NetIQ iMonitorには、eDirectoryツリー内にあるすべてのサーバに対して、クロスプラットフォームの監視と診断を行う機能があります。このユーティリティを使用すると、Webブラウザを使用できるネットワーク上の場所ならどこからでもサーバを監視できます。
またiMonitorにより、eDirectory環境に対して、パーティション、レプリカ、またはサーバベースの詳細な管理が可能になります。また、実行しているタスクの種類、タスクの開始時間、結果、および実行時間を検証できます。
iMonitorは、NetIQが従来提供していたサーバベースのeDirectoryツール(DSBrowse、DSトレース、DSDiag、およびDSRepairの診断機能など)の多くに取って代わるものであり、Webベースで使用できます。このため、iMonitorの機能は主にサーバで動作することに重点を置いています。つまりeDirectoryツリー全体ではなく、個々のeDirectoryエージェント(ディレクトリサービスで実行しているインスタンス)の状態が、iMonitorの機能に対して重要な要素となります。
iMonitorには次のような機能があります。
eDirectoryヘルスサマリ
同期情報
認識されているサーバ
エージェントの環境設定
eDirectoryヘルスチェック
ハイパーリンク付きのDSトレース
エージェントの環境設定
エージェントアクティビティおよびVerb統計
Reports (レポート)
エージェント情報
エラー情報
オブジェクト/スキーマブラウザ
NetIQ Identity Manager監視
検索
パーティションリスト
エージェントプロセスのステータス
バックグラウンドプロセスのスケジュール
DSRepair
接続監視
iMonitorの情報は、次の要素に基づいて表示されます。
確立された識別情報
iMonitorで実行するすべての要求には、識別情報に基づくeDirectory権が適用されます。たとえば、[DSRepair]ページにアクセスするには、アクセスを行うサーバに対して、サーバの管理者またはコンソールオペレータとしてログインする必要があります。
監視しているeDirectoryエージェントのバージョン
新しいバージョンのNDSおよびeDirectoryには、以前のバージョンにはない機能とオプションがあります。
iMonitorに表示された情報から、ローカルサーバの状態が一目でわかります。
この章では次のトピックについての情報を説明します。
iMonitorを使用するには次のものが必要です。
NetIQ eDirectory 8.7.1以降
サポートされるWebブラウザ(Microsoft Internet Explorer、Firefoxなど)
iMonitorユーティリティは次のプラットフォームで動作します。
Windows 2000、および2003 Server (SSLなし)
Linux
Windowsでは、eDirectoryが実行されると、iMonitorは自動的にロードされます。LinuxでiMonitorをロードするには、ndsimonitor -lコマンドを使用します。また、/etc/opt/novell/eDirectory/conf/ndsimon.confファイルに[ndsimonitor]を追加して、eDirectoryサーバを開始する前にiMonitorを自動的にロードすることもできます。
iMonitorユーティリティは次のWebブラウザで動作します。
Microsoft IE 10以上
Firefox* 40以上
iMonitorを使用して監視できるNDSおよびeDirectoryのバージョンは次のとおりです。
Windows用のすべてのバージョンのNDSおよびeDirectory
Linux用のすべてのバージョンのNDSおよびeDirectory
iMonitorの実行ファイルがeDirectoryサーバで実行されていることを確認します。
Webブラウザを開きます。
アドレス(URL)のフィールドに、次の形式で入力します。
http://server's_TCPIP_address:httpstack_port/nds
たとえば、次のように入力します。
http://137.65.135.150:8028/nds
DNS名は、iMonitor内でサーバのIP、IPXアドレス、または識別名を使用できる箇所であればどこでも使用できます。たとえば、次のようなDNSが設定されているとします。
http://prv-gromit.provo.novell.com/nds?server=prv-igloo.provo.novell.com
これは、次の設定と同等です。
http://prv-gromit.provo.novell.com/nds?server=IP_or_IPX address
または
http://prv-gromit.provo.novell.com/nds?server=/cn=prv-igloo,ou=ds,ou=dev,o=novell,t=novell_inc
eDirectory HTTPSスタックが有効であれば、HTTPSを通してiMonitorを使用できます。
ユーザ名、コンテキスト、パスワードを指定します。例: login cn=admin.o=novell
すべての機能にアクセスするには、完全識別名を指定して管理者としてログインするか、管理者と同等のアクセス権でログインします。
[ログイン]をクリックします。
iMonitorの各ページは、ナビゲータフレーム、アシスタントフレーム、データフレーム、およびレプリカフレームの4つのフレームまたはセクションに分かれています。
図 8-1 iMonitorの各フレーム
ナビゲータフレーム: ページの上部にあります。このフレームには、データの読み込み元のサーバ名、ユーザの識別情報、および他の画面(オンラインヘルプ、ログイン、サーバポータルなどのiMonitorページ)にリンクするためのアイコンが表示されます。
アシスタントフレーム: ページの左側にあります。このフレームには、ナビゲーション用の項目(他のページへのリンクなど)、データフレームでのデータの検索に使用する項目、および表示されているページでのデータの取得や解釈に使用する項目が含まれます。
データフレーム: 上部にあるリンクをクリックすると、ローカルサーバに関する詳細情報が表示されます。Webブラウザがフレームをサポートしていない場合には、このページだけが表示されます。
レプリカフレーム: 現在表示されているレプリカを判別できます。またリンクを使用して、現在表示されている情報が、他のサーバやレプリカを基準としたときに、どのような状態になっているかを確認できます。表示したページに、要求したデータの他のレプリカが存在する場合、またはデータフレームに表示されている情報を別の状態で表示するレプリカが存在する可能性がある場合にのみ、レプリカフレームが表示されます。
NetIQ iMonitorには、ダイレクトモードと代理人モードという2種類の動作モードがあります。モードを切り替えるために環境設定情報を変更する必要はありません。モードはNetIQ iMonitorが自動的に切り替えますが、eDirectoryツリーのナビゲートを正しく効率的に行うために、これらのモードについて理解しておくことをお勧めします。
図 8-2 動作モード
ダイレクトモード: このモードが使用されるのは、WebブラウザがiMonitorの実行ファイルを実行しているマシン上のアドレスまたはDNS名を直接ポイントしていて、そのマシンのローカルeDirectory DIB上の情報だけを読み込んでいる場合です。
iMonitorの一部の機能はサーバ限定です。そのマシン上で動作しているiMonitorでのみ使用できます。サーバ限定の機能では、リモートからアクセスできないローカルAPIのセットを使用します。サーバ限定のiMonitorの機能には、DSトレース、DSRepair、および[バックグラウンドプロセスのスケジュール]ページなどがあります。ダイレクトモードの場合、すべてのiMonitor機能がローカルコンピュータから利用できます。
ダイレクトモードの主な特徴は次のとおりです。
サーバ限定の機能をすべて使用できます。
ネットワークの通信量が減少します(高速アクセスが可能)。
eDirectoryのバージョンに関係なく、プロキシによるアクセスも可能です。
代理人モード: このモードが使用されるのは、Webブラウザが、あるマシンで実行されているiMonitorをポイントしていて、同時に別のマシンから情報を集めている場合です。iMonitorでは、サーバ限定でない機能に対してはサーバ限定でない従来のeDirectoryプロトコルを使用するため、NDS 6.x以降の従来のバージョンのeDirectoryでも監視や診断の対象にできます。ただし、サーバ限定の機能では、リモートからアクセスできないAPIが使用されます。
プロキシモードが有効なときに、他のサーバの動作モードをダイレクトモードに切り替えることもできます。ただし、そのサーバのeDirectoryのバージョンでiMonitorがサポートされていることが条件です。プロキシによる情報収集対象のサーバ上でiMonitorが実行されている場合は、ナビゲータフレームに追加のアイコンボタンが表示されます。カーソルをこのアイコン上に移動すると、そのリモートサーバ上で実行されているリモートiMonitorへのリンクが表示されます。ただし、情報収集対象のリモートサーバで以前のバージョンのeDirectoryが実行されている場合は、このアイコンは表示されません。そのリモートサーバがiMonitorをサポートしているバージョンのeDirectoryにアップグレードされるまでは、そのサーバからの情報収集には常にプロキシを使用する必要があります。
プロキシモードの主な特徴は次のとおりです。
ツリー内のすべてのサーバでiMonitorを実行しなくても、iMonitorの機能の大部分を利用できます
1つのサーバをアップグレードするだけで済みます
1つのアクセスポイントでダイヤルインが可能です
iMonitor自体へのアクセスには低速なリンクを使用し、iMonitorからeDirectory情報へのアクセスには高速なリンクを使用できます
以前のバージョンのNDSの情報にアクセスできます
サーバ限定の機能は、iMonitorがインストールされているコンピュータ以外では使用できません
エージェントの要約、エージェント情報、エージェントの環境設定、トレースの環境設定、DSRepair、レポート、および検索の各ページには、ナビゲータフレームを使用することによってどのiMonitorページからでもリンクできます。その他、どのiMonitorページからでも、ログインしたり、NetIQサポートのWebページにリンクしたりできます。
ログイン/ログアウト: ログインしていない状態では、[ログイン]ボタンが有効になります。ログインしている間は[ログアウト]ボタンが表示され、ログアウトするとブラウザウィンドウが閉じます。ブラウザウィンドウがすべて閉じられるまではiMonitorセッションは開いたままになるため、再びログインする必要はありません。自分のログインステータスは、ナビゲータフレームに表示された識別情報を調べることによって、どのページからでも確認できます。
サポート接続リンク: ページ右上に表示されるNetIQのロゴは、NetIQサポート接続Webページへのリンクになっています。ここからNetIQのWebサイトに直接リンクして、最新のサーバパッチキット、更新データ、各製品に固有なサポート情報などを取得できます。
iMonitorに含まれる環境設定ファイルを使用すると、ユーティリティのデフォルトの動作や値を変更したり、設定することができます。
環境設定ファイルはテキストファイルで、必要な値が指定された環境設定パラメータタグが含まれています。このファイルは、Windows上ではiMonitorの実行可能ファイルと同じディレクトリ(通常NetIQ eDirectoryの実行可能ファイルと同じ場所)にあり、Linux上では/etcディレクトリにあります。
ndsimonの環境設定ファイルでは、トレースファイルの設定の変更、サーバへのアクセス制御、コンテナのリスト表示または検索結果を表示する際のオブジェクトの最大表示数の設定、およびアイドル状態が何分続くと接続がログアウトするかを指定できます。
サーバ |
設定ファイル |
---|---|
Windows |
install directory\novell\NDS\ndsimon.ini |
Linux |
/etc/opt/novell/eDirectory/conf/ndsimon.conf |
ndsimonの環境設定ファイルに設定するパラメータには、次のような2種類のグループがあります。
iMonitorの実行可能ファイル自体の実行方法に適用されるパラメータ
iMonitorの実行可能ファイルはロードされると、従来のHTTPポート80でリスンしようとします。このポートが使用中の場合、待機するポートを8028に切り替えます。ポート8008が使用中の場合は、iMonitorはさらにポートを切り替え、番号を2ずつ増やしながら(8010、8012など)8078に達するまで使用可能なポート番号を検索します。
SSLが設定され使用可能になっている場合も、同様のパターンでバインドが実行されます。この場合、最初にポート81がバインドされ、次に8009、8011、8013と続きます。
これにより、iMonitorと、同じサーバで実行しているWebサーバとの共存が可能になります。プラットフォームによっては、インストールされたWebサーバをロードする前にiMonitorをロードできます。また、iMonitorをバインドするポートを選択することもできます。通常のポートおよびSSLポートは、HttpPortパラメータおよびHttpsPortパラメータをそれぞれに使用して設定できます。
特定の機能またはページに適用されるパラメータ
iMonitorに付属する環境設定ファイルには、変更可能なパラメータのサンプルが含まれています。これらのパラメータの先頭にはシャープ記号(#)が付いています。これは、パラメータがコメントアウトされていることを示していて、iMonitorが環境設定ファイルを解析するときには、これらのパラメータは無視されます。付属する環境設定ファイルでは、これらのパラメータにはすべて、内部でバインドされたデフォルト値が使用されます。これらのパラメータを使用可能にする、またはパラメータを追加するには、行の先頭の「#」を削除します。
ndsimonhealthの環境設定ファイルでは、[エージェントヘルス]ページのデフォルト設定を変更できます。[エージェントヘルス]オプションを有効または無効にしたり、オプションのレポートレベルおよび範囲を設定したり、サーバのレポートレベルを設定できます。
サーバ |
設定ファイル |
---|---|
Windows |
install directory\novell\NDS\ndsimonhealth.ini |
Linux |
/etc/opt/novell/eDirectory/conf/ndsimonhealth.conf |
ndsimonhealthの環境設定ファイルに設定するオプションには、次のような3種類のオプションがあります。
オプションのみを有効または無効にする
オプションを無効にするには、オプションの前のシャープ記号(#)を削除し、コロン(:)の後ろにリスト表示されるすべてのレベルを「OFF」に置き換えます。これらのオプションのレポートレベルを設定するには、オプションの前の「#」文字を削除し、コロンの後ろにレポートレベルを追加します。有効なレベルは、WARN、MARGINAL、およびSUSPECTです。これらのオプションに入力できるレポートレベルは1つだけです。
設定の範囲を指定する一般オプション
これらのオプションでは、レポートレベルの設定を有効または無効にしたり、レポートレベルを設定したりできます。またレポートレベルの範囲の設定もできます。
これらのすべてのオプションのレポートレベルを設定するには、オプション名の後に-activeと記述し、その後ろに設定するレポートレベルを記述します。たとえば、time_deltaをアクティブに設定するには、環境設定ファイルに次の行を追加します。
time_delta-active: WARN
time_deltaを非アクティブに設定するには、環境設定ファイルに次の行を追加します。
time_delta-active: OFF
範囲を入力する場合、指定する範囲はこのレポートレベルを表示しない範囲です。
3つすべてのレポートレベルをアクティブにするオプションの設定方法、および範囲の設定方法については、次のtime_deltaの例を参照してください。この例では、-2~2の範囲外では少なくともmarginalのレベルが表示され、-5~5の範囲外では少なくともsuspectのレベルが表示され、-10~10の範囲外ではwarningのレベルが表示されます。
time_delta-active: WARN | SUSPECT | MARGINAL time_delta-Min_Warn: -10 time_delta-Min_Suspect: -5 time_delta-Min_Marginal: -2 time_delta-Max_Marginal: 2 time_delta-Max_Suspect: 5 time_delta-Max_Warn: 10
これらのオプションのヘルプを表示するには、iMonitorで次のURLを入力します。
http://XXX.XXX.XXX.XXX:PORT/nds/help?hbase=/nds/health/OPTION_NAME
XXX.XXX.XXX.XXX:PORTにはiMonitorがアクセスできるIPアドレスとポート、OPTION_NAMEにはヘルプ表示するオプション名(time_deltaなど)を入力します。
現在の設定レベルと範囲を表示するには、ブラウザを使用して表示するオプションを含むヘルスページへ進み、ブラウザのURL行の最後に次を追加します。
&op=setup
カスタム設定または複合設定が必要なオプション
設定できるレポートレベルには次の3種類があります。
WARNは、すぐにアップグレードする必要があるバージョンのeDirectoryを実行しているサーバを検出します。
SUSPECTは、アップグレードが望まれるバージョンのeDirectoryを実行しているサーバを検出します。
MARGINALは、最新バージョンではないeDirectoryを実行しているサーバを検出します。
これらのオプションは、サーバのバージョンが指定された許容範囲にあるかどうかのレポートレベルを設定します。
このセクションではiMonitorの機能について簡単に説明します。
iMonitorが持つ各機能の詳細については、オンラインヘルプの該当するセクションを参照してください。
[エージェントの要約]ページでは、同期設定、エージェントプロセスのステータス、データベースで認識されているサーバの総数など、eDirectoryサーバのヘルス情報を表示できます。
iMonitorで、[エージェントの概要] をクリックします。
次のオプションから選択します。
[エージェント同期の概要]では、レプリカの数とタイプ、およびこれらレプリカが正常に同期されてから経過した時間を表示できます。その他、レプリカのタイプ別にエラーの数を表示することもできます。表示できるレプリカまたはパーティションが1つだけの場合、見出しは「パーティション同期ステータス」になります。
[エージェント同期の概要]が表示されない場合、ユーザの識別情報に基づいて見れるレプリカがないということです。
[データベースで認識されているサーバ合計]では、ローカルデータベースが認識しているサーバのタイプと数、および各サーバが実行中であるかどうかを表示できます。
[エージェントプロセスステータス合計]では、エージェント上で実行されているプロセスのステータスを、管理者に依頼せずに自分で調べることができます。ステータス情報は問題や重要な情報が発生したときに記録されます。表示される表のサイズは、記録されているステータスの数によって異なります。
[エージェント同期]ページでは、パーティションの同期状態を表示できます。ページの左側のアシスタントフレームに一覧表示されているオプションから選択して、表示する情報を絞り込むこともできます。
iMonitorで、アシスタントフレームの[エージェント同期]をクリックします。
次のオプションから選択します。
[パーティション同期ステータス]では、パーティション、エラーの数、最終同期時刻、最大リングデルタを表示できます。
[パーティション]では、各パーティションの[レプリカ同期]ページへのリンクを表示できます。
[最終同期日時]では、サーバから個々のパーティションのレプリカをすべて同期できたときから経過した時間を表示できます。
[最大リングデルタ]では、リング内にあるすべてのレプリカに対して同期できない可能性があるデータ量を表示します。たとえば、ユーザが自分のログインスクリプトを変更してから30分が経過していない場合、最大リングデルタへの割り当てが45分であれば、このユーザのログインは正常に同期されないおそれがあります。その場合、このユーザがログインしようとすると以前のログインスクリプトを受け取ることになります。ユーザが45分以上前にログインスクリプトを変更している場合は、このユーザはすべてのレプリカから常に新しいログインスクリプトを受け取ることになります。
[最大リングデルタ]に[不明]が表示されている場合は、遷移同期ベクトルに不整合があり、レプリカ/パーティション操作が実行中などの理由で最大リングデルタを計算できないことを意味します。
特定のパーティションの破損通知プロセスステータスおよびキャッシュの変更回数を表示するには、そのパーティションのパーティションルートオブジェクトに移動します。次の3種類の破損通知のデータが表示されます。
OBIT_DEAD: オブジェクトが削除されるときに作成されます。
OBIT_NEWRDN: オブジェクトの名前が変更されるときに作成されます。
OBIT_MOVED: オブジェクトがある場所から別の場所に移されると作成されます。
オブジェクトが処理される過程で、4つの状態を経ます。オブジェクトはISSUED状態からPURGEABLE状態に移り、最終的にパージされます。4つの状態は次のとおりです。
ISSUED
NOTIFIED
OK_TO_PURGE
PURGEABLE
特定のオブジェクトに12種類の組み合わせがあります。これらの組み合わせは次のとおりです。
OBIT_DEAD_ISSUED
OBIT_DEAD_NOTIFIED
OBIT_DEAD_OK_TO_PURGE
OBIT_DEAD_PURGEABLE
OBIT_NEWRDN_ISSUED
OBIT_NEWRDN_NOTIFIED
OBIT_NEWRDN_OK_TO_PURGE
OBIT_NEWRDN_PURGEABLE
OBIT_MOVED_ISSUED
OBIT_MOVED_NOTIFIED
OBIT_MOVED_OK_TO_PURGE
OBIT_MOVED_PURGEABLE
これらの組み合わせのそれぞれに対して番号が表示されます。番号は、最後の破損通知処理サイクルが終了した時点で、その特定の状態にあるオブジェクトの合計数を示します。
変更キャッシュカウントは、現行サーバのパーティションの変更キャッシュに入っているオブジェクトの数を表します。以下の図に、そのパーティションの特定のパーティションルートオブジェクトについての破損通知カウントと変更キャッシュカウントを示します。
図 8-3 破損通知および変更キャッシュカウントの情報
[エージェント情報]ページでは、ローカルサーバの接続情報を表示できます。
iMonitorで、アシスタントフレームの[エージェント情報]をクリックします。
次のオプションから選択します。
[Ping情報]サーバからの通知先アドレスのセットに対して、iMonitorがIP Pingを送信したことを表示します。表示されるのは、応答があった場合です。
[DNS名]iMonitorがサーバによってサポートされているIPアドレスに対してアドレスの反転を試みたことを表示します。対応するDNS名が表示されます。
使用しているトランスポート、環境設定、およびプラットフォームによっては、この情報が表示されない場合もあります。
[接続情報]サーバの参照、タイムデルタ、一番ルート側のマスタレプリカ、およびレプリカ深さなどのサーバの情報を表示できます。
使用しているトランスポート、環境設定、およびプラットフォームによっては、この情報が表示されない場合もあります。
[サーバ照会]ローカルサーバへのアクセスに使用できるアドレスを一括して表示できます。
時刻同期は、最後に発行されたレプリカのタイムスタンプが現在の時刻より遅れない限り、合成時刻や未来の時刻を使用しないことを示します。
eDirectoryは、サーバの現在時刻に基づいてタイムスタンプを発行できる程度に時刻が同期されていることを想定しています。ただし、時刻同期プロトコルが同期状態にあることは保証されていません。
[タイムデルタ]iMonitorとリモートサーバの時刻の差を秒単位で表示できます。負の整数はiMonitorの時刻がサーバの時刻より進んでいることを意味します。正の整数はiMonitorの時刻がサーバの時刻より遅れていることを意味します。
[最もルートに近いマスタレプリカ]が表示されている場合、最上位のレプリカつまりネーミングツリーのルートに最も近いレプリカがマスタレプリカであることを意味します。
[レプリカ深さ]最上位レプリカの深さ(最上位レプリカとツリーのルートの間のレベル数)を表示します。
[認識サーバ]のリストには、ソースサーバのデータベースが認識しているすべてのサーバがリストされます。フィルタ条件を指定して、データベースで認識されているすべてのサーバまたはレプリカリング内のすべてのサーバのリストを表示できます。サーバの横にアイコンが表示された場合、そのサーバはレプリカリングのメンバーです。
iMonitorで、アシスタントフレームの[認識サーバ]をクリックします。
次のオプションから選択します。
[エントリID]ローカルサーバのオブジェクト識別子を表示します。エントリIDは、複数のサーバ間で共用することはできません。
[NDSリビジョン]通信相手のサーバにキャッシュまたは保存されているeDirectoryビルド番号またはNDSバージョンを表示します。
[ステータス]サーバのステータス(稼動中、停止中、不明)を表示します。通信相手のサーバのステータスが不明となっている場合、過去にこのサーバと通信する必要がなかったことを表します。
[最終更新時刻]該当するサーバが相手サーバと最後に通信を試みて、その相手サーバが停止中であることを検出したときの時刻を表示します。このカラムが表示されない場合は、すべてのサーバが稼働中であることを意味しています。
[パーティション]ページでは、通信相手のサーバ上にあるレプリカに関する情報を表示できます。ページの左側のアシスタントフレームに一覧表示されているオプションから選択して、表示するページの情報を絞り込むことができます。
[Server Partition Information]では、該当するサーバのパーティションについての情報(エントリID、レプリカステータス、パージ時間、最終変更時刻など)を表示できます。
[パーティション]サーバのパーティションのTreeオブジェクトに関する情報を表示できます。
[パージ時間] すべてのレプリカが削除を認識しているためにすでに削除されたデータを、データベースから削除できる時間を示します。
[最終変更時刻]このレプリカのデータベースに書き込まれたデータの、最後に発行されたタイムスタンプを表示できます。これにより、将来の時刻が設定されていないかどうか、および合成時刻が使用されていないかどうかを確認できます。
[レプリカ同期]パーティションに対応する[レプリカ同期サマリ]ページを表示できます。[レプリカ同期]ページには、パーティション同期ステータスとレプリカステータスについての情報が表示されます。また、パーティションとレプリカのリストを表示することもできます。
[エージェント環境設定]ページでは、DSエージェントの制御および環境設定ができます。このページで利用できる機能は、現在の識別情報に基づく権利および使用しているeDirectoryのバージョンによって異なります。
iMonitorで、[エージェント環境設定]をクリックします。
次のオプションから選択します。
[エージェント情報]ローカルサーバの接続情報を表示できます。
[パーティション]通信しているサーバ上にあるレプリカを表示できます。
[レプリケーションフィルタ]指定したeDirectoryエージェントに対して設定されたレプリケーションフィルタを表示できます。NDS eDirectory 8.5 (ビルドバージョン85.xx)は、「フィルタ済みレプリカ」と呼ばれる機能を初めて実装したeDirectoryバージョンです。フィルタ済みレプリカの使用と設定方法の詳細については、「フィルタ済みレプリカ」を参照してください。
[エージェントトリガ] バックグラウンドプロセスを開始します。エージェントトリガは、機能的にはSET DSTRACE=*optionコマンドと同じです。
[バックグラウンドプロセス処理設定]特定のバックグラウンドプロセスを実行する時間間隔を変更します。バックグラウンドプロセスの設定は、機能的にはSET DSTRACE=!optionコマンドと同じです。
[エージェント同期]インバウンド同期やアウトバウンド同期を無効または有効にします。同期を無効にする期間(単位は時間)を指定できます。
[データベースキャッシュ]DSデータベースエンジンが使用するデータベースキャッシュのサイズを設定します。提供されるさまざまなキャッシュ統計情報により、適切な量のキャッシュが利用可能であるかを判断できます。十分なキャッシュがないと、システムのパフォーマンスが悪化する原因となります。
[ログイン設定]では、ユーザのログイン時にeDirectoryがログイン属性を更新するかどうかを指定できます。次のオプションは、ユーザがログインする時のeDirectoryの応答方法を制御します。
[ログイン更新の遅延]は、更新の時間間隔(秒)を指定します。例えば、1人または複数のユーザが遅延の間にログインした場合、eDirectoryはすべての変更をキューに追加します。遅延が終了すると、eDirectoryはキューにあるすべての変更を適用します。
[ログイン更新無効間隔]は、特定のユーザのログイン属性が更新されない時間間隔(秒)を指定します。標準的な間隔は3600秒(1時間)です。例えば、ユーザが午前8時に初めてログインした場合、eDirectoryは属性を更新し、そこから間隔が開始します。ユーザが午前9時前に再びログインした場合、eDirectoryは属性を更新しません。デフォルトは0です。無効間隔は設定されていません。
[トレースの環境設定]ページの情報にアクセスするには、サーバの管理者と同等の権利またはコンソールオペレータの権利が必要です。このページの情報にアクセスするには、その前に、資格情報を検証できるよう、ユーザ名とパスワードを入力する必要があります。
[トレースの環境設定]ページでは、トレースを設定できます。NetIQ iMonitorのDSTraceは、サーバ限定機能です。つまり、この機能はiMonitorが動作しているサーバ以外からは起動できません。他のサーバで実行されているこの機能にアクセスするには、そのサーバで実行されているiMonitorに切り替える必要があります。
iMonitorで、[トレースの環境設定]をクリックします。
次のオプションから選択します。
[更新]トレースオプションおよびトレース行プリフィックスに変更を送信できます。DSトレースがオフになっている場合は、[オン]をクリックしてDSトレースをオンにします。DSTraceがすでにオンになっている場合は、[更新]をクリックして現在のトレースに変更内容を送信します。
[オン]/[オフ] DSトレースをオンまたはオフにします。ボタン上に表示される文字列は、DSトレースが現在オンかオフかによって異なります。DSTraceがオンになっている場合、ボタンには[オフ]というテキストが表示されます。DSトレースのオンとオフを切り替えるには、このボタンをクリックします。DSTraceがオフになっているときに[オン]をクリックした場合の動作は、[更新]をクリックした場合と同じです。
[トレース行プレフィックス]このオプションを使用すると、トレース行の先頭に追加するデータを選択することができます。
[DSトレースオプション]トレースを開始したローカルDSエージェント上のイベントに対して適用されます。[DSトレースオプショ]ンを使用すると、エラーと潜在的な問題、およびローカルサーバ上のeDirectoryに関する情報を表示できます。[DSトレースオプション]をオンにすると、CPUの負荷が増え、システムのパフォーマンスが低下します。このため、DSトレースオプションは診断のみに使用して、通常はオフにします。DSトレースオプションは、SET DSTRACE=+optionコマンドと機能的には同じですが、使いやすさの点では優れています。
[イベント環境設定]DSトレースで監視のために有効または無効にするeDirectoryイベントオプションをリスト表示します。イベントシステムは、オブジェクトの追加、削除、属性値の変更など、ローカルな操作に対してイベントを生成します。個々のイベントタイプ対して、そのイベントタイプに固有の情報が含まれた構造が返されます。
[トレース履歴] 以前に実行したトレースのリストを表示できます。各トレースログは、トレースデータの収集期間によって識別されます。
[トレーストリガ]DSトレース内で、指定したDSエージェント情報を表示するために設定する必要があるフラグを表示できます。トレーストリガを有効にした場合、トレースに書き込まれる情報の量が多くなります。NetIQサポート部門からの指示があった場合にのみ、トレーストリガを有効にすることをお勧めします。
[オン]をクリックしてDSTraceをオンにし、変更内容を送信します。
または[トレースライブ]をクリックして、iMonitorでDSトレースを表示します。
[エージェントプロセスのステータス]ページでは、バックグラウンドプロセスのステータスに関するエラーと発生した各エラーの詳細情報を表示できます。ページの左側のアシスタントフレームに一覧表示されているオプションから選択して、このページに表示する情報を絞り込むことができます。
iMonitorで、アシスタントフレームの[エージェントプロセスのステータス]をクリックします。現在、バックグラウンドプロセスのステータスで報告される情報には、次のものが含まれます。
スキーマの同期
破損通知処理
外部参照/DRL
リンバ
[Repair]
[エージェントアクティビティ]ページでは、トラフィックパターンや考えられるシステムボトルネックを調べることができます。このページでは、現在eDirectoryで処理されているバーブおよび要求が表示されます。また、これらのうち、データベースへの書き込みのためにDIBロックを取得しようとしている要求がどれかを特定したり、DIBロックの取得待機中の要求数を調べることもできます。
NetIQ eDirectory 8.6以降のバージョンを実行しているサーバを表示すると、パーティションのリスト、およびナビゲータフレームで指定したサーバが含まれるレプリカリングに参加しているサーバも表示されます。NetIQ eDirectory 8.6を導入すると、同期処理はシングルスレッドではなくなります。eDirectory 8.6以降のバージョンのサーバは、1つ以上のレプリケーションパートナーに複数のパーティションを同時に発信する可能性があります。このため、このような並行同期処理の監視がさらに容易になるよう、[同期アクティビティ]ページが作成されています。
iMonitorで、アシスタントフレームの[エージェントアクティビティ]をクリックします。
次のオプションから選択します。
[Verb Activity and Statistics(バーブアクティビティおよび統計情報)]eDirectoryの最後の初期化以降に呼び出されたバーブの総数や発行された要求の数をリアルタイムで表示できます。また、現在アクティブになっている要求の数と、これらの要求を処理するための最小、最大、および平均時間(ミリ秒単位)も表示されます。
[Synchronization Current and Schedule(現在同期およびスケジュール)]インバウンド同期およびアウトバウンド同期が発生したさまざまな時刻のリストを表示します。インバウンド同期またはアウトバウンド同期が現在実行中の場合、プロセスが実行中であること、そのサイクルが開始された時刻、およびそのプロセスを実行しているサーバを示すアイコンも表示されます。
インバウンド同期およびアウトバウンド同期が無効になっている場合は、現在同期が無効であることおよび再び有効になる予定の時刻を示すアイコンが表示されます。アウトバウンド同期では、次に再び有効になる予定時刻も表示されます。
イベント現在アクティブな状態にあるイベント、イベントハンドラの統計情報、イベント統計情報の概要、および呼び出された現在のイベント権利機能のリストを表示できます。
[バックグラウンド処理スケジュール]スケジュールされているバックグラウンド処理、その現在の状態、および再実行のスケジュールを表示できます。
[Verb統計]ページでは、トラフィックパターンや考えられるシステムボトルネックを調べることができます。このページでは、eDirectoryの最後に初期化されてから呼び出されたバーブの総数や発行された要求の数がリアルタイムで表示されます。その他、これら要求のうち現在アクティブなものの数や、これら要求の処理にかかる時間の最大値、平均値、最小値(それぞれミリ秒単位)も表示できます。バックグラウンドプロセス、バインダリ、および標準eDirectory要求が追跡されます。
このページを以前のバージョンのeDirectoryで表示すると、eDirectory 8.5以降で表示する場合より情報量が少なくなります。
[バックグラウンド処理スケジュール]ページでは、スケジュールされているバックグラウンドプロセスを、現在の状態と次回の実行予定時刻とともに表示できます。NetIQ iMonitorのバックグラウンド処理スケジュールは、サーバ中心の機能です。つまり、この機能はiMonitorが動作しているサーバ以外からは表示できません。他のサーバで実行されているバックグラウンド処理スケジュール機能にアクセスするには、そのサーバで実行されているiMonitorに切り替える必要があります。eDirectory 8.5以降のバージョンにアップグレードしたサーバの数が増えれば、iMonitorのサーバ中心の機能がさらに使えるようになります。その他のサーバ限定機能には、[DSトレース]ページおよび[DSRepair]ページなどがあります。
[バックグラウンド処理スケジュール]ページの情報にアクセスするには、サーバの管理者と同等の権利またはコンソールオペレータの権利が必要です。このページの情報にアクセスするには、資格情報の確認のためにログインする必要があります。
管理者はiMonitorの[バックグラウンドプロセスの設定]ウィンドウで次のいずれかのバックグラウンドプロセス遅延設定ポリシーを設定することで、バックグラウンドプロセスサイクルの実行時間を短縮することができます。
CPU
ハードメモリ制限
パージャ処理遅延
バックグラウンドプロセスを設定するには、次の手順に従います。
iMonitorにログインします。
[エージェント環境設定]>[バックグラウンドプロセスの設定]の順に選択します。
[バックグラウンドプロセス遅延設定(ミリ秒)]セクションまでスクロールダウンし、遅延間隔を0秒から100ミリ秒までの任意の値に設定します。
デフォルトでは、3つすべてのプロセスのスリープ時間を100秒に設定した[ハード制限]ポリシーが有効になっています。
または
[CPU Policy]を選択し、必要に応じて適切に設定します。
デフォルトでは、[最大CPU使用率]パラメータが80%に設定され、[遅延上限]が100ミリ秒に設定されています。
[パージャ間隔]フィールドに、遅延間隔を入力します。
デフォルトでは、30分に設定されています。この値は、要件に合わせて変更できます。
[エラー索引]ページでは、eDirectoryサーバ上で検出されたエラーについての情報を表示できます。検出されたエラーは、eDirectory固有のエラー、および関連のあるその他のエラーの2つのフィールドに分けて表示されます。表示されるエラーのそれぞれに説明がハイパーリンクされていて、エラーの内容、考えられる原因、回復手段などがわかります。
iMonitorで、アシスタントフレームの[エラー索引]をクリックします。
[エラー索引]ページからは、エラーや技術情報に関してNetIQが提供している最新のドキュメントやホワイトペーパーにリンクできます。
[DSRepair]ページでは、検出された問題を表示したり、DIBセットのバックアップやクリーンアップを実行できます。NetIQ iMonitorのDSRepairは、サーバ中心の機能です。つまり、この機能はiMonitorが動作しているサーバ以外からは起動できません。他のサーバで実行されているDSRepair情報にアクセスするには、そのサーバで実行されているiMonitorに切り替える必要があります。eDirectoryの新しいバージョンにアップグレードしたサーバの数が増えれば、iMonitorのサーバ中心の機能がさらに使えるようになります。この機能以外には、[DSトレース]ページや[バックグラウンド処理スケジュール]ページなどがサーバ限定の機能です。
[DSRepair]ページの情報にアクセスするには、サーバの管理者と同等の権利またはコンソールオペレータの権利が必要です。このページの情報にアクセスするには、資格情報の確認のためにログインする必要があります。
iMonitorで、[DSRepair]をクリックします。
次のオプションから選択します。
[ダウンロード]ファイルサーバから修復関連のファイルを取得できます。DSRepairユーティリティが実行中の場合や、iMonitorの[DSRepair]ページから修復を開始した場合には、操作が完了するまではdsrepair.logにアクセスできません。
[古いDIBセットを削除]では、赤い[X]をクリックすることで古いDIBセットを削除できます。
警告:この操作は元に戻すことができません。このオプションを選択すると、古いDIBセットがファイルシステムからパージされます。
[DS Repair拡張スイッチ]問題の修正、問題のチェック、データベースのバックアップ作成などを実行できます。NetIQサポート部門から指示がない限り、[サポートオプション]フィールドに情報を入力する必要はありません。
[修復の開始]をクリックして、サーバ上でDS Repairを実行します。
[エージェントヘルス]ページでは、指定したeDirectoryエージェントのヘルス情報およびそのエージェントに関連するパーティションおよびレプリカリングを表示できます。
iMonitorで、アシスタントフレームの[エージェントヘルス]をクリックします。
リンクをクリックすると、詳細な情報が表示されます。
[参照]ページでは、ユーザのツリー内にある任意のオブジェクトを参照できます。ページ最上部のナビゲーションバーには、表示中のオブジェクトが存在するサーバ、およびオブジェクトへのパスが表示されます。ページの左側にある[レプリカ]フレームでは、実パーティション上にある同じオブジェクトを表示またはアクセスできます。ページ内の下線付きオブジェクトをクリックすると、オブジェクトに関する詳しい情報が表示されます。また、ナビゲータフレーム内にある名前の任意の一部分をクリックすると、ツリーの上の階層を参照できます。
このページに表示される情報は、ログイン時のeDirectory権、参照するオブジェクトのタイプ、および実行しているNDSまたはeDirectoryのバージョンによって異なります。スーパーバイザ権でログインした場合、このページにはXRefオブジェクトが表示されます。レプリカリストを使用して、レプリカの実コピーへジャンプできます。ダイナミックグループのオブジェクトを参照している場合、ダイナミックメンバーに対してタイムスタンプは表示されません。
[レプリカ同期]このオブジェクトを含むレプリカの同期ステータスを表示します。
[エントリ同期]サーバ側から見て同期が必要である属性を表示します。
[接続情報]iMonitorがこのオブジェクトの情報をどこで取得したかが表示されます。
[エントリ情報]オブジェクトの名前、フラグ、ベースクラス、変更タイムスタンプ、および接続情報のサマリを表示します。
[すべてのレプリカにエントリを送信]このエントリの属性を他のすべてのレプリカに再送信します。オブジェクトに多数の属性値がある場合、この処理には時間がかかることがあります。この処理では、そのオブジェクトの、他のすべてのコピーが同一になるわけではありません。他のレプリカが各属性を再考慮できるようにするだけです。
[すべて送信](参照しているオブジェクトがパーティションルートの場合および[カスタムモード]オプションが有効になっている場合のみ表示されます)。このパーティション内のすべてのエントリを、パーティションのレプリカを保持しているすべてのサーバに再送信します。この処理では、そのオブジェクトの、送信されたすべてのコピーが同一になるわけではありません。他のレプリカが各オブジェクトとその属性を再検討できるようにするだけです。
[変更キャッシュ]ページでは、同期またはパージにおいてこのサーバが検討する必要のあるエンティティのリストを表示できます。このオプションを使用できるのは、ユーザがアクセスしているサーバがeDirectory 8.6以降を実行しており、また、表示中のオブジェクトがパーティションルートである場合だけです。このページを表示するには、eDirectoryサーバに対するスーパバイザ権が必要です。
[エントリ同期]エントリが同期を必要とする理由を判別できます。
メモ:iMonitorの[キャッシュの変更]ページには、限られた数のオブジェクトだけが表示されます。サーバ上の特定のパーティションまたはすべてのパーティションの、変更キャッシュに入っているすべてのオブジェクトを表示するには、[レポート]ページで[変更キャッシュのダンプ]レポートを実行します。iMonitorのレポートの設定および実行方法の詳細については、レポートの設定と表示を参照してください。
[DirXMLの概要]ページでは、ユーザのサーバで実行中のすべてのDirXMLドライバ、各ドライバのステータス、保留中の関連付け、およびドライバの詳細のリストを表示できます。
iMonitorで、[DirXMLの概要]をクリックします。
次のオプションから選択します。
[ステータス]指定したドライバの現在の状態を表示します。表示されるステータスは、[停止]、[開始します]、[稼働中]、[シャットダウン保留中]、および[スキーマ取得中]です。
[起動オプション]選択したドライバの現在の起動オプションを表示します。
[保留中]まだ作成されていない関連付けの数を表示します。
[ドライバ詳細]アイコンは、ユーザのサーバで実行中のDirXMLドライバに関する、加入者および発行者の詳細、XMLルール、フィルタ、および保留中の関連付けリストを表示します。このページには、最初の50個の保留中オブジェクトに関する詳細も表示されます。このページに表示されるXMLルールを使用すると、指定したDirXMLドライバに対するオブジェクトの作成を続行するために必要な、保留中のオブジェクト内で検索すべき情報を判断できます。
[レプリカ同期]ページでは、レプリカの同期ステータスを表示できます。
iMonitorで、アシスタントフレームの[エージェント同期]をクリックします。
表示するパーティションの[レプリカ同期]をクリックします。
このページにあるリンク、および左側のナビゲーションバーにあるリンクを使用すると、他のパーティションにアクセスしたり、レプリカリング内でジャンプすることができます。
[レポート]ページでは、このサーバで直接実行されているレポートを表示および削除できます。一部のレポートでは、実行に長時間を要し、多くのリソースを消費する場合があります。
スケジュールされたレポートは、[パブリック]識別情報を使用して、ユーザ認証なしで実行されます。ユーザが実行するレポートはすべて、ユーザの権利で直接実行されます。すべてのレポートデータは、レポートを実行したサーバに保管されます。デフォルトでは、iMonitorはオペレーティングシステムに応じて次のディレクトリにレポートデータを格納します。
プラットフォーム |
ディレクトリ |
---|---|
Windows |
C:\Novell\NDS\ndsimon\dsreports\ |
Linux |
/var/opt/novell/eDirectory/data/dsreports |
[レポートの環境設定]ページでは、事前に設定されたレポート、カスタムレポート、およびスケジュール設定されたレポートのリストを表示できます。このページを使用して、レポートを変更および実行できます。また、iMonitorページ用のカスタムレポートの作成もできます。次の表に、iMonitorに含まれている事前設定のレポートを示します。
レポート |
説明 |
---|---|
サーバ情報 |
ツリー全体を調べて、検索可能な各NCPサーバと通信し、検知したすべてのエラーをレポートします。このレポートを使用して、時刻同期およびLimberの問題を診断できます。また、現在のサーバ自体が他のすべてのサーバと通信可能であるかどうかも知ることができます。環境設定ページで選択されている場合、このサーバはツリー内にある各サーバのNDSエージェントヘルス情報を生成することもできます。 |
破損通知リスティング |
このサーバ上のすべての破損通知を表示します。 |
オブジェクト統計情報 |
オブジェクトを指定したスコープで調べて、要求される条件に一致したオブジェクトのリストを生成します。この条件には、将来の時刻、不明なオブジェクト、名前が変更されたオブジェクト、ベースクラス数、コンテナ、別名、外部参照などがあります。 |
変更キャッシュのダンプ |
サーバ上の選択されたパーティションまたはすべてのパーティションの変更キャッシュにあるすべてのオブジェクトをリストします。このレポートは、サーバ間で同期する必要がある属性や値と共に、変更キャッシュにあるオブジェクトのXMLダンプも生成します。レポートには、変更キャッシュに含まれている、すべてのオブジェクトの分析に関する情報が示されます。 メモ:iMonitorが変更キャッシュダンプを格納する場所は、上記の表にリストされている実際の変更キャッシュダンプレポートを格納するディレクトリと同じです。 |
サービスアドバタイジング |
SLPまたはSAPを使用して現在のサーバに認識されている、すべてのディレクトリとサーバを表示します。 |
エージェントヘルス |
現在のサーバのヘルス情報を収集します。 |
値数 |
指定した値より値数が多い属性を持つオブジェクトのリストを生成します。 |
iMonitorで、[レポート]をクリックします。
レポートを削除するには、 をクリックし、レポートを表示するには をクリックします。
iMonitorで、[レポート]>[レポート設定]の順にクリックします。
をクリックしてレポートを実行します。
iMonitorで、[レポート]>[レポート設定]の順にクリックします。
をクリックし、レポートを設定およびスケジュールします。
目的のオプションを選択し、[デフォルトの保存]をクリックして選択したオプションを保存します。
(オプション)レポートが定期的に、または後で実行されるように設定します。
レポートの頻度、開始時刻、および開始日を指定します。
[スケジュール]をクリックします。
[レポートの実行]をクリックしてレポートを開始します。
カスタムレポートを作成すると、iMonitorの任意のページをレポートとして起動できます。
iMonitorで、[レポート]>[レポート設定]の順にクリックします。
[実行可能レポート]リストで、[カスタムレポート]をクリックします。
レポートの名前を入力し、レポートとして起動するiMonitorページのURLを入力します。
カスタムレポートを実行する場合は、次のURLを入力します。
/nds/required page
[保存されるレポート]フィールドに、保持または保存するレポートのバージョンの数を指定します。
(オプション)[保存]をクリックしてレポートを保存します。
(オプション)レポートが定期的に、または後で実行されるように設定します。
レポートの頻度、開始時刻、および開始日を指定します。
[スケジュール]をクリックします。
[レポートの実行]をクリックしてレポートを開始します。
[スキーマ]ページでは、ユーザのスキーマ、クラス、および属性の定義を表示できます。すでに作成されている拡張や特定のスキーマに固有の情報(スキーマに行った変更や拡張など)を添付して、ツリー上にロードされているスキーマを表示できます。
iMonitorで、アシスタントフレームの[スキーマ]をクリックします。
次のオプションから選択します。
[同期リスト]このサーバと同期する相手のサーバを表示します。このオプションは、NDS eDirectory8.5以降を実行しているサーバに対してのみ使用できます。この情報を表示するには、サーバに対するスーパーバイザ権が必要です。
[スキーマルート]ツリーのルートに最も近いスキーマレプリカに関する情報を表示します。
各eDirectoryサーバには、エントリ内のスキーマのレプリカが保存されています。スキーマレプリカは、ディレクトリオブジェクトを格納しているパーティションから分割されて保存されます。任意のスキーマレプリカへの変更内容は、すべてのレプリカに伝えられます。スキーマの変更は、ルートパーティションの書き込み可能なレプリカを保存するサーバを通してのみ実行できます。ルートパーティションの読み込み可能なレプリカを保存しているサーバは、スキーマ情報を読み込むことはできますが、変更はできません。
属性定義各属性の名前、属性値が含まれる構文、および属性が受ける制約がリストされます。左側のナビゲーションフレームを使用すると、個々の属性を参照したり、それらにアクセスすることができます。
クラス定義各クラスの名前、ルール、および属性がリストされます。左側のナビゲーションフレームを使用すると、個々の属性を参照したり、それらにアクセスすることができます。
[検索]ページでは、さまざまなクエリオプションおよびフィルタに基づいて、オブジェクトを検索できます。検索クエリオプションおよびフィルタは、基本フォームとカスタムフォームという2つのレベルの検索要求フォームに分けられます。基本検索要求フォームは、eDirectoryの一般ユーザ向けであり、基本的な検索に使用します。カスタム検索要求フォームは、熟練ユーザ向けであり、複雑な検索に使用します。現在はサーバレベルの検索のみがサポートされています。
4つのセクション内の検索オプションおよび検索フィルタは、すべて結合可能です。空白フィールド(相対識別名を除く)は無視されます。<Ctrl>キーを使用して、マルチリスト上でアイテムを選択解除したり、複数のアイテムを選択することができます。選択解除したマルチリストも無視されます。
NetIQ iMonitorで、[検索]をクリックします。
次のオプションから選択します。
[スコープオプション]検索のスコープを指定できます。
[エントリフィルタ]エントリ情報に関連する検索クエリフィルタを指定できます。
[属性と値のフィルタ]属性および値に関連する検索クエリフィルタを指定できます。
[表示オプション]検索結果の表示形式を制御するオプションを指定できます。
メモ:[表示オプション]設定を使用できるのは、[詳細]をクリックしてすべての[高度な検索]オプションを表示している場合のみです。
検索要求フォームの一番下にある[ヘルプ]ボタンをクリックすると、そのフォームに関連する簡潔なヘルプ情報が表示されます。
ヘルプ情報をクリアするには、[再ロード]または[リフレッシュ]をクリックします。
[ストリームビューア]ページでは、次の形式で現在のストリームを表示できます。
プレーンテキスト
HTML
GIF
JPEG
BMP
WAV
16進ダンプ
その他
特定の形式で常に表示したいストリーム属性がある場合、[ストリームビューア]を使用してデフォルトの表示設定を選択します。
[NDSストリーム属性セットアップ]ブラウザでストリームを表示するためのデフォルトの形式を変更します。ストリームが正しく表示されるかどうかはブラウザに依存します。ブラウザによっては、ユーザが選択した設定が適用されない場合があります。
デフォルト設定に加えた変更を適用するには、ユーザがサーバに認証される必要があります。変更内容はstreams.ini (Windowsサーバの場合)またはstreams.conf (Linuxサーバの場合)に保存されます。デフォルトの設定を手動で編集することもできます。
このオプションでは、1つのサーバ(ソースサーバ)に保存されているeDirectoryデータベースのDIBファイルセットを完全に複製できます。DIBクローンは、ツリー内のすべてのマスタレプリカが保持されているソースサーバから複製する必要があります。クローンは別のサーバ(ターゲットサーバ)に配置することができます。ターゲットサーバがeDirectoryを開始すると、サーバはDIBファイルセットをロードし、サーバオブジェクトのマスタレプリカに接続し、名前を解決し、クローン作成後に行われたDIBファイルセットのすべての変更を同期します。
eDirectory DIBセットのクローンは、クローンを作成したサーバのオペレーティングシステムと同じオペレーティングシステムが稼働するサーバ上にだけ配置する必要があります。たとえば、DIBファイルセットのクローンをLinuxサーバに復元する場合は、WindowsサーバではなくLinuxサーバでクローンを作成します。
この機能のバックエンドはeDirectory 8.7に搭載されていましたが、eDirectory 8.7.1でiMonitor 2.4以降が稼働するようになるまでサポートされていませんでした。このオプションは、バージョンが8.7以前のNetIQ eDirectoryやNDSでは使用できません。
図 8-4 iMonitorの[DIBセットのクローン]ページ
このセクションでは、次の情報を紹介します。
DIBセットのクローンは次のような場合に使用します。
すでに「オン」の状態になっているパーティションで新しいサーバを作成します。
次の利点があります。
レプリカリングに新しいサーバを追加する際に、リング内のすべてのサーバが稼動中または実行中である必要がありません。
新しいサーバは自動的にすべてのパーティションを保持しますが、同期する必要はありません。
すばやく処理できます。
障害回復
長所 |
短所 |
---|---|
|
|
バックアップおよび復元
長所 |
短所 |
---|---|
|
|
このような欠点があるため、バックアップ処理および復元処理のためにDIBセットのクローンを使用することはお勧めできません。
DIBファイルセットのクローンは、元のサーバでオンラインまたはオフラインのいずれでも作成できます。オフラインで行う場合は、eDirectoryを停止させておく必要があります。オンラインモードで、eDirectoryは稼働状態になり、ロックされません。
警告:別のサーバのクローンを作るために、識別情報管理サーバでDibcloneユーティリティを使用しないでください。これを行うと、クローンのサーバに不要なTAOファイルが生成されてしまいます。
dscloneモジュールをソースサーバにロードします。
プラットフォーム |
スキーマを拡張するには、次の操作を行います。 |
---|---|
Windows |
NDSCons.exeでdsclone.dllを選択し、[開始]をクリックします。 |
Linux |
ndsmodules.confファイルに「ndsclone」エントリを追加し、http://IP address:port/dhostページを使用してDirectory Clone Agentをロードします。 |
DIBクローンプロセスをソースサーバで開始する前に、iMonitorの[エージェント環境設定]ページで、インバウンド同期を無効にします。
DIBファイルセットのクローンを作成します。
iMonitorで、DIB環境設定のクローンを実行します。
[エージェント環境設定]>[DIBセットのクローン]>[新しいクローンの作成]の順にクリックします。
ターゲットサーバの完全修飾名と、DIBファイルのクローンが配置される場所のファイルパスを指定してから、[クローンオブジェクトの作成]チェックボックスと[DIBをオンラインでクローン]チェックボックスをオンにします。
ターゲットサーバのNCPサーバ名(クローンオブジェクト)は、ターゲットサーバの名前と一致させる必要があります。
送信をクリックします。
NDSクローンオブジェクトが作成され、DIBファイルセットが指定された配置先にコピーされます。
クローンのDIBファイルセットをターゲットサーバのDIBディレクトリに移動します。
さらに、Linuxシステムの場合は、/etc/opt/novell/eDirectory/conf/nds.confファイルをターゲットサーバに転送し、このファイルに含まれるソースサーバへのすべての参照をターゲットサーバの名前で更新します。
eDirectoryをインストールし、ターゲットサーバ上でサーバを起動します。ターゲットサーバを停止して、古いDIBファイルセットを削除します。クローンのDIBファイルセットが格納されているDIBディレクトリをターゲットサーバにコピーしてから、ターゲットサーバを起動します。
ターゲットサーバオブジェクトのマスタレプリカがeDirectoryを実行していて、使用可能になっていることを確認します。ターゲットサーバ上でeDirectoryが初期化されると、eDirectoryはターゲットサーバの最終的な名前が解決できるマスタレプリカと通信を行います。
ターゲットサーバのレプリカ属性値が、すべてのサーバと同期されていることを確認します。すべてのサーバで属性の変更が適用されたら、ソースサーバのインバウンド同期を再び有効にします。インバウンド同期は、iMonitorの[エージェント環境設定]ページまたはDSTraceで有効にできます。
eDirectoryの環境設定を完了するには、eDirectoryの設定を完了するを参照してください。
DIBファイルセットのクローンを作成します。
iMonitorで、DIB環境設定のクローンを実行します。
[エージェント環境設定]>[DIBセットのクローン]>[新しいクローンの作成]の順にクリックします。
ターゲットサーバの完全修飾名を指定し、[クローンオブジェクトの作成]チェックボックスをオンにして、[DIBをオンラインでクローン]チェックボックスをオフにします。
ターゲットサーバのNCPサーバ名は、ターゲットサーバの名前と一致させる必要があります。
送信をクリックします。
NDSクローンオブジェクトが作成されます。ソースサーバ上のDIBはロックされているため、eDirectoryがロックされているというエラーが報告されます。
ソースサーバのDIBディレクトリにある*.nds、nds*、およびnds.rfl/*.*ファイルを、ターゲットサーバ上のコピー先またはメディアに手動でコピーします。セットをターゲットサーバのDIBディレクトリに移動するのに都合のよい場所にします。さらに、Linuxシステムの場合は、/etc/opt/novell/eDirectory/conf/nds.confファイルをターゲットサーバに転送し、このファイルに含まれるソースサーバへのすべての参照をターゲットサーバの名前で更新します。
NDSD_DISABLE_INBOUND=Y環境変数をエクスポートしてから、ndsdを起動してソースサーバ上のインバウンド同期を無効にします。
ソースサーバ上でeDirectoryを再起動します。
ファイルがコピーされる前にソースサーバ上でeDirectoryが再起動された場合、このクローンは無効とみなされます。その場合は、新しいNCPサーバオブジェクトを削除してクローンを再作成する必要があります。
クローンのDIBファイルセットをターゲットサーバのDIBディレクトリに移動します。
ターゲットサーバのレプリカ属性値が、すべてのサーバと同期されていることを確認します。すべてのサーバで属性の変更が適用されたら、ソースサーバのインバウンド同期を再び有効にします。インバウンド同期は、iMonitorの[エージェント環境設定]ページまたはDSTraceで有効にできます。
DIBディレクトリにクローンのDIBファイルセットが格納されているターゲットサーバに、eDirectoryをインストールし、サーバを起動します。
新しいターゲットサーバオブジェクトのマスタレプリカがeDirectoryを実行していて、使用可能になっていることを確認します。ターゲットサーバ上でeDirectoryが初期化されると、eDirectoryはターゲットサーバの最終的な名前が解決できるマスタレプリカと通信を行います。
eDirectoryの環境設定を完了するには、eDirectoryの設定を完了するを参照してください。
ターゲットサーバ上で、eDirectoryを停止します。
NICISDI.KEYファイルを、ソースサーバの該当するディレクトリからターゲットサーバにコピーします。
プラットフォーム |
ディレクトリ |
---|---|
Windows |
C:\WINDOWS\system32\novell\nici\nicisdi.key |
Linux |
/var/opt/novell/nici/0/nicisdi.key |
ターゲットサーバ上でeDirectoryを開始します。
Linux: コマンドラインで次のコマンドを入力することで、1つの操作でSAS、LDAP、SNMP、およびHTTPサービスを設定できます。
ndsconfig upgrade [-a admin FDN]
Windows: eDirectoryインストーラを実行し、SAS、LDAP、SNMP、およびHTTPサービスの設定を完了します。
設定の完了後、デフォルトではHTTPがポート80および443でリスンします。eDirectoryは、HTTPのポート設定をHTTPサーバオブジェクトに格納します。必要に応じて、管理者ユーザとしてポート設定を変更できます。
サービスを個別に設定する場合は、次の表を参照してください。
プラットフォーム |
コマンドまたはツール |
---|---|
Windows |
iManagerを使用してSASサービスオブジェクトおよび証明書を作成します。 |
プラットフォーム |
コマンドまたはツール |
---|---|
Windows |
iManagerを使用してLDAPサーバおよびグループオブジェクトを作成します。 |
プラットフォーム |
コマンドまたはツール |
---|---|
Windows |
rundll32 snmpinst, snmpinst -c オブジェクトの作成 -a ユーザFDN -p パスワード -h ホスト名またはIPアドレス |
iMonitor環境へのアクセスをセキュリティ保護するには、次の保護手順を実行します。
ファイアウォールを使用してVPNアクセスを準備します。これは、NetIQ iManagerおよび、アクセス制限が必要な他のすべてのWebベースのサービスの場合も同様です。
ファイアウォールが設置されているかどうかに関係なく、アクセスの種類を制限することによって、iMonitorはさらにDoS(Denial of Service)攻撃から保護されます。
iMonitorはURL要求を経由して受け取るデータを十分に確認しますが、あらゆる不正な入力を拒否できるとは保証できません。無効なURLを通じたDoS攻撃の危険を減らすため、iMonitorの環境設定ファイルのLockMask: オプションを使用して3つのレベルのアクセスが制御されます。
アクセスレベル |
説明 |
---|---|
0 |
iMonitorのURL処理において事前の認証は不要です。この場合、[パブリック]識別子のeDirectory権利がすべての要求に適用され、iMonitorが表示する情報は[パブリック]ユーザの権利で表示できるものに限定されます。ただし、iMonitorにURLを送る際に認証が不要であるため、iMonitorは、不正なURLの送信によるDoS攻撃を受けやすくなる可能性があります。 |
1(デフォルト) |
iMonitorがURLを処理する前に、eDirectory識別子としての認証が必要です。この場合、その識別子のeDirectory権利はすべての要求に適用されるため、eDirectory権利によって制限を受けます。DoS攻撃を受ける危険性はレベル0と同様ですが、DoS攻撃は実際にサーバに認証を受けたものでないと行うことができないことが異なります。認証が正常に実行されるまでは、すべてのiMonitorのURL要求への返答は[ログイン]ダイアログボックスで行われます。したがってこの段階では、設定された正当性を持たないユーザによる攻撃を通さないようにする必要があります。 |
2 |
iMonitorがURLを処理する前に、iMonitorが認証しているサーバ上のスーパバイザに相当するeDirectory識別子としての認証が必要です。DoS攻撃を受ける危険性はレベル1と同様ですが、DoS攻撃を行うには実際にサーバのスーパバイザとして認証される必要があります。認証が正常に実行されるまでは、すべてのiMonitorのURL要求への返答は[ログイン]ダイアログボックスで行われます。したがってこの状態に設定されているときには、iMonitorは認証されていないユーザおよびスーパバイザとして認証されていないユーザからの攻撃を通さないようにする必要があります。 |
レベル1はデフォルトです。多くの管理者はツリー内のすべてのサーバにアクセスできるスーパバイザ権を持っていませんが、管理しているサーバと通信するサーバ上のiMonitorサービスを使用する必要が生じる可能性があるためです。
メモ:iMonitorにはRepair、トレースなど複数の機能があり、これらの機能にアクセスするには、LockMaskの設定に関係なくスーパバイザに相当する権利が必要です。
eDirectoryをインストールすると、HTTPサーバオブジェクトが作成されます。このオブジェクトのディレクトリに、HTTPサーバのデフォルトの設定があります。ただし、このデフォルト設定は、NetIQ iManagerを使用して変更することができます。HTTPサーバオブジェクトとは、サーバ固有の環境設定データのことです。
HTTPサーバオブジェクトには、次の属性があります。
httpDefaultTLSPort: HTTPサーバがリスンするセキュアポートを指定します。
httpDefaultClearPort: HTTPサーバがリスンするクリアテキストポートを指定します。
httpAuthRequiresTLS: クリアテキストポート経由の要求をセキュアポートにリダイレクトするかどうかを指定します。
httpTraceLevel: DSTraceでのHTTPサーバのデバッグレベルを指定します。
httpKeyMaterialObject: HTTPサーバがセキュア接続を処理するときに使用する必要がある証明書オブジェクトのDNが格納されます。SuiteBモードでiMonitorインタフェースを設定するには、httpBindRestrictionsの値をSuiteBモードに設定して目的のSuiteBモードを有効にしてから、httpKeyMaterialObjectに適切なECDSAサーバ証明書を関連付けます。デフォルトでは、httpKeyMaterialObjectはRSA証明書を使用するように設定されています。
httpSessionTimeout: HTTPセッションのタイムアウトを指定します。デフォルト値は900秒です。
httpKeepAliveRequestTimeout: 各HTTP要求のキープアライブタイムアウトを指定します。デフォルト値は15秒です。
httpRequestTimeout: 各HTTP要求のタイムアウトを指定します。デフォルト値は300秒です。
httpIOBufferSize: HTTPサーバの入力および出力バッファサイズを指定します。デフォルトは8192バイトです。
httpThreadsPerCPU: CPUごとに生成するHTTPスレッドの数を指定します。デフォルト値は2スレッドです。
httpHostServerDN: 関連付けられているNCPサーバオブジェクトのDNが格納されます。
httpBindRestrictions: サイファの暗号化レベルを設定するために使用できます。
RSA: 次の値を使用して、サイファの使用を制限できます。
0 - HIGH、MEDIUM、LOW、およびEXPORTサイファを許容
1 - HIGH、MEDIUM、およびLOWサイファだけを許容
2 - HIGHおよびMEDIUMサイファだけを許容
3 - HIGHサイファだけを許容
デフォルト値は3です。
ECDSA 256: 次の値を使用して、サイファの使用を制限できます。
4 - 128ビットのサイファまたは256ビットのサイファを許可
ECDSA 384: 次の値を使用して、サイファの使用を制限できます。
5 - 128ビットのサイファまたは256ビットのサイファを許可
6 - 256ビットのサイファを許可
ECDSA証明書の場合、eDirectoryはSuite B Cipherのみを許可します。
SuiteBモードでLDAPおよびhttpstkインタフェースを設定するには、管理者の権利でiManagerにログインし、SuiteBモードのいずれかを有効にしてから、これらのインタフェースに適切なECDSAサーバ証明書を関連付けます。この作業は、ldapServerやhttpServerなどのサーバのLDAPおよびhttpstk環境設定オブジェクトを使用するすべてのeDirectoryサーバに対して実行する必要があります。SuiteBモードをオンにする前に、eDirectory環境内のLDAPクライアント、LDAPブラウザ、およびWebブラウザのすべてが、TLS 1.2証明書とEC証明書をサポートしていることを確認してください。
ndsconfigを使用するHTTPスタックパラメータは次のとおりです。
http.server.interfaces: HTTPサーバがリスンするクリアテキストインタフェースが格納されます。これは、ndsconfigによる新しいインスタンスの設定中に設定されます。
http.server.request-io-buffer-size: HTTPサーバの入力および出力バッファサイズを指定します。デフォルト値は8192バイトです。
http.server.request_timeout-seconds: 各HTTP要求のタイムアウトを指定します。デフォルト値は300秒です。
http.server.keep-timeout-seconds: 各HTTP要求のキープアライブタイムアウトを指定します。デフォルト値は15秒です。
http.server.threads-per-processor: CPUごとに生成するHTTPスレッドの数を指定します。デフォルト値は2スレッドです。
http.server.session-exp-seconds: HTTPセッションのタイムアウトを指定します。デフォルト値は900秒です。
http.server.trace-level: DSTraceでのHTTPスタックのデバッグ レベルを指定します。デフォルトレベルは2です。
http.server.clear-port: HTTPサーバがリスンするクリアテキストポートを指定します。
http.server.tls-port: HTTPサーバがリスンするセキュアポートを指定します。
http.server.auth-req-tls: クリアテキストポート経由の要求をセキュアポートにリダイレクトするかどうかを指定します。
https.server.interfaces: HTTPサーバがリスンするセキュアインタフェースが格納されます。これは、ndsconfigによる新しいインスタンスの設定中に設定されます。
https.server.cached-cert-dn: HTTPサーバがセキュア接続を処理するときに使用する必要がある証明書オブジェクトのDNが格納されます。