本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
エラー: 有効化に失敗
「有効化に失敗」アラートをトリガするイベントがあります。
プロトコルエラー
通常、このエラーは、Deep Security Managerを使用してDeep Security Agentを有効にする際に、ManagerがAgentと通信できなかった場合に発生します。Agentが使用する通信方向により、このエラーのトラブルシューティングに使用する必要のある方法が決定されます(AgentとManagerの通信を参照)。
Agentから開始
AgentがAgentからの通信を使用するには、AgentコンピュータからAgentを有効にする必要があります(Deep Security Agentの有効化を参照)。
コンソールでエージェント起動の有効化を確認してください。[管理]→[システム設定]→[エージェント ]の順に選択し、[ 許可エージェント起動の有効化]を選択します。
双方向の通信
エラーが発生して、Agentが双方向の通信を使用する場合は、次のトラブルシューティング手順を実行します。
- Agentがコンピュータにインストール済みで稼働していることを確認します。
- ManagerとAgent間のポートが空いていることを確認します(ポート番号、URL、およびIPアドレスとファイアウォールルールの作成を参照)。
ホスト名解決不能
エラー「有効化に失敗 (ホスト名解決不能)」は、DNSのホスト名が解決不能な場合、またはAgentからのリモート有効化を使用せずに、Deep Security ManagerからAgentを有効化した場合に発生することがあります。
Agentが双方向またはManagerから開始の場合、DNSのホスト名は解決可能です。Deep Security ManagerのDNSがホストを解決できるかどうかを確認します。
お使いのコンピュータがクラウドアカウントを使用している場合は、常にエージェントが開始するアクティベーションを使用することをお勧めします。Agentからの通信用のポリシールールの設定方法、およびインストールスクリプトを使用したAgentのインストール方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。
エージェント/アプライアンスがありません
このエラーメッセージは、保護対象のコンピュータにAgentソフトウェアがインストールされていないことを示しています。
Deep Security Agentソフトウェアの入手を参照してください。
ブロックされたポート
ds_agent.logで「有効化に失敗」イベントが次のエラーメッセージとともに記録されている場合、
• 2018-06-25 17:52:14.000000: [Error/1] | CHTTPServer::AcceptSSL(<IP>:<PORT>) - BIO_do_handshake() failed - peer closed connection. | http\HTTPServer.cpp:246:DsaCore::CHTTPServer::AcceptSSL | 1E80:1FEC:ActivateThread
• 2018-06-25 17:52:14.143355: [dsa.Heartbeat/5] | Unable to reach a manager. | .\dsa\Heartbeat.lua:149:(null) | 1E80:1FEC:ActivateThread
• 2018-06-25 17:52:14.000000: [Info/5] | AgentEvent 4012 | common\DomainPrivate.cpp:493:DsaCore::DomPrivateData::AgentEventWriteHaveLock | 1E80:1FEC:ActivateThread
• 2018-06-25 17:52:14.143355: [Cmd/5] | Respond() - sending status line of 'HTTP/1.1 400 OK' | http\HTTPServer.cpp:369:DsaCore::CHTTPServer::Respond | 1E80:1D7C:ConnectionHandlerPool_0011
そして次のメッセージがパケットキャプチャソフトウェア (pcap) に表示される場合、
• [TCP Retransmission] <Ephemeral Port> -> 443 [SYN, ECN, CWR] .......
• [TCP Retransmission] <Ephemeral Port> -> 443 [SYN] .......
Deep Security AgentとManagerが通信を確立する際に使用されたポートがブロックされていた可能性があります。AgentとManagerの間で使用される通信ポートには、たとえば次のものがあります。
AgentとManagerの通信の種類 | 送信元 / ポート | 送信先 / ポート |
---|---|---|
Agentからの通信 | Deep Security Agent / エフェメラルポート | Manager / 4119 |
Managerからの通信 | Deep Security Manager /エフェメラルポート | Agent / 4118 |
上の表から分かるように、短期ポートはAgentとManagerの間の送信トラフィックの送信元ポートとして使用されます。短期ポートがブロックされている場合は、Agentを有効化できなくなり、ハートビートが機能しなくなります。送信先ポートのいずれかがブロックされている場合も、同様の問題が発生します。
この問題を解決するには、次の手順に従います。
- ネットワーク設定で、クライアントの送信ポート (エフェメラルポート) の制限を削除する。
- Deep Security Managerへのポート4119へのアクセスを許可します。
- Managerからの通信を使用している場合は、ポート4118でDeep Security Agentへの受信アクセスを許可する。
ポートの詳細については、ポート番号、URL、およびIPアドレスを参照してください。
重複するコンピュータ
このエラーは、通常、既存の名前を使用してコンピュータをアクティベートした場合、または別のコネクタですでにアクティブなコンピュータを使用している場合に発生します。
この問題を解決するには、次のいずれかの方法を使用できます。
- 重複しているコンピュータのいずれかを削除し、必要に応じて残りのコンピュータを再度有効にしてください。
- Deep Security Managerから、 の[管理]→[システム設定]→[エージェント] の順に選択し、エージェントが開始するアクティベーションの設定を選択します。同じ名前のコンピュータがすでに存在する場合は、既存のコンピュータを再度アクティベートするか、同じ名前の新しいコンピュータをアクティベートするか、またはアクティベーションを許可しないオプションがあります。詳細については、 エージェント起動アクティベーション(AIA)を参照してください。
プロキシ経由のエンドポイント
プロキシを使用している場合は、 Deep Security Managerで Support> Deployment Scripts に移動し、プロキシでフィールドをアップデートしてから、エージェントを再度有効にします。詳細については、 インストールスクリプトを使用したコンピュータの追加と保護を参照してください。
再インストールが必要です
Deep Security Agentがアクティベートされていない場合は、 Deep Security Agentをアンインストールするをアンインストールしてから、 Deep Security Agentを再インストールする必要があります。