PAM: Windows リモートコネクタでローカルアカウントの検索ができない
search cancel

PAM: Windows リモートコネクタでローカルアカウントの検索ができない

book

Article ID: 379781

calendar_today

Updated On:

Products

CA Privileged Access Manager (PAM)

Issue/Introduction

Privileged Access Manager ( 以下、 PAM) で Windows リモートターゲットコネクタを使用して、ターゲットアプリケーションを構成した。
Windows のローカル管理者グループのアカウントをターゲットアカウントに設定することで、パスワード検証や変更は正常に完了するが、アカウントディスカバリが常に 0 を返し、アカウントが検出できない。

Environment

Privileged Access Manager: 全てのバージョン

Cause

Windows リモート ターゲットコネクタでは、SMB (Server Message Block) および、 WMI (Windows Management Instrumentatin) プロトコルを使用してアカウントの検索等を行っています。
このため、 Windows リモート ターゲットコネクタでは以下のポートをファイアウォールなどから除外する必要があります。

SMB: 445
WMI: 135 と 49152 から 65535 まで、または1024 から 4999 までの範囲.

パスワードの検証が成功し、ディスカバリが失敗する場合は、この動的に割り当てられるポートがファイアウォールによってブロックされている可能性が高いと判断できます。

この問題を確認するには Wireshark などのパケット解析ツールを使用します。
例えば、以下のような Wireshark のフィルターを設定して、通信を監視したときにパケットが全然流れてこない場合、ファイアウォールによってパケットが制限されています。

tcp.dstport >= 49152 && ip.dst == <target Windows Server's IP>

( Wireshark などの詳細については提供元にご確認ください。 )

Resolution

この問題を解消するにはファイアウォールで該当のポートを開放してください。
ファイアウォールの開放についてはファイアウォール提供元にご確認ください。

例えば、Microsoft 社では以下のような文書が公開されていますのでご参照ください。

ファイアウォールで動作するように RPC 動的ポート割り当てを構成する方法

WMI 用の固定ポートの設定

Additional Information

こちらの文書は以下の KB から翻訳加筆修正を行いました。

Article ID: 105959: PAM Windows Remote Connector Unable to Discover Local Accounts