エクスポート (0) 印刷
すべて展開

イベント ID

このトピックは、次のセクションで構成されています。

データ転送ジョブがイベント ID 81 で失敗する

イベント ID 3002

大量の 3004 イベントが、対応する操作実行イベントなしでログに記録されている

1 個の 3004 イベントが対応する操作イベントなしでログに記録されている

イベント ID 3006 が誤って発生する

イベント ID 5000 と 5001 が定期的に発生する

イベント ID 9029

エラー 10002 が発生する

スキャンを実行するとイベント ID 10004 が記録される

イベント ID 10016 が発生する

オンデマンド スキャンによって MOM サーバーに 10096 と 10069 のイベントが生成される

エージェントのインストールがイベント ID 11724 で失敗する

エージェント着信キューのデータ送信が、イベント ID 21268 および 21269 によりブロックされた

イベント ID 21711

サーバーの発信データ処理が、イベント ID 22061 でブロックされた

イベント ID 25100

エージェントがイベント ID 26017 で拒否される

コレクション データベースとレポート データベースが別々のシステムにあり、SQL Server エージェント サービスが、レポート データベースが存在するサーバーでローカル システムとして実行されている場合、アプリケーション ログに次のエラーが記録されることがあります。

エラー メッセージ

ソース:DataTransformationServices

ID: 81

エラー ソース:Microsoft データ変換サービス (DTS) パッケージ

エラーの説明: パッケージはステップ 'DTSStep_DTSTransferObjectsTask_1' が失敗したので、失敗しました。

エラー コード: 80040428

\Error Help File:sqldts80.hlp

エラー ヘルプ コンテキスト ID:700

背景

このエラーは、レポート データベースが存在するサーバーで SQL Server エージェントが実行されるアカウントに、他のサーバーのコレクション データベースへのアクセス許可がない場合に発生します。これは、SQL Server エージェントがローカル システムとして実行されているときによく発生します。

解決方法

SQL Server エージェント サービス アカウントをドメイン ユーザー アカウントにすることをお勧めします。Client Security に既存の SQL Server コンピュータを使用している場合、ドメイン ユーザー アカウントを使用する SQL Server エージェント サービスがないことがあります。

Client Security が正しく動作するためには、SQL Server エージェント サービスがレポート データベースに対して実行されるアカウントに、管理サーバー、コレクション サーバー、およびレポート サーバーにあるコレクション データベースへのアクセス許可を付与する必要があります。これによって、Client Security DTS アカウントがコレクション データベースにアクセスできるようになります。

アクセス許可を付与するには、次の手順に従います。管理サーバー、コレクション サーバー、およびレポート サーバーで、レポート データベース用の SQL Server エージェント サービスが実行されるドメイン ユーザー アカウントを、SQLServer2005MSSQLUser $コンピュータ名$ MSSQLSERVER グループに追加します。

Client Security に推奨されるアカウントの詳細については、Client Security のインストールと展開に関する Web サイト (英語の場合があります) を参照してください。

Windows XP Service Pack 2 (SP2) を実行しているコンピュータに Client Security エージェントをインストールした後、イベント ビューアのシステム ログに次のエラーが記録されることがあります。

エラー メッセージ

イベント ID 3002:Microsoft Forefront Client Security リアルタイム保護エージェントは、エラーのため失敗しました。

ユーザー:NT AUTHORITY\SYSTEM

エージェント:OnAccessAgent

エラー コード:0x80070032

エラーの説明:この要求はサポートされていません。

背景

Client Security エージェントがインストールされると、Windows XP 修正プログラム (KB914882) が、エージェント コンポーネントよりも前にインストールされます。これは、Client Security を Windows XP SP2 で実行するために必要な修正プログラムです。ただし、clientsetup.exe は、修正プログラムに必要なクライアント システムの再起動を行いません。

解決方法

問題の発生したクライアント コンピュータを再起動します。

Client Security エージェントのリアルタイム保護コンポーネントから大量の検出イベント (3004) を、対応する操作実行イベント (3005 または 3006) なしで受け取ることがあります。

背景

これは、Windows インデックス サービスが、マルウェアが存在するディスクの場所に対して処理を行い、さらにそのコンピュータにログオンしているユーザーがいない場合に発生する可能性があります。Client Security エージェントの自動除去処理では、デスクトップとの対話が必要ですが、これはだれもログオンしていない場合には不可能です。

解決方法

ユーザーがコンピュータにログオンして、クイック スキャンを実行します。

マルウェア検出イベント (3004) のインスタンスが、対応する成功した操作 (3005) または失敗した操作 (3006) なしで、定期的にログに記録される場合があります。さらに、3004 イベントの状態フィールドが、スレッドが中断されていることを示します。

背景

ユーザーが Microsoft Internet Explorer® を使用してマルウェアにアクセスしようとすると、Client Security エージェントがファイルを評価するために呼び出されます。エージェントがマルウェアを検出すると (3004 イベントを生成)、そのファイルは Internet Explorer によって削除されてからエージェントによって取り除けるようになるため、3005 イベントは省略されます。

解決方法

マルウェアは削除されているので、この部分について管理者のアクションは必要ありません。

場合によっては、イベント ID 3006 が次の情報と共に表示されることがあります。

エラー メッセージ

Microsoft Forefront Client Security リアルタイム保護エージェントで、スパイウェアまたは他の望ましくない可能性のあるソフトウェアに対して処置を実行した際にエラーが発生しました。

エラー コード:0x80508022

エラーの説明:スパイウェアまたは望ましくない可能性のあるその他のソフトウェアの削除を完了するには、コンピュータを再起動してください。

解決方法

問題の発生したコンピュータを再起動します。

イベント ID 5000 とその後に情報イベント ID 5001 のエラーが表示されることがあります。

背景

このイベントのペアは、マルウェア対策サービスが SpyNet に統計を報告するときに生成します。SpyNet の詳細については、『Client Security 管理者ガイド』の「SpyNet レポートを構成する」(英語の場合があります) を参照してください。

Bb643195.note(ja-jp,TechNet.10).gif
ユーザーにはプロンプトが表示され、送信内容に個人を特定するデータが含まれることへの同意を求められます。個人を特定するデータが含まれず、ユーザーが SpyNet を使用するオプションを選択している場合は、プロンプトは表示されません。
解決方法

これらのメッセージは無視してもかまいません。

MOM 管理コンソールまたは MOM オペレータ コンソールのどちらかを開くと、次のエラーが表示されることがあります。"サーバーへの接続エラー:サーバー名"

さらに、イベント ビューアのアプリケーション ログにイベント ID 9029 が記録されます。

背景

このエラーは、MOM アクション アカウントのパスワードが変更されたときに発生する可能性があります。

解決方法

MOM ツール SetActionAccount.exe を使用して、MOM に新しいパスワードを伝えます。SetActionAccount.exe ツールは、次の場所の Client Security インストール フォルダにあります。

Client Security\Server\Microsoft Operations Manager 2005

このツールでは、次のコマンド ライン構文を使用します。

SetActionAccount.exe <configname> <options>

オプション 結果

-query

現在のアクション アカウントの設定を返します。

-set ドメイン ユーザー名 [パスワード]

アクション アカウントを変更し、指定したアカウントに設定します。ローカル アカウントの場合は、ドメインの代わりにコンピュータ名を使用します。

Bb643195.note(ja-jp,TechNet.10).gif
configname は、管理グループ名で、必ず指定します。また、変更を有効にするには、MOM サービスを再起動する必要があります。
Bb643195.note(ja-jp,TechNet.10).gif重要
イベント ID 9029 はまた、セットアップ時に指定したアカウントのアクセス許可が十分でない場合、インストール処理中にも発生する可能性があります。詳細については、「セットアップに関する問題」を参照してください。

Client Security のインストール完了直後で、構成ウィザードを実行する前に、イベント ビューアのシステム ログに次のエラーが記録されることがあります。

エラー メッセージ

イベントの種類: エラー

イベント ソース:FcsMs

イベント カテゴリ: なし

イベント ID:10002

日付:2/27/2007

時刻:9:27:24 AM

ユーザー:N/A

コンピュータ:B3TSTX106

説明:

Management Server Service が、更新されたマルウェア対策定義をインポートできませんでした。エラーを報告したコンポーネントから、次の詳細が返されました。

このログインで要求されたデータベース "OnePoint" を開けません。ログインに失敗しました。

詳細には、次の文が含まれている場合もあります。"ストアド プロシージャ 'fcs_Get_AM_Version_Information' が見つかりませんでした。"

背景

エラー 10002 は、Client Security のインストールが完全に構成されていないために発生します。

解決方法

Client Security コンソールを起動して、1 回目の構成ウィザードを実行します。

Client Security エージェントで SSA スキャンを実行しようとすると、スキャンが失敗し、イベント ID 10004 が次のテキストと共にログに記録されます。

エラー メッセージ

Forefront Client Security 状態評価サービスがインストール ディレクトリにアクセスできませんでした。

スキャンは実行されません。

背景

これは、Client Security 状態評価サービスがレジストリのインストール パスを読み取れない場合に発生します。

解決方法

レジストリに、セキュリティ状態評価サービス用の正しいインストール フォルダを入力します。

レジストリ情報を修正するには
  1. 問題の発生した Client Security エージェントで、FcsSas.exe ファイルの場所を見つけます。

  2. [スタート]、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。

  3. レジストリ内の次の場所に移動します。HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Forefront\Client Security\1.0\SSA

  4. InstallDir がない場合は、[編集]、[新規作成]、[文字列値] の順にクリックして、再作成します。右側のペインに「InstallDir」と入力して、Enter キーを押します。

  5. 右側のペインで [InstallDir] をダブルクリックします。

  6. [文字列の編集] ダイアログ ボックスの [値のデータ] ボックスに、FcsSas.exe ファイルへのパス (末尾に "\" を付ける) を入力して、[OK] をクリックします。

レポート サーバーのシステム ログに、イベント ID 10016 と次のような情報が記録されることがあります。

エラー メッセージ

アプリケーション固有のアクセス許可の設定では、CLSID

{BA126AD1-2166-11D1-B1D0-00805FC1270E} を持つ COM サーバー アプリケーションに対するローカルからのアクティブ化アクセス許可を、

ユーザー NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。

背景

"ネットワーク サービス" アカウントには、DCOM でのアクティブ化のアクセス許可が付与されていません。

解決方法
10016 エラーを解決するには
  1. [管理ツール] で [コンポーネント サービス] を開きます。

  2. ツリーで、[コンポーネント サービス]、[コンピュータ]、[マイ コンピュータ] の順に展開し、[DCOM の構成] をクリックします。

  3. 右側のペインで、netman というラベルの付いた COM アプリケーションを右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブをクリックし、[起動とアクティブ化のアクセス許可] の下にある [編集] をクリックしてから、[起動アクセス許可] ボックスで [追加] をクリックします。

  5. [ユーザー、コンピュータ、またはグループの選択] ボックスで、「ネットワーク サービス」と入力し、[OK] をクリックします。

  6. [ネットワーク サービスのアクセス許可] の下で、[リモートからの起動]、[ローカルからのアクティブ化]、および [リモートからのアクティブ化] の [許可] チェック ボックスをオンにします。[OK] をクリックして、残りのダイアログ ボックスを閉じます。

Client Security が、Client Security コンソールからコレクション サーバーを分離するトポロジにインストールされる場合、オンデマンド スキャンを実行すると、コレクション サーバーで 2 つのイベントが失敗します。最初にイベント 10096 が次のエラーと共に表示されます。"プロセスの作成に失敗しました。結果 = '9'"次にイベント 10069 が次のエラーと共に表示されます。"レジストリから文字列を読み取るときにエラーが発生しました '2'"

背景

Client Security エージェントが、コレクション サーバーに自動的にインストールされることはありません。ただし、コレクション サーバーは MOM を実行するため、管理対象コンピュータと見なされて、"すべての管理対象コンピュータ" に対するアクションすべての対象となります。スキャンのマルウェア対策部分がこれらのエラーの最初のセットを生成し、セキュリティ状態評価 (SSA) スキャンが 2 番目のセットを生成します。

解決方法

これらのエラーは無視してもかまいません。

Client Security エージェントのインストールが失敗し、イベント ログに次のテキストが記録されることがあります。"製品:Forefront Client Security -- インストールは失敗しました。"

解決方法

失敗の原因を判別するには、クライアント コンピュータで Client Security インストール フォルダにある clientsetup.log ファイルを開きます。clientsetup.exe の実行時に、既定のインストールの場所を変更していない場合、ログ ファイルは次の場所にあります。

%Program Files%\Microsoft Forefront\Client Security\Client\Logs

clientsetup.log ファイルには、該当する失敗したエージェント コンポーネントのログ ファイルが記録されています。

次のイベントが MOM エージェントのログに (挙げた順番で) 定期的に記録されることがあります。

エラー メッセージ

イベント ID 21268: エージェント着信キューのデータ送信はブロックされました。データを受け付けるために必要な領域がキューにない、またはデータを受け付けるためにキューを利用することができない可能性があります。

イベント ID 21269: エージェント着信キューには、現在、新しいデータを処理するための十分な領域がある、または新しいデータを処理するためにキューを利用できる状態にあります。

背景

このイベントの組み合わせは、過大な負荷の下で、または MOM サーバーへのネットワーク接続が使用できない場合に発生する可能性があります。

MOM エージェントは、MOM サーバーに送信するイベントと警告をキューに蓄積します。通常、エージェントが MOM サーバーと通信できるときには、キューが完全にいっぱいになることはありません。ただし、エージェントが MOM サーバーから長時間切断されたり、大量のイベントや警告が蓄積されたりした場合には、キューがいっぱいになる可能性があります。その場合は、上記のイベントが発生します。

Bb643195.note(ja-jp,TechNet.10).gif
この状況が長く続くと Client Security イベントと警告が (クライアントから) 失われることがあるので、十分に注意してください。
解決方法

イベントが発生する原因を調べます。クライアント コンピュータが (ユーザーの休暇などで) 長期間ネットワークから切断されていた場合、一部の警告やイベントが失われている可能性があります。

エージェントのキューサイズ パラメータは調整できます。これにより、エージェントが MOM サーバーと通信できない場合でも、エージェントが保持できる一時データの量を増やすことができます。これを、エージェント キュー フル イベントが定期的に発生しないような値に設定する必要があります。既定は 3,000 KB なので、2 倍の 6,000 KB に設定すれば、キューがいっぱいになるまでの時間が 2 倍になることになります。

エージェントのキュー サイズを調整する前に、まず構成変更を有効にする必要があります。

エージェント構成を変更できるようにするには
  1. 管理サーバーで、MOM 管理コンソールを開きます。

  2. ツリーで、[管理] を展開し、[グローバル設定] をクリックします。

  3. 詳細ペインで、[管理サーバー] をダブルクリックし、[ハートビート チェック] タブをクリックします。

  4. [エージェント ハートビートをスキャンする間隔] ボックスに、「602」と入力し、[OK] をクリックします。

エージェントのキュー サイズを調整するには
  1. MOM 管理コンソールのツリーで、[管理] を展開し、[グローバル設定] をクリックします。

  2. 詳細ペインで、[エージェント] をダブルクリックし、[一時的な記憶域] タブをクリックします。

  3. [最大ディスク領域] ボックスに、目的のキュー サイズを入力し、[OK] をクリックします。

エージェントのキュー サイズを変更したら、MOM オペレータ コンソールの警告を解決し、警告がさらに発生するかどうかを監視します。警告が再度表示される場合は、キュー サイズをさらに増やします。

Client Security の 2 番目のエージェントを展開した後、アプリケーション ログにイベント ID 21711 が記録されることがあります。

エラー メッセージ

この管理グループに MOM 管理ライセンスで指定した数より x 個多い管理されたコンピュータがあります。

この場合、x は現在展開しているクライアント数から 1 を引いた数値です。

背景

Client Security で提供される MOM サーバーのインストール環境は、特定のクライアント ライセンス数に対して構成されません。

解決方法
このエラーを解消するには
  1. MOM 管理コンソールを開きます。開くには、MOM サーバーで [スタート] をクリックし、[すべてのプログラム]、[Microsoft Operations Manager 2005] の順にポイントし、[管理コンソール] をクリックします。

  2. [管理] ノードを展開し、[グローバル設定] を選択します。

  3. 右側のペインで [ライセンス] をダブルクリックします。

  4. [ライセンス] タブの [購入ライセンス] の下に、管理しているクライアント コンピュータの数を入力して [OK] をクリックします。

MOM サーバーで、次のイベントが表示されることがあります。

エラー メッセージ

イベント ID 22061: サーバー発信データ処理はブロックされました。これは、通信またはデータベース処理に問題があることを示します。

背景

このイベントは、コレクション (OnePoint) データベースが使用できない場合、またはキューに入っているデータ要求量を処理できない場合に発生します。この状況は、大量のデータ入力があったり、データベースに対する未処理の挿入が大量にあったりする場合に発生する可能性があります。

クライアント エージェントによって Client Security データベースに送信されるデータは、まず MOM サーバーのキューに保管されてからデータベースに書き込まれます。このキューがいっぱいになると、サーバーはエージェントからイベントや警告を受け付けることができなくなります。

解決方法

この状態が、サーバーの通常の運用状況として発生する場合は、SQL Server データベースをより高速なディスクに移したり、MOM サーバーまたは SQL Server を実行しているコンピュータにプロセッサを追加して処理能力を増強したりすることをお勧めします。

さらに、MOM サーバーの着信キュー サイズも調整できます。このキューをこのエラーがこれ以上表示されないようなサイズに設定します。キューの既定サイズは 30 MB なので、これを 100 MB に増やせば、キューの問題を減らすうえで役立つ可能性があります。

MOM サーバーの着信キュー サイズを調整するには
  1. 管理サーバーで、MOM 管理コンソールを開きます。

  2. ツリーで、[管理] を展開し、[グローバル設定] をクリックします。

  3. 詳細ペインで、[管理サーバー] をダブルクリックし、[一時的な記憶域] タブをクリックします。

  4. [最大ディスク領域] フィールドに新しい値を入力し、[OK] をクリックします。

サーバーのキュー サイズを変更したら、MOM オペレータ コンソールの警告を解決し、警告がさらに発生するかどうかを監視します。警告が再度表示される場合は、キュー サイズをさらに増やします。

MOM イベントの詳細については、MOM の監視に関する Web サイト (英語の場合があります) を参照してください。

イベント ID 25100 が DCOM からログに記録されます。イベントには次のエラーが含まれます。"DCOM でエラー ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。"

背景

このエラーは、データ アクセス サーバー (DAS) アカウントを更新する必要があることを示しています。

解決方法
DAS アカウント情報を変更するには
  1. [スタート] をクリックし、[管理ツール] をポイントし、[コンポーネント サービス] をクリックします。

  2. ツリーで、[コンポーネント サービス]、[コンピュータ]、[マイ コンピュータ]、[COM+ アプリケーション] の順に展開し、[Microsoft Operations Manager データ アクセス サーバー] を右クリックして、[プロパティ] をクリックします。

  3. [ID] タブをクリックし、正しいパスワードを入力し、[OK] をクリックします。

Client Security サービス アカウントのパスワード更新に関する詳細については、『Client Security 管理者ガイド』の「サービス アカウント パスワードを更新する」(英語の場合があります) を参照してください。

クライアント システムに Client Security エージェントをインストールした後、(アプリケーション ログに) イベント ID 26017 のエージェント拒否イベントが記録されるようになります。さらに、MOM 警告が生成され、MOM オペレータ コンソールに表示されます。

解決方法

[管理サーバーのプロパティ] の [エージェントのインストール] タブで、[新規のエージェントの手動インストールを拒否する] チェック ボックスがオフになっていることを確認してから、MOM サービスを再起動します。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2015 Microsoft