Cisco Security Manager 4.0 インストレーション ガ イド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Security Manager 4.0 インストレーション ガ イド

Chapter Title

トラブルシューティング

検索結果

Updated:
2017年6月4日

章のタイトル: トラブルシューティング

トラブルシューティング

CiscoWorks Common Services は、Security Manager に、サーバ上でのインストール、アンインストール、および再インストール用のフレームワークを提供します。Security Manager サーバ ソフトウェアのインストールまたはアンインストールでエラーが発生した場合は、Common Services のオンライン ヘルプまたは Cisco.com( http://www.cisco.com/en/US/docs/net_mgmt/ciscoworks_lan_management_solution/3.1/install/guide/IGSG31.html )の「Troubleshooting and FAQs」を参照してください。

次のトピックは、スタンドアロン バージョンの Cisco Security Agent を含む、クライアント システムまたはサーバ上に Security Manager 関連ソフトウェア アプリケーションをインストール、アンインストール、または再インストールしたときに発生する可能性のある問題の解決に役立ちます。

「Cisco Security Manager サービスの起動要件」

「必要な TCP ポートと UDP ポートの包括的リスト」

「Security Manager サーバのトラブルシューティング」

「Security Manager クライアントのトラブルシューティング」

「同梱 Cisco Security Agent のトラブルシューティング」

「サーバ セルフテストの実行」

「サーバ トラブルシューティング情報の収集」

「サーバ プロセス ステータスの表示と変更」

「サーバ インストール ログ ファイルの確認」

Cisco Security Manager サービスの起動要件

Cisco Security Manager サービスは、特定の順序で起動しなければ、Security Manager が正しく機能しません。これらのサービスの初期化は、Cisco Security Manager Daemon Manager サービスによって制御されます。Cisco Security Manager サービスの起動タイプは変更しないでください。また、Cisco Security Manager サービスは手動で停止または開始しないでください。特定のサービスを再起動しなければならない場合は、Cisco Security Manager Daemon Manager を再起動して、すべての関連サービスが正しい順序で停止および開始することを保証する必要があります。

必要な TCP ポートと UDP ポートの包括的リスト

Cisco Security Management Suite アプリケーションは、クライアントや他のアプリケーションと通信する必要があります。その他のサーバ アプリケーションは別のコンピュータ上にインストールできます。通信を成功させるためには、特定の TCP ポートと UDP ポートを開いて、トラフィック送信に使用できるようにする必要があります。通常は、「必要なサービスとポート」に記載されているポートを開くだけで十分です。ただし、アプリケーションが通信不能なことを検出した場合は、次の表内のポートも開く必要もあります。リストはポート番号順に並んでいます。

 

表 A-1 必要なサービスとポート

サービス
対象または使用アプリケーション
ポート番号/
ポートの範囲
プロトコル
インバウンド
アウトバウンド

ping

RME

--

ICMP

--

X

FTP

Security Manager と TMS サーバ間の通信

21

TCP

--

X

SSH

Common Services

22

TCP

--

X

Security Manager

22

TCP

--

X

RME

22

TCP

--

X

Telnet

Security Manager

23

TCP

--

X

RME

23

TCP

--

X

SMTP

Common Services

25

TCP

--

X

TACACS+(ACS の場合)

Common Services

49

TCP

--

X

RME

TCP

--

X

TFTP

Common Services

69

UDP

X

X

HTTP

Common Services

80

TCP

--

X

Security Manager

TCP

--

X

SNMP(ポーリング)

Common Services

161

UDP

--

X

Performance Monitor

161

UDP

--

X

SNMP(トラップ)

Common Services

162

UDP

--

X

Performance Monitor

162

UDP

X

--

HTTPS(SSL)

Common Services

4431

TCP

X

--

Security Manager

TCP

X

X

AUS

TCP

X

--

Performance Monitor

TCP

X

--

Syslog2

Security Manager

514

UDP

X

--

Common Services(Security Manager がインストールされていない場合)

514 または 49514(この行の脚注を参照)

UDP

X

--

Performance Monitor(Security Manager がインストールされていない場合)

514

UDP

X

--

リモート コピー プロトコル

Common Services

514

TCP

X

X

HTTP

Common Services

1741

TCP

X

--

Security Manager

TCP

X

--

AUS

TCP

X

--

Performance Monitor

TCP

X

--

RADIUS

LDAP

Kerberos

Security Manager(外部 AAA サーバへ)

1645、1646、1812(新規)、389、636(SSL)、88

TCP

--

X

Access Control Server HTTP/HTTPS

Security Manager

2002

TCP

--

X

MySQL3

Security Manager

3306, 5501

MySQL

X

X

CiscoWorks ゲートキーパー用の HIPO ポート

Common Services

8088

TCP

X

X

Tomcat シャットダウン

Common Services

9007

TCP

X

--

Tomcat Ajp13 コネクタ

Common Services

9009

TCP

X

--

データベース

Security Manager

10033

TCP

X

--

License Server

Common Services

40401

TCP

X

--

Daemon Manager

Common Services

42340

TCP

X

X

Osagent

Common Services

42342

UDP

X

X

データベース

Common Services

43441

TCP

X

--

Sybase

Auto Update Server

43451

TCP

X

X

Performance Monitor

43453

TCP

X

X

DCR と OGS

Common Services

40050 ~ 40070

TCP

X

--

Event Services

Software Service

42350/
44350

UDP

X

X

Software Listening

42351/
44351

TCP

X

X

Software HTTP

42352/
44352

TCP

X

X

Software Routing

42353/
44353

TCP

X

X

転送メカニズム(CSTM)

Common Services

50000 ~ 50020

TCP

X

--

1.Cisco Security Monitoring, Analysis, and Response System(Cisco Security MARS)アプライアンスと情報を共有または交換するために、Security Manager はデフォルトでポート 443 上の HTTPS を使用します。この目的で別のポートを使用するかどうかを選択できます。

2.Security Manager のインストールまたはアップグレード中に、Common Services の syslog サービス ポートが 514 から 49514 に変更されます。Security Manager をアンインストールしても、このポートは 514 に戻りません。

3.MySQL サーバに必要な C:\my.cnf file を削除または移動しないでください。

Security Manager サーバのトラブルシューティング

この項では、次の疑問にお答えします。

「インストール中のサーバ障害」

「インストール後のサーバ障害」

「アンインストール中のサーバ障害」

インストール中のサーバ障害

Q. サーバ ソフトウェアのインストール時に表示されたこのインストール エラー メッセージはどういう意味ですか。

A. サーバ ソフトウェアのインストール エラー メッセージと説明を表 A-2 に示します。この表は先頭の文字のアルファベット順に並べられています。

 

表 A-2 インストール エラー メッセージ(サーバ)

メッセージ
メッセージの理由
ユーザ操作

License file failed. ERROR: The file with the name c:¥progra~1¥CSCOpx¥setup does not exist

先に Common Services 依存アプリケーションをアンインストールしようとして失敗しました。

1. サーバをシャットダウンしてから、再起動します。

2. レジストリ エディタを使用して次のエントリを削除します。
$HKEY_LOCAL_MACHINE¥SOFTWARE¥Cisco¥Resource Manager¥CurrentVersion .

3. Security Manager をインストールしたディレクトリで、 setup という名前のサブディレクトリを作成します。

4. CMFLOCK.TXT を削除します(存在する場合)。

5. Security Manager を再インストールします。
Corrupt License file. Please enter a valid License file.

ライセンス ファイルが破損しているか、ライセンス ファイルの内容が無効です。

「ライセンスに関する支援」を参照してください。
Corrupt License file entered for 5 tries. Install will proceed in EVAL mode. Press OK to proceed.

5 回連続で無効なライセンス ファイルへのパス名を入力した可能性があります。試行が 5 回失敗したら、インストールが評価モードに変わります。

[OK] をクリックして、ライセンス エラー ダイアログボックスを閉じて、ウィザードの次の画面に進みます。

One instance of CiscoWorks Installation is already running. If you are sure that no other instances are running, remove the file C:¥CMFLOCK.TXT. This installation will now abort.

先に Common Services 依存アプリケーションをインストールしようとして失敗した可能性があります。

C:¥CMFLOCK.TXT ファイルを削除してから、もう一度試してみてください。
Severe
 
Failed on call to FileInsertLine.

サーバがハード ドライブ スペースに関する要件を満たしていません。

「サーバ要件」(P.2-3) を参照してください。
Temporary directory used by installation has reached _istmp9x. If _istmp99 is reached, no more setups can be run on this computer, they fail with error -112.

サーバ上で、ソフトウェア インストール中に自動的に削除される予定の一時ファイルが残っています。

サーバ上の一時ディレクトリで名前に「_istmp」文字列が含まれるサブディレクトリを探します。このようなサブディレクトリをすべて削除します。
Windows cannot find 'C:¥Documents and Settings¥Administrator¥WINDOWS¥System32¥cmd.exe'. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

サポートされていないにもかかわらず、Terminal Services をインストール中にイネーブルにした可能性があります。 「インストール準備状況チェックリスト」(P.3-4) を参照してください。

1. Terminal Services をディセーブルにします。

この手順については、次の URL にある『 Installing and Getting Started With CiscoWorks LAN Management Solution 3.1』 の「Terminal Server Support for Windows 2000 and Windows 2003 Server」トピックを参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/ciscoworks_lan_management_solution/3.1/install/guide/IGSG31.html

2. Security Manager をもう一度インストールしてみてください。
Setup has detected that unInstallShield is in use. Close unInstallShield and restart setup. Error 432.

インストール中に Windows アカウント権限がチェックされます。CiscoWorks Common Services をインストールしている Windows アカウントがローカル管理者特権を持っていない場合は、InstallShield にこのエラー メッセージが表示されます。

1. %WINDIR% に書き込むための適切な権限が付与されていることを確認します。インストールまたはアンインストールは、ローカル管理者グループのメンバーが実施する必要があります。

2. [OK] をクリックしてエラー メッセージを閉じ、Windows からログアウトして、ローカル管理者特権を持つアカウントを使用して Windows に再ログインします。

Q. サーバ インストーラが処理を中断(ハングアップ)した場合はどうしたらいいですか。

A. リブートしてもう一度試してみてください。

Q. Cisco Security Manager と Cisco Secure Access Control Server の両方を 1 つのシステム上にインストールできますか。

A. インストールしないことを推奨します。同じサーバ上での Security Manager と Cisco Secure ACS for Windows の共存はサポートされていません。

Q. Security Manager データベースのバックアップが失敗するのはなぜですか。

A. Tivoli などのネットワーク管理アプリケーションを使用して、Security Manager がインストールされたシステム上に Cygwin をインストールした場合は、Security Manager データベースのバックアップに失敗します。Cygwin をアンインストールしてください。

インストール後のサーバ障害

Q. Security Manager インターフェイスが表示されない、または、正しく表示されない、あるいは、特定のインターフェイス要素が欠けています。原因は何でしょうか。

A. いくつかの可能性が考えられます。このリスト内のシナリオを参照して、インターフェイスに影響を与える可能性のある単純な問題を特定し、対処してください。

必要なサービスのいくつかがサーバ上で動作していません。サーバのデーモン マネージャを再起動して、すべてのサービスの起動が完了するのを待ってから、Security Manager クライアントを再起動して接続し直してみてください。

サーバに十分な空きディスク スペースがありません。サーバ上の Security Manager パーティションの空き容量が 500 MB 以上あることを確認してください。

基本ライセンス ファイルが破損しています。 「ライセンスに関する支援」(P.1-7) を参照してください。

サーバで使用されている Windows 言語が間違っています。米国英語バージョンの Windows 上の英語と、日本語バージョンの Windows 上の日本語しかサポートされていません( 「サーバ要件」(P.2-3) を参照)。他の言語はインストールされたバージョンの Security Manager に悪影響を与える可能性があります。また、GUI 要素の欠落は可能性のある症状の 1 つです。サポートされていない言語を使用している場合は、サポートされている言語を選択してから、Security Manager をアンインストールして再インストールしてください。 「サーバ アプリケーションのアンインストール」(P.4-20) を参照してください。

Cisco Security Agent のインストール中に問題が発生しました。インストール ログをチェックすれば、問題がインストールを妨げていたかどうかがわかります。「同梱 Cisco Security Agent のトラブルシューティング」を参照してください。

ネットワーク接続上で Security Manager インストール ユーティリティを実行しましたが、この使用方法はサポートされていません( 「Security Manager サーバ、Common Services、および AUS のインストール」(P.4-3) を参照)。サーバ ソフトウェアをアンインストールして再インストールする必要があります。 「サーバ アプリケーションのアンインストール」(P.4-20) を参照してください。

クライアント システムが最小限の要件を満たしていません。 「クライアント要件」(P.2-7) を参照してください。

HTTP を使用しようとしましたが、必要なプロトコルは HTTPS です。

ボタンだけが表示されません。Security Manager クライアントを使用している最中に、クライアント システム上で [Display Properties] コントロール パネルを開いて、[Appearance] タブの下でいくつかの設定を変更した可能性があります。この問題に対処するには、Security Manager クライアントを終了してから、再起動してください。

間違ったグラフィックス カードのドライバ ソフトウェアがクライアント システム上にインストールされています。 「クライアント要件」(P.2-7) を参照してください。

問題 Web ブラウザを使用して Security Manager への Web インターフェイスを開こうとしたときに、Security Manager サーバ上の /cwhp/LiaisonServlet にアクセスするための権限がないことを伝えるメッセージが表示されました。これはどういう意味ですか。

ソリューション 下の表に、この問題の一般的原因と提案されている対処法を示します。

 

表 A-3 LiaisonServlet エラーの原因と対処法

原因
対処法

サーバ上にウイルス対策アプリケーションがインストールされている

ウイルス対策アプリケーションをアンインストールします。

サーバ上に IIS がインストールされている

IIS は Security Manager と互換性がないため、アンインストールする必要があります。

Security Manager に必要なサービスが正しい順序で開始されていない

自動に設定する必要があるサービスは Cisco Security Manager Daemon Manager だけです。他の CiscoWorks サービスは手動に設定する必要があります。Daemon Manager が他の Ciscoworks サービスを起動するまでに数分かかる場合があることに注意してください。これらのサービスは、正しい順序で起動する必要があります。手動でサービスを起動した場合はエラーを引き起こす可能性があります。

casuser パスワード

casuser ログインは、Windows 管理者と同じで、すべての Common Services タスクと Security Manager タスクにアクセスできます。次のように casuser パスワードをリセットします。

1. サーバ上でコマンドラインを開きます。

2. C:¥Program Files¥CSCOpx¥setup¥support¥resetCasuser.exe と入力して、Enter を押します。

3. オプション 1(casuser パスワードのランダム生成)を選択します。

Q. Security Manager を使用してサーバ上のディレクトリを参照したときに、ローカル ボリュームだけが表示され、マップされたドライブは表示されません。どうしてですか。

A. Microsoft はサーバ セキュリティを強化するために Windows の設計にこの機能を組み込みました。Security Manager で選択する必要のあるすべてのファイル(ライセンス ファイルなど)をサーバ上に配置する必要があります。

Q. 日本語バージョンの Windows の [Start] メニューに Security Manager が表示されないのはなぜですか。

A. サーバ上の地域と言語のオプションを、英語を使用するように設定した可能性があります。日本語バージョンの Windows 内の言語として英語はサポートされていません( 「サーバ要件」(P.2-3) を参照)。コントロール パネルを使用して、言語を日本語にリセットしてください。

Q. サーバの SSL 証明書が無効になっています。また、DCRServer プロセスが開始しません。原因は何でしょうか。

A. サーバの日付または時刻が SSL 証明書の有効範囲外にリセットされています。 「インストール準備状況チェックリスト」(P.3-4) を参照してください。この問題に対処するには、サーバの日付/時刻の設定をリセットしてください。

Q. サーバとクライアント間の通信に使用されるプロトコルの入力が要求されませんでした。デフォルトで使用されるプロトコルは何ですか。他のモードを使用してこの設定を手動で変更する必要がありますか。

A. サーバのインストール中にクライアントをインストールした場合は、デフォルトで、サーバとクライアント間の通信プロトコルとして HTTPS が使用されます。通信はデフォルト プロトコルを使用して保証されているため、この設定を手動で変更する必要はありません。

プロトコルとして HTTP を選択するオプションは、サーバ インストーラとは別に、クライアント インストーラを実行して Security Manager クライアントをインストールした場合にのみ使用できます。ただし、サーバとクライアント間の通信プロトコルとして HTTP を使用しないことを推奨します。クライアントは、サーバが使用するように設定されたプロトコルを使用する必要があります。

Q. VMware セットアップを使用しているとシステムのパフォーマンスが受け入れられないほど低下します。たとえば、システムのバックアップに 2 時間もかかります。

A. Security Manager を実行している VM に複数の CPU が割り当てられていることを確認してください。1 つの CPU しか割り当てられていないシステムでは、一部のシステム アクティビティに対して受け入れられないほどのパフォーマンスを示すことがわかっています。

アンインストール中のサーバ障害

Q. このアンインストール エラー メッセージはどういう意味ですか。

A. アンインストール エラー メッセージと説明を表 A-4 に示します。この表は先頭の文字のアルファベット順に並べられています。アンインストール エラー メッセージの詳細については、Cisco.com 上で Common Services 3.2 のマニュアルを参照してください。

 

表 A-4 アンインストール エラー メッセージ

メッセージ
メッセージの理由
ユーザ操作
C:¥ NMSROOT ¥MDC¥msfc-backend refers to a location that is unavailable. It could be on a hard drive on this computer, or on a network. Check to make sure that the disk is properly inserted, or that you are connected to the Internet or your network, and then try again. If it still cannot be located, the information might have been moved to a different location.

このメッセージは害がない可能性があります。[OK] をクリックしてメッセージを消去する以外は何もする必要がありません。そうしなかった場合は、次の条件の一方または両方が適用されるサーバ上でメッセージが表示される可能性があります。

- 簡易ファイル共有が Windows 上でイネーブルになっている。

- オフライン ファイル同期が Windows 上でイネーブルになっている。

メッセージを消去してアンインストールが失敗した場合は、次の可能性のある対処法の一方または両方を試して、もう一度アンインストールを行ってみてください。

簡易ファイル共有

1. [Start] > [Settings] > [Control Panel] > [Folder Options] を選択します。

2. [View] タブをクリックします。

3. [Advanced Settings] ペインの一番下までスクロールします。

4. [Use simple file sharing (Recommended)] チェックボックスをオフにしてから、[OK] をクリックします。

オフライン ファイル同期

1. [Start] > [Settings] > [Control Panel] > [Folder Options] を選択します。

2. [Offline Files] タブをクリックします。

3. [Enable Offline Files] チェックボックスをオフにしてから、[OK] をクリックします。
C:¥temp¥< subdirectory
setup.exe - Access is denied.
 
The process cannot access the file because it is being used by another process.
 
0 file(s) copied.
1 file(s) copied.

アンインストールが失敗しました。

サーバをリブートしてから、 「サーバ アプリケーションのアンインストール」(P.4-20) に記載されている手順を実行してください。
Windows Management Instrumentation (WMI) is running.
 
The setup program has detected Windows Management Instrumentation (WMI) services running. This will lock some Cisco Security Manager processes and may abort uninstallation abruptly. To avoid this, uninstallation will stop and start the WMI services.
 
Do you want to proceed?
 
Click Yes to proceed with this uninstallation. Click No to exit uninstallation.

組織で WMI が使用されているか、誰かが誤ってサーバ上の WMI サービスをイネーブルにした可能性があります。

[Yes] をクリックします。

Q. アンインストーラがハングアップした場合はどうしたらいいですか。

A. リブートしてからもう一度試してみてください。

Q. アンインストーラに crmdmgtd サービスが応答していないという内容のメッセージが表示され、「Do you want to keep waiting?」と尋ねられた場合はどうしたらいいですか。

A. アンインストール スクリプトには、スクリプトがタイムアウトする前に命令に応答しなかった crmdmgtd サービスを停止する命令が含まれています。[Yes] をクリックします。ほとんどの場合、crmdmgtd サービスは、その後、予想どおりに停止します。

Security Manager クライアントのトラブルシューティング

この項では、次の疑問にお答えします。

「インストール中のクライアント障害」

「インストール後のクライアント障害」

インストール中のクライアント障害

Q. クライアント ソフトウェアのインストール時に表示されたこのインストール エラー メッセージはどういう意味ですか。

A. クライアント ソフトウェアのインストール エラー メッセージと説明を 表 A-5 に示します。この表は先頭の文字のアルファベット順に並べられています。

 

表 A-5 インストール エラー メッセージ(クライアント)

メッセージ
メッセージの理由
ユーザ操作
Could not install engine jar

以前のソフトウェア インストールとアンインストールが原因で InstallShield が正しく動作していません。

1. C:¥Program Files¥
Common Files¥
InstallShield¥Universal¥
common¥Gen1 に移動します。

2. Gen1 フォルダの名前を変更してから、もう一度 Security Manager クライアントのインストールを試してみてください。

Gen1 が存在しない場合は、代わりに common の名前を変更します。
Error - Cannot Connect to Server
 
The client cannot connect to the server. This can be caused by one of the following reasons:
The server name is incorrect.
The protocol (http, https) is incorrect.
The server is not running.
Network access issues. Please confirm that the server name and protocol are correct.
The server is running and you are not experiencing network connectivity issues by loading the CS Manager home page in your browser.

サーバが誤って HTTPS トラフィック用に設定されている可能性があります。

1. ブラウザから、 https:// < server > /CSCOnm/servlet/login/login.jsp にある Cisco Security Management Suite デスクトップにログインします。

2. [Server Administration] をクリックします。

3. [Admin] ウィンドウで、[Server] > [Security] を選択します。

4. TOC で、[Single Server Management] > [Browser-Server Security Mode Setup] を選択してから、[Enable] オプション ボタンが選択されていることを確認します。

オプション ボタンが選択されていなかった場合は、それを選択してから、[Apply] をクリックします。

5. プロンプトが表示されたら、Cisco Security Manager Daemon Manager を再起動します。

6. 5 分待ってから、もう一度 Security Manager クライアントを使用してみてください。

それでも接続できない場合は、エラー メッセージが示している他の可能性のある問題を検討してください。
Error - Cisco Security Agent Running
 
Installation cannot proceed while the Cisco Security Agent is running
 
Do you want to disable the Cisco Security Agent and continue with the installation?

クライアントのインストール中は、Cisco Security Agent を停止する必要があります。

Cisco Security Agent をディセーブルにする場合は、[Yes] をクリックします。

操作をキャンセルして、Cisco Security Agent を手動で停止する場合は、[No] をクリックします。

Security Manager クライアントのオンライン ヘルプにアクセスする場合は、[Help] をクリックします。
Error - Cisco Security Agent not Stopped
 
The installation will be aborted because the Cisco Security Agent could not be stopped.
 
Please attempt to disable Cisco Security Agent before repeating the installation process.

Security Manager クライアントから Cisco Security Agent を停止できませんでした。

[OK] をクリックして、このエラー メッセージを閉じ、インストールを中断します。もう一度インストールを試す前に、Cisco Security Agent を手動でディセーブルにします。
Error occurred during the installation: null.

以前のソフトウェア インストールとアンインストールが原因で InstallShield が正しく動作していません。

1. C:¥Program Files¥Common Files¥InstallShield¥Universal¥common¥Gen1 に移動します。

2. Gen1 フォルダの名前を変更してから、もう一度 Security Manager クライアントのインストールを試してみてください。

Gen1 が存在しない場合は、代わりに common の名前を変更します。
Errors occurred during the installation.

null

ログイン アカウントに管理特権が付与されている Windows ユーザだけが、Security Manager Client をインストールできます。

Windows 管理者としてログインしてから、もう一度 Security Manager クライアントのインストールを試してみてください。
Internet Explorer cannot download CSMClientSetup.exe from < server > . Internet Explorer was not able to open this Internet site. The requested site is either unavailable or cannot be found. Please try again later.

クライアント システム上の OS が Windows 2003 の場合は、Internet Explorer セキュリティ強化のデフォルト設定が原因で、サーバからクライアント ソフトウェア インストール ユーティリティをダウンロードできない可能性があります。

1. [Start] > [Control Panel] > [Add or Remove Programs] を選択します。

2. [Add/Remove Windows Components] をクリックします。

3. Windows コンポーネント ウィザード ウィンドウが開いたら、[Internet Explorer Enhanced Security Configuration] チェックボックスをオフにして、[Next] をクリックし、[Finish] をクリックします。
Please read the information below.
 
The following errors were generated:
 

WARNING: The < drive > partition has insufficient space to install the items selected.

空きスペースが不十分なドライブまたはパーティション上に Security Manager クライアントをインストールしようとした可能性があります。

[Back] をクリックしてから、Security Manager クライアントをインストールする別の場所を選択してください。
Unable to Get Data
 
A database failure prevented successful completion of this operation.

サーバ データベースが完全に稼動する前に、クライアントを使用してサーバに接続しようとした可能性があります。

数分待ってから、もう一度ログインしてみてください。問題が解決されない場合は、必要なすべてのサービスが実行していることを確認してください。

Q. クライアント インストーラが処理を中断(ハングアップ)した場合はどうしたらいいですか。

A. 次の手順を試してみてください。いずれかの手順で問題が解決される可能性があります。

クライアント システム上にウイルス対策ソフトウェアがインストールされている場合は、それをディセーブルにしてから、もう一度インストーラを実行してみてください。

クライアント システムをリブートしてから、もう一度インストーラを実行してみてください。

クライアント システム上でブラウザを使用して、 http:// < server_name > :1741 にある Security Manager サーバにログインします。「Forbidden」または「Internal Server Error」というエラー メッセージが表示された場合は、必要な Tomcat サービスが実行していません。最近サーバをリブートして、Tomcat の稼動までに十分な時間がなかったことがない場合は、サーバ ログを確認するか、その他のステップを実行して、Tomcat が動作していない理由を調査する必要があります。

Q. インストーラに、以前のバージョンのクライアントがインストールされているためアンインストールされるという内容のメッセージが表示されます。しかし、以前のバージョンのクライアントはインストールされていません。これは障害ですか。

A. クライアントのインストールまたは再インストール中に、インストーラがインストールされていないクライアントを検出して、そのクライアントがアンインストールされるという内容の誤ったメッセージを表示することがあります。このメッセージは、システム内に特定の古いレジストリ エントリが残っていることが原因で表示されます。このメッセージが表示されてもクライアントのインストールは正常に進行しますが、レジストリ エディタを使用して次のキーを削除して、今後のインストールでこのメッセージが表示されないようにします。HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Uninstall¥Cisco Security Manager Client(レジストリ エディタを開くには、[Start] > [Run] を選択して regedit と入力します)。また、C:¥Program Files¥Zero G Registry¥.com.zerog.registry.xml ファイルの名前を変更します(どんな名前でも可)。

インストール後のクライアント障害

Q. インターフェイスが正しく表示されないのはなぜですか。

A. 古いビデオ(グラフィックス)カードは、ドライバ ソフトウェアをアップグレードしなければ、Security Manager GUI を正しく表示しない可能性があります。この問題がクライアント システムに影響するかどうかをテストするには、[My Computer] を右クリックして、[Properties] を選択し、[Hardware] を選択して、[Device Manager] をクリックしてから、[Display adapters] エントリを展開します。アダプタのエントリをダブルクリックして、使用されているドライバのバージョンを確認します。その後で、次のいずれかを実行できます。

クライアント システムで ATI MOBILITY FireGL ビデオ カードが使用されている場合は、カードに付属していたビデオ ドライバ以外のドライバを入手しなければならない場合があります。使用するドライバは、手動で Direct 3D が設定できる必要があります。このような能力のないドライバは、Security Manager GUI 内の要素をクライアント システムに表示できない可能性があります。

ビデオ カードの場合は、PC メーカとカード メーカの Web サイトにアクセスして、最新の Java2 グラフィックス ライブラリの表示との非互換性をチェックしてください。既知の非互換性が残っているほとんどのケースで、半分以上のメーカが互換性のあるドライバを入手してインストールするための手段を提供しています。

Q. 日本語バージョンの Windows の [Start] メニューに Security Manager クライアントが表示されないのはなぜですか。

A. クライアント システム上で英語を使用するように、地域と言語のオプションを設定している可能性があります。日本語バージョンの Windows 内の言語として英語はサポートされていません。コントロール パネルを使用して、言語を日本語にリセットしてください。

Q. Security Manager クライアントがインストールされたワークステーション上で一部または全部のユーザの [Start] メニューに Security Manager クライアントが表示されないのはなぜですか。

A. クライアントをインストールするときに、製品をインストールしているユーザ専用のショートカットを作成するのか、すべてのユーザ用のショートカットを作成するのか、どのユーザ用のショートカットも作成しないのかを選択します。インストール後にこの選択を変更する場合は、Cisco Security Manager Client フォルダを Documents and Settings¥<user>¥Start Menu¥Programs¥Cisco Security Manager から Documents and Settings¥All Users¥Start Menu¥Programs¥Cisco Security Manager にコピーすることによって、手動で変更できます。ショートカットを作成しないことにした場合は、指定された All Users フォルダ内にショートカットを手動で作成する必要があります。

Q. クライアント システムとサーバ間の接続が異常に遅いと感じる場合、または、ログイン時に DNS エラーが表示される場合はどうしたらいいですか。

A. クライアント システム上の hosts ファイル内に Security Manager サーバ用のエントリを作成しなければならない場合があります。このようなエントリは、ネットワーク用の DNS サーバに登録されていない場合にサーバへの接続の確立に役立つ可能性があります。クライアント システム上でこの有効なエントリを作成するには、メモ帳またはその他のプレーン テキスト エディタを使用して、C:¥WINDOWS¥system32¥drivers¥etc¥hosts を開きます(ホスト ファイル自体にエントリの追加方法に関する詳細な手順が保存されています)。

Q. Security Manager クライアントを使用してログインしようとしたときにエラー メッセージが表示されることなくログイン資格情報が受け入れられましたが、Security Manager デスクトップが空の状態で使用できません。認証セットアップの何が間違っているのでしょうか(また、Security Manager サーバ上の Common Services でログイン資格情報が受け入れられましたが、Web ブラウザ上で Cisco Security Management Suite デスクトップのロードに失敗します。これも同じ原因でしょうか)。

A. Security Manager と Common Services に対してログイン認証サービスを提供するための Cisco Secure ACS に必要なステップが完了していない可能性があります。ACS でログイン資格情報を入力しましたが、Security Manager サーバを AAA クライアントとして定義していません。この定義を行わなければ、ログインできません。詳しい手順については、ACS のマニュアルを参照してください。

Q. Security Manager クライアントを使用してサーバにログインできず、次のようなメッセージが表示されます。どうしたらいいですか。

 

... repeatedly that the server is checking its license.

サーバが最小限のハードウェア要件とソフトウェア要件を満たしていることを確認してください。 「サーバ要件」(P.2-3) を参照してください。
Synchronizing with DCR.

2 通りの可能性が考えられます。

サーバの再起動直後に Security Manager クライアントを起動した可能性があります。その場合は、サーバが完全に使用可能になるまで数分待ってから、Security Manager クライアントを使用してみてください。

CiscoWorks 管理パスワードにアンパサンド(&)などの特殊文字が含まれている可能性があります。その結果、Security Manager のインストール時にサーバ上の NMSROOT ¥lib¥classpath サブディレクトリで comUser.dat ファイルを作成できませんでした。ここで、 NMSROOT は Common Services をインストールしたディレクトリです(デフォルトは C:¥Program Files¥CSCOpx です)。

a. Cisco TAC に連絡して、 comUser.dat の交換または Security Manager の再インストールに関する支援を要請してください。

b. または、特殊文字を含まない Common Services パスワードを作成します。
Error - Unable to Check License on Server.
 
An attempt to check the license file on the Security Manager server has failed.
 
Please confirm that the server is running. If the server is running, please contact the Cisco Technical Assistance Center.

次のサービスのいずれかが正しく起動していない可能性があります。サーバ上で、[Start] > [Programs] > [Administrative Tools] > [Services] を選択して、次のような名前のサービスを右クリックし、ショートカット メニューから [Restart] を選択します。

Cisco Security Manager Daemon Manager

Cisco Security Manager database engine

Cisco Security Manager Tomcat Servlet Engine

Cisco Security Manager VisiBroker Smart Agent

Cisco Security Manager Web Engine

5 分待ってから、もう一度 Security Manager クライアントを起動してみてください。

Q. デフォルト ブラウザとして Internet Explorer を使用しているときにアクティビティ レポートが表示されないのはなぜですか。

A. この問題は、無効なレジストリ キー値、または Internet Explorer に関連付けられた DLL ファイルの場所に関する間違いが原因で発生します。この問題の対処法については、 http://support.microsoft.com/kb/281679/EN-US から入手可能な Microsoft サポート技術情報の記事 281679 を参照してください。

Q. どうすれば、ログイン ウィンドウの [Server Name] フィールドからサーバ リストを消去できますか。

A. csmserver.txt を編集して必要のないエントリを削除します。このファイルは、Security Manager クライアントをインストールしたディレクトリ内にあります。デフォルトの場所は、C:¥Program Files¥Cisco Systems¥Cisco Security Manager Client です。

Q. バージョン ミスマッチが原因で Security Manager クライアントがロードされなかった可能性があります。これはどういう意味ですか。

A. Security Manager サーバのバージョンとクライアントのバージョンが一致していません。これを修正するには、最新のクライアント インストーラをサーバからダウンロードしてインストールします。

Q. クライアント ログ ファイルはどの場所にありますか

A. クライアント ログ ファイルは、C:¥Program Files¥Cisco Systems¥Cisco Security Manager Client¥logs に配置されています。GUI セッションごとに専用のログ ファイルが作成されます。

Q. Security Manager が HTTPS モードで動作中かどうかはどうすれば確認できますか。

A. 次のいずれかを実行します。

ブラウザを使用してサーバにログインしたら、アドレス フィールド内の URL を調査します。URL が https で始まっていれば、Security Manager が HTTPS モードで動作しています。

[Common Services] > [Server] > [Security] > [Single Server Management] > [Browser-Server Security Mode Setup] に移動します。[Current Setting] が [Enabled] になっていれば、Security Manager が HTTPS モードで動作しています。この設定が [Disabled] の場合は、HTTP を使用します。

クライアントを使用してログインするときに、まず、HTTPS モードを試してみてください([HTTPS] チェックボックスをオンにします)。「Login URL access is forbidden; Please make sure your protocol (HTTP, HTTPS) is correct」というメッセージが表示されたら、サーバは HTTP モードで動作している可能性があります。[HTTPS] チェックボックスをオフにして、もう一度試してみてください。

Q. どうすれば、クライアント デバッグ ログ レベルをイネーブルにできますか。

A. デフォルトで C:¥Program Files¥Cisco Systems¥Cisco Security Manager Client¥jars に配置されている client.info ファイル内で、DEBUG_LEVEL パラメータに DEBUG_LEVEL=ALL を追加してから、Security Manager クライアントを再起動します。

Q. 2 画面構成で作業している場合は、Security Manager クライアントが第 2 画面上で動作していても、必ず、特定のウィンドウとポップアップ メッセージが第 1 画面に表示されます。たとえば、クライアントが第 2 画面上で動作しているときに、必ず、Policy Object Manager などのウィンドウが第 1 画面に表示されます。これを修正できますか。

A. これは、特定のオペレーティング システムにおける 2 画面サポートの実装方法に伴う既知の問題です。Security Manager クライアントを第 1 画面上で動作させることを推奨します。クライアントは、2 画面構成の設定後に起動する必要があります。

他の画面でウィンドウが開いた場合は、Alt + スペースバーを押した後に M を押すことによってそのウィンドウを移動できます。その後で、矢印キーを使用してウィンドウを移動します。

Q. クライアント システム上でソフトウェアをインストールまたはアンインストールできません。どうしてですか。

A. クライアント システム上でインストールとアンインストールを 同時に 実行した場合は、それらが別々のアプリケーションに対するものであっても、クライアント システムの InstallShield データベース エンジンに悪影響を与え、ソフトウェアのインストールまたはアンインストールができなくなります。詳細については、Cisco.com アカウントにログインしてから、Bug Toolkit を使用して CSCsd21722 CSCsc91430 を確認してください。

同梱 Cisco Security Agent のトラブルシューティング

この項では、ほとんどの場合、Security Manager サーバ ソフトウェアのインストール時にインストールされるスタンドアロン バージョンの Cisco Security Agent のトラブルシューティングに関する疑問にお答えします。

Q. スタンドアロン エージェントがサーバへのネットワーク アクセスをブロックする可能性がある環境とはどのようなものですか。

A. 大まかには、2 通りの可能性しかありません。サーバ上で悪質なソフトウェアが動作しており、エージェントがそれをブロックしたか、サーバ上の正規のソフトウェアがエージェントに悪質だと誤解されるような振る舞いをしたかのどちらかです。これらの問題はどちらも、エージェントのセキュリティ レベルが [high] に設定されているために、信頼できないルートキットのアクションを検出してブロックするように意図されたエージェント ポリシーがイネーブルになっている場合に のみ 発生する可能性があります(デフォルト設定は [medium] です)。

両方の可能性を調査して、どちらの条件が該当するかを判断することを推奨します。ログ ファイルの C:¥Program Files¥Cisco Systems¥CSAgent¥log¥csalog.txt を調べれば、エージェントに疑われるような振る舞いをしたアプリケーションの特定に役立つはずです。

調査の結果、サーバ上で悪質なソフトウェアが動作していることが判明した場合は、危険なインストールの実施を可能にするセキュリティ上の脆弱性を特定して排除することを推奨します。さらに、サーバのハード ドライブをワイプしてから、このマニュアル内のチェックリストと手順を使用してすべてを再インストールすることを推奨します。

信頼できるウイルス対策ツールやシステムの再起動後に動的にロードされる既知のデバイス ドライバなどの良性な(害のない)ソフトウェアがエージェントをトリガしたことが判明した場合は、次のいずれかを実行できます。

エージェントのセキュリティ レベルを [medium] にリセットしてから、サーバを再起動します。

) 後で、エージェントのセキュリティ レベルを [high] に戻した場合は、エージェントが、また、信頼され、再インストールされたソフトウェアを信頼できないと見なして、すべてのネットワーク トラフィックをブロックします。

信頼されたソフトウェアをアンインストールします。

エージェントをアンインストールします。この操作は行わないことを推奨します。 「同梱 Cisco Security Agent のアンインストール」(P.B-2) を参照してください。

修正されたエージェントの提供を Cisco TAC に依頼してください。 「マニュアルの入手方法およびテクニカル サポート」(P.xii) を参照してください。

スタンドアロン エージェントがサーバからのネットワーク アクセスをブロックする場合は、別の原因が考えられます。Windows ユーザ向けの Cisco Security Agent ベースライン ポリシーが、Windows ファイル エクスプローラを使用した HTTP 経由の Web ページへのアクセスを許可しない可能性があります。

Q. 日本語バージョンの Windows の [Start] メニューに Cisco Security Agent が表示されないのはなぜですか。

A. サーバ上の地域と言語のオプションを、英語を使用するように設定した可能性があります。日本語バージョンの Windows 内の言語として英語はサポートされていません( 「サーバ要件」(P.2-3) を参照)。コントロール パネルを使用して、言語を日本語にリセットしてください。

Q. どうすれば、スタンドアロン Cisco Security Agent に必要な Windows サービスが実際にサーバ上で動作していることを確認できますか。

A. スタンドアロン エージェントには、1 つの Windows サービスが必要なだけです。[Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Services] を選択します。「Cisco Security Agent」という名前の実行中のサービスが表示されるはずです。

Q. Windows のシステム トレイで Cisco Security Agent の赤色のペナント アイコンが変化しました。今は、このアイコンの上に赤色の丸が追加されています。これはどういう意味ですか。

A. 何らかの操作でエージェントがディセーブルになっている(オフにした場合など)か、エージェントが破損しています。サーバを再起動してスタンドアロン エージェントをリセットするか、ログ内のメッセージで何が起きたかを確認できます。 C:¥Program Files¥CiscoSystems¥CSAgent¥ log¥csalog.txt を参照してください。

Q. エージェントが有効な操作をブロックしています。どうすればいいですか。

A. 次の使用可能な対処法の中から選択できます。

Windows のシステム トレイでエージェント アイコンを右クリックして、[off] オプションを選択し、一時的にエージェントをディセーブルにします。タスクが完了したら、エージェントをもう一度イネーブルにします。

アンインストールが推奨されていなくても、エージェントをアンインストールします。 「同梱 Cisco Security Agent のアンインストール」(P.B-2) を参照してください。

[Start] > [Programs] > [Cisco Systems] > [Cisco Security Agent] > [Cisco Security Agent Diagnostics] を選択して、診断ユーティリティを実行します。

どの対処法も十分でない場合は、Cisco TAC にお問い合わせください( 「マニュアルの入手方法およびテクニカル サポート」(P.xii) を参照)。

Q. 新しいバージョンの Security Manager にアップグレードするために Cisco Security Agent をディセーブルにしてから、Cisco Security Agent をもう一度イネーブルにすると、アップグレードに失敗します。どうすればいいですか。

A. Cisco Security Agent が「アンクリーン」の状態にあります。「CSAgent」と「Cisco Security Agent」という文字列のレジストリ エントリをすべて削除し、関連するすべてのプログラム参照とフォルダを削除する必要があります。「アンクリーン状態にあるエージェントのクリーンアップ」を参照してください。

サーバ セルフテストの実行

Security Manager サーバが正しく動作していることを確認するセルフテストを実行するには:

ステップ 1 Security Manager クライアントが Security Manager サーバに接続されているシステムから、[Tools] > [Security Manager Administration] を選択します。

ステップ 2 [Administration] ウィンドウで、[Server Security] をクリックしてから、任意のボタンをクリックします。新しいブラウザが開いて、クリックしたボタンに対応する Common Services GUI のセキュリティ設定ページが表示されます。

ステップ 3 [Common Services] ページの [Server] タブで、[Admin] を選択します。

ステップ 4 [Admin] ページの TOC で、[Selftest] をクリックします。

ステップ 5 [Create] をクリックします。

ステップ 6 [SelfTest Information at < MM-DD-YYYY HH:MM:SS >] リンクをクリックします。ここで、

MM-DD-YYYY は、現在の月、日、年です。

HH:MM:SS は、[Selftest] をクリックした時、分、秒を表すタイムスタンプです。

ステップ 7 [Server Info] ページでエントリを読み取ります。

 

サーバ トラブルシューティング情報の収集

Security Manager で問題が発生しており、エラー メッセージ内の推奨事項のすべてを試し、このマニュアル内の可能性のある解決策を確認したにもかかわらず、問題が解決されない場合は、Security Manager Diagnostics ユーティリティを使用してサーバ情報を収集します。

Security Manager Diagnostics ユーティリティは、ZIP ファイルの CSMDiagnostics.zip からサーバ診断情報を収集します。このファイル名を変更しなかった場合は、Security Manager Diagnostics を実行するたびに新しい情報でファイルが上書きされます。CSMDiagnostics.zip ファイル内の情報は、サーバ上の Security Manager または関連アプリケーションで発生した問題のシスコ テクニカルサポート エンジニアによる解決を支援します。

ヒント Security Manager には、アプリケーションによって実施された設定変更に関する情報を収集する高度なデバッギング オプションも用意されています。このオプションをアクティブにするには、[Tools] > [Security Manager Administration] > [Debug Options] を選択してから、[Capture Discovery/Deployment Debugging Snapshots to File] チェックボックスをオンにします。診断ファイルに保存されたその他の情報はトラブルシューティングの試みに役立つ可能性がありますが、ファイルにはパスワードなどの機密情報が書き込まれている場合があることに注意してください。Cisco Technical Assistance Center(TAC)から変更が依頼されるまで、デバッギング レベルは変更しないでください。

Security Manager Diagnostics は次のいずれかの方法で実行できます。

 

Security Manager クライアント システムから
Security Manager サーバから

1. サーバへの Security Manager クライアント セッションを確立したら、[Tools] > [Security Manager Diagnostics] をクリックして [OK] をクリックします。

CSMDiagnostics.zip ファイルは、サーバ上の NMSROOT ¥MDC¥etc¥ ディレクトリに保存されます。ここで、 NMSROOT は、Common Services をインストールしたディレクトリです(C:¥Program Files¥CSCOpx など)。

2. [Close] をクリックします。

(注) このユーティリティを実行するたびに上書きされないようにこのファイルの名前を変更することを推奨します。

1. たとえば、[Start] > [Run] を選択することによって Windows のコマンド ウィンドウを開いて、 command と入力します。

2. C:¥Program Files¥CSCOpx¥MDC¥
bin¥CSMDiagnostics と入力します。または、この ZIP ファイルを NMSROOT ¥MDC¥etc¥ とは別の場所に保存するには、「 CSMDiagnostics drive:\path 」と入力します。たとえば、CSMDiagnostics D:¥temp と入力します。

サーバ プロセス ステータスの表示と変更

Security Manager のサーバ プロセスが正しく動作していることを確認するには:

ステップ 1 CiscoWorks のホームページで、[Common Services] > [Server] > [Admin] を選択します。

ステップ 2 [Admin] ページの TOC で、[Processes] をクリックします。

[Process Management] テーブルにすべてのサーバ プロセスが表示されます。[ProcessState] カラム内のエントリが、プロセスが正常に動作しているかどうかを示します。

ステップ 3 必要なプロセスが動作していない場合は、それを再起動します。「サーバ上の全プロセスの再起動」を参照してください。

) ローカル管理者特権を持つユーザのみがサーバ プロセスを起動または停止できます。

 

サーバ上の全プロセスの再起動

) すべてのプロセスを停止してから、それらを再起動しなければ、この方法は機能しません。

ステップ 1 コマンド プロンプトで、 net stop crmdmgtd と入力してすべてのプロセスを停止します。

ステップ 2 net start crmdmgtd と入力してすべてのプロセスを再起動します。

ヒント または、[Start] > [Settings] > [Control Panel] > [Administrative Tools] > [Services] を選択してから、Cisco Security Manager Daemon Manager を再起動できます。

 

サーバ インストール ログ ファイルの確認

サーバからの応答が期待していたものと違っていた場合は、サーバ インストール ログ ファイルでエラー メッセージと警告メッセージを確認できます。

テキスト エディタを使用して C:¥Ciscoworks_install_ NNN .log を開きます。ここで、 NNN は YYYYMMDD_HHMMSS 形式のタイムスタンプです。

ほとんどの場合、確認すべきログ ファイルは、ファイル名に最大の番号が付けられたファイルか、作成日が最新のファイルです。

たとえば、ログ ファイルでは、次のようなエラー エントリと警告エントリが確認できます。

ERROR: Cannot Open C:¥PROGRA~1¥CSCOpx/lib/classpath/ssl.properties at C:¥PROGRA~1¥CSCOpx¥MDC¥Apache¥ConfigSSL.pl line 259.
INFO: Enabling SSL....
WARNING: Unable to enable SSL. Please try later....
 

) 重大な問題が発生した場合は、ログ ファイルを Cisco TAC に送信できます。「マニュアルの入手方法およびテクニカル サポート」(P.xii)を参照してください。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ