エージェントとの通信が失敗する場合の対応
作成日:2022年10月7日 | 更新日:2024年5月29日
Endpoint Central Cloud・エージェント間の通信が失敗する場合、以下の点を確認します。
エージェントの通信が失敗する場合の対応
(A) ドメインへ到達可能か確認する
こちらのナレッジを参考に、エージェントから各ドメインへの通信がファイアウォール、アンチウイルスソフト、プロキシ、Webフィルター等でブロックされていないことを確認します。ドメインをホワイトリストに追加できない場合、IPアドレスをホワイトリストに追加します。
ご利用中のデータセンターの確認方法はコンソール画面のトップレベルドメインを確認します。詳細はこちらをご覧ください。
ドメインへの到達が可能かどうか確認するには、以下の手順を実行します。
- エージェントのインストールされたコンピューターでWebブラウザーを開き、アドレスバーに
https://<ドメイン名>
(例) donwloads.zohocdn.comドメイン一覧の[Check]をクリックすると、そのコンピューターから各ドメインへのアクセス状況を確認できます。 - httpsリクエストが成功するかどうか確認します。
(B) プロキシ設定を確認する
エージェントとEndpoint Central Cloudの間にプロキシサーバーが設置されている場合、配信サーバーの有無にかかわらず リモートオフィスの設定 でプロキシに関する情報を入力する必要があります。
また、リモートオフィスの設定でプロキシに関する設定を変更した場合、そのリモートオフィスに所属する管理対象からエージェントをアンインストールし、リモートオフィスの設定変更完了後にエージェントを再度ダウンロード・インストールする必要があります。
- 管理者としてログインし、エージェントタブ > リモートオフィス を開きます。
- 新規にリモートオフィスを作成する場合は [+リモートオフィスの追加] を、既存のリモートオフィスの設定を変更する場合は「アクション」列の三点リーダーアイコン > 編集 をクリックします。
- 「配信サーバー WANエージェントからDesktop Centralサーバーへの接続」(※Desktop Centralサーバー=Endpoint Central Cloudの意味)のプロキシ設定にチェックを入れます。
- プロキシサーバーのホスト名、ポート番号を入力します。プロキシに認証が必要な場合は、ユーザー名とパスワードも入力します。
- [追加](既存のリモートオフィスの編集の場合は[編集]をクリックします。
- 変更前にインストールしていたエージェントをアンインストールします。
- エージェントをダウンロードし、インストールします。
- リモートオフィスの設定変更後、エージェントは再インストールする必要があります。
- エージェントは、システムプロキシを使用しません。
- エージェントがプロキシに到達できない場合、エージェントはプロキシを使用せずEndpoint Central Cloudに接続を試みます。
(C) TLS 1.2がデフォルトで通信に使用されるか確認する
Endpoint Central Cloudでは、TLS 1.2 が使用されます。セキュリティ上の理由により、TLS 1.0 / 1.1 のサポートは終了しています(英語)。
Windows server 2008 R2 や Windows Server 2012 といった古いOSにおいては、TLS 1.2がデフォルトで有効化されていないため、問題が発生する可能性があります。こちら(Microsoft)を参考に、TLS 1.2 が有効化されていることを確認します。
(D) プロキシの証明書が「信頼された証明書ストア」にインストールされていないか確認する
エージェントとEndpoint Central Cloud間にプロキシがある場合、プロキシの自己署名証明書が使用される場合があります。このとき、プロキシのルート証明書が管理対象の「信頼された証明書ストア」にインストールされていることを確認します。
インストール済みのルート証明書の確認・手動インポート手順をご確認ください。
(E) サードパーティのルート証明書が Windows OS の信頼されたルート証明機関の証明書ストアにインストールされていないか確認する
ルート証明書は、Webサイトの正当性を示すために使用されます。Windowsの場合、OSに含まれる Microsoftの信頼されたルートプログラム(Microsoft) によって管理されています。Endpoint Central Cloud で使用しているサードパーティのルート証明書が「信頼された証明書ストア」に含まれていない場合、Endpoint Central Cloudの正当性が証明できず、HTTPS通信を確立できません。この原因として、以下が考えられます。
- ルート証明書を削除した
- 「信頼されたルートプログラム」が実行されていない
- 「信頼されたルートプログラム」の更新に必要なインターネット接続がない……*
- ルート証明書の自動ダウンロードを無効化するGPOを構成している
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot
Registry Name DisableRootAutoUpdate
Registry Value 1 [REG_DWORD]
これまで一度もインターネットに接続されていない環境などでは、「信頼されたルートプログラム」が実行されルート証明書が更新されているかご確認ください。
インストール済みのルート証明書の確認・手動インポート手順
この手順は、こちらの英語ドキュメント の「THIRD-PARTY ROOT CERTIFICATE IS MISSING FROM THE WINDOWS TRUSTED ROOT CERTIFICATE STORE」の箇所を参考にしています。
- 管理対象コンピューターのスタートメニュー > ファイル名を指定して実行 > mmc.exe を実行します。
- ファイル > スナップインの追加と削除 を選択し、利用できるスナップイン から「証明書」を選択して[追加]をクリックします。
- 「コンピューターアカウント」を選択し[次へ]をクリックします。
- このスナップインで管理するコンピューター: 「ローカルコンピューター(このコンソールを実行しているコンピューター)」が選択されていることを確認し、[完了] > [OK]をクリックします。
- 証明書(ローカルコンピューター)> 信頼されたルート証明書 > 証明書 を開き、Endpoint Central Cloudが使用する証明書(zipファイル) と比較します。
- 信頼されたルート証明書が不足している場合は、右ペインの余白を右クリック > すべてのタスク > インポート から 証明書のインポートウィザード を実行し、不足している証明書をインポートします。
(参考)Windows環境で証明書をインポートする方法(Global Sign by GMO)
複数のコンピューターに対して証明書をインポートする場合、Active Directoryのグループポリシー(GPO)を使用して証明書を配布します。
(参考)グループ ポリシーを使用してクライアント コンピューターに証明書を配布する