg dc create コマンドを実行した後で、その AD ドメイン コントローラのステータスが初期設定の「down」から「up」または「down(no-retry)」になるまでしばらく(約 1 分)お待ちください。

「up」状態は、その AD ドメイン コントローラへの接続が確立されたことを示します。場合によっては、特定の AD ドメイン コントローラ マシンが初めて「up」状態になった時点から、以前のマッピングがそのマシンから取得され、 adacfg cache list コマンドで表示できるようになるまで、さらに数分(またはこれよりも長い期間)待つ必要があります。

「down(no-retry)」状態は、(クレデンシャルが誤っていることなどが原因で)接続を確立できず、AD Agent が接続確立を再試行しないことを示します。

「down」状態は、現在 AD Agent はその AD ドメイン コントローラ マシンと接続していないが、接続確立を定期的に再試行することを示します。

また、 adacfg dc erase コマンドを使用して AD Agent から任意のドメイン コントローラ設定を削除することもできます。

これらのコマンドについて詳しくは、「adacfg dc list」「adacfg cache list」、および「adacfg dc erase」を参照してください。


 

AD Agent でクライアント デバイスによる AD Agent からの情報取得を許可する設定

AD Agent がクライアント デバイスからの要求(この AD Agent からのマッピング情報を受信する要求)に応答するように、AD Agent で各クライアント デバイス(ASA など)を設定する必要があります。


) 1 つの AD Agent では最大 100 のクライアント デバイス(ASA デバイスなど)がサポートされています。


特定のクライアント デバイスと通信するように AD Agent を設定するには、次の手順を実行します。


ステップ 1 AD Agent Windows マシンにログインします。

ステップ 2 コマンド ライン プロンプトで cd C:¥IBF¥CLI と入力します。

ステップ 3 次のコマンドを入力します。

adacfg client create -name <client-nickname> -ip <IP-address>[/<prefix-length-for-IP-range>] -secret <RADIUS-shared-secret>

説明:

client-nickname は、特定のクライアントデバイスに割り当てるフレンドリ名です。

IP-address/<prefix-length-for-IP-range> は、特定のクライアント デバイスの IP アドレスを指定します。オプションでサブネット範囲を定義できます。

RADIUS-shared-secret は、RADIUS プロトコルが通信に使用する共有秘密です。この secret は、そのクライアント デバイスで設定される鍵です。


) 正しい RADIUS-shared-secret を入力したことを確認してください。このようにしないと、そのクライアント デバイスからの要求が無視されます。


次のメッセージが表示されます。

Reply: Command completed successfully!
 

現在設定されているクライアントデバイスのリストを表示するには adacfg client list コマンドを使用し、AD Agent から任意のクライアント デバイス設定を削除するには adacfg client erase コマンドを使用します。これらのコマンドについて詳しくは、「adacfg client list」および「adacfg client erase」を参照してください。

ステップ 4 特定のクライアント デバイスに関する手順に従い、この AD Agent マシンを認識するようにクライアント デバイスを設定します。