Windowsサーバの設定
監視対象機器の条件
監視対象に登録するWindows Serverは、以下の条件を満たしている必要があります。
サービス
- 「Remote Registry」サービスが開始されている。※
- Serverサービスが開始されている。
※Windows Server 2012以降の場合、「Remote Registry」サービスはレジストリを編集して開始します。
Windows
- UAC(User Agent Control)が無効になっている(Windows Server 2008以降)※1。
- 監視コントロールパネルの「サーバ接続情報設定画面」で登録するユーザにAdministrator権限があり、パスワードが設定されている。
- ネットワークプロパティの「Microsoftネットワーク用ファイルとプリンタ共有」が有効になっている。
- パーソナルファイアウォールがOFF、または監視マネージャからの接続が除外されている。
- 管理共有が有効化されている(管理共有が有効になっていない場合は、レジストリエディターでの設定変更※1が必要)。
- (Windows Server 2012の場合)「Remote Registry」サービスがアイドル状態になってから10分経過しても、自動的に停止しないよう設定されている※1, ※2。
※ 1: レジストリやUACを変更した場合は、Windows Serverの再起動が必要です。
※ 2: 以下のレジストリを設定してください。
| キー | HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥RemoteRegistry |
|---|---|
| 名前 | DisableIdleStop |
| 種類 | REG_DWORD |
| データ | 1 |
【参考】
- WindowsのSNMP監視を行う場合、監視する項目によっては監視対象機器に拡張MIBの導入が必要です。
- ディスク監視を利用する場合は、パフォーマンスカウンタを有効にしてください。コマンドプロンプトから『diskperf-Y』を実行した後、Windows Serverの再起動が必要です。
推奨ローカルポリシー設定
Windows Serverのローカルポリシーの推奨設定です。
| ポリシー名 | 設定 |
|---|---|
| ネットワークアクセス:ローカル アカウントの共有とセキュリティモデル | クラシック |
| Microsoft ネットワーク サーバー:クライアントが同意すれば、通信にデジタル署名を行う | 有効 |
| Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う | 無効※1 |
| ドメイン コントローラ:LDAP サーバー署名必須 | なし |
| ドメインメンバ:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する | 有効 |
| ネットワーク セキュリティ : LAN Manager 認証レベル | NTLM応答のみ送信する |
| ユーザーアカウント制御:管理者承認モードですべての管理者を実行する | 無効 |
※ 1:ClariceWinModule、またはClariceAgentで監視をする場合は、「有効」「無効」のどちらを設定しても動作します。ただし、ClariceWinModule、ClariceAgentをインストールする際には「無効」に設定する必要があります。