手動パッチスキャンの失敗:スキャンのタイムアウト・初回パッチスキャンの失敗
作成日:2017年3月17日 | 更新日:2024年6月25日
手動パッチスキャンの失敗 - スキャンのタイムアウト
問題
パッチスキャンを手動で実行していると、備考列に「スキャンがタイムアウトしました」「スキャンがタイムアウトされました」のエラーが表示され、スキャンを完了できません。
または、パッチスキャンを初めて実行した場合に「スキャンがタイムアウトしました」のエラーが表示され、スキャンを完了できません。
原因
次のいずれか、またはいずれか複数の理由によりこのエラーが発生している可能性があります。
- (A) Endpoint Centralサーバーとエージェントの通信がファイアウォール等によりブロックされている
- (B) エージェントがアンチウイルスソフトによって誤検知され、ブロックされている
- (C) 初回スキャンの場合、スキャンに時間がかかっている
- (D) Endpoint Centralサーバーがインストールされているコンピューターで、複数のIPアドレスが有効になっている
- (E) リモートオフィスに所属しているエージェントでのみスキャンが失敗する
- (F) Microsoft Windows Vista以降のOSが稼働しているワークグループ設定のコンピューターで、UACとリモートUACが有効になっている
パッチスキャンについては、パッチDBの同期をスケジュールすることで実行される「スケジュールスキャン」を基本的に使用し、手動スキャンは補助的に使用することを推奨します。
解決策
原因に対応する解決策を実施します。
(A) Endpoint Centralサーバーとエージェントの通信がファイアウォール等によりブロックされている
Endpoint Centralサーバーを構築したばかりの状況では、必要なポートが開放されていない状況がしばしば見られます。Endpoint CentralをインストールしたWindows Serverの設定を確認し、必要なポートを開放してください。
デフォルトでは、以下のポートが必要です。
- TCP 8383:エージェントからサーバーへの一般的な通信に使用されます(HTTPS通信)。
- TCP 8027:手動スキャンを含む即時操作の通信に使用されます(WSS通信)。
または、エージェントからサーバーの間にプロキシが設置されている場合で、プロキシ設定に情報を入力する前にエージェントや配信サーバーをダウンロードした場合、プロキシ設定がエージェントに含まれておらず、プロキシを経由した通信が失敗している可能性があります。プロキシに関するナレッジ →「エージェント側」やWindowsエージェント/Linuxエージェントのトラブルシューティングツールに関するナレッジをご確認ください。
(B) エージェントがアンチウイルスソフトによって誤検知され、ブロックされている
エージェントをインストールしたばかりの場合や、アンチウイルスソフトを入れ替えたような場合、エージェントフォルダーがアンチウイルスソフトの例外として登録されず、誤検知により動作がブロックされる可能性があります。
エージェントフォルダーをかならずアンチウイルスソフトの例外として登録してください。
(C) 初回スキャンに時間がかかっている
Endpoint Centralのパッチスキャンは、30分でタイムアウトする仕様です。そのため、欠落パッチの数が非常に多いような場合や管理対象のスペックが低い場合、パッチスキャンがタイムアウトして失敗表示になることがあります。特にLinuxエージェントで初回のスキャンを実行する場合にしばしば発生します。
コンソール画面上では「失敗」表示ですが、エージェント側ではスキャンが続行されており、完了後に結果が送信されることがあります。
この場合、特になにもせずスキャン完了を待ちます。完了時間は欠落パッチ数や管理対象コンピューターの処理能力に大きく依存するため、明確な基準はありません。なお、2回目以降は差分スキャンとなる場合があるため、2回目以降のスキャンにおいてはこのエラーは発生しにくくなります。
(D) Endpoint Centralサーバーがインストールされているコンピューターで、複数のIPアドレスが有効になっている
Endpoint Centralサーバーマシンに複数のNICがある場合、複数のIPアドレスが有効になっている場合があります。
Endpoint CentralエージェントはEndpoint CentralサーバーのIPアドレス、ホスト名、FQDNのいずれか疎通可能なものを使用して通信します。エージェントからの通信がサーバーに到達できない場合、スキャンを含む操作が失敗します。
(E) リモートオフィスに所属しているエージェントでのみスキャンが失敗する
IPスコープ機能を使用している場合、設定したIPアドレスと実際のIPアドレスが一致せず、エージェントからサーバーへの通信に失敗することがあります。
トラブルシューティングを使用し、エージェントからサーバーへの疎通を確認します。
リモートオフィスのコンピューターに対しスキャンが失敗する場合、次のタスクを実行します;
- コンピューターの電源がONであり、スキャン進行中の際にコンピューターが稼働していることを確認する
- クライアントコンピューターで、「ManageEngine Desktop Central 7-リモートコントロール」が稼働していることを確認する
(F) Microsoft Windows Vista以降のOSが稼働しているワークグループ設定のコンピューターで、UACとリモートUACが有効になっている
Microsoft Winodows Vista以降のOSがインストールされたコンピューターでUACとリモートUACを無効にします。Microsoftの記事をご確認ください。
UACを無効にするには、次の手順に従ってください;
(メモ:この手順は、ワークグループ設定のコンピューターに対してのみ適用できます。)
クライアントコンピューターでUACを無効にする:
次の手順に従ってください;
1.「スタート」> 「設定」>「コントロールパネル」>「ユーザーアカウント」を選択します
2.「UAC設定」を無効にします
Windows 7とWindows 2008 R2 OS搭載マシン:
(1).ユーザーアカウント制御設定をクリックします
(2).制御レベルを「通知しない」をドラッグし選択します
(3).「OK」をクリックします
Windows VistaとWindows 2008 OS搭載マシン:
(1).「ユーザー アカウント制御をオンまたはオフにする」をクリックします
(2).コンピューターを保護するために、「ユーザーアカウント制御(UAC)を使用する」チェックボックスのチェックを外します
(3).「OK」をクリックします
3.「コントロールパネル」画面を閉じます
これでクライアントコンピューターのUACを無効にできました。Windows Vista以降のOSを搭載しているすべてのクライアントコンピューターに対し、上記手順を手動で実行してください。
クライアントコンピューターでリモートUACを無効にする:
リモートUAC機能を制御するレジストリエントリを変更し、リモートUAC機能を無効にする必要があります。リモートUAC機能を無効にするには、次の手順に従ってください;
1.「スタート」>「コマンドプロンプト」をクリックします
2.「regedit」と入力します
3.「OK」をクリックします
4.「HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system」に移動します
5.空欄上で右クリックし、「新規」>「DWORD値」をクリックします
6.「LocalAccountTokenFilterPolicy」の名前を入力します
メモ:このキー名が利用できる場合、そのキー名を右クリックして「編集」を選択し、次の手順に従ってください;
7「編集」をクリックします
8.値データを「1」に変更します
9.「OK」をクリックします
これでリモートUAC機能を無効にできました。