2024年3月1日から販売がスタートしたBOMの最新サービスリリース「BOM for Windows Ver.8.0 SR1」（以下、BOM 8.0 SR1）には、新たに「代理監視チェックツール」というツールが同梱されました。この新しいツールついて紹介し、チェックをすべてパスするヒントをお教えします。

ニュースリリース｜BOM for Windows Ver.8.0 SR1 リリースのご案内（2024年03月01日）

自立分散監視と代理監視、代理監視の要件

　BOMは、監視対象のサーバーにインストールし、監視対象が自身を監視することを基本とする自立分散型サーバー監視ソフトです。BOMには、監視元となるサーバーにBOMをインストールし、そのサーバーからネットワーク越しに複数の監視対象を監視する「代理監視（エージェントレス監視）」という監視方式もサポートしています（画面1）。代理監視は、例えば、運用中のサーバーなどでアプリケーションの追加インストールができない状況下でも、エージェントレスですぐに監視を開始できるという利点があります。

サポート技術情報｜自立分散 (ローカル) 監視と代理監視の違い

画面1　BOMをインストールしたサーバーから、別のサーバーを代理監視で監視する（代理監視対象のサーバーは1つの監視インスタンスであり、BOMのライセンスが必要）

　代理監視を開始するには、以下に示す要件を満たしている必要があります。

• 代理監視に使用するアカウント（監視元と監視先で同一のユーザー名、パスワードであること、Amdinistratorsローカルグループのメンバーであること）
• ファイアウォールの例外規則（SMB 445/TCP、MS-RPC 135/TCPおよび49152～65535/TCP）
• その他の要件（名前解決、Remote Registryサービス、UAC要件、特権、管理者共有など）

　詳しくは、「BOM8-インストールマニュアル.pdf」の第3章「3. 代理監視」、および以下のサポート技術情報で説明されています。

サポート技術情報｜代理監視にてリモートコンピューターを監視する場合

BOM 8.0 SR1同梱の「代理監視チェックツール」

　BOM 8.0 SR1には、新たに「代理監視チェックツール」が同梱されました。このツールは、代理監視を実行する際に事前に準備しておく必要がある要件の設定が、正しく行われているかどうかを確認するWindows向け補助ツールです。

　代理監視チェックツールは、「＜BOMインストールパッケージ＞￥TOOLS￥代理監視接続チェックツール」に格納されており、監視元サーバー、および代理監視対象のサーバーのそれぞれにコピーして使用します。

　代理チェックツールを使用するには、監視元サーバー、代理監視対象のサーバーのそれぞれに、監視に使用するユーザーでログインします。監視元サーバーではコピー先の「ローカル(監視元)」サブフォルダーを、代理監視対象サーバーではコピー先の「リモート(監視先)」サブフォルダーを、管理者として開いたコマンドプロンプトで開き、「start.bat」を実行して、対話形式で必要な情報を入力します。すべて［OK］と返ってくれば代理監視の要件を満たしています。［NG］が返ってきた場合は、その項目の要件を満たすように設定を変更してください（画面2、画面3）。


画面2　監視元のサーバーで代理監視チェックツールを実行


画面3　代理監視対象のサーバー側で代理監視チェックツールを実行

代理監視チェックツールをパスするヒント

　評価目的を除き、BOMの自立分散監視と代理監視の両方に、ビルトインのAdministratorやドメインのAdministratorを使用することは推奨しません。Administratorsのローカルグループのメンバーであるローカルアカウントまたはドメインアカウントを作成して監視に使用することをお勧めします。

　ビルトインAdministrator以外では、ユーザーアカウント制御（UAC）が既定で有効になっています。代理監視のためにはUACを無効にする必要があります。ログオン中のユーザーでUACを無効にするには、コントロールパネルの「ユーザー アカウント￥ユーザー アカウント」を開き、「ユーザー アカウント制御設定の変更」をクリックして、スライダーバーを「通知しない」に変更します（画面4）。UACの設定は、「ローカルコンピューターポリシー（またはグループポリシー）」の「Windows の設定￥セキュリティの設定￥ローカル ポリシー￥セキュリティ オプション」にある「ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作」でも変更できますが、他のローカルユーザー（またはドメインユーザー）にも影響するため、ユーザーごとに設定することをお勧めします。


画面4　ログオン中のユーザーのUACを無効にする

　UAC要件を除き、代理監視のチェックが失敗する原因の多くは、代理監視対象のサーバー側にあります。「セキュリティが強化されたWindows Defenderファイアウォール」（以下、Windowsファイアウォール）の要件については、管理者として開いたコマンドプロンプトで以下のコマンドラインを実行することで満たすことができます。代理チェックツールは、これらの定義済みファイアウォール規則の状態をチェックします。

　Windowsファイアウォールで例えば以下のように独自の受信の規則を作成した場合や、Windowsファイアウォール以外を使用している場合、代理チェックツールではチェックすることができません（［NG］となります）。ただし、代理チェックツールが［NG］であったとしても、必要なポートが許可されている限り、代理監視の要件は満たしています。

netsh advfirewall firewall add rule dir=in name="BOM remote (smb)" action=allow protocol=TCP localport=445 profile=private,domain
netsh advfirewall firewall add rule dir=in name="BOM remote (msrpc)" action=allow protocol=TCP localport=135 profile=private,domain
netsh advfirewall firewall add rule dir=in name="BOM remote (msrpc dynamic)" action=allow protocol=TCP localport=49152-65535 profile=private,domain

　ビルトインAdministrator以外の管理者アカウントを使用している場合は、リモートから管理者共有に接続できるように、「リモートUAC」を無効にする必要もあります。リモートUACの無効化は、管理者として開いたコマンドプロンプトで以下のコマンドラインを実行します（画面5）。