SMA (Secure Mobile Access) Appliance Management Console(AMC:管理コンソール) トラブルシューティング: Part 2
Description
Secure Mobile Access(SMA) Appliance Management Console(AMC:管理コンソール) トラブルシューティング: Part 2
この記事は、一般的なトラブルシューティングの方法とAppliance Management Console (AMC:管理コンソール)で利用可能なトラブルシューティングツールについて説明します。根本的なネットワークサービス(DHCP、DNS、WINSなど)の障害は予測できない障害を引き起こします。
AMCのUser Sessionsのページは、あなたの機器(HAペアを含む)でセッション情報の監視、トラブルシュート、終了を行うことができます。セッションの詳細のサマリーを分類することができますが、必要であれば、デバイス情報の分類方法や詳細を表示できます。約24時間分のデータが保存され、削除または変更された情報も表示することができます。詳細は、SMA 11.3 Administration Guideの Viewing User Access and Policy Details を参照してください。
Part 2のトピック:
- AMC の問題
- 認証の問題
- エージェントとパーソナルファイアウォールの使用
- Secure Mobile Access (SMA) サービスの問題
Resolution
AMCの問題
AMC で最もよくあるエラーの1つは、構成を変更した後に適用するのを忘れるという問題です。
変更後に適用されていない状態の場合は常に、AMC の右上に Pending changes のリンクが表示されます。このリンクをクリックして Apply Changes をクリックすると、サービスが自動的に再起動します。
AMCの問題のトラブルシューティング
| 問題 | 解決策 |
| AMCにアクセスができない |
AMC にアクセスできない場合は、アプライアンスの内部ネットワークインターフェースにクロスケーブルを接続し、ネットワークを経由せずに AMC にアクセスできることを確認します。 それでも AMC にアクセスできない場合は、URL に https:// プロトコル識別子が付いていることを確認します。また、ポート番号 8443 がURL に含まれていることを確認します。 IP アドレスは LCDにも表示されていますので、間違いないことを確認します。 |
| 内部ネットワークでAMCにログインできない | ブラウザから内部ネットワークの AMC にログインできない場合は、クライアントからアプライアンスの内部インターフェースの IP アドレスへのトラフィックが実際に内部インターフェースに到着していることを確認します。 Network Trafficのキャプチャについては管理者ガイドを参照してください。 |
| ログインできない | "invalid Login Credentials" (無効なログインクレデンシャル)というエラーで AMC ログインが失敗する場合は、ユーザー名とパスワードの綴りが正しいことを確認します。 パスワードでは大文字と小文字が区別されます。Caps Lock や Num Lock が押されていないことを確認します。 |
| CPU使用率がスパイクしている | LDAP または AD 認証サーバで、ネストされたグループルックアップを使用している場合、ルックアップ結果を必ずキャッシュするようにしてください。 ディレクトリツリー全体を検索すると、時間がかかり、アプライアンスと認証サーバーの両方で CPU 使用率が増加します。 |
認証の問題
認証サーバは、レルムで参照されます。
認証の問題のトラブルシューティング
| 問題 | 解決策 |
| 外部認証サーバへのアクセス | tcpdump をベースとする AMC のネットワークトラフィックユーティリティを使用して、外部認証サーバーにアクセスできることを確認します。 このネットワークトラフィックデータをテクニカルサポートに送信することも、Wireshark のようなネットワークプロトコルアナライザを使用して検証することもできます。 |
| 認証サーバのクレデンシャル | 外部サーバーにアクセスするための正しいクレデンシャルが AMC に含まれていることを確認します。 LDAP の場合は Login DN と Password の設定をチェックし、 Test Connection をクリックします。RADIUS の場合は Shared secret の設定をチェックします。 |
| 認証サーバのログ | 認証サーバのログを確認します。無効なクレデンシャルを入力していたり、接続に問題があったりしないことを確認します。 |
| LDAP または AD 認証サーバを使用したユーザー認証で時間がかかりすぎる、またはタイムアウトする | LDAP または AD サーバーでネストされたグループルックアップを使用している場合は、ルックアップの結果をキャッシュするようにしてください。 ディレクトリ ツリー全体を検索すると、時間がかかります。ディレクトリの負荷を軽減し、パフォーマンスを向上させるには、Cache group checking チェックボックスを選択して、属性グループや静的グループの検索結果をキャッシュします。 |
-Appliance-Management-Console(AMC-管理コンソール)-トラブルシューティング--Part-2-kA1VN0000000Bmg0AE-0EMVN00000EnhFA.png)
エージェントとパーソナルファイアウォールの使用
ファイアウォール製品によっては、E-Class SRA エージェントや EPC コンポーネントのプロビジョニング時にセキュリティ アラートが表示されるものもあります。これは、そのファイアウォールが(ポートとプロトコルに加えて) プロセスによってアウトバンド接続を制限しているためです。ほとんどの場合に、ユーザーは、アウトバンド接続を単純に「ブロック解除」または「許可」できます。
Connect Tunnel ユーザは、パーソナルファイアウォールを構成して、Secure Mobile Access VPNサービス(ngvpnmgr.exe)と Secure Endpoint Manager (AventailComponents.exe)がインターネットにアクセスできるようにし、SMAアプライアンスをホスト名と IP アドレスによって信頼されるホストまたはゾーンとして追加できるようにする必要があります。また、Windows Vista ユーザは、epiVista.exe について例外を作成する必要があります。
TrendMicro 製品のように、権限が限定されているユーザによるファイアウォール設定の上書きを許可しないファイアウォールもあります。ユーザのアクセス権限が制限されている企業システムの場合、Secure Mobile Access VPN のインストール前にファイアウォールの設定を更新し、ユーザがセキュリティダイアログプロンプトに応答しなくてすむようにする必要がある場合があります。
-Appliance-Management-Console(AMC-管理コンソール)-トラブルシューティング--Part-2-kA1VN0000000Bmg0AE-0EMVN00000EnhFC.png)
企業レベルのパーソナルファイアウォールのドキュメントをよく読んで、ファイアウォールのポリシーを判断してください。
ファイアウォールの更新が必要な場合、すべてのプロセスがポート 443 でアプライアンスと通信できるルールが推奨されます。
Secure Mobile Access(SMA) サービスの問題
実行中のサービスの簡単な要約を参照するには、メインナビゲーションメニューから Services をクリックします。
Webプロキシサービスの問題
• AMC のサーバログレベルを一時的に Verbose に上げます(AMC ページの右上にある Pending changes を必ずクリックしてから、Apply Changes をクリックしてサービスを自動的に再起動してください)。
• Web プロキシサービスログを参照するには、メイン ナビゲーション メニューの Logging をクリックし、Log file リストから Web proxy audit log を選択します。接続要求がログに記述されていることを確認します。
• DNS サーバが AMC の Web プロキシ サービス [Server name] を解決できることを確認します。 AMC でLookup ツール することも、nslookup または dig コマンドをコマンドプロンプトから実行することもできます。
• ネットワークで NAT を使用して IP アドレスを変換している場合は、Webプロキシサービス [Server name] 設定に、NAT を使用して置換される外部(またはパブリック) IP アドレスが含まれていることを確認します。
Webプロキシサービスの問題
Web プロキシエージェントは、Internet Explorer 7.0 以降による Windows システム上の URLリソースに対するアクセスを提供します。WorkPlace の Connection Status に"Secure Mobile Access Web proxy"と表示されていれば、クライアントで Web プロキシモードがアクティブであることを表します。Web プロキシエージェントがクライアントマシンで正常に実行中であるかどうかをチェックするには、次の手順を実行します。
1. クライアント マシンで Ctrl+Alt+Delete を押して、タスク マネージャ をクリックします。
2. Windows のタスク マネージャの プロセス リストにプロセス ewpca.exe がないかを調べます。このファイルが存在すれば、ネットワーク トラフィックを受信中でなくても、標準Web モードアクセスエージェントが実行中です。
3. Web プロキシ エージェントがトラフィックを受け取っていることを確認するには、Internet Explorer を起動し、ツール | インターネット オプション を選択します。接続 タブで、LANの設定 またはアプライアンスへの接続に使用しているダイアルアップ/VPN 接続の 設定 をクリックします。
4. 接続タイプに対応する設定のダイアログボックスで、 自動構成スクリプトを使用する チェックボックスが選択されていて、Address ボックスに次のアドレスが設定されていることを確認します。
http://127.0.0.1(localhost):portnumber/redirect.pac
Internet Explorer は、redirect.pac ファイルを使用して、Web プロキシ エージェントへの送信の接続を判断します。
5. redirect.pac ファイルによってリダイレクトされるリソースアドレスを表示するには、このファイルをエディタで開きます。このファイルは、クライアントマシンの次のフォルダに置かれています。
C:Usersユーザ名AppDataRoamingAventailEWPCA
redirect.pac ファイルの「//Redirection Rules//」セクションには、標準 Web プロキシエージェントによって送信される接続先として定義されているアドレスがリストされています。これらのアドレスは、AMC で定義されているネットワークリソースと URL リソースのリストから取得されたものです。
