Privileged Access Manager ( 以下、 PAM) で Windows リモートターゲットコネクタを使用して、ターゲットアプリケーションを構成した。
Windows のローカル管理者グループのアカウントをターゲットアカウントに設定することで、パスワード検証や変更は正常に完了するが、アカウントディスカバリが常に 0 を返し、アカウントが検出できない。
Privileged Access Manager: 全てのバージョン
Windows リモート ターゲットコネクタでは、SMB (Server Message Block) および、 WMI (Windows Management Instrumentatin) プロトコルを使用してアカウントの検索等を行っています。
このため、 Windows リモート ターゲットコネクタでは以下のポートをファイアウォールなどから除外する必要があります。
SMB: 445
WMI: 135 と 49152 から 65535 まで、または1024 から 4999 までの範囲.
パスワードの検証が成功し、ディスカバリが失敗する場合は、この動的に割り当てられるポートがファイアウォールによってブロックされている可能性が高いと判断できます。
この問題を確認するには Wireshark などのパケット解析ツールを使用します。
例えば、以下のような Wireshark のフィルターを設定して、通信を監視したときにパケットが全然流れてこない場合、ファイアウォールによってパケットが制限されています。
tcp.dstport >= 49152 && ip.dst == <target Windows Server's IP>
( Wireshark などの詳細については提供元にご確認ください。 )
この問題を解消するにはファイアウォールで該当のポートを開放してください。
ファイアウォールの開放についてはファイアウォール提供元にご確認ください。
例えば、Microsoft 社では以下のような文書が公開されていますのでご参照ください。
こちらの文書は以下の KB から翻訳加筆修正を行いました。
Article ID: 105959: PAM Windows Remote Connector Unable to Discover Local Accounts