KACEエージェントからSMA(K1000)サーバーへの通信は、amp.conf内のhost行にあるSMAサーバ名 から解決された SMAサーバーのIPアドレスのポート443/tcp への通信、あるいは SMAの Webサーバー名 の値に基づいて解決されたIPアドレスのポート443/tcp への通信により行われます。通信ができない事象にたいするトラブルシューティングはこの部分を重点的に確認することになります。
11.0以上のバージョンでは新規デバイスは手動あるいはトークンによる承認を受けない場合、検疫エリアに入ります。
多少順序が前後することはありますが、インベントリが更新されない問題についてはほとんどの場合、エージェントがインストールされたマシンのネットワーク環境に依存することが多く、一般に以下の方針で調査を行います。
ポイント
1. 名前解決
2. サービス起動及び接続性の確認
3. 検疫と承認 (未登録デバイス)
ログ採取
重要: デバイスがまだインベントリ未登録の場合、名前解決・通信/サービスと並行して、検疫で承認されたかどうか(3. 検疫と承認 未登録デバイス )もご確認ください。
承認されないと通信は出来ていてもエージェントは検疫で留まります。
エージェントがインストールされているマシンがSMAサーバーの「Webサーバー名」( 設定 | ネットワーク設定)の値をIPアドレスへ名前解決できる事を確認します。
重要: KACEエージェントを使用するシステムはエージェントインストール時のSMAのサーバ名の入力内容にかかわらず、
必ず SMA Webサーバ名 の値をアドレスに解決できるように構成してください。この名前に対する解決は一般にDNSで行います。
そのため、エージェントインストール時に指定する SMAのサーバー名 も 「Webサーバ名」 の値に一致させることをお勧めします。もしエージェントインストール時にIPアドレスを指定した場合、インベントリ送信が成功しエージェント接続の保持ができているように見えたとしても、
KACE SMAエージェントインストールの後でKACE SMAサーバーから与えられる Webサーバー名 に通信を試みるため、インベントリやKスクリプトのステータスを受け取れない・送信できないといったような問題が発生しえます。
予め host=Webサーバー名 となるよう設定しておけば 名前解決の失敗はエージェント接続不可の結果を生じるため結果的に問題を洗い出しやすくなります。
エージェントは接続確立後にhost=の値を Webサーバ名 の設定値に置き換えます。
1-1. SMA Webサーバ名 の確認
[SYSTEM] 設定 | ネットワーク設定 | Webサーバ名 の値
1-2. amp.confの確認
Webサーバ名の値がエージェントのインストール時に指定したホスト名(amp.confファイル※のhost=の値) に一致しているかどうか、
およびこの名前からIPアドレスを認識できるかどうかを確認します。
※amp.confファイルの場所:
Windows: C:\ProgramData\Quest\KACE\
Linux: /var/quest/kace/
Mac (OS X): /Library/Application Support/Quest/KACE/data/
/Library/Application Support/以下が見つからない場合 追加情報セクションの[作業用メモ]をお読みください。
バージョン7.xおよびそれ以前のエージェントについてはパス中のQuest(quest)の文字をDell(dell)に置き換えてください。
amp.conf例
host=k1smahv.kace.lab koneaport=443 weburl=http://127.0.0.1:ランダムポート...
1-3. 名前解決結果の確認
コマンドプロンプトからpingコマンドでSMA のWebサーバー名の正引きが行えればICMP応答の有無にかかわりなく、名前解決の確認となります。
ping WebServerNameofSMA
名前解決ができない場合、システムの名前解決の構成をご確認ください。
(多くの場合、ローカルのhostsファイル あるいは PCが利用するネットワーク内のDNSサーバーの設定に依存するはずです)
なお、amp.conf にhost=のエントリがない、またはhost=正しいWebサーバ名 が登録されていない場合、以下の手順で再設定できます。
コマンドプロンプトを右クリックし、[管理者として実行] を選択して「管理者: コマンドプロンプト」を起動します。
以下のAMPToolsコマンド (※2 KACEエージェントのコマンドパス) を実行します。
[Windows]
AMPTools -resetconf host=WebServerNameofSMA token=使用可能なエージェントトークン
[Mac/Linux] ※2 フルパスあるいはKACEエージェントのコマンドパスに移動にて
rootユーザーの場合) # ./AMPTools -resetconf host=WebServerNameofSMA token=使用可能なエージェントトークンrootではない管理者ユーザーの場合) $ sudo ./AMPTools -resetconf host=WebServerNameofSMAtoken=使用可能なエージェントトークン
※2 KACEエージェントのコマンドパス
[v14.0以上のWindows用エージェント] C:\Program Files\Quest\KACE
[v13.2までのエージェント 64-Bit OS上] C:\Program Files (x86)\Quest\KACE
[v13.2までのエージェント 32-Bit OS上] C:\Program Files\Quest\KACE
[Linux]: /opt/quest/kace/bin
[macOS]: /Library/Application Support/Quest/KACE/bin
このパスのコマンドをフルパスで実行する場合ApplicationとSupportの間の半角スペースの前に\を入れてください。
→ /Library/Application\ Support/Quest/KACE/bin/AMPTools
2-1. プロセスIDおよびSMAサーバーとの接続性を確認します。
エージェントプロセスが動作しているかを確認します。
■ Windows:タスクマネージャ あるいはtasklistコマンド
管理者:コマンドプロンプトを起動して以下のコマンドを実行します。
tasklist /fi "IMAGENAME eq konea.exe"
この時得られたPIDを元にnestatを実行します。
netstat -ano |findstr PIDofKONEA
併せてkstatus.exeの結果も取得して整合性を確認します。
Windows [管理者:コマンドプロプト]を起動し、※2 KACEエージェントのコマンドパス へ移動して kstatus.exe
出力例 Running とConnectedがyes で正常
Version: エージェントバージョン
Hostname: このコンピュータ名
Running: yes, pid = 16514 since 2021-09-02 16:25:19 +0900 JST
Connected: yes, url = https://k1sma.server.dom:443 since 2021-09-02 16:25:19 +0900 JST
KUID: このデバイスのKACEエージェントID(kuid.txt)
エージェントの接続先(SMAサーバーIPあるいは外部エージェント接続用のFirewall)の443番との接続が確立されていることを確認します。
■ Mac/Linux: psコマンド
# ps -ef | grep -i konea
# netstat -an | grep -i 443.*EST
併せてkstatusの結果も取得して整合性を確認します。 Mac/LinuxではTerminal等を起動しsudo実行あるいはrootで実行します
Linux # /opt/quest/kace/bin/kstatus
macOS: $ sudo /Library/Application\ Support/Quest/KACE/bin/kstatus
エージェントの接続先(SMAサーバーIPあるいは外部エージェント接続用のFirewall)の443番との接続が確立されていることを確認します。
Mac/LinuxのnetstatではプロセスのプロセスIDは表示されません。
2-2. エージェントサービスの再起動手順
もしエージェントが動作していなければ再起動を試みます。
[Windows] コントロールパネル|管理ツール|サービス から konea(Quest KACE One Agent)サービスを再起動するか、あるいは [管理者: コマンドプロンプト] からフルパスあるいは エージェントのコマンドパス※2に移動してAMPToolsコマンドを実行します。
AMPTools restart
[Mac/Linux] フルパスあるいは エージェントのコマンドパス※2に移動してAMPToolsコマンドを実行します。
rootユーザーの場合) # ./AMPTools restart
rootではない管理者ユーザーの場合) $ sudo ./AMPTools restart
インベントリへ登録されたことがないデバイスについて、接続先のSMAによって承認されない間は検疫でアクション待ちの扱いでありデバイスインベントリには登録されません。
その状態ではTCPレベルでは接続出来ていてもデバイスインベントリには表示されません。
インストール時または設定リセット時に適切なエージェントトークンが使用されていれば自動的に承認されます。
エージェントの検疫については次の記事をお読み下さい。 エージェントの検疫について (4277104)
インベントリ | 検疫 (複数組織が有効な場合 システム | 組織|検疫 )の検疫一覧にて状態を確認します。
一覧では実際のエージェントと表示されるデバイスの一致にはKUID(kstatus結果やkuid.txtに含まれる)を比較してください。
表示方法: "アクションを待っています" に該当のデバイスが表示されている場合、手動で承認することができます。
表示方法: "承認されました" に該当のデバイスが表示されている場合、そのデバイスはすでに承認されています。
検疫(表示方法: "アクションを待っています")に表示されている場合、承認することでインベントリへ追加できるようになります。
検疫に入ったデバイスがUnknownと表示されたりインベントリに入らない状況が見受けられる場合、
WindowsのWMIに問題が生じている可能性がありますのでまずはそちらを解決してください。
切り分け手順は次の記事を参考にしてください。 検疫に入ったデバイスがUnknownと表示されたりインベントリに入らない状況 (4265042)
検疫画面にて、承認済み かつ 接続が有効(アイコン)であり、接続性および検疫の問題を解決してもインベントリに画面に現れない(インベントリ更新されない)場合には、次へ進んでください。
過去にKACEエージェントを一度でもインストールしたことがある(エージェントがアンインストール済みであっても)システムから作成されたシステムイメージから配布されたOSが接続できない場合、識別情報の重複が疑われます。以下の記事に従い konea.log (C:\ProgramData\Quest\KACE) に同じエラーが無いか確かめて対処してください。
クローン済みマシンがSMAに接続できない (4283658)
上の内容を確認しても解消しない場合、手動でインベントリコマンドを実行したあとで kaptureログを取得してサポート窓口へご相談ください。
例: インベントリ送信の再現
インベントリ送信コマンド
[Windows]管理者:コマンドプロンプトにて エージェントのコマンドパス※2に移動して runkbot 4 0[Mac/Linux] フルパスあるいはインストールパス※2に移動してrootユーザーの場合) # ./runkbot 2 0 rootではない管理者ユーザーの場合) $ sudo ./runkbot 2 0
次の記事の手順で kapture を使用してログを収集します。
KACEエージェントツールキット(KAT / kapture)の使用 (4297131)
それでも解消しない場合Questサポートへのお問い合わせ前に以下の情報を揃えてください。
[作業用メモ]
/Library/Application Support/Quest/KACE/ をFinderから探す場合、画面上部にFinder が次のように表示された状態で 移動 → コンピュータ を選択するとMachintoshHD が見えるはずです。2024 Jan, HTTP(S)_PROXY環境変数に関する記述を削除 12.1 Release Notes: Agent communication now ignore proxy set by the HTTP_PROXY environment variable. (K1A-3854)