ユーザーズガイド HP INTEGRATED LIGHTS-OUT 2 (ILO 2) STANDARD FIRMWARE

[. . . ] HP Integrated Lights-Out 2 ユーザ ガイド ファームウェア1. 35対応 製品番号 394326-197 2007年7月（第5版） © Copyright 2005-2007 Hewlett-Packard Development Company, L. P. 本書の内容は、将来予告なしに変更されることがあります。HP製品およびサービスに対する保証については、当該製品およびサービスの保証 規定書に記載されています。本書のいかなる内容も、新たな保証を追加するものではありません。本書の内容につきましては万全を期してお りますが、本書中の技術的あるいは校正上の誤り、脱落に対して、責任を負いかねますのでご了承ください。 本書で取り扱っているコンピュータ ソフトウェアは秘密情報であり、その保有、使用、または複製には、HPから使用許諾を得る必要があり ます。FAR 12. 211および12. 212に従って、商業用コンピュータ ソフトウェア、コンピュータ ソフトウェア ドキュメンテーション、および 商業用製品の技術データ（Commercial Computer Software, Computer Software Documentation, and Technical Data for Commercial Items）は、 ベンダ標準の商業用使用許諾のもとで、米国政府に使用許諾が付与されます。 Microsoft、Windows、Windows NTおよびWindows XPは、Microsoft Corporationの米国における登録商標です。Windows Server 2003は、 Microsoft Corporationの米国における商標です。Windows VistaはMicrosoft Corporationの米国およびその他の国における登録商標または商標 です。Javaは、Sun Microsystems, Inc. の米国における商標です。Intelおよびインテル、Pentium、およびItaniumはインテル コーポレーション またはその子会社のアメリカ合衆国およびその他の国における商標または登録商標です。 本製品は、日本国内で使用するための仕様になっており、日本国外で使用される場合は、仕様の変更を必要とすることがあります。 本書に掲載されている製品情報には、日本国内で販売されていないものも含まれている場合があります。 対象読者 このガイドは、サーバおよびストレージ システムのインストール、管理、トラブルシューティングの担当者を対象 とし、コンピュータ機器の保守の資格があり、高電圧製品の危険性について理解していることを前提としています。 目次 動作の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 ガイドの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 このiLO 2リリースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 iLO 2の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] 198 目次 6 IRCのエラー メッセージ「Failed to connect to server」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 IRCツールバーのアイコンが更新されない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 GNOMEインタフェースがロックされない. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 リモート コンソールで繰り返し使用するキー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 ホスト サーバの電源が切断されていると、リモート コンソールの再生が動作しない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 SSHとTelnetの問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 PuTTYの初期接続時の入力が緩慢である . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 共有ネットワーク ポートを使用する場合、PuTTYクライアントが応答しない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 リモート コンソール セッションからのSSHテキスト サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 ターミナル サービスの問題のトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 [ターミナル サービス]ボタンを使用できない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 ターミナル サービスのプロキシが応答しなくなる. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 ビデオおよびモニタの問題のトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 一般的なガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 DOS®でTelnetが正しく表示されない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 リモート コンソールにビデオ アプリケーションが表示されない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 ユーザ インタフェースが正しく表示されない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 仮想メディアの問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 仮想ドライブのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 仮想メディア アプレットが赤色のX印を生成し、表示されない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 仮想ディスケット メディア アプレットが応答しない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 その他の問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [. . . ] [適用]をクリックして、変更を保存します。 ディレクトリ サービス 158 エントリのいずれかを削除するには、表示されているフィールドでエントリを強調表示してから、[Delete]をクリッ クします。 Lights-Out Management ロールを作成したら、そのロールの権限を選択できます。この時点で、ユーザ オブジェクトおよびグループ オブジェ クトをロールのメンバーにすることにより、ユーザまたはユーザ グループにロールが付与する権限を与えることが できます。権限は、[HP Management]タブの[Lights Out Management Device Rights]サブタブで管理されます。 使用できる権限は、次のとおりです。 • [Login] - このオプションは、関連付けられたデバイスにユーザがログインできるかどうかを制御します。 これにより、サービスを提供するユーザや、ボードから警告を受けるが、RILOE IIへはログインできないユーザ を作成することができます。 ディレクトリ サービス 159 • • • • • [リモート コンソール] - このオプションは、ユーザによるリモート コンソールへのアクセスを許可します。 [仮想メディア] - このオプションは、ユーザによるRILOE II仮想ディスケットおよび仮想メディア機能へのアク セスを許可します。 [Server Reset and Power] - このオプションにより、リモートからのサーバのリセットやサーバの電源切断 が可能になります。 [Administer Local User Accounts] - このオプションは、ユーザがアカウントを管理できるようにします。 ユーザは、自身および他のユーザのアカウント設定の変更、ユーザの追加と削除を行うことができます。 [Administer Local Device Settings] - このオプションは、ユーザがRILOE IIボードを設定できるようにしま す。設定には、RILOE II Webブラウザの[Global Settings]、[ネットワーク設定]、[SNMP Settings]、および [ディレクトリ設定]画面で利用できるオプションが含まれます。 ディレクトリ サービスによるユーザ ログイン iLO 2のログイン ページの[ログイン名]フィールドは、次に示す項目をすべて受け入れます。 • • ディレクトリ ユーザ LDAP完全識別名 例：CN=John Smith, CN=Users, DC=HP, DC=COM、または@HP. com 注：ログイン名だけの短い形式は、アクセスしようとしているドメインをディレクトリに通知しません。 ドメイン名を入力するかまたはアカウントのLDAP識別名を使用する必要があります。 • • ドメイン¥ユーザ名形式（Active Directoryのみ） 例：HP¥jsmith ユーザ名@ドメイン形式（Active Directoryのみ） 例：jsmith@hp. com 注：@検索可能形式を使用して指定されるディレクトリ ユーザは、3つの検索可能コンテキストのいず れかに配置できます。このコンテキストは、[ディレクトリ設定]で設定されます。 • ユーザ名形式 例：John Smith 注：ユーザ名形式を使用して指定されるディレクトリ ユーザは、3つの検索可能コンテキストのいず れかに配置できます。このコンテキストは、[ディレクトリ設定]で設定されます。 • ローカル ユーザ - ログインID 注：iLO 2のログイン ページで、ローカル ユーザのログイン名は、最大39文字です。ディレクトリ サー ビスのユーザの場合、ログイン名は最大256文字です。 ディレクトリ サービス 160 ディレクトリ対応リモート管理 この項の目次 ディレクトリ対応リモート管理とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 組織の編成に沿ったロールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 ディレクトリ ログイン制限が適用される仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 一括インポート ツールの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 ディレクトリ対応リモート管理とは この項は、ディレクトリ サービスとiLO 2製品を熟知し、HPスキーマ ディレクトリ統合オプションをiLO 2に使用 することを希望する管理者を対象としています。「ディレクトリ サービス」（130ページ）をよく読んで、そこに 示されているセットアップの手順や例の内容を熟知しておいてください。 ディレクトリ対応リモート管理により、以下の作業を実行できます。 • Lights-Out Managementオブジェクトの作成 ディレクトリ サービスを使用してユーザの認証や権限付与を行うデバイスごとに、そのデバイスを表すLOM デバイス オブジェクトを 1 つ作成する必要があります。 Active Directory （ 142 ページの「 Active Directory の ディレクトリ サービス」を参照）およびeDirectory（152ページの「eDirectoryのディレクトリ サービス」を 参照）用のLOMデバイス オブジェクトの作成について詳しくは、「ディレクトリ サービス」（130ページ） を参照してください。一般に、HPの提供するスナップインを使用してオブジェクトを作成することができま す。LOMデバイスには、意味のある名前（デバイスのネットワーク アドレス、DNS名、ホスト サーバ名、シ リアル番号など）を付けると便利です。 • Lights-Outマネジメント デバイスの設定 ユーザの認証や権限付与にディレクトリ サービスを使用するすべてのLOMデバイスは、適切なディレクトリ 設定を使用して設定する必要があります。特定のディレクトリ設定について詳しくは、「ディレクトリの設 定」（53ページ）を参照してください。一般に、各デバイスを、適切なディレクトリ サーバ アドレス、LOM オブジェクト識別名、および任意のユーザ コンテキストを使用して設定します。サーバ アドレスは、ローカ ル ディレクトリ サーバのIPアドレスもしくはDNS名、またはマルチホストDNS名（冗長性を高くする場合） です。 組織の編成に沿ったロールの作成 組織内の管理者は、下級管理者が上級管理者から独立して権限を割り当てなければならない階層体制に属している 場合があります。このような場合、上級管理者によって割り当てられる権限を表すロールを1つ作成するとともに、 下級管理者が独自のロールを作成して管理することを許可すると便利です。 ディレクトリ対応リモート管理 161 既存のグループの使用 多くの組織では、ユーザや管理者をグループ分けしています。多くの場合、既存のグループを使用し、グループを 1つまたは複数のLights-Out Managementロール オブジェクトに関連付けると便利です。デバイスがロール オブジェ クトに関連付けられている場合、管理者は、グループのメンバーを追加または削除することによって、そのロール に関連付けられたLights-Outデバイスへのアクセスを制御します。 Microsoft® Active Directoryを使用している場合、1つのグループを他のグループや入れ子型グループに入れることが できます。ロール オブジェクトはグループとみなされ、他のグループを直接含むことができます。既存の入れ子型 グループを直接ロールに追加し、適切な権限と制限を割り当ててください。新しいユーザは、既存のグループまた はロールのいずれかに追加できます。 Novell eDirectoryでは、入れ子型グループを使用できません。eDirectoryでは、ロールを読み出すことのできるすべ てのユーザが、そのロールのメンバーとみなされます。既存のグループ、組織単位、または組織をロールに追加す る場合は、オブジェクトを、そのロールの読み出すトラスティとして追加してください。オブジェクトのすべての メンバーは、ロールのメンバーとみなされます。新しいユーザは、既存のオブジェクトまたはロールのいずれかに 追加できます。 トラスティまたはディレクトリ権限割り当てを使用してロールのメンバーシップを拡張する場合、ユーザは、LOM デバイスを表すLOMオブジェクトを読み出すことができる必要があります。一部の環境では、正常なユーザ認証を 行うために、ロールの同じトラスティが、LOMオブジェクトの読み出すトラスティでもある必要があります。 複数のロールの使用 ほとんどのデプロイメントでは、同じユーザが、同じデバイスを管理する複数のロールに入っている必要はありま せん。ただし、これらの構成は、複雑な権限関係を構築する際には便利です。複数のロールの関係を構築すると、 ユーザには、該当する各ロールによって割り当てられるすべての権限が付与されます。ロールは、権限を付与する ことしかできず、権限を取り消すことはできません。あるロールがユーザに権限を付与する場合、そのユーザは、 その権限を付与しない別のロールに入っていても、その権限を持ちます。 一般に、ディレクトリ管理者は、最小の数の権限が割り当てられたベース ロールを作成し、追加のロールを作成 して権限を追加します。これらの追加権限は、特定の状況で、またはベース ロール ユーザの特定のサブセットに 追加されます。 たとえば、組織は、LOMデバイスまたはホスト サーバの管理者とLOMデバイスのユーザという2つのタイプのユー ザを持つことができます。この状況では、管理者のロールとユーザのロールという2つのロールを作成することが 有効です。両方のロールにはいくつかの同じデバイスが含まれますが、これらのロールは異なる権限を付与しま す。より小さなロールに包括的な権限を割り当てて、LOM管理者をそのロールと管理者ロールに入れると便利な 場合があります。 管理者ユーザは、通常のユーザ グループからログイン権限を取得します。より高い権限は、追加の権限（サーバ リセットおよびリモート コンソール）を付与する管理者ロールによって割り当てられます。 ディレクトリ対応リモート管理 162 管理者ロールは、すべての管理者権限（サーバ リセット、リモート コンソール、およびログイン）を割り当てます。 ディレクトリ ログイン制限が適用される仕組み ディレクトリ ユーザによるLOMデバイスへのアクセスは、2段階の制限によって限定することができます。ユーザ アクセス制限は、ディレクトリへの認証を受けるためのユーザのアクセスを限定します。ロール アクセス制限は、 1つまたは複数のロールでの指定に基づいてLOM権限を受けることができる認証済みユーザを限定します。 ロールの制限 制限によって、管理者は、ロールの範囲を限定することができます。ロールは、ロールの制限を満たすユーザだけ に権限を付与します。制限付きロールを使用することによって、ユーザに、時間帯やクライアントのネットワーク アドレスによって変化する動的権限を付与することができます。 重要：ディレクトリが有効な場合、特定のiLO 2へアクセス可能かどうかは、該当するiLO 2オブジェク トを含むロール オブジェクトへの読み取りアクセス権が、ユーザにあるかどうかによって決まります。 このユーザには、ロール オブジェクトで許可されているメンバーも含まれますが、そのメンバーに限 定されません。親ブラウザから継承可能なパーミッションを反映できるロールの場合、読み取りアクセ ス権限のある親ブラウザのメンバーもiLO 2にアクセスできます。アクセス制御リストを表示するには、 Users and Computersに移動し、ロール オブジェクトのプロパティ画面を開いてから[セキュリティ]タ ブを選択します。 ロールのネットワークおよび時間帯制限を作成する手順については、「Active Directoryの[Role Restrictions]」（149 ページ）または「eDirectoryの[Role Restrictions]」（157ページ）を参照してください。 ディレクトリ対応リモート管理 163 ロールの時間制限 管理者は、LOMロールに時間制限を設定することができます。ユーザには、そのユーザがロールのメンバーであ り、そのロールの時間制限を満たしている場合にのみ、そのロールに示されているLOMデバイスについて、指定 された権限が付与されます。 LOMデバイスは、ローカル ホストの時間に従って、時間制限を適用します。LOMデバイスの時計が設定されてい ない場合、ロールに時間制限が指定されていない限り、ロールの時間制限は適用されません。 ロールベースの時間制限は、LOMデバイスで時間が設定されている場合にのみ、機能します。時間は、通常、ホ ストの起動時に設定され、ホスト オペレーティング システムで動作するエージェントによって維持されます。こ れにより、LOMデバイスは、うるう年を補正することや、ホストとの時間のずれを最小限に抑えることができま す。予定外の停電やLOMファームウェアのフラッシュなどのイベントによって、LOMデバイスの時計が設定され ないことがあります。また、LOMデバイスがファームウェアをフラッシュする時間を保持するために、ホストの 時間は正確でなければなりません。 ロールのアドレス制限 ロールのアドレス制限は、LOMファームウェアによって、クライアントのIPネットワーク アドレスに基づいて適 用されます。ロールのアドレス制限が満たされる場合、そのロールによって付与される権利が適用されます。 ファイアウォールの外からのアクセスやネットワーク プロキシ経由のアクセスが試みられる場合、アドレス制限 は、管理が困難になる場合があります。これらの方式のアクセスが可能な場合、クライアントの見かけ上のネット ワーク アドレスが変更されることがあるので、アドレス制限の予期しない適用が発生する場合があります。 ユーザの制限 アドレス制限または時間制限によって、アクセスを制限することができます。 ユーザのアドレス制限 管理者は、ディレクトリ ユーザ アカウントにネットワーク アドレス制限を設定することができます。これらの制 限は、ディレクトリ サーバによって適用されます。LDAPクライアント（LOMデバイスへのユーザのログインなど） へのアドレス制限の適用について詳しくは、ディレクトリ サービスのマニュアルを参照してください。 ディレクトリのユーザに設定したネットワーク アドレス制限は、ディレクトリ ユーザがプロキシ サーバ経由でロ グインする場合は、予期した方法で適用されない場合があります。ユーザがディレクトリ ユーザとしてLOMデバ イスにログインする場合は、LOMデバイスが、そのユーザとしてのディレクトリへの認証を試みます。つまり、 ユーザ アカウントに設定されたアドレス制限が、LOMデバイスへのアクセス時に適用されます。ただし、ユーザ がLOMデバイス経由でプロキシ アクセスするため、認証が試みられるネットワーク アドレスは、クライアント ワークステーションのものではなく、LOMデバイスのものになります。 IPアドレス範囲制限 IPアドレス範囲制限によって、管理者は、アクセスを許可または拒否するネットワーク アドレスを指定することが できます。アドレス範囲は、一般に、「最小-最大」範囲フォーマットで指定します。アドレス範囲を指定して、 単一のアドレスのアクセスを許可または拒否することもできます。「最小-最大」IPアドレス範囲内のアドレスに は、IPアドレス制限が適用されます。 IPアドレスおよびサブネット マスク制限 IPアドレスおよびサブネット マスク制限によって、管理者は、アクセスを許可または拒否するアドレスの範囲を指 定することができます。このフォーマットは、IPアドレス範囲機能に似ていますが、ご使用のネットワーク環境に よっては特有のものになる場合があります。IPアドレスおよびサブネット マスク範囲は、一般に、同じ論理ネット ワーク内のアドレスを特定するサブネット アドレスおよびアドレス ビット マスクを使用して指定します。 ディレクトリ対応リモート管理 164 2進数演算で、クライアント マシンのアドレスのビットにサブネット マスクのビットを加えたものがサブネット 制限アドレスと一致する場合、クライアント マシンは制限を満たします。 DNSベース制限 DNSベース制限では、ネットワーク ネーミング サービスを使用して、クライアントIPアドレスに割り当てられた マシン名を検出することによって、クライアント マシンの論理名を調べます。DNS制限には、正常に動作してい るネーム サーバが必要です。ネーム サービスがダウンしていたり、利用できなかったりすると、DNS制限が満た されず、障害が発生します。 DNSベース制限を使用すると、単一の特定マシン名や、共通のドメイン サフィックスを共有するマシンへのアク セスを制限できます。たとえば、www. hp. comというDNS制限はwww. hp. comというドメイン名が割り当てられて いるホストによって満たされ、*. hp. comというDNS制限はHP製のすべてのマシンによって満たされます。 マルチホーム ホストを使用している場合があるので、DNS制限では、多少のあいまいさが発生する可能性があり ます。DNS制限は、必ずしも単一のシステムに一対一で適用されるわけではありません。 DNSベース制限を使用すると、セキュリティが複雑になる場合があります。ネーム サービス プロトコルは、安全 ではありません。ネットワークにアクセスできる悪意を持ったユーザは、誰でも、偽のアドレス制限基準を作成す る不正なDNSサーバをネットワークに配置することができます。DNSベース アドレス制限を実装する場合は、組 織的なセキュリティ ポリシーを考慮に入れてください。 ユーザの時間制限が適用される仕組み 管理者は、ディレクトリ ユーザ アカウントに時間制限を設定することができます。時間制限によって、ディレク トリへのユーザのログイン（認証）が限定されます。一般に、時間制限は、ディレクトリ サーバの時間を使用し て適用されますが、ディレクトリ サーバが異なるタイム ゾーンにある場合または異なるタイム ゾーンにあるレプ リカ サーバにアクセスしている場合は、管理対象オブジェクトからのタイム ゾーン情報を使用して相対的な時間 を調整することができます。 ディレクトリ サーバは、ユーザの時間制限を確認しますが、判定方法は、タイム ゾーンの変化や認証メカニズム によって複雑になる場合があります。 ディレクトリ対応リモート管理 165 複数の制限およびロールの作成 権限の適用される状況が限定されるように1つまたは複数のロールを制限したい場合などには、多数のロールを作 成すると非常に便利です。他のロールが、異なる権限を異なる制限で付与します。複数の制限とロールを使用する と、管理者は、任意の複雑な権限関係を最小限のロールで作成できます。 たとえば、組織が、LOM管理者について、「企業ネットワーク内からLOMデバイスを使用できるが通常の業務時 間外にはサーバのリセットしかできない」というセキュリティ ポリシーを設定しているとします。 ディレクトリ管理者は、2つのロールを作成してこの状況に対応しようと考えるかもしれませんが、この場合には 特別の注意が必要です。必要なサーバ リセット権限を付与するロールを作成し、このロールを、業務時間外にの み適用されるようにこのロールを制限すると、管理者が企業ネットワークの外からサーバをリセットできるように なる場合があり、多くの場合セキュリティ ポリシーに反します。 この例では、セキュリティ ポリシーは、一般的な使用を企業サブネット内のクライアントに制限しており、さら にサーバ リセット操作を業務時間外に制限しています。 また、ディレクトリ管理者は、ログイン権限を付与するロールを作成し、このロールを企業ネットワークに制限し た後、サーバ リセット権限だけを付与する別のロールを作成し、これを業務時間外に制限しようと考えるかもし れません。この設定では、管理は簡単になっていますが、危険性が高まっています。その理由は、継続的な管理の ために、企業ネットワークの外のアドレスからログインできる権限をユーザに付与する別のロールが作成される可 能性があり、その場合に、サーバ リセット ロールに入っているLOM管理者に、（そのロールの時間制限を満たし ていれば）どこからでもサーバをリセットできる権限が予期に反して付与されてしまうからです。 このような設定は、企業のセキュリティ ポリシーを満たしています。ただし、ログイン権限を付与する別のロール を追加することによって、間違って、業務時間外に企業サブネットの外からサーバをリセットする権限を付与する 可能性があります。一般使用ロールに加えてリセット ロールを制限することによって、より管理しやすいソリュー ションを実現できます。 ディレクトリ対応リモート管理 166 一括インポート ツールの使用 多数のLOMオブジェクトの追加や設定には時間がかかります。HPでは、これらの作業を支援するいくつかのユー ティリティを提供しています。以下では、用意されているユーティリティについて簡単に説明します。 • HP Lights-Outマイグレーション ユーティリティ HP Lights-Outマイグレーション ユーティリティ（HPQLOMIG. EXE）を使用すると、複数のLOMデバイスをイ ンポートし、設定することができます。HPQLOMIG. EXEには、多数のマネジメント プロセッサの実装やアッ プグレードの手順を順番に示すGUIが含まれています。多数のマネジメント プロセッサをアップグレードする 場合は、このGUIを使用することをおすすめします。詳しくは、「HPQLOMIGディレクトリ マイグレーショ ン ユーティリティ」（168ページ）を参照してください。 • HP Lights-Outマイグレーション コマンド ユーティリティ HP Lights-Outマイグレーション コマンド ユーティリティ（HPQLOMGC. EXE）を使用すると、GUIではなく、 コマンド ラインを使用して移行させることができます。このユーティリティは、HP SIMのアプリケーション 起動機能およびクエリ機能と連携して、一度に多数のデバイスを設定することができます。ディレクトリ サー ビスを使用する少数のLOMデバイスだけを設定する場合でも、コマンド ラインを使用したいときは、このユー ティリティで実行できます。詳しくは、「HPQLOMIGディレクトリ マイグレーション ユーティリティ」（168 ページ）を参照してください。 • HP SIMの機能は、次のとおりです。 o o 複数のLOMデバイスを管理できます。 CPQLOCFGを使用してLOMデバイスをマネジメント プロセッサとして検出し、RIBCL XMLスクリプト ファ イルをLOMデバイスのグループに送信して、これらのLOMデバイスを管理することができます。LOMデバ イスは、RIBCLファイルで指定された処理を実行し、CPQLOCFGログ ファイルに応答を送信します。詳し くは、『HP Integrated Lights-Outマネジメント プロセッサ スクリプティング/コマンド ライン リソース ガ イド』を参照してください。 • 従来のインポート ユーティリティ LDIFDEやNDS Import/Export Wizardなどのツールを熟知している管理者は、これらのユーティリティを使用し て、多数のLOMデバイス オブジェクトをディレクトリ内ににインポートまたは作成することができます。こ の方法の場合、管理者は、すでに説明したように、デバイスを手動で設定する必要がありますが、いつでもこ の設定を行うことができます。プログラマチック インタフェースまたはスクリプティング インタフェースを 使用して、LOMデバイス オブジェクトをユーザ オブジェクトや他のオブジェクトと同じように作成すること もできます。LOMオブジェクトを作成する際の属性や属性データ フォーマットについては、「ディレクトリ サービス スキーマ」（207ページ）を参照してください。 ディレクトリ対応リモート管理 167 HPQLOMIGディレクトリ マイグレーション ユー ティリティ この項の目次 HPQLOMIGユーティリティとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 互換性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 HP Lights-Out Directory Package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 HPQLOMIGの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 HPQLOMIGユーティリティとは HPQLOMIGユーティリティを使用すると、すでにマネジメント プロセッサを取り付けているお客様は、これらの プロセッサをディレクトリによる管理へ簡単に移行できます。HPQLOMIGは、マネジメント プロセッサがディレ クトリ サービスをサポートするために必要な移行手順の一部を自動化します。HPQLOMIGには、以下の機能があ ります。 • • • • • ネットワーク内のマネジメント プロセッサを検出する マネジメント プロセッサのファームウェアを、ディレクトリ サービスまたはスキーマフリー ディレクトリを サポートするバージョンにアップグレードする ディレクトリ内で特定できるようにマネジメント プロセッサに名前を付ける 各マネジメント プロセッサに対応するディレクトリにオブジェクトを作成し、ロールに関連付ける ディレクトリと通信できるようにマネジメント プロセッサを設定する 互換性 HPQLOMIGユーティリティは、Microsoft® Windows®上で動作します。Microsoft® . NET Frameworkが必要です。. NET Frameworkについて詳しくは、Microsoft®社のWebサイトhttp://www. microsoft. com/net/を参照してください（こ のWebサイトから. NET Frameworkをダウンロードできます）。HPQLOMIGユーティリティは、以下のオペレーティ ング システムをサポートしています。 • Active Directory o o • o o Windows® 2000 Windows® Server 2003 Windows® 2000 Windows® Server・2003 Novell eDirectory 8. 6. 2 HP Lights-Out Directory Package すべてのマイグレーション ソフトウェアとスキーマ エクステンダおよびマネジメント スナップインは、HP Smart コンポーネントに一緒にパッケージングされています。マネジメント プロセッサの移行を完了するには、マイグレー ション ツールを実行する前に、スキーマを拡張し、マネジメント スナップインをインストールする必要がありま す。 Smart コンポーネントは、 HP の Lights-Out Management の Web サイト http://www. hp. com/servers/lights-out/ （英語）にあります。 HPQLOMIGディレクトリ マイグレーション ユーティリティ 168 マイグレーション ユーティリティをインストールするには、Smartコンポーネントで[LDAP Migration Utility]を クリックします。HPQLOMIG、HPQLOMGC、必要なDLL、使用許諾契約書、および他のファイルをC:¥Program Files¥ Hewlett-Packard¥HP Lights-Out Migration ToolディレクトリにインストールするMicrosoft® MSI installerが起動しま す。別のディレクトリを選択することもできます。また、サンプルXMLファイルがインストールされ、HPQLOMIG へのショートカットが[スタート]メニューに作成されます。 注：インストール ユーティリティは、. NET Frameworkがインストールされていないことを検出すると、 エラー メッセージを表示して終了します。 HPQLOMIGの使用 HPQLOMIGユーティリティは、各マネジメント プロセッサに対応し、オブジェクトをロールに関連付けるディレクト リにオブジェクトを作成することによって、マネジメント プロセッサの移行プロセスを自動化します。HPQLOMIG は、GUIを備えており、多数のマネジメント プロセッサを実装またはアップグレードするためのウィザードを提供 します。 マネジメント プロセッサの検出 移行の最初の手順は、ディレクトリ サービスに対応させたいすべてのマネジメント プロセッサの検出です。DNS 名、IPアドレス、またはIPアドレス ワイルドカードを使用してマネジメント プロセッサを検索することができます。 [Addresses]フィールドに入力する変数には、以下のルールが適用されます。 • • • • DNS名、IPアドレス、およびIPアドレス ワイルドカードは、セミコロンで区切る必要があります。 IPアドレス ワイルドカードでは、3番目と4番目のオクテット フィールドで"*"文字を使用します。たとえば、 16. 100. *. *というIPアドレスは有効ですが、16. *というIPアドレスは無効です。 また、ハイフンを使用して範囲を指定することができます。たとえば、192. 168. 0. 2-10は有効な範囲です。 ハイフンは、一番右のオクテット フィールドでのみ使用できます。 [Find]をクリックすると、HPQLOMIGは、pingとポート443（デフォルトSSLポート）への接続を開始します。 この動作の目的は、ターゲット ネットワーク アドレスがマネジメント プロセッサであるかどうかを迅速に判 定することです。pingに対するデバイスからの応答がなく、ポート443に適切に接続できなかった場合、マネ ジメント プロセッサではないと判定されます。 HPQLOMIGディレクトリ マイグレーション ユーティリティ 169 検出時に[次へ]や[Back]をクリックするかアプリケーションを終了すると、現在のネットワーク アドレスでの作業 は完了しますが、次のネットワーク アドレスでの作業はキャンセルされます。 マネジメント プロセッサの検出プロセスを開始するには、以下の手順に従ってください。 1. [スタート]メニューから、[プログラム]、[Hewlett-Packard]、[Lights-Out Migration Utility]の順に選択 して、マイグレーション プロセスを開始します。 [次へ]をクリックして、初期画面の後に表示される画面に進みます。 [Addresses]フィールドに、マネジメント プロセッサを検出するための変数を入力します。 [Login Name] と[Password]を入力して、[Find]をクリックします。検索が完了すると、[Find]ボタンが[Verify] ボタンに変わります。 また、[Import]をクリックしてマネジメント プロセッサのリストを入力することもできます。ファイルは、 各行に1つのマネジメント プロセッサが示された、シンプルなテキスト ファイルです。各フィールドは、セ ミコロンで区切られます。フィールドは、以下のとおりです。 o o o o o o o Network Address Management Processor Type Firmware Version DNS Name User Name Password Directory Configuration たとえば、ある1行の例としては、次のようになります。 16. 100. 225. 20;iLO;1. 80;ILOTPILOT2210;user;password; Default Schema HPQLOMIGディレクトリ マイグレーション ユーティリティ 170 セキュリティに関する理由によって、ユーザ名とパスワードをファイル内に記述できない場合は、それらの フィールドを空白にして、セミコロンだけを入れてください。 マネジメント プロセッサのファームウェアのアップグレード ファームウェア アップグレード画面では、マネジメント プロセッサのファームウェアを、ディレクトリをサポー トするバージョンにアップグレードできます。また、この画面では、パスを入力するか[Browse]をクリックする ことによって、各マネジメント プロセッサ用のファームウェア イメージの位置を指定することができます。 重要：マネジメント プロセッサのファームウェアのバイナリ イメージは、マイグレーション ユーティ リティを実行しているシステムからアクセスできる必要があります。これらのバイナリ イメージは、 HPのWebサイトhttp://www. hp. com/servers/lights-out/（英語）からダウンロードできます。 マネジメント プロセッサ RILOE RILOE II iLO iLO 2 最小ファームウェア バージョン 2. 50 1. 10 1. 40 1. 00 選択したマネジメント プロセッサの数によっては、アップグレード プロセスに長い時間がかかる場合があります。 単一のマネジメント プロセッサのファームウェア アップグレードは、約5分で完了します。アップグレードに失敗 すると、[Results]欄にメッセージが表示され、HPQLOMIGは、検出された他のマネジメント プロセッサのアップグ レードを継続します。 重要：実務ネットワークでユーティリティを実行する前に、テスト環境でアップグレード プロセスを テストし、結果を確認することをおすすめします。マネジメント プロセッサへのファームウェア イメー ジの不完全な転送によって、ディスケットを使用してマネジメント プロセッサをローカルで再プログ ラミングしなければならなくなる場合があります。 マネジメント プロセッサのファームウェアをアップグレードするには、以下の手順に従ってください。 1. アップグレードするマネジメント プロセッサを選択します。 検出された各マネジメント プロセッサ タイプについて、ファームウェア イメージの適切なパス名を入力する か、参照機能を使用してイメージを指定します。 [Upgrade Firmware]をクリックします。選択したマネジメント プロセッサがアップグレードされます。こ のユーティリティを使用すると、数百のマネジメント プロセッサをアップグレードできますが、同時にアップ グレードできるのは最大25のマネジメント プロセッサです。このプロセス時には、大量のネットワーク動作 が発生します。 HPQLOMIGディレクトリ マイグレーション ユーティリティ 171 4. アップグレードが完了したら、[次へ]をクリックします。 ファームウェア アップグレード プロセス時は、すべてのボタンが非アクティブになり、操作できません。ただし、 右上の[X]を使用してアプリケーションを閉じることはできます。ファームウェアのプログラミング中にGUIを閉じ ると、アプリケーションはバックグラウンドで動作し続けて、選択したすべてのデバイスのファームウェア アップ グレードを完了します。 ディレクトリ アクセス方式の選択 [Firmware Upgrade]ページの後で、[Select Directory Access Method]ページが表示されます。（スキーマの使用方法 に関して）設定するマネジメント プロセッサと、その設定方法を選択することができます。[Select Directory Access Method]ページは、すでにHPスキーマに設定されたiLO 2やディレクトリが無効にされているiLO 2の不慮の上書き を防止するのに役立ちます。 HPQLOMIGディレクトリ マイグレーション ユーティリティ 172 このページは、HP拡張スキーマ、スキーマフリー（デフォルトのスキーマ）、またはディレクトリをサポートしな い設定のページが続けて表示されるかどうかを決定します。 以下についてのマネジメント プロセッサを設定するには、それぞれに対応する項を参照してください。 • • ディレクトリ サービスについては、「HP拡張スキーマを選択したときのディレクトリの設定」（174ページ） の項を参照してください。 スキーマフリー（デフォルトのスキーマ）ディレクトリ サポートについては、「スキーマフリー ディレクト リ統合のセットアップ」（134ページ）を参照してください。 マネジメント プロセッサの命名 この画面では、ディレクトリ内のLights-Out Managementデバイス オブジェクトに名前を付けて、管理対象のすべ てのマネジメント プロセッサ用に、対応するデバイス オブジェクトを作成することができます。以下の1つまた は複数のコンポーネントを使用して名前を作成できます。 • • • • • • ネットワーク アドレス DNS名 インデックス 手動による入力 先頭のプレフィックス（すべてに対して） 末尾のサフィックス（すべてに対して） マネジメント プロセッサに名前を付けるには、[Name]フィールドをクリックして名前を入力するか、以下の手順 に従ってください。 HPQLOMIGディレクトリ マイグレーション ユーティリティ 173 1. [Use Network Address]、[Use DNS Names]、または[Create Name Using Index]を選択します。ま た、[name]フィールドを、間隔を空けて2回クリックすることによって、各マネジメント プロセッサ ディレ クトリ オブジェクトに名前を付けることもできます。 すべての名前の先頭または末尾に追加するテキストを入力します（オプション）。 [Generate Names]をクリックします。生成された名前が[Name]欄に表示されます。この時点では、名前は、 ディレクトリやマネジメント プロセッサに書き込まれていません。名前は、次のページまで保持されます。 名前を変更する（オプション）には、[Clear All Names]をクリックしてマネジメント プロセッサの名前を 変更します。 名前を修正したら、[次へ]をクリックします。 2. [. . . ]