locked
SCOM2007 on W2K8 のセットアップで失敗する RRS feed

  • 質問

  • 初めて投稿します。Crideと申します。
    お分かりの方がおりましたら、お助けください。

    SCOM2007 による Print Server 監査ログレポートの評価をするために下記環境を構築しています。

    ===検証環境(外部接続できないクローズ環境)===

    □仮想環境ドメイン (W2K3x4、W2Kx1)
    □管理サーバー
    ・VM Host Server (VMware ESX3.5i)
    ・VM Guest Server (★W2K8 Standard,SCOM2007SP1:評価版)
    □Print Server
    ・VM Host Server (W2K8 ServerCore & Hyper-V:評価版)
    ・VM Guest Server (W2K3 Standard)

    ★の構築途中で以下のエラーが発生し、解決策を探しています。

    1).W2K8 Install>OK
    2).Domain Admins権限アカウントによるドメイン参加>OK
    以下、2)のアカウントで構築
    3).役割追加(IIS/ASP.Net2.0/PowerShell/.NetFreamework3.0)>OK
    4).MS SQL Server 2005 Standard(Reporting Service) Install>OK
    5).MS SQL Server 2005 Standard SP2 Install>OK
    6).SCOM2007 with SP1 Install 前の前提条件>All Clear
    7).SCOM2007 with SP1 Install >OK
    8).Install 後のOpration Windowの初回起動>OK
    9).SCOMの構成(監視対象へのエージェントのインストール等)>OK

    この後、Opration Window を閉じて再度開くと以下のエラーとなります。

    アプリケーション: System Center Operations Manager 2007
    アプリケーションのバージョン: 6.0.6278.0
    重要度: 警告
    メッセージ: サーバー '%Servername%.%domain%' に接続できません。不十分な特権

    ----------------------------エラー詳細----------------------------
    Microsoft.EnterpriseManagement.Common.UnauthorizedAccessMonitoringException
    : ユーザー %domain%\%account% には操作を実行する十分なアクセス許可がありません。
       場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.HandleIndigoExceptions(Exception ex)
       場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.CreateChannel(TieredManagementGroupConnectionSettings managementGroupTier)
       場所 
    Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer..ctor(DuplexChannelFactory`1 channelFactory, TieredManagementGroupConnectionSettings managementGroupTier, IClientDataAccess callback, CacheMode cacheMode)
       場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.CreateEndpoint(ManagementGroupConnectionSettings connectionSettings, IClientDataAccess clientCallback)
       場所 Microsoft.EnterpriseManagement.DataAbstractionLayer.SdkDataAbstractionLayer.Connect(ManagementGroupConnectionSettings connectionSettings)
       場所 Microsoft.EnterpriseManagement.ManagementGroup..ctor(ManagementGroupConnectionSettings connectionSettings)
       場所 Microsoft.EnterpriseManagement.ManagementGroup.Connect(ManagementGroupConnectionSettings connectionSettings)
       場所 Microsoft.EnterpriseManagement.Mom.Internal.UI.Common.ManagementGroupSessionManager.Connect(String server, String username, SecureString password, String domain)
       場所 Microsoft.EnterpriseManagement.Mom.Internal.UI.Console.ConsoleWindowBase.ConnectWithCredentials(Exception ex, ConsoleJobEventArgs args)

    Domain Admins権限のドメインアカウントを使用しています。
    ADサーバーは今まで検証環境で利用してきた実績のあるものです。
    仮想化自体には問題がないと考えており、SCOMもしくはDB側の問題かと推測しております。
    私自身DBAではないので、DBAとして常識的なセッティングを見落としている可能性もあります。

    参考情報
    スペック
    CPU:Xeon 2.8GHz
    Memory:4GB
    HDD:SCSI(StorageFC接続)
    ドライブ
    C:16GB
    D:60GB
    E:60GB

    以上、ご助言お願いします。
    2008年11月28日 6:34

回答

  • ゴム手袋さん、こんにちは。

    原因はUACでした!
    UACを無効にしたところ、問題なくアクセスできました。
    ありがとうございます。

    今回の件は、評価期間中は良いのですが、本番構成ではセキュリティポリシー
    としてUACの無効化はNGなので、以下の事を試してみようかと思っています。

    http://support.microsoft.com/kb/936220/ja

    2008年12月3日 6:09
  • こんにちは。

     

    解決したようでよかったですね!

    事象自体は以下のKBに関連しているように思うのですが、SP1の修正に含まれており、

    私が見た限りでUAC絡みのKBはありませんでした。。

    http://support.microsoft.com/kb/938510/

     

    KB936220は、サービスアカウント変更の手順で、今回はOperations Consoleを

    実行する際の権限が要因かと思います。

     

    UAC無効化がNGであれば、都度「管理者として実行」といった感じでしょうか??

    このあたりは私もうまい回避手段がわかりません^^;

     

    それでは。

    2008年12月3日 16:21
  • W2K8へSCOMを導入する際、幾つか適用が推奨される修正プログラムが公開されているようです。

    今回の事象に当てはまる内容は無いようですが、適用する価値はありそうです。

     

    詳しくはこちら。

    http://blogs.technet.com/mgmtsecjp/archive/2008/11/25/3159204.aspx

     

    それでは。

    2008年12月3日 16:41

すべての返信

  • こんにちは。

     

    事象自体は私も経験したことがないのですが、、

    OpsMgr SDK Serviceを再起動してエラーイベントが出力されないか、

    出力される場合、どのような内容かご確認頂けますか?

     

    それでは。

    2008年11月30日 16:39
  • ゴム手袋さん、こんにちは。

    OpsMgr SDK Service の再起動を行いましたが、

    サービスの停止要求>サービスの停止>サービスの起動>データベースへの接続の再確立

    と、正常動作のイベントしか出力されませんでした。
    また、その後は同様にアクセスできません。
    現在、W2K3上に構築して、同様の現象が発生するか確認しております。
    引き続き、ヒントなどがありましたら、宜しくお願いします。

    追加情報です。
    W2K3上に同じソースを使って構築してみましたが、問題なくアクセスできました。
    この事からW2K8でのアクセスコントロール、資格情報の取り扱いに何か違いがあるような推測
    をしてます。

    2008年12月1日 5:02
  • こんにちは。

     

    SDK Serviceが問題なければ、W2K3側のコンソールからW2K8側にアクセスして

    SDK Serivce/Consoleを切り分けてみてはどうでしょう。

     

    ちなみにUACはOffですよね?

    2008年12月2日 18:55
  • ゴム手袋さん、こんにちは。

    原因はUACでした!
    UACを無効にしたところ、問題なくアクセスできました。
    ありがとうございます。

    今回の件は、評価期間中は良いのですが、本番構成ではセキュリティポリシー
    としてUACの無効化はNGなので、以下の事を試してみようかと思っています。

    http://support.microsoft.com/kb/936220/ja

    2008年12月3日 6:09
  • こんにちは。

     

    解決したようでよかったですね!

    事象自体は以下のKBに関連しているように思うのですが、SP1の修正に含まれており、

    私が見た限りでUAC絡みのKBはありませんでした。。

    http://support.microsoft.com/kb/938510/

     

    KB936220は、サービスアカウント変更の手順で、今回はOperations Consoleを

    実行する際の権限が要因かと思います。

     

    UAC無効化がNGであれば、都度「管理者として実行」といった感じでしょうか??

    このあたりは私もうまい回避手段がわかりません^^;

     

    それでは。

    2008年12月3日 16:21
  • W2K8へSCOMを導入する際、幾つか適用が推奨される修正プログラムが公開されているようです。

    今回の事象に当てはまる内容は無いようですが、適用する価値はありそうです。

     

    詳しくはこちら。

    http://blogs.technet.com/mgmtsecjp/archive/2008/11/25/3159204.aspx

     

    それでは。

    2008年12月3日 16:41
  • ゴム手袋さん、

    追加情報、ありがとうございます。
    結構、修正が出ていたんですね。早速、パッチを適用してみます。

    ・・・キッティング手順を整理しないと;

    2008年12月4日 11:08