Technische Referenz

In diesem Abschnitt werden folgende Themen behandelt:

• Dienste

• Websites

• Sichern der Kommunikation unter Verwendung von SSL

• Environment Manager/Management Center – Sichere SQL Server-Verbindungen

Dienste

Mit Management Server sind vier Dienste verknüpft:

• Ivanti Alerts Service – Dieser Dienst erstellt ereignisbasierte Benachrichtigungen für Management Server und verteilt die zugehörigen Aktionen.
• Ivanti Events Dispatcher Service – Dieser Dienst überwacht neue Ereignisdateien, die hochgeladen werden, und fügt die Ereignisse zur Datenbank von Management Server hinzu.
• Ivanti Scheduler Service – Dieser Dienst verwaltet die mit Management Server verknüpften geplanten Aufgaben. Dazu gehören auch die Ermittlung und die Erkennung von Offline-Computern.
• Ivanti Deployment Service – Dieser Dienst steuert die Installation von Deployment Agent, wenn diese in Management Console vom Benutzer ausgewählt wird.

Wenn Sie Diagnoseprotokolle für die Dienste von Management Server generieren möchten, wechseln Sie zum Server Configuration Portal und aktivieren Sie auf der Seite "Instanzdetails" die Protokollierungsfunktion. Die Protokolldateien werden unter "%ProgramData%\AppSense\Management_[Instanzname]" gespeichert.

Mit Personalization Server ist ein Dienst verknüpft:

AppSense Personalization Background Service – Dieser Dienst führt die von der Personalization Operations-Konsole angeforderten Stapelvorgänge sowie tägliche Archivierungs- und Bereinigungsvorgänge in der Datenbank durch.

Websites

Management Server

Im webbasierten Stammverzeichnis "ManagementServer" wird die Webseite "Downloads" für das Herunterladen von Management Console, Deployment Agent und der User Workspace Manager Produkte und Dokumentationen gehostet.

Über diese Seite kann außerdem ein Diagnoseprotokoll generiert werden. Dieses wird standardmäßig unter "%ProgramData%\AppSense\Management_[Instanzname]" gespeichert.

ManagementServer/Deployment

Das Webverzeichnis "ManagementServer/Deployment" enthält die Webdienste von Management Server, die Deployment Agent für den Zugriff auf die Management Center-Datenbank verwendet. Folgende Webdienste werden gehostet:

• Abruf – Verwaltete Endpunkte empfangen während eines Abrufs Einstellungen wie Abrufzeitraum und Installationszeitplan.
• Prüfung und Installation erforderlicher Komponenten – Verwaltete Endpunkte laden Agenten, Konfigurationen und erforderliche Komponenten über BITS herunter.
• Ereigniserfassung – Verwaltete Endpunkte laden den Großteil der Ereignisse über BITS hoch.
• Serverdiagnose – Verwaltete Endpunkte senden Ereignisse mit hoher Priorität.

Über diese Seite kann auch das Diagnoseprotokoll "DeploymentDirectory.log" generiert werden, das unter "%ProgramData%\AppSense\Management_[Instanzname]" gespeichert wird.

ManagementServer/Data Access

Das Webverzeichnis "ManagementServer/DataAccess" bildet die Schnittstelle zu den Datenzugriffsdiensten. Die gesamte Kommunikation von Management Console wird in dieses Verzeichnis gesendet.

ManagementServer/PackageManagement

Das Webverzeichnis "ManagementServer/PackageManagement" bildet die Schnittstelle zu den Paketverwaltungsdiensten. Die gesamte Kommunikation der Konsolen Application Control, Environment Manager und Performance Manager wird in dieses Verzeichnis gesendet.

Sichern der Kommunikation unter Verwendung von SSL

Sie können die Management Server Website optional für die Unterstützung von Secure Socket Layers (SSL) konfigurieren, um von sicherer Kommunikation unter Verwendung von Active Directory zu profitieren.

SSL sichert die Vertraulichkeit und Integrität der Datenübertragung und sorgt dafür, dass sensible Daten nur für autorisierte Benutzer zugänglich sind. Zu diesen Daten gehören:

• Ereignisdaten
• Agenten und zugehörige Konfigurationsdaten

Wenn Sie unter Verwendung anderer unterstützter Betriebssysteme und Versionen von Microsoft SQL Server SSL-Zertifikate einrichten möchten, lesen Sie die Informationen unter folgendem Link:
http://msdn.microsoft.com/library/

Einrichten von SSL auf IIS

In diesem Abschnitt wird beschrieben, wie Sie die Website für SSL einrichten, indem Sie ein selbstsigniertes Zertifikat erstellen.

Andere Zertifikattypen von vertrauenswürdigen Zertifikatstellen werden ebenfalls unterstützt.

1. Wählen Sie unter Start > Alle Programme > Verwaltung > Internet Information Services (IIS) Manager den Knoten [Servername] aus und klicken Sie im Abschnitt IIS auf Serverzertifikate.
2. Prüfen Sie, ob ein geeignetes Zertifikat aufgeführt wird. Falls nicht, erstellen oder importieren Sie ein Zertifikat, indem Sie die Optionen im Bereich "Aktionen" verwenden.
3. Wählen Sie die Website für das Produkt aus und klicken Sie im Shortcut-Menü auf Bindungen bearbeiten.
4. Klicken Sie auf Hinzufügen und wählen Sie in der Dropdown-Liste Typ den Eintrag HTTPS aus.
5. Wählen Sie das Zertifikat aus der Dropdown-Liste SSL-Zertifikat aus.
6. Klicken Sie auf OK und dann auf Schließen.

Environment Manager/Management Center – Sichere SQL Server-Verbindungen

Im Serverkonfigurationsportal (SCP) können jetzt SQL-Verbindungen (über PS und MS) erstellt werden, deren Zeichenfolgewerte Encrypt und TrustServerCertificate für die Verbindung auf wahr bzw. falsch gesetzt sind. Dies gilt für Anwendungen und Dienste und wird auf direktem Weg implementiert, indem die Parameter in den Dateien web.configs und .exe.configs der Server zur Anwendungseinstellung SqlConnectionString hinzugefügt werden.

Auf der Seite SCP-Datenbankverbindung werden zwei Kontrollkästchenoptionen angezeigt:

• Verbindung verschlüsseln: Bei Auswahl dieser Option werden alle Daten der Verbindung unter Verwendung des Zertifikats des SQL Servers verschlüsselt. Wenn die Option auf falsch gesetzt ist, werden nur Anmeldetransaktionen verschlüsselt. Da alle SQL Server bei der Installation über ein Zertifikat verfügen, ist keine weitere Konfiguration erforderlich.

  Verschlüsselte Datenverbindungen wirken sich auf die Leistung aus.

• Serverzertifikat validieren: Bei Auswahl dieser Option sucht das SCP nach einem gültigen Zertifikat. Die Option kann nur ausgewählt werden, wenn auch "Verbindung verschlüsseln" ausgewählt ist. Folgende Voraussetzungen müssen zusätzlich erfüllt sein:

  • PS und MS sind so konfiguriert, dass sie dem SQL Server-Zertifikat vertrauen.

  • Das generierte SQL Server-Zertifikat muss entweder von einem vertrauenswürdigen Stamm im Speicher für Vertrauenswürdige Stammzertifizierungsstellen des PS und des MS signiert oder im Speicher für Vertrauenswürdige Stammzertifizierungsstellen abgelegt sein.

SCP-Implementierung

Beim Einrichten einer sicheren Verbindung muss der SQL Server-Name mit dem DNS-Namen im Zertifikat übereinstimmen. Dazu ist möglicherweise ein vollständig qualifizierter Domänenname erforderlich. Bei Auswahl von Serverzertifikat validieren versucht das SCP, sich mit einem ungültigen Namen und Kennwort anzumelden und bestimmt anhand des Rückgabestatus, ob der Fehler auf ein ungültiges Zertifikat oder eine ungültige Anmeldung zurückzuführen ist. Das SCP verwendet erst dann reale Anmeldeinformationen, nachdem das Zertifikat validiert wurde.

Zertifikat für Testzwecke

Führen Sie die folgenden Schritte aus, um ein Zertifikat für Testzwecke zu generieren und einzurichten:

1. Führen Sie das folgende PowerShell-Skript auf dem lokalen SQL Server-Computer aus, um ein Zertifikat im Speicher des lokalen Computers zu erstellen und eine .cert-Datei im aktuellen Verzeichnis abzulegen:

   $3years = [DateTime]::UtcNow.AddYears(3)
   $enhancedKeyUsageServerAuthentication = @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
   $name = $env:COMPUTERNAME
   $fqdn = [System.Net.Dns]::GetHostByName($name).HostName
   $cert = New-SelfSignedCertificate

   -CertStoreLocation 'cert:\LocalMachine\My'
   -DnsName $fqdn,$name,"localhost"
   -FriendlyName "$($name)-sql-server"
   -Hash 'SHA256'
   -KeyAlgorithm 'RSA'
   -KeyExportPolicy ExportableEncrypted
   -KeySpec KeyExchange
   -KeyFriendlyName "$($name)-sql-server"
   -KeyLength 2048
   -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment
   -NotAfter $3years
   -Provider 'Microsoft RSA SChannel Cryptographic Provider'
   -Subject $name
   -TextExtension $enhancedKeyUsageServerAuthentication
   -Type SSLServerAuthentication 

   $cert | Export-Certificate -Type CERT -FilePath $name-sql-server.cer

2. Führen Sie certlm.msc aus und navigieren Sie zu dem neuen Zertifikat im Speicher Persönlich.
3. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle Aufgaben > Private Schlüssel verwalten aus.
4. Machen Sie den privaten Schlüssel ausfindig und räumen Sie dem Konto, auf dem SQL Server ausgeführt wird, Lesezugriff ein.

   Das Konto auf dem lokalen Computer ist in der Regel NT Service\MSSQLSERVER.

5. Führen Sie SQL Server Configuration Manager aus und navigieren Sie zu SQL Server-Netzwerkverbindung > Protokolle für MSSQLServer.
6. Klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften > Zertifikat (Registerkarte) aus. Wählen Sie das Zertifikat aus dem Dropdownmenü aus.
7. Starten Sie den SQL Server-Dienst neu.

8. Importieren Sie auf dem PS/MS-Computer die in Schritt 1 erstellte .cer-Datei in den Speicher für Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers. Verwenden Sie dazu certlm.msc oder klicken Sie mit der rechten Maustaste und wählen Sie Zertifikat installieren aus.

Verwandte Themen

Websites der User Workspace Manager Server-Komponenten

Datenbankkonten