ポリシー デプロイメントに関するトラブルシューティング
内容
capamsc141
内容
ホストにポリシーを割り当てる場合、policyfetcher がデプロイメント タスクを取得し、ポリシー スクリプトを実行するまで、ポリシーは割り当てられたエンドポイント上にデプロイされません。したがって、エンドポイントでポリシーが転送されたりデプロイされたりするときに、さまざまな理由でデプロイ エラーが発生する可能性があります。
ポリシー デプロイメント エラーを解決するために、拡張ポリシー管理では以下のようなトラブルシューティング アクションが用意されています。これらのアクションは、
PAM Server Control
エンタープライズ管理または policydeploy ユーティリティを使用して実行できます。PAM Server Control
エンタープライズ管理では、トラブルシューティング アクションは[ポリシー管理]タブの[ポリシー]サブタブにあります。以下のようなトラブルシューティング アクションがあります。
- 再デプロイポリシー スクリプトを含むデプロイメント タスクを作成し、作成したタスクをエンドポイントにデプロイします。ポリシーのデプロイ時にエンドポイント上でエラーが発生する場合、つまり Selang ポリシー スクリプトの実行が失敗する場合は、このオプションを使用します。ポリシーを再度デプロイするには、デプロイのコマンド構文を修正するか、またはスクリプトを手動でデプロイ解除しておく必要があります。注:このオプションは、PAM Server Controlエンタープライズ コンソールでのみ使用できます。policydeploy ユーティリティではサポートされていません。
- デプロイ解除:ポリシーを対応するホストから割り当て解除せずに、指定されたエンドポイントからポリシーをデプロイ解除します。このオプションは、DMS 上のホストに割り当てられていないエンドポイントから任意のポリシーを削除するために使用します。注:policydeploy ユーティリティを使用して手動で指定されたエンドポイントに直接ポリシーをデプロイすることができます。PAM Server Controlエンタープライズ コンソールでは、DMS 上のホストに割り当てないポリシーの直接デプロイは利用できません。
- リセットエンドポイントをリセットし、指定したホスト上のすべての有効なポリシーをデプロイ解除します。PAM Server Controlはホスト ステータスをリセットし、デプロイ タスクを作成し、そのタスクをホストで実行するように送信することで、指定したホストの GPOLICY、POLICY、RULESET の各オブジェクトをすべて削除します。すべてのポリシー デプロイからエンドポイントをクリーンアップするには、このオプションを使用します。DMS 上のエンドポイントの状態もクリーンアップされます。注:監査に必要な場合があるため、このオプションでは DEPLOYMENT オブジェクトや GDEPLOYMENT オブジェクトはエンドポイントまたは DMS から 削除されません。dmsmgr -cleanup 機能を使用すると、エンドポイントをリセットした後に DEPLOYMENT オブジェクトと GDEPLOYMENT オブジェクトを削除することができます。エンドポイントをリセットした後、そのエンドポイントにポリシーを通常どおり割り当てることができます。
- Restore指定したホスト上のポリシーをすべてデプロイ解除します。次に、デプロイ タスクを作成し、そのタスクを実行するホストに送信することによって、ホスト上にデプロイする(アサインまたは直接デプロイする)必要のあるすべてのポリシーをデプロイします。このオプションは、エンドポイントにPAM Server Controlまたはオペレーティング システムを再インストールする場合、またはバックアップからエンドポイントをリストアする場合に、DMS で指定されているすべてのポリシーをエンドポイントに効果的に再デプロイするために使用します。このオプションは、DMS 上のエンドポイント ステータスを変更しません。
使用されなくなったエンドポイントの削除方法
DMS は企業に関する情報を格納します。コンピュータから
PAM Server Control
をアンインストールし、そのコンピュータを企業から撤去した場合でも、DMS はそのノードへの参照をまだ保持しています。定期的な保守手順として、これらの古いノードから DMS を消去する必要があります。古くなったノードを削除するには、以下のいずれかの操作を行います。
- DMS コンピュータ上で dmsmgr ユーティリティを実行して、定期的なクリーンアップを行います。dmsmgr -cleanup number_of_days -dms namenumber_of_daysPAM Server Controlノードが使用可能でなくなってからの期間の最小日数を定義します。
- DMS コンピュータ上で以下の selang コマンドを発行して、特定のノードを手動で削除することもできます。rr HNODE HNODE_name
ノードを削除すると、
PAM Server Control
は HNODE 関連のすべてのデプロイ タスクを削除し、デプロイメント タスクのパッケージをすべて削除し(ほかのデプロイメント タスク メンバが含まれていない場合)、その後にのみ HNODE オブジェクトを削除します。デプロイメント監査情報の表示
PAM Server Control
エンタープライズ管理ではポリシー デプロイメントの監査をサポートしています。この監査では、ポリシー デプロイメントおよびデプロイメント タスクの説明リストを表示できます。このリストには、各デプロイメント タスクのトリガ元と作成日時、必要とされたデプロイメント タイプが示されます。各デプロイメント タスクについて、さらに参照可能な詳細として、デプロイメント タスクが作成されたホストおよびポリシー ペア、デプロイされたポリシーのバージョン、デプロイメント タスクのステータス([キューに入っています]、[成功]、[失敗])、selang の出力(コマンドのデプロイ結果)などが挙げられます。以下の手順に従います。
- PAM Server Controlエンタープライズ管理で、以下の手順に従います。
- [ポリシー管理]をクリックします。
- [ポリシー]サブタブをクリックします。
- 左側のタスク メニューで、[デプロイメント]ツリーを展開します。[デプロイメント監査]タスクが使用可能なタスク リストに表示されます。
- [デプロイメント監査]をクリックします。[デプロイメント監査]ページが表示されます。
- デプロイメント監査の範囲を定義して、[移動]をクリックします。PAM Server Controlエンタープライズ管理は、定義された範囲内でデプロイに関する情報を取得し、しばらくしてから結果を表示します。
- (オプション)デプロイのトリガをクリックして、関連付けされたデプロイ スクについて詳細情報を表示します。