ArcGIS Enterprise ポータルの操作時に発生した疑問や問題点と実行可能な解決策を次に示します。 特定の問題が見つからない場合は、Esri Support Center の Web サイトで記事を検索してみてください。
アップグレード
- アップグレードの後、ポータル Web サイトが正しく表示されない、エラー メッセージが表示される、もしくはログインできません。 何が原因ですか?
- アップグレードの後、ポータルにアイテム、グループ、およびユーザーが一部しか表示されません。 どうすればよいでしょうか。
- 10.9 をインストールしてからポータル Web サイトにアクセスしたときに、ポータルで割り当てられたライセンスの数が、使用可能なライセンスの数を超えたことを示す通知が表示されます。 どうすればこの問題を解決できますか?
- アップグレード後に、組織のメンバーに Standard (テンポラリ) または Lite (テンポラリ) ユーザー タイプが割り当てられました。 これらのユーザー タイプはどのようなものですか? また、正しいユーザー タイプをメンバーに割り当てるにはどうすればよいですか?
- ポータルをアップグレードするときに初期管理者アカウントを作成しようとすると、「最初の管理者アカウントの作成中にエラーが発生しました。」というメッセージが表示されます。 アップグレードを完了するにはどうすればよいですか?
- ポータルのアップデート後、ポータル Web サイトで [組織] > [設定] > [ArcGIS Online] を開き、登録者やプレミアム ArcGIS Living Atlas of the World コンテンツを更新しようとすると、証明書が無効である、あるいは ArcGIS Online にアクセスできない、というエラー メッセージが現れます。 何が問題なのでしょうか? また、どうすれば回避できますか?
管理
- Portal for ArcGIS の可用性を高めるには、どのように構成すればよいですか?
- 初期管理者アカウントの目的は何ですか? このアカウントを降格または削除できますか?
- ArcGIS Server をポータルとフェデレートした後、どうすれば ArcGIS Server に接続できますか?
- ネットワークに接続していない場合、ポータルと ArcMap が同じコンピューター上にインストールされていても、ArcMap で ArcGIS Enterprise ポータルにサイン インするオプションが無効になっているのはなぜですか?
- ArcGIS Server サイトをポータルとフェデレートしようとするときに、[ArcGIS Server の追加] ダイアログ ボックスに次のメッセージが表示されます。サーバーとの通信中にエラーが発生しました。 URL および認証情報を確認して、もう一度やり直してください。
- Portal for ArcGIS のインストール先コンピューターの名前を変更できますか?
- Internet Explorer でポータル Web サイトを開こうとしたところ、Web サイトの読み込みに失敗し、Web サイトを表示できなかったことを示すメッセージが表示されました。
- HTTPS を使用して ArcGIS Enterprise ポータル Web サイトおよび ArcGIS Portal Directory にアクセスする場合、アプリケーションを Internet Explorer に読み込むのに、ある程度 (最大 1 分) 時間がかかります。
- 組織サイトのリバース プロキシ サーバーに Portal for ArcGIS を構成するにはどうしたらよいですか?
- 同じ ArcGIS Web Adaptor を ArcGIS Server および Portal for ArcGIS の両方と連動するように構成できますか?
- ポータルでエンタープライズ グループを使用している場合、Windows Active Directory または LDAP サーバー上のグループに新しいログインを追加するとすぐに、ポータルのアイデンティティ ストアが更新されますか?
- ポータルでエンタープライズ グループを使用している場合、新しいエンタープライズ グループを Windows Active Directory または LDAP サーバーに追加すると、そのエンタープライズ グループはポータルに自動的に追加されますか?
- ポータルでエンタープライズ アカウントとエンタープライズ グループを使用している場合、Windows Active Directory または LDAP サーバーからユーザーを削除すると、どのような処理が行われますか?
- ポータルでエンタープライズ グループを使用している場合、エンタープライズ グループの名前を変更するか、エンタープライズ グループを Windows Active Directory または LDAP サーバーから削除すると、対応するポータルではどのような処理が行われますか?
- ポータルで SAML アイデンティティ プロバイダーを使用していますが、メンバーが組み込み ArcGIS アカウントでログインするオプションを無効にしてしまいました。 このオプションを再度有効にするにはどうすればいいですか?
- ポータルのセキュリティ構成を Active Directory または LDAP から SAML に切り替えた後に、すべての SAML ユーザーが SAML ベースのエンタープライズ グループから毎晩削除されます。 どのような状況になっていますか?
- Web ブラウザーにMap Viewerを読み込むのに、非常に時間がかかります。
- 新しく作成された Web マップのサムネイルが生成されないか、正しく表示されません。
- 新しいカスタム SSL 証明書を構成した後、ポータルにアクセスできなくなりました。 回復するにはどうしたらよいですか?
- 統合 Windows 認証を使用するようにポータルが構成されている場合、ユーザー ログインが断続的に失敗するか、非常に低速になります。 ポータル ログに次のエントリが含まれます。User '<username>' not found in the identity store provider.
- ポータル Web サイトで [組織] > [設定] > [ArcGIS Online] を開こうとすると、証明書が無効である、あるいは ArcGIS Online にアクセスできない、というエラー メッセージが現れます。 何が問題なのでしょうか? また、どうすれば回避できますか?
バックアップ
公開
アップグレード
ブラウザーのキャッシュを cookie を含めて消去します。 一般的に、これらのエラーの原因は、ブラウザーにキャッシュされた以前のバージョンの Web サイトの情報です。 キャッシュを消去してもログインできない場合は、初期管理者アカウントまたはポータルの管理権限を持つアカウントを使用していることを確認してください。
ソフトウェアをインストールして初期管理者アカウントを指定した後に、ポータルのインデックスを再構築する必要があります。 この手順で、ポータルのアップグレードが完了します。 初期状態ではインデックスの再構築が完了していないため、アイテム、グループ、およびユーザーの一部が表示されない場合があります。 ポータル内のユーザー数とコンテンツ量によって、インデックスの再構築が完了するまでにかかる時間が異なります。 たとえば、Portal for ArcGIS を 8 コアのコンピューターで実行している小規模な組織 (数百のユーザーとコンテンツ アイテム) の場合は、インデックスの再構築に 15 分程度かかります。 一方、Portal for ArcGIS を 8 コアのコンピューターで実行している大規模な組織 (数万のユーザーとコンテンツ アイテム) の場合は、インデックスの再構築に 3 時間以上かかります。
インデックスの再構築の状態は、次の手順で確認できます。 [store] と [index] のカウントが同じであれば、インデックスの再構築とアップグレードは完了しています。
- ArcGIS Portal Directory を開き、初期管理者アカウントでサイン インします。 URL の形式は、https://portal.domain.com:7443/arcgis/portaladmin です。
- [System] > [Indexer] > [Index Status] の順にクリックします。
- ページを更新して、最新の状態を確認します。
10.9 をインストールしてからポータル Web サイトにアクセスしたときに、ポータルで割り当てられたライセンスの数が、使用可能なライセンスの数を超えたことを示す通知が表示されます。 どうすればこの問題を解決できますか?
Portal for ArcGIS 10.7 以降のバージョンでは、ユーザー タイプ ライセンスが適用されます。 ポータルでライセンスされている内容を超えるユーザーにライセンスを割り当てることはできません。 この通知は、使用可能な数よりも多くのアドオン ライセンスまたはユーザー タイプが割り当てられているかどうかを示します。 使用可能なライセンスの数を超えるライセンスがユーザーに割り当てられると、ユーザーがポータルにアクセスできなくなるおそれがあります。 この問題を解決するには、[ライセンス] タブに移動し、超過して割り当てられたライセンスを割り当てし直します。 もう 1 つの方法として、ポータルにライセンスを追加する場合は、新規のポータル ライセンス ファイルを取得します。 ポータルでのライセンスの割り当てに関する詳細については、「ライセンスの管理」をご参照ください。
アップグレード後に、組織のメンバーに Standard (テンポラリ) または Lite (テンポラリ) ユーザー タイプが割り当てられました。 これらのユーザー タイプはどのようなものですか? また、正しいユーザー タイプをメンバーに割り当てるにはどうすればよいですか?
Portal for ArcGIS 10.7 以降のバージョンでは、ユーザー タイプ ライセンスが適用されます。 アップグレードすると、既存のメンバーにユーザー タイプが割り当てられます。 互換性のあるユーザー タイプがライセンス ファイルに 1 つだけ含まれている場合は、メンバーにそのユーザー タイプが割り当てられます。 ただし、これにはさまざまなシナリオがあり、アップグレード中にテンポラリ ユーザー タイプが割り当てられた場合は、アップグレードが完了した後に、手動でメンバーにユーザー タイプを割り当てる必要があります。 一般的なアップグレード シナリオのいくつかの例を次に示します。
- 組織のメンバーは指定ユーザーまたはレベル 2 メンバーであり、新規のライセンス ファイルには互換性のあるユーザー タイプ (Creator など) が 1 つだけ含まれています。 すべての指定ユーザーまたはレベル 2 メンバーに Creator ユーザー タイプが割り当てられます。 テンポラリ ユーザー タイプは割り当てられません。
- 組織のメンバーは指定ユーザーまたはレベル 2 メンバーであり、新規のライセンス ファイルには互換性のあるユーザー タイプ (Creator や GIS Professional など) が複数含まれています。 すべての指定ユーザーまたはレベル 2 メンバーに Standard (テンポラリ) ユーザー タイプが割り当てられます。 Standard (テンポラリ) ユーザー タイプが割り当てられたメンバーは、有効なユーザー タイプ ライセンスが割り当てられるまでポータルにアクセスできません。
- 組織のメンバーはレベル 1 ユーザーであり、新規のライセンス ファイルには互換性のあるユーザー タイプ (Viewer など) が含まれていません。 これらのメンバーに Lite (テンポラリ) ユーザー タイプが割り当てられます。 Lite (テンポラリ) ユーザー タイプが割り当てられたメンバーは、有効なユーザー タイプ ライセンスが割り当てられるまでポータルにアクセスできません。 ポータルに Viewer ライセンスを追加する場合は、新規のポータル ライセンス ファイルを取得する必要があります。
ポータルをアップグレードするときに初期管理者アカウントを作成しようとすると、「最初の管理者アカウントの作成中にエラーが発生しました。」というメッセージが表示されます。 アップグレードを完了するにはどうすればよいですか?
ポータル ログの情報は、問題の解決に役立ちます。 このエラーは、アカウントの作成時にネットワーク接続が一時的に失われた場合に発生します。 ログにアクセスするには、ログ ディレクトリを参照して、最新のログ ファイル (たとえば、C:\arcgisportal\logs\<machine name>\portal\portal-20141201.095803-8596-0.0.log) を開きます。 さらにサポートが必要な場合、米国内のユーザーは Esri テクニカル サポート、米国外のユーザーは現地の Esri 販売代理店に問い合わせることができます。
ポータルのアップデート後、ポータル Web サイトで [組織] > [設定] > [ArcGIS Online] を開き、登録者やプレミアム ArcGIS Living Atlas of the World コンテンツを更新しようとすると、証明書が無効である、あるいは ArcGIS Online にアクセスできない、というエラー メッセージが現れます。 何が問題なのでしょうか? また、どうすれば回避できますか?
登録者のコンテンツやプレミアム ArcGIS Living Atlas コンテンツを更新するには、ポータルで ArcGIS Online 証明書を検証しておく必要があります。 検証できなかった場合、次のいずれかのメッセージが、ポータル Web サイトや、ホスティング サーバーのログ中に現れます。
- 登録者やプレミアム Living Atlas コンテンツにアクセスするための証明書が無効です。 有効な ArcGIS Online 組織アカウント証明書を使って、該当する証明書を更新してから、Living Atlas コンテンツをアップグレードしてください。 — ArcGIS Enterprise は、ArcGIS Online 組織への接続を試み、既存の証明書が無効であると判断しました。 ArcGIS Online アカウントのパスワードが変わっていないこと、また、プレミアム コンテンツについて、アカウントに今もクレジットがあることを確認してください。
パスワードが変わった場合、あるいは、登録者やプレミアム ArcGIS Living Atlas コンテンツに ArcGIS Online からアクセスするために新しいアカウントが必要な場合は、証明書を更新してください。 Portal for ArcGIS をアップグレードする一環として証明書を更新した場合は、[コンテンツのアップグレード] をクリックして、ArcGIS Living Atlas コンテンツをアップグレードしてください。
- このポータルから ArcGIS Online にアクセスできません。 ファイアウォールの設定、ポータルのプロキシ設定を確認した上で、Living Atlas のコンテンツをアップグレードしてください。 — ArcGIS Enterprise は ArcGIS Online アカウントに、対応する証明書を使って接続できませんでした。 多くの場合これは、ネットワークに問題があって、ArcGIS Online と通信できないのが原因です。
- 登録者のコンテンツおよびプレミアム Living Atlas のコンテンツへのアクセスに使用する認証情報を確認できないため、コンテンツをアップグレードできません。 Esri テクニカル サポートまたは販売代理店にお問い合わせください。— まれに、Portal for ArcGIS のアップグレードに伴う問題のため、ArcGIS Living Atlas コンテンツをアップグレードできないことがあります。 この内容のメッセージが表示された場合は、Esri テクニカル サポート (米国内の場合) または現地の Esri 販売代理店 (米国外の場合) に問い合わせ、問題の原因の特定と修正を依頼してください。
管理
Portal for ArcGIS は、可用性の高い環境で構成することができ、サポートされます。 詳細については、「高可用性ポータルの構成」をご参照ください。
Portal for ArcGIS をインストールし、使用できるように構成すると、ポータル Web サイトにアクセスできるようになります。 このとき、新規アカウントの名前、パスワード、電子メール、および本人に関する質問と答えを指定する必要があります。これは、初めてこの Web サイトにサイン インし、ポータルを管理する際に使用します。 このアカウントを初期管理者アカウントと呼びます。
初期管理者アカウントのユーザー名とパスワードは、Portal for ArcGIS によって保存されます。 初期管理者アカウントは、オペレーティング システム アカウントではなく、Portal for ArcGIS アカウントとは何の関連もありません。 後で、管理者として他のアカウントを指定し、権限をほとんど持たないロールに初期管理者を降格させるか、初期管理者アカウントを削除することができます。
ArcGIS Server をポータルとフェデレートしたら、サーバーへのすべてのアクセスは、ポータルのセキュリティ ストアによって制御されます。 ArcGIS Server でこれまで使用していたユーザーとロールは、サーバーへのアクセスに利用できなくなります。サーバーへのすべての接続は、ポータル アカウントを使用して実行されます。
唯一の例外は、ArcGIS Server のプライマリ サイト管理者アカウントです。 ポート 6080 または 6443 を使用して直接接続する場合、このアカウントを使用していつでも ArcGIS Server Administrator Directory にログインできます。ただし、サーバーがポータルとフェデレートされている場合、このアカウントを使用して ArcGIS Server にログインすることはできません。
サーバーがポータルとフェデレートされている場合のサーバーへの接続方法については、「フェデレーション サーバーの管理」をご参照ください。
ネットワークに接続していない場合、ポータルと ArcMap が同じコンピューター上にインストールされていても、ArcMap で ArcGIS Enterprise ポータルにサイン インするオプションが無効になっているのはなぜですか?
ArcGIS Desktop は、ネットワーク経由で ArcGIS Enterprise ポータルと通信する必要があります。 ArcGIS Desktop と Portal for ArcGIS を両方とも同じコンピューター上で実行しており、オフライン中に接続する必要がある場合は、ArcGIS Administrator で接続する際に [ネットワークのないローカル ポータルへの接続をサポートする] オプションをオンにします。
- ArcGIS Desktop と Portal for ArcGIS がインストールされているコンピューター上で ArcGIS Administrator を起動して、[高度な設定] をクリックします。
- [ネットワークのないローカル ポータルへの接続をサポートする] チェックボックスをオンにします。
- [保存] をクリックして、[詳細構成] ダイアログ ボックスを閉じます。
- [OK] をクリックして、ArcGIS Administrator を閉じます。
ArcGIS Server サイトをポータルとフェデレートしようとするときに、[ArcGIS Server の追加] ダイアログ ボックスに次のメッセージが表示されます。サーバーとの通信中にエラーが発生しました。 URL および認証情報を確認して、もう一度やり直してください。
次のいずれかの理由から、このエラーが発生した可能性があります。
- 入力した ArcGIS Server サイトの [サーバー URL] または [管理者 URL] の値が正しくないか、これらの URL に到達できない。 以下の内容を確認してください。
- ArcGIS Server サイトに ArcGIS Web Adaptor がある場合、[サーバー URL] 値は ArcGIS Web Adaptor のアドレスになります (例: http://webadaptorhost.domain.com/webadaptorname)。 ArcGIS Web Adaptor が存在しない場合、[サーバー URL] の値は、[管理者 URL] の値と同じになります (例: http://gisserver.domain.com:6080/arcgis)。
- 組織のすべての通信で HTTPS が必要な場合は、URL で https を使用します。
- URL には、コンピューターの完全修飾ドメイン名 (FQDN) を含めます。 FQDN は必須です。
- ArcGIS Server サイトの通信プロトコルが、[HTTP と HTTPS] または [HTTPS のみ] を使用するように更新されていることを確認します。
- 通信プロトコルが、ポータルのプロトコルと一致していることを確認します。 たとえば、ポータルのすべての通信で HTTPS が必要な場合は、ArcGIS Server も HTTPS のみを使用するように構成する必要があります。 反対に、ポータルが HTTPS を必要としていない場合は、サーバーの通信プロトコルを HTTP と HTTPS の両方にする必要があります。
- ArcGIS Server サイトに ArcGIS Web Adaptor が含まれる場合、サイトの通信プロトコルをアップデートしてから、ArcGIS Server で ArcGIS Web Adaptor を再構成する必要があります。
- ファイアウォールが ArcGIS Server とポータル間の通信を許可していることを確認します。 具体的にどのポートを開くかについては、「ArcGIS Server で使用されるポート」および「Portal for ArcGIS で使用されるポート」をご参照ください。
- 統合 Windows 認証 (IWA) などの Web 層認証を無効化し、ArcGIS Server サイトで匿名アクセスを有効化します。 これは、一見間違っているように感じられますが、サイトをポータルとフェデレートして、ポータルのユーザーとロールを読み取れるようにするために必要な操作です。
- [ユーザー名] または [パスワード] に間違ったユーザー名またはパスワードを入力した。
- [ユーザー名] では、最初に ArcGIS Server Manager にログインし、サーバーを管理するために使用されたプライマリ サイト管理者アカウントのユーザー名を指定します。 このアカウントが無効になっている場合は、もう一度有効にする必要があります。 他のアカウントは使用できません。
- [パスワード] では、プライマリ サイト管理者アカウントのパスワードを入力します。
詳細については、「ArcGIS Server サイトとポータルのフェデレーション」をご参照ください。
ポータル Web サイトの URL 内にあるホスト名が、Internet Explorer で信頼済みサイトに含まれていることを確認してください。 ポータルの URL を信頼済みサイトとして Internet Explorer に追加するには、[インターネット オプション] を開きます。 信頼済みサイトは、[セキュリティ] タブにあります。 Internet Explorer と同じサーバーで実行されているポータルにアクセスしようとしている場合は、次のサイトを信頼済みサイトとして追加してください。
- http://localhost
- https://localhost
- http://portal.domain.com
- https://portal.domain.com
HTTPS を使用して ArcGIS Enterprise ポータル Web サイトおよび ArcGIS Portal Directory にアクセスする場合、アプリケーションを Internet Explorer に読み込むのに、ある程度 (最大 1 分) 時間がかかります。
デフォルトでは、ブラウザーで HTTPS URL にアクセスした場合、Internet Explorer はインターネットに接続しようとします。 インターネットにアクセスできない環境では、ブラウザーは、一定時間 (通常は 1 分間) インターネットに接続しようとします。 たとえば、ブラウザーは 1 分後にタイムアウトし、正常に URL に接続します。 この挙動は、タイムアウト値に達するまでブラウザーがハングアップしているように見えるため、よく接続不良と誤解されます。
ブラウザーのこの挙動を防ぎ、ArcGIS Enterprise ポータル Web サイトと ArcGIS Portal Directory にすぐにアクセスできるようにするには、Internet Explorer がインストールされている各コンピューターのタイムアウト値を小さくします。 この場合は、「オフラインでの配置の構成」の手順に従います。
リバース プロキシ サーバーに Portal for ArcGIS を構成するには、プロキシ サーバーに関する情報をポータルで指定する必要があります。 詳細な手順については、「ポータルでのリバース プロキシ サーバーの使用」をご参照ください。
ポータルでエンタープライズ グループを使用している場合、Windows Active Directory または LDAP サーバー上のグループに新しいログインを追加するとすぐに、ポータルのアイデンティティ ストアが更新されますか?
いいえ。エンタープライズ アカウントがポータル内にすでに存在しており、エンタープライズ グループがポータル グループにリンクされている場合は、新しいメンバーがポータルにサイン インした時点または次にポータルのアイデンティティ ストアが自動的に更新された時点のうち、どちらかが最初に実行された段階で、アイデンティティ ストアが更新されます。 デフォルトでは、アイデンティティ ストアの更新が毎日午前零時に実行されます。 ポータル管理者は、ポータル管理 API の Update Identity Store 操作を使用して membershipRefreshIntervalHours パラメーターと membershipRefreshStartTime パラメーターの値を変更することで、アイデンティティ ストアを更新する間隔と時刻を変更できます。
エンタープライズ アカウントがポータルのメンバーでない場合は、ポータル グループにリンクされているエンタープライズ グループにログインを追加しても、そのアカウントがポータルに自動的に追加されません。 管理者として、Active Directory または LDAP サーバーにログインを追加するごとに、アカウントがポータルに自動的に追加されないように設定することもできます。
ポータルでエンタープライズ グループを使用している場合、新しいエンタープライズ グループを Windows Active Directory または LDAP サーバーに追加すると、そのエンタープライズ グループはポータルに自動的に追加されますか?
いいえ。 ポータル管理者は、エンタープライズ グループを使用するように、ポータル内のグループを手動で構成します。 管理者がポータル グループの構成を終了すると、すでにエンタープライズ グループのメンバーになっているポータルのエンタープライズ アカウントが自動的にポータル グループのメンバーになります。
Windows Active Directory グループを使用している場合は、すでにポータルのメンバーになっているネスト グループ内のログインも、リンクされたポータル グループに追加されます。 LDAP サーバーに含まれるエンタープライズ グループを使用している場合は、指定したグループ内のログインだけがポータル グループに追加されます。 たとえば、最上位のエンタープライズ グループを指定した場合は、すでにポータルのメンバーになっているログインだけがポータル グループに追加され、ネスト グループ内のログインは追加されません。 代わりに、ネスト グループを指定することもできます。 この場合は、すでにポータルのメンバーになっているネスト グループ内のログインだけがポータル グループに追加されます。
ポータルで SAML アイデンティティ プロバイダーを使用していますが、メンバーが組み込み ArcGIS アカウントでログインするオプションを無効にしてしまいました。 このオプションを再度有効にするにはどうすればいいですか?
SAML アイデンティティ プロバイダーまたはメンバー アカウントで問題が発生しており、組み込みアカウントで再度ポータルにアクセスできるようにするには、以下の手順を実行します。
- enableArcgisLogins.py という名前のファイルを作成して、Portal for ArcGIS 上の \ArcGIS\Portal\tools\security\ にそのファイルを配置します。
- 次のコードをそのファイルにコピーします。
from urllib.request import Request, urlopen, URLError from urllib.parse import urlencode import json, ssl, os, socket, sys import datetime, getpass # Defines the entry point into the script def main(argv): currentHost = socket.getfqdn().lower() portalHost = '' adminUsername = '' adminPassword = '' token = '' # Prompt for server hostname portalHost = input('Enter Portal for ArcGIS hostname [{}]: '.format(currentHost)) if portalHost == '': portalHost = currentHost portalHost = checkHost(portalHost) # Prompt for admin username adminUsername = input('Enter administrator username: ') while adminUsername == '': adminUsername = input('Administrator username is required. Enter administrator username: ') # Prompt for admin password adminPassword = getpass.getpass(prompt='Enter administrator password: ') while adminPassword == '': adminPassword = getpass.getpass(prompt='Administrator password is required. Enter administrator password: ') try: _create_unverified_https_context = ssl._create_unverified_context except AttributeError: # Legacy Python that doesn't verify HTTPS certificates by default pass else: ssl._create_default_https_context = _create_unverified_https_context portalUrl = 'https://' + portalHost + ':7443/arcgis' if token == '': token,portalUrl = generateToken(adminUsername,adminPassword,portalHost,portalUrl) portalVer = checkToken(portalUrl,token) enableCanSignInArcGIS(portalUrl,token) # Function to check hostname resolution and confirm Portal is running def checkHost(hostname): try: socket.getaddrinfo(hostname, None) except: print('Unable to resolve hostname - {}'.format(hostname)) sys.exit(1) if '.' not in hostname: hostname = socket.getfqdn(hostname) if not isOpen(hostname, 7443): print('Unable to access Portal for ArcGIS on {} over port 7443'.format(hostname)) sys.exit(1) return hostname # Enable canSignInArcGIS property def enableCanSignInArcGIS(portalUrl,token): params = {'referer':'canSignInArcGIS', 'f':'json'} try: request = Request(portalUrl + '/sharing/rest/portals/self') request.add_header('X-Esri-Authorization', 'Bearer ' + token) response = urlopen(request, urlencode(params).encode()) portalSelf = json.loads(toString(response.read())) if 'error' in portalSelf: print('Error checking Portal properties\n{}'.format(portalSelf.get('error'))) else: try: if portalSelf["canSignInArcGIS"]: print('\nError: ArcGIS logins are already enabled.') else: print('\nEnabling ArcGIS logins...') request = Request(portalUrl + '/sharing/rest/portals/0123456789ABCDEF/update') request.add_header('X-Esri-Authorization', 'Bearer ' + token) params = {'referer':'canSignInArcGIS', 'f':'json', 'canSigninArcGIS':'true'} response = urlopen(request, urlencode(params).encode()) request = Request(portalUrl + '/sharing/rest/portals/self') request.add_header('X-Esri-Authorization', 'Bearer ' + token) response = urlopen(request, urlencode(params).encode()) portalSelf = json.loads(toString(response.read())) if 'canSignInArcGIS' in portalSelf: if portalSelf.get('canSignInArcGIS'): print('Success: ArcGIS logins have been enabled.') else: print('Error: Could not enable ArcGIS logins.') except KeyError: print('\nError: Could not find key \'canSignInArcGIS.\' in response') except Exception as e: print('Error checking Portal properties\n{}'.format(e)) # Function to generate token def generateToken(username,password,portalHost,portalUrl): tokenUrl = portalUrl + '/sharing/rest/generateToken' params = {'username':username, 'password':password, 'referer':'canSignInArcGIS', 'f':'json'} try: request = Request(tokenUrl, urlencode(params).encode()) response = urlopen(request) if response.url != tokenUrl: portalUrl = 'https://' + response.url.lower().split('/')[2] + '/arcgis' testSSL(portalUrl + '/sharing/rest/?f=json') tokenUrl = portalUrl + '/sharing/rest/generateToken' request = Request(tokenUrl, urlencode(params).encode()) response = urlopen(request) genToken = json.loads(toString(response.read())) if 'token' in genToken.keys(): return genToken['token'], portalUrl else: print('\nInvalid administrator username or password\n{}'.format(genToken)) sys.exit(1) except Exception as e: print('Unable to access Portal for ArcGIS on {}:7443\n{}'.format(portalHost, e)) sys.exit(1) # Function to check the portal token and return the portal version if valid def checkToken(portalUrl,token): try: request = Request(portalUrl + '/portaladmin/?token=' + token + '&f=json') request.add_header('Referer', 'canSignInArcGIS') response = urlopen(request) adminInfo = json.loads(toString(response.read())) try: return adminInfo['version'] except KeyError: print('\nThe user or token provided does not have administrative privileges\n{}'.format(adminInfo)) sys.exit(1) except Exception as e: print('\nError validating token\n{}'.format(e)) sys.exit(1) def toString(data): try: return data.decode('utf-8') except: return data def isOpen(ip, port): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) try: s.settimeout(2) s.connect((ip, int(port))) s.close() return True except: return False # Script start if __name__ == "__main__": try: main(sys.argv[1:]) except: sys.exit(1)
- 編集したファイルを保存して閉じます。
- バッチ ファイルを作成して、enableArcgisLogins.py が存在するディレクトリにそのファイルを配置します。
- 次のコードをそのバッチ ファイルにコピーします。
@echo off if "%AGSPORTAL%"=="" (goto NO_ARCGIS_HOME) set ARCGIS_PYTHON_HOME=%AGSPORTAL%\framework\runtime\python set TOOL_HOME=%AGSPORTAL%tools\security\enableArcgisLogins.py "%ARCGIS_PYTHON_HOME%\python.exe" "%TOOL_HOME%" goto END :NO_ARCGIS_HOME @echo "Error: AGSPORTAL variable is not set." @goto END :END
- 編集したファイルを保存して閉じます。
- バッチ ファイルを実行し、メンバーが組み込みの ArcGIS アカウントでログインできるようにするオプションを再度有効化します。
サイン イン ページにアクセスしたメンバーには、アイデンティティ プロバイダーのアカウントを使ってポータルにログインするためのボタンと、[ArcGIS アカウントを使用しています] ボタンが表示されます。
ポータルのセキュリティ構成を Active Directory または LDAP から SAML に切り替えた後に、すべての SAML ユーザーが SAML ベースのエンタープライズ グループから毎晩削除されます。 どのような状況になっていますか?
ポータルのセキュリティ構成を SAML に切り替える場合、Active Directory または LDAP の以前の設定を完全に消去するために、Portal for ArcGIS を再起動する必要があります。 Active Directory または LDAP のユーザーおよびグループを使用するように Portal for ArcGIS が構成された場合、ユーザーごとのグループ メンバーシップが、毎晩自動的に消去されて更新されます。 このグループ メンバーシップの更新は、SAML ベースのグループ メンバーシップが使用される場合には必要ありません。 SAML が構成されているときにグループ メンバーシップの更新が実行される場合、SAML ユーザーは、グループ更新呼び出しが行われるたびにグループ メンバーシップを失います。
インターネットからのリクエストを処理するのに、ポータルでリバース プロキシ サーバーやロード バランサーを使用している場合は、リバース プロキシ サーバーまたはロード バランサーが gzip エンコーディングをサポートしていることと、Accept-Encoding ヘッダーを許可するように構成されていることを確認してください。 このヘッダーによって、gzip エンコーディングを使用して HTTP 1.1 の応答を圧縮できるようになります。 たとえば、このヘッダーが許可されている場合、Map Viewerを読み込むリクエストは、約 1.4 MB の圧縮された応答をブラウザーに返します。 このヘッダーが許可されていない場合や無視されている場合、リクエストは約 6.8 MB の圧縮されていない応答をブラウザーに返します。 ネットワーク速度が遅い場合、応答が圧縮されていないとMap Viewerを読み込むのに時間がかかる可能性があります。 リバース プロキシ サーバー構成の一部として、このヘッダーを許可することをお勧めします。
HTTPS を使用している ArcGIS Server サービスが Web マップに含まれている場合に、この問題が発生することがあります。 この問題が発生した場合は、ポータルに ArcGIS Server サイトの印刷ユーティリティ サービスが構成されているかどうかを確認してください。 印刷サービスが、HTTPS サービスを提供する ArcGIS Server サイトの認証局 (CA) 署名入り証明書を信頼しないコンピューター上で実行されている可能性があります。 印刷サービスを実行している各コンピューターを、オペレーティング システム レベルでこれらの CA 証明書を信頼するように構成する必要があります。 この構成方法の詳細については、「新しい CA 署名入り証明書を使用して HTTPS を有効化」をご参照ください。
SSL 証明書の構成を間違えたため、ポータルにサイン インできなくなった場合は、次の手順に従って回復させてください。
- Portal for ArcGIS を停止します。
- \ArcGIS\Portal\framework\runtime\tomcat\conf\server.xml ファイルのバックアップを作成します。
- テキスト エディターで ArcGIS\Portal\framework\runtime\tomcat\conf\server.xml を開きます。
- <Connector SSLEnabled="true" 文字列を検索して SSL コネクタを見つけます。
- keyAlias パラメーターの値をデフォルト値 keyAlias="portal" に戻して、変更を保存します。
- 管理権限を持つメンバーで ArcGIS Portal Directory にログインします。
- [Security] > [SSLCertificates] の順に選択して [Update] をクリックします。 次のページで、パラメーターを何も変更せずに、[Update] をクリックして確定します。
- ポータルが自動的に再起動します。
統合 Windows 認証を使用するようにポータルが構成されている場合、ユーザー ログインが断続的に失敗するか、非常に低速になります。 ポータル ログに次のエントリが含まれます。User '<username>' not found in the identity store provider.
「Portal for ArcGIS が使用するドメイン コントローラーの構成」の手順に従ってください。
ポータル Web サイトで [組織] > [設定] > [ArcGIS Online] を開こうとすると、証明書が無効である、あるいは ArcGIS Online にアクセスできない、というエラー メッセージが現れます。 何が問題なのでしょうか? また、どうすれば回避できますか?
登録者やプレミアム ArcGIS Living Atlas にアクセスするためには、有効な ArcGIS Online 証明書が必要です。 ArcGIS Living Atlas の登録者やプレミアム コンテンツを有効にする際に使った証明書で ArcGIS Online にアクセスできなかった場合、次のいずれかのメッセージが、ポータル Web サイトや、ホスティング サーバーのログ中に現れます。
- 登録者やプレミアム Living Atlas コンテンツにアクセスするための証明書が無効です。 有効な ArcGIS Online 組織アカウント証明書を使って、該当する証明書を更新してください。 — ArcGIS Enterprise は、ArcGIS Online 組織への接続を試み、既存の証明書が無効であると判断しました。 ArcGIS Online アカウントのパスワードが変わっていないこと、また、プレミアム コンテンツについて、アカウントに今もクレジットがあることを確認してください。
パスワードが変わった場合、あるいは、登録者やプレミアム ArcGIS Living Atlas コンテンツに ArcGIS Online からアクセスするために新しいアカウントが必要な場合は、証明書を更新してください。
- このポータルから ArcGIS Online にアクセスできません。 ファイアウォールの設定、ポータルのプロキシ設定を確認してください。 — ArcGIS Enterprise は ArcGIS Online アカウントに、対応する証明書を使って接続できませんでした。 多くの場合これは、ネットワークに問題があって、ArcGIS Online と通信できないのが原因です。
- 登録者のコンテンツおよびプレミアム Living Atlas のコンテンツへのアクセスに使用する認証情報を確認できないため、コンテンツをアップグレードできません。 Esri テクニカル サポートまたは販売代理店にお問い合わせください。 — まれな内部エラーが発生しました。原因を特定できません。 この内容のメッセージが表示された場合は、Esri テクニカル サポート (米国内の場合) または現地の Esri 販売代理店 (米国外の場合) に問い合わせ、問題の原因の特定と修正を依頼してください。
バックアップ
ポータルでは、ポータルの増分バックアップを作成できるように、増分トランザクション ログがポータル コンテンツ ディレクトリのサブディレクトリに格納されます。 デフォルトの場所は、C:\arcgisportal\backups\walarchive です。
webgisdr ツールを使用して full バックアップを作成すると、初期のサイズ制限は適用されなくなりますが、ツールを実行するたびに既存のトランザクション ログが削除されます。 このサブディレクトリのサイズが 5 GB を超えた場合、次のメッセージがログに記録されます。
ポータルのトランザクション ログが、5 GB よりも多いディスク容量を消費しています。 それらのログを消去するには、webgisdr ツールを使用して完全なバックアップを実行します。
10.9 で、backup モードが導入されました。 このモードで、トランザクション ログの 50 MB 制限が無効化されている場合、再び 50 MB 制限が適用されます。 環境がセカンダリ データ センターに復元する地理的な冗長性をサポートしていない場合は、BACKUP_RESTORE_MODE を full の代わりに backup に設定します。
webgisdr ツールの詳細については、「ArcGIS Enterprise バックアップの作成」をご参照ください。
このエラーは、アイテムがポータルの内部データベースにまだ存在するが、コンテンツ ディレクトリには存在しない場合に発生します。 このエラーの原因は、アイテムが完全に削除されていないことです。 通常、アイテムを削除すると、そのアイテムはコンテンツ ディレクトリだけでなく内部データベースからも削除されます。 ただし、アイテムが内部データベースから完全に削除されていない場合があります。
この場合に、バックアップを作成すると、アイテムを手動で削除する必要があることを示す [警告] エラーがログに記録されます。 エラー メッセージに表示された itemID の値を書き留めておきます。 該当するアイテムが Esri 所有のアイテムでない場合は、次の手順を実行して、そのアイテムを削除することができます。
ヒント:
Esri テクニカル サポートに問い合わせて、この手順についてのサポートを受けることもできます。
- 管理者としてポータル共有 API にサイン インします (https://portal.domain.com/webadaptor/sharing/rest)。
- /search エンドポイントを使用して、この API 内のアイテムを検索します。 ログ メッセージ内の itemID を使用して、検索テキスト パラメーターに「id:」と入力します。
- 検索結果で、そのアイテムの所有者を特定するリンクをクリックします。 該当する所有者の情報ページが表示されます。
- [関連リソース] で [ユーザー コンテンツ] をクリックします。
- ログ内の itemID をクリックします。 [内部サーバー エラー] を示すメッセージが表示されます。
- そのアイテムのエンドポイント URL に /delete を追加します。 削除操作を確定します。
- ログ メッセージに表示されているアイテムごとに手順 2 ~ 6 を繰り返します。
Portal Administrator Directory の [サイトのインポート] 操作を使用してバックアップを復元しようとすると、有効期限が 1 時間後に切れるトークンが生成されます。 復元操作が 1 時間以内に完了しない場合、インポート プロセスは失敗します。
バックアップの復元に 1 時間以上かかる場合は、共有 API を使用してトークンを生成して、デフォルトより長い有効期間を指定します。 このトークンを使用して、Portal Administrator Directory にアクセスします。
- Web ブラウザーでディレクトリを使用している場合は、[サイトのインポート] 操作の Administrator Directory の URL に新しいトークンを追加します。
- スクリプトから操作を呼び出している場合は、この API の呼び出しに新しいトークンを含めます。
QuickEdit モードのために、webgisdr ユーティリティが実行できない場合があります。
QuickEdit モードでは、コンソールをクリックすると、コマンド プロンプトのコンソール内でテキストを選択できます。 QuickEdit が有効な場合、コマンド プロンプト内で実行中のプロセスは、Enter キーを押すまで一時停止します。
Windows Server 2016 以降では、QuickEdit がデフォルトで有効になっています。 QuickEdit が有効な場合、以下の図の赤いボックスで示したように、コンソール ウィンドウのタイトルに Select という単語が付加されます。
QuickEdit モードが有効なとき、コマンド プロンプト内で webgisdr ユーティリティの実行中にコマンド プロンプト内のコンソールをクリックした場合、webgisdir ユーティリティが一時停止するかフリーズします。 Enter キーを押すと、wegisdr ユーティリティが再開します。 QuickEdit モードを無効化して、webgisdr ユーティリティの障害を解消することができます。 詳細については、IT スタッフに問い合わせるか、Windows のドキュメントをご参照ください。
コマンド プロンプトが QuickEdit モードでない場合は、Esri テクニカル サポートにお問い合わせください。
公開
ホスト サービスを ArcMap から ArcGIS Enterprise ポータルに公開しているときに、フィーチャ アクセス機能またはタイル マッピング機能を有効化すると、証明書の確認を要求するセキュリティ警告が表示されます。
ホスト サービスを ArcMap で公開するときの証明書の確認要求は、以下の一方または両方によって生成される場合があります。
- ArcGIS Server は自己署名証明書を使用しています。 デフォルトでは、サーバーに自己署名証明書が事前に構成されています。この証明書を使用して、サーバーで初期テストを実施し、インストールが正常に実行されたかどうかをすばやく確認することができます。 ただし、ほとんどの場合、組織は、信頼された認証機関 (CA) からの証明書を要求し、それを使用するようにサーバーを構成しています。 これには、組織が発行したドメイン証明書または CA 署名証明書を使用できます。
- ArcGIS Server をポータルとフェデレートするときに入力した管理 URL で、HTTPS ではなく HTTP を使用しています (例: http://gisserver.domain.com:6443/arcgis)。 また、ArcGIS Web Adaptor に対する管理アクセス権限を有効にした後、ArcGIS Web Adaptor の URL を管理 URL として指定し、証明書の確認要求を抑制することもできます。
詳細については、「セキュリティのベスト プラクティス」をご確認ください。
ArcGIS Pro からシーン レイヤーを公開しようとすると、公開には成功しますが、シーン キャッシュの作成に失敗し、次のようなメッセージが表示されます。エラー 001784: シーン キャッシュ (権限なし) に使用されるデータベースに接続できません。 実行できませんでした (シーン キャッシュの管理)。
シーン レイヤーでは、ArcGIS Data Store のタイル キャッシュ データ ストアにデータがキャッシュされます。 ArcGIS Server のシーン キャッシュ ツールは、HTTP を通じてこのデータベースと通信し、クッキーを使用して認証します。 ArcGIS Server の Windows コンピューターに設定されているクッキーのポリシーによっては、このクッキーがブロックされる可能性があります。 これは、Windows オペレーティング システムのデフォルト設定になっている場合があります。
シーン キャッシュ ツールは、まず、インターネットの URL を使用して、シーン キャッシュのデータベースに接続します。 この場合、インターネット ポリシーが適用されます。 インターネットの接続に失敗した場合、ツールはイントラネットの URL を使用して接続しようとします。この場合、イントラネットのポリシーが適用されます。 シーン キャッシュ データベースにアクセスできるように、ツールで使用される URL が正しく設定されていることを確認するには、ArcGIS Data Store のホスト名が正しいことを確認し、ArcGIS Server コンピューターでクッキーのポリシーを更新します。
- Web ブラウザーを開き、ホスティング ArcGIS Server サイトの Administrator Directory にログインします。 ArcGIS Server の管理者の認証情報を使用してログインします。
- [データ] > [アイテム] > [nosqlDatabases] > /nosqlDatabases/AGSDataStore_nosqldb_<データベース> > REST の順に移動します。
- hostname および unqHostname プロパティを書き留めておきます。 これらは、シーン キャッシュ データベースの完全修飾ドメイン名と非修飾ドメイン名です。 これらは、クッキーのポリシーを更新するときに使用します。
- ArcGIS Server アカウントを使用して、ArcGIS Server の各コンピューターにログインします。 これは、ArcGIS Server をインストールしたときに、ArcGIS Server プロセスを実行するために作成したアカウントです。
- コンピューターの [インターネット オプション] を開きます。 これは、Internet Explorer またはサーバーの [コントロール パネル] からアクセスできます。
- [セキュリティ] タブをクリックして、次のいずれかを実行します。
- [ローカル イントラネット] を選択して、設定されているセキュリティ レベルによってイントラネット サイトのクッキーがブロックされていないことを確認します。 ブロックされている場合は、セキュリティ レベルを変更して、イントラネット サイトからのクッキーを許可します。
注意:
代わりに [インターネット] オプションのセキュリティ ポリシーを変更することもできますが、この場合、コンピューターがインターネット上の任意のサイトからクッキーを受け入れるようになるためお勧めしません。
- [信頼済みサイト] > [サイト] の順に選択して、シーン キャッシュ データベースの完全修飾ホスト名の URL (例: datastore.domain.com) を追加します。 また、信頼済みサイトとして非修飾ホスト名の URL (例: datastore) も追加します。
- [ローカル イントラネット] を選択して、設定されているセキュリティ レベルによってイントラネット サイトのクッキーがブロックされていないことを確認します。 ブロックされている場合は、セキュリティ レベルを変更して、イントラネット サイトからのクッキーを許可します。
- [OK] をクリックして変更内容を適用し、[インターネット オプション] を閉じます。
- ArcGIS Server を再起動します。
- サイト内にあるすべての ArcGIS Server コンピューターに対して、この手順を繰り返します。