Deployment Agent
In diesem Abschnitt werden folgende Themen behandelt:
Wissenswertes über Deployment Agent
Der Deployment Agent ist ein Softwareagent, der auf allen Clients bereitgestellt werden muss, die von Management Center verwaltet werden. Der Deployment Agent wird als Windows-Dienst ausgeführt und führt im Auftrag des Management Servers Aufgaben auf dem Client durch. Dazu gehören das Installieren, Upgraden und Deinstallieren von User Workspace Manager Agents und -Konfigurationen sowie das Erfassen und Hochladen von Auditinginformationen von einem beliebigen User Workspace Manager-Produktagent.
Der Deployment Agent fragt die Management Server regelmäßig ab. Die Häufigkeit richtet sich nach dem Abfragezeitraum der Bereitstellungsgruppe, zu der er gehört. Die Mitgliedschaft einer Bereitstellungsgruppe richtet sich nach den Zugehörigkeitsregeln, die in der Management Console definiert sind. Bei jedem Abfragen ermittelt der Deployment Agent beim Management Server, welche Agents, Konfigurationen und erforderlichen Komponenten auf dem Client installiert werden sollen und welche Auditingereignisse erfasst werden sollen. Der Deployment Agent stellt anhand dieser Informationen sicher, dass die richtigen Agents und Konfigurationen auf dem Client installiert sind und filtert die von den User Workspace Manager-Produktagents erfassten Ereignisse. Der Deployment Agent lädt in regelmäßigen Abständen alle Ereignisse zum Management Server hoch.
Unterstützte Formate
Die Zertifikatbereitstellung über Management Center unterstützt sowohl Azure Active Directory-Bedingungen als auch Ausführen als-Aktionen. Die Bereitstellung von Zertifikaten für HTTPS wird derzeit nicht unterstützt. Alle über Management Center bereitgestellten Zertifikate müssen das PFX-Format aufweisen, einschließlich der kombinierten Zertifikate (alle Zertifikate innerhalb eines kombinierten Zertifikats müssen ebenfalls im PFX-Format vorliegen).
Anmeldeinformationen für den Zugriff
Über die Anmeldeinformationen für den Zugriff wird eine Liste der Anmeldeinformationen festgelegt, die der Management Server zum Installieren des Deployment Agents verwendet.
Diese Anmeldeinformationen müssen bereitgestellt werden, bevor versucht wird, den Deployment Agent über die Management Console auf einem Endpunkt zu installieren.
Die Konfiguration dieser Anmeldeinformationen kann global für den Management Server unter Startseite > Globale Einstellungen > Anmeldeinformationen für Zugriff (Registerkarte) eingerichtet werden. Sie können auch pro Bereitstellungsgruppe definiert werden und zwar unter Startseite > Bereitstellungsgruppen > [Bereitstellungsgruppe] > Details (Abschnitt) > Anmeldeinformationen verwalten (Schaltfläche).
Die über die globalen Einstellungen konfigurierten Anmeldeinformationen für den Zugriff gelten standardmäßig für alle Bereitstellungsgruppen, es sei denn, es wurden für eine bestimmte Bereitstellungsgruppe eigene Anmeldeinformationen definiert. In dem Fall haben die Anmeldeinformationen der Bereitstellungsgruppe Vorrang gegenüber den standardmäßigen globalen Anmeldeinformationen.
Achtung: Sie können den Deployment Agent nicht mithilfe der integrierten Installationsfunktion auf Endpunkten installieren, solange keine Anmeldeinformationen eingerichtet wurden.
Geben Sie zum Hinzufügen von Anmeldeinformationen einen Benutzernamen und ein Kennwort ein. Die Anmeldeinformationen werden in der Datenbank gespeichert. Das Server Configuration Portal (SCP) erstellt ein RSA-Schlüsselpaar (öffentlich/privat), das beim Microsoft Kryptografieanbieter des Servers gespeichert wird. Der Schlüssel dient zum Ver- und Entschlüsseln der in der Datenbank gespeicherten Anmeldeinformationen und sorgt somit für erhöhte Sicherheit.
Wenn versucht wird, den Deployment Agent zu installieren, werden die angegebenen Anmeldeinformationen in der in der Liste festgelegten Reihenfolge durchprobiert. Die Anmeldeinformationen lassen sich mithilfe der Optionen Nach oben und Nach unten im Bereich Aktionen sortieren.
Kommunikation zwischen Deployment Agent und Management Server
Bei der Kommunikation mit dem Management Server wendet der Deployment Agent das designierte Clientauthentifizierungsmodell an, das während der Installation des Management Servers im Dienstprogramm für die Konfiguration von Management Server festgelegt wurde. Dabei kommt entweder die anonyme Authentifizierung oder die Windows-Authentifizierung zur Anwendung.
Bei Auswahl der anonymen Authentifizierung kommuniziert der Deployment Agent über ein bestimmtes Konto für den anonymen Zugriff (IUSR_[Servername]) mit dem Management Server.
Bei sämtlichen Interaktionen mit dem Management Server werden dann die diesem Konto zugewiesenen Berechtigungen übernommen.
Bei Verwendung der Windows-Authentifizierung werden die Anmeldeinformationen des Computers für die Kommunikation mit dem Management Server herangezogen. Es kann ein Problem auftreten, woraufhin die folgende Meldung angezeigt wird:
Kein Zugriff auf den Masterschlüssel auf dem Server. Schlüsselsatz existiert nicht.
Die Ursache hierfür ist, dass die Dienstkonten keinen Zugriff auf das auf dem Management Server gespeicherte Entschlüsselungszertifikat haben. Dieses Problem kann behoben werden, indem den Identitäten, die von den Management Center-Diensten verwendet werden, ausreichende Berechtigungen für den Zugriff auf den Schlüsselspeicher gewährt werden. Verwenden Sie dazu die folgende Befehlszeile:
aspnet_regiis.exe -pa AppSenseMasterKey <DOMAIN>\<USERNAME>
Registrieren des Deployment Agents beim Management Server
Nachdem der Deployment Agent erfolgreich installiert wurde, registriert sich der Deployment Agent-Dienst beim Management Server.
Es gibt mehrere Möglichkeiten für den Deployment Agent, sich beim Management Server zu registrieren:
- Der Deployment Agent wird direkt über die Option "Deployment Agent installieren" der Management Console installiert. Dabei wird er automatisch beim Management Server registriert.
- Der Deployment Agent wird manuell über die Datei "ClientCommunicationsAgent.msi" installiert, die von der Management Server-Website heruntergeladen werden kann. Es muss ein gültiger Management Server bereitgestellt werden, damit der Deployment Agent mit diesem kommunizieren und sich bei ihm registrieren kann.
- Deployment Agent wird manuell über die Befehlszeile installiert. Dabei wird eine gültige Management Server-URL und optional eine bestimmte Bereitstellungsgruppe für die Selbstregistrierung angegeben.
Der Deployment Agent kann sich nur dann selbst registrieren, wenn die Option "Selbstregistrierung zulassen" unter Startseite > Bereitstellungsgruppen > [Bereitstellungsgruppe] > Einstellungen > Allgemein (Registerkarte) > Deployment Agent-Berechtigungen aktiviert ist.
Falls beim Installieren keine Bereitstellungsgruppe angegeben wird oder die entsprechende Gruppe die Selbstregistrierung von Deployment Agents nicht zulässt, durchsucht der Management Server die Zugehörigkeitsregeln. Bei einer Übereinstimmung platziert er den Computer in der Gruppe. Wird keine Übereinstimmung gefunden, wird der Computer der für solche Szenarien vorgesehenen Bereitstellungsgruppe "(Standard)" zugeordnet.
Nachdem sich der Deployment Agent beim Server registriert hat, implementiert der Deployment Agent-Dienst die Richtlinien zum Installieren der Software, Generieren von Ereignissen und Abfragen des Servers bezüglich weiterer Änderungen und Paketupdates.
Alle verfügbaren Agent-, Konfigurations- und Komponentenpakete werden in der Management Server-Datenbank gespeichert, die im Rahmen des Installationsverfahrens des Management Servers befüllt wird.
Eine Liste der zugewiesenen Pakete, die für die spezifische Bereitstellungsgruppe konfiguriert wurden, wird über den Management Server vom Deployment Agent auf dem verwalteten Endpunktgerät heruntergeladen. Die Liste wird anschließend mit den installierten Paketen auf dem Endpunkt verglichen.
Falls die Liste der zugewiesenen Pakete von den auf dem Endpunkt installierten Paketen abweicht, werden die erforderlichen Pakete vom Management Server heruntergeladen. Der Computerneustart wird gemäß den Einstellungen im Installationszeitplan koordiniert, die für die jeweilige Bereitstellungsgruppe festgelegt wurden. Die Pakete werden dann entweder beim Herunterfahren oder Neustarten installiert. Dies ist von den Installationseinstellungen der Bereitstellungsgruppe abhängig. Konfigurationen und bereitgestellte Upgrades von Deployment Agent können während der Sitzung installiert werden. Je nach Einstellungen der Bereitstellungsgruppe ist hierfür kein Neustart erforderlich.