## 要件
以下のタスクが既に完了していることを前提としています。
* ロールに対して[ローテーションの強制適用](/keeperpam/jp/privileged-access-manager/getting-started/enforcement-policies.md)が設定されている
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成されている
* Keeper[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がオンラインである
* KeeperゲートウェイがWinRMまたはSSHを通じてターゲットマシンと通信できること
* **WinRM**: ポート5986で有効で実行中
* **確認方法**: `winrm get winrm/config` コマンドを実行してWinRMが実行中であることを確認します。インストールの手順については、[WinRM設定のページ](/keeperpam/jp/privileged-access-manager/references/setting-up-winrm.md)をご参照ください。
* **または**
* **SSH**: ポート22で有効で実行中
* **確認方法**: `ssh [your-user]@[your-machine] -p 22` コマンドを実行してSSHが実行中であることを確認します。
* 管理対象のすべてのWindowsベースのPAMマシンレコードのオペレーティングシステムフィールドは「windows」に設定されている必要があります。
## セットアップ
サービスアカウントおよびスケジュールタスクの管理は、PAMユーザーレコードをボルト内の1つ以上のPAMマシンレコードに関連付けることによって行われます。このマッピングにより、Keeperゲートウェイは各マシンにアクセスし、そのユーザーとして実行されているサービスを検索して、パスワードを更新し、サービスを再起動するよう指示します。
{% hint style="info" %}
リソース上でサービスおよびスケジュールタスクを管理するには、PAMマシンレコードを使用していることを確認してください。異なる種類のリソース (データベース、ディレクトリなど) を使用している場合は、同じPAMユーザーに関連付けられた別のPAMマシンリソースを作成することができます。
{% endhint %}
### 検出の使用
検出ジョブを実行すると、Keeperはパスワードがローテーションされる際に更新が必要なサービスやスケジュールタスクが自動的に検出されます。
検出を使用しない場合は、コマンダーCLIインターフェースを通じて、`pam action service`コマンドを使用して直接管理することができます。
### コマンダーCLIの使用
Keeperコマンダーでは、サービスやスケジュールタスクを関連付けるためのコマンドがあり、パスワードローテーションが行われると、サービスの更新と再起動が自動的に実行されます。
#### コマンダーのインストール
Keeperコマンダーをまだセットアップしていない場合は、インストールしてください。
#### ゲートウェイUIDの取得
`pam gateway list` コマンドを使用して、サービスやスケジュールタスクが存在するマシンを管理しているゲートウェイのUIDを確認します。次の手順でこのUIDが必要になります。
```
My Vault> pam gateway list
KSM Application Name (UID) Gateway Name Gateway UID Status
-------------------------- ------------ ---------------------- --------
My Application1 East Cost oVCr3n7qV8uARjwSqBQBBw ONLINE
My Application2 West Coast qSiGWa55QVaGEv3_xAO3UA ONLINE
My Application3 GovCloud 31t78gWKRQeY54l0u1sbMA ONLINE
My Application4 Tokyo 2XT9aKlYTLOyTnVlpny-dA ONLINE
```
#### PAMマシンとPAMユーザーUIDの取得
PAMマシンおよびPAMユーザーのUIDは、コマンダーでフォルダ内において`ls -l`コマンドを実行するか、`search` コマンドを使用することで確認できます。
また、Keeperボルトの「レコード情報」画面からもUIDを確認できます。
レコードUID
#### サービス管理用コマンド
`pam action service` コマンドを使用して、特定のネットワーク内の特定のマシンおよびユーザーに対して、Keeperにサービスおよびスケジュールタスクの更新を実行させます。
```
My Vault> pam action service
pam command [--options]
Command Description
--------- ------------------------------------------
list List all mappings
add Add a user and machine to the mapping
remove Remove a user and machine from the mapping
```
#### サービス、タスク、IISの追加
特定のマシン上のサービスおよびスケジュールタスクを更新・再起動するようにKeeperに指示するには、以下の構文を使用します。
```
pam action service add -g -m -u -t service
pam action service add -g -m -u -t task
pam action service add -g -m -u -t iis
```
#### サービス、タスク、IISの削除
マシン上のサービスおよびスケジュールタスクとの関連付けを解除するようKeeperに指示するには、次の構文を使用します。
```
pam action service remove -g -m -u -m -u -m -u pam action service list -g oVCr3n7qV8uARjwSqBQBBw
User Mapping
Local service user - testuser (pEFr_dJn5EAc3MT_v30DQw)
* Lureydemo.com Server (CrvdntH-f9mIcraY1InGiw) : Services, Scheduled Tasks
* Windows 2022 Server (U3fHEK2i7LIkWZAzANz2sA) : Services, Scheduled Tasks
```
#### サービス更新の発動
PAMユーザーアカウントのパスワードをローテーションするには、ボルトのユーザーインターフェースから **\[ローテーション]** ボタンをクリックします。
Windows認証情報をローテーション
コマンダーから実行する場合は、`pam action rotate` コマンドを使用します。
```
My Vault> pam action rotate -r pEFr_dJn5EAc3MT_v30DQw
Scheduled action id: +dXjf690oGKgg==
```
ローテーションジョブのステータスを確認するには、ボルトのUIを確認するか、`pam action job-info` コマンドを実行してください。
```
My Vault> pam action job-info +dXjf690oGKgg== --gateway=oVCr3n7qV8uARjwSqBQBBw
Job id to check [+dXjf690oGKgg==]
Execution Details
-------------------------
Status : finished
Duration : 0:01:01.923147
Response Message : Rotation completed for record uid XXX with post-execution
```
### トラブルシューティング
#### サービスの再起動
Keeperが停止中のサービスを起動することはありません。ログオン認証情報を更新した後、稼働中のサービスのみを再起動します。
サービスの認証情報更新に関する問題の解決を試みる際は、以下の点をご確認ください。
* 対象のWindowsサーバーについて、オペレーティングシステムのフィールドが「windows」に設定されていること
* KeeperゲートウェイがWinRMまたはSSHを通じてPAMマシンと通信できること
* **\[イベント ビューアー]** > **\[Windows ログ]** > **\[アプリケーション]** イベントでエラーメッセージを確認してください。
* サービスやスケジュールタスクの管理には、PAMマシンのレコードを使用していること
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/service-management.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
