Windows 10 Anniversary アップデートバージョンへアップグレードするには、次の記事の指示に従います。 http://www.dell.com/
support/article/us/en/19/SLN298382
サーバーオペレーティングシステム上でのアクティベーショ ン
Encryption がサーバーオペレーティングシステム上にインストールされた場合、アクティベーションには、初期アクティベーショ
ンとデバイスアクティベーションの 2 つのアクティベーションフェーズが必要です。
初期アクティベーションのトラブルシューティング 初期アクティベーションは、次のときに失敗します。
• 提供された資格情報を使用して、有効な UPN を構築できない。
• エンタープライズ資格情報コンテナ内で資格情報が見つからない。
• アクティブ化に使用される資格情報がドメイン管理者の資格情報ではない。
エラーメッセージ:Unknown user name or bad password ユーザー名とパスワードが一致しません。
可能な解決策:ユーザー名とパスワードを正確に入力して、ログインを再試行します。
18
80 Dell Data Protection | Enterprise Edition トラブルシューティング
エラーメッセージ:Activation failed because the user account does not have domain admin rights.
アクティブ化に使用された資格情報にドメイン管理者権限がない、または管理者のユーザー名が UPN 形式ではありませんでした。
可能な解決策:アクティブ化 ダイアログでドメイン管理者用の資格情報を入力し、それらが UPN 形式になっていることを確認し ます。
エラーメッセージ:A connection with the server could not be established.
または 内部接続ポートを編集... のいずれかをクリックします。
The operation timed out.
Server Encryption は、DDP Security Server への https 経由でポート 8449 と通信することができませんでした。
可能な解決策
• ネットワークに直接接続し、アクティブ化を再試行します。
• VPN で接続されている場合は、ネットワークへの直接接続を試行して、アクティブ化を再試行します。
• DDP Server URL をチェックして、それが管理者から提供された URL と一致していることを確認します。ユーザーがインストー
ラに入力した URL とその他のデータはレジストリに保存されています。[HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\CMGShield] と [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
\Servlet] にあるデータの正確性をチェックしてください。
• サーバーをネットワークから切り離します。サーバーを再起動して、ネットワークに再接続します。
エラーメッセージ:Activation failed because the Server is unable to support this request.
可能な解決策
• Server Encryption をレガシーサーバーに対してアクティブ化することはできません。DDP Server のバージョンは、バージョン
9.1 以降である必要があります。必要に応じて、お使いの DDP Server をバージョン 9.1 以降にアップグレードしてください。
• DDP Server URL をチェックして、それが管理者から提供された URL と一致していることを確認します。ユーザーがインストー
ラに入力した URL とその他のデータはレジストリに保存されています。
• [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] と [HKLM\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon\CMGShield\Servlet] にあるデータの正確性をチェックしてください。
初期アクティベーションプロセス
次の図は、正常な初期アクティベーションを示します。
Server Encryption の初期アクティベーションプロセスでは、ライブユーザーがサーバーにアクセスする必要があります。このユー
ザーは、ドメインまたは非ドメイン、リモートデスクトップ接続またはインタラクティブなど、どのようなタイプのユーザーでも よいですが、ドメイン管理者資格情報にアクセスできなければなりません。
次の 2 つのうちのいずれかが起こると、アクティブ化ダイアログボックスが表示されます。
• 新しい(非管理)ユーザーがコンピュータにログオンする。
• 新しいユーザーがシステムトレイ内の Encryption クライアントアイコンを右クリックし、Dell Data Protection | Encryption のア クティブ化 を選択したとき。
初期アクティベーションプロセスは次のとおりです。
1 ユーザーがログインします。
2 新しい(非管理)ユーザーを検出して、アクティブ化 ダイアログが表示されます。ユーザーが キャンセル をクリックします。
3 ユーザーが Server Encryption の バージョン情報 ボックスを開いて、Server Encryption がサーバーモードで実行中であること を確認します。
4 ユーザーがシステムトレイ内の Encryption クライアントアイコンを右クリックし、Dell Data Protection | Encryption のアクテ ィブ化を選択します。
5 ユーザーが アクティブ化 ダイアログにドメイン管理者資格情報を入力します。
Dell Data Protection | Enterprise Edition トラブルシューティング
81
メモ: このドメイン管理者資格情報の要求は、Server Encryption が、それをサポートしていない他のサーバー環境にロール アウトされるのを防ぐための安全対策です。ドメイン管理者資格情報の要求を無効にするには「作業を開始する前に」を 参照してください。
6 DDP Server がエンタープライズ資格情報コンテナ(Active Directory またはその同等物)内の資格情報をチェックして、その資
格情報がドメイン管理者資格情報であることを確認します。
7 資格情報を使用して UPN が構築されます。
8 その UPN を使用して、DDP Server が仮想サーバーユーザー用の新しいユーザーアカウントを作成し、その資格情報を DDP Server の資格情報コンテナ内に保存します。
仮想サーバーユーザーアカウントは、Encryption クライアントの排他使用用です。サーバーで認証するため、共通暗号化キー を処理するため、およびポリシーアップデートを受信するために使用されます。
メモ: 仮想サーバーユーザーのみがコンピュータ上の暗号化キーにアクセスできるように、パスワードおよびDPAPI 認証 はこのアカウントに対して無効化されます。このアカウントは、コンピュータ上、またはドメイン上の他のどのアカウン トとも一致しません。
9 アクティベーションが成功すると、ユーザーがコンピュータを再起動します。それにより、アクティベーションの第 2 部(認 証とデバイスアクティベーション)が開始されます。
認証とデバイスアクティベーションのトラブルシューティング デバイスアクティベーションは、次のときに失敗します。
• 初期アクティベーションが失敗した。
• サーバーとの接続を確立できなかった。
• 信頼する証明書を検証できなかった。
アクティベーション後、コンピュータが再起動されたとき、Server Encryption は仮想サーバーユーザーとして自動的にログインし、
DDP Enterprise Server にマシンキーを要求します。これは、ユーザーがまだログインできなくても行われます。
• バージョン情報 ダイアログを開いて、Server Encryption が認証済みで、サーバーモードになっていることを確認します。
• Shield ID が赤色で表示されている場合、暗号化はまだアクティブ化されていません。
• リモート管理コンソールでは、Server Encryption がインストールされているサーバーのバージョンは サーバー用 Shield として リストされます。
• ネットワークの障害が原因でマシンキーの取得に失敗した場合、Server Encryption はオペレーティングシステムでネットワーク 通知に登録します。
• マシンキーの取得に失敗した場合:
• 失敗しても、仮想サーバーユーザーのログオンは成功します。
• 設定した時間間隔でキーの取得を再試行するように、ネットワーク障害時の再試行間隔ポリシーをセットアップします。
ネットワーク障害時の再試行間隔 ポリシーの詳細については、リモート管理コンソールから利用できる AdminHelp を参照し てください。
認証とデバイスアクティベーションのプロセス
次の図は、正常な認証とデバイスアクティベーションを示します。
1 正常な初期アクティベーション後、再起動が行われると、Server Encryption を搭載したコンピュータは、仮想サーバーユーザ ーアカウントを使用して Encryption クライアントを自動的に認証し、サーバーモードで実行します。
2 コンピュータは、自身のデバイスアクティベーションステータスを DDP Server でチェックします。
• そのコンピュータがまだデバイスアクティブ化されていない場合、DDP Server は、そのコンピュータに MCID、DCID、お よび信頼証明書を割り当て、そのすべての情報を DDP Server の資格情報コンテナ内に保存します。
• そのコンピュータがすでにデバイスアクティブ化されている場合、DDP Server は信頼証明書を検証します。
3 DDP Server が信頼証明書をサーバーに割り当てた後、そのサーバーはその暗号化キーにアクセスできます。
4 デバイスアクティベーションが成功します。
82 Dell Data Protection | Enterprise Edition トラブルシューティング
メモ:
サーバーモードで実行している場合、Encryption クライアントは、暗号化キーにアクセスするために、デバイスアクティベ ーションに使用されたのと同じ証明書にアクセスできなければなりません。
(オプション) Encryption Removal Agent ログファイルの作成
• アンインストール処理を開始する前に、オプションで Encryption Removal Agent のログファイルの作成を行います。このログフ ァイルは、アンインストールや復号化操作のトラブルシューティングを行う際に便利です。アンインストール処理中にファイル の復号化を行うつもりがない場合は、このログファイルを作成する必要はありません。
• Encryption Removal Agent ログは Encryption Removal Agent サービスが実行されるまで作成されず、このサービスはコンピュー タが再起動されるまで実行されません。クライアントが正常にアンインストールされ、コンピュータが完全に復号化されると、
ログファイルは完全に削除されます。
• ログファイルのパスは C:\ProgramData\Dell\Dell Data Protection\Encryption. です。
• 復号化の対象となるコンピュータに次のレジストリキーを作成します。
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2 0:ログを記録しない
1:サービスを実行できなくなるエラーをログに記録する
2:完全なデータ復号化を妨げるエラーをログに記録する(推奨レベル)
3:すべての復号化ボリュームとファイルに関する情報をログに記録する 5:デバッグ情報をログに記録する
TSS バージョンの確認
• TSS は、TPM と連動するコンポーネントです。TSS バージョンを確認するには、C:\Program Files\Dell\Dell Data Protection
\Drivers\TSS\bin > tcsd_win32.exe と移動します。ファイルを右クリックして、プロパティを選択します。詳細タブでファイル のバージョンを確認します。
EMS と PCS の相互作用
メディアが読み取り専用ではなく、ポートがブロックされていないことを確実にする
EMS Access から unShielded Media へのポリシーは、Port Control System - Storage Class: External Drive Control ポリシーと相互作用 します。EMS Access から unShielded Mediaへのポリシーをフルアクセスに設定する場合は、メディアが読み取り専用に設定されな いこと、およびポートがブロックされないことを確実にするために、Storage Class: External Drive Control ポリシーもフルアクセス に設定する必要があります。
CD/DVD に書き込まれたデータを暗号化する
• 外部メディアの EMS 暗号化 = True に設定します。
• EMS で CD/DVD 暗号化を除外 = False に設定します。
• サブクラスストレージの設定:光学ドライブコントロール = UDF Only に設定します。
Dell Data Protection | Enterprise Edition トラブルシューティング
83