技術參考

在這個區段中:

服務
網站
使用 SSL 保護通訊
Environment Manager/Management Center 安全的 SQL Server 連線

服務

管理伺服器有四個相關的服務:

Ivanti Alerts Service - 負責根據管理伺服器的事件建立警示，並調度相關的動作。
Ivanti Events Dispatcher Service - 負責監控正在上傳的新事件檔案，並將事件新增到管理伺服器資料庫。
Ivanti Scheduler Service - 負責管理與管理伺服器相關聯的全部排程任務。這包括搜尋和離線電腦偵測。
Ivanti Deployment Service - 負責在使用者從管理控制台選擇時管理部署代理程式的安裝。

若要為管理伺服器服務產生診斷記錄，請在「伺服器組態」入口的「執行個體詳細資訊」頁面上，將「記錄」設定為「已啟用」。記錄檔案會儲存於 %ProgramData%\AppSense\Management_[Instancename]

個人化伺服器有一個相關聯的服務:

AppSense Personalization Background Service - 執行「個人化作業」控制台要求的批次作業，並在資料庫上進行每日封存和清理。

網站

管理伺服器

ManagementServer root Web 目錄有「下載」網頁，可供下載管理控制台、部署代理程式、User Workspace Manager 產品和文件。

也可以從此頁面產生診斷記錄。這預設儲存於 %ProgramData%\AppSense\Management_[Instancename]。

ManagementServer/Deployment

ManagementServer/Deployment Web 目錄提供管理伺服器 Web 服務，部署代理程式可用來存取 Management Center 資料庫。這些提供的 Web 服務包括:

輪詢 - 受管端點會接收設定，例如輪詢期間，以及輪詢期間的安裝進度。
先決條件檢查和安裝 - 受管端點會使用 BITS 下載代理程式、組態和先決條件。
事件收集 - 受管端點會使用 BITS 上傳大多數事件。
伺服器診斷 - 受管端點會傳送高優先順序事件。

也可以從此頁面產生診斷記錄 DeploymentDirectory.log，此記錄儲存於 %ProgramData%\AppSense\Management_[Instancename]

ManagementServer/Data Access

ManagementServer/DataAccess Web 目錄提供資料存取服務的介面。管理控制台的全部通訊都來自於此處。

ManagementServer/PackageManagement

ManagementServer/PackageManagement Web 目錄提供套件管理服務的介面。應用程式控制、Environment Manager和效能管理員控制台的全部通訊都來自於此處。

使用 SSL 保護通訊

您可以選擇設定管理伺服器網站支援安全通訊端層 (SSL)，以便提供使用 Active Directory 的安全通訊。

SSL 提供通訊的機密性和完整性，確保只有獲得授權的使用者才能存取敏感資料，包括:

事件日期
代理程式和代理程式組態資料

如果您在使用其他支援的作業系統和其他 Microsoft SQL Server 版本的 Web 伺服器上設定 SSL 憑證，請參閱下列詳細資訊:
http://msdn.microsoft.com/library/

在 IIS 上設定 SSL

本節提供建立自我簽署憑證對於 SSL 設定網站的資訊。

另外也支援由信任的憑證授權單位發行的其他憑證類型。

在開始 > 所有程式 > 管理工具 > Internet Information Services (IIS) 管理員中，選取 [ServerName] 節點，並且在 IIS 區段中按一下伺服器憑證。
確定適合的憑證已列出。如果未列出，請使用「動作」面板中的選項建立或匯入憑證。
選取產品的網站，並且在快速鍵功能表中按一下編輯繫結。
按一下新增，並且在類型下拉式清單中選取 HTTPS。
在 SSL 憑證下拉式清單中，選取憑證。
按一下確定和關閉。

Environment Manager/Management Center 安全的 SQL Server 連線

伺服器組態入口網站 (SCP) 現在能夠在連線字串值 Encrypt 和 TrustServerCertificate 分別設定為 True 和 False 的情況下，建立 SQL 連線 (從 PS 和 MS)。這適用於 Web 應用程式和服務，並以簡單的方式，透過將參數新增到伺服器的 web.configs 和 .exe.configs 中的 SqlConnectionString 應用程式設定來實作。

SCP 資料庫連線頁面會顯示兩個核取方塊選項:

加密連線: 若已選取，將使用 SQL Server 的憑證，對連線上的所有資料進行加密。設定為 False 時，僅對登入交易進行加密。所有 SQL Server 在安裝時都有憑證，因此無需進一步設定。

加密的資料連線會影響效能。
驗證伺服器憑證: 若已選取，SCP 將檢查有效憑證。只有在同時選取「加密連線」且要求滿足以下條件時，才可以選取此選項:
- PS 和 MS 設定為信任 SQL Server 憑證。
- 產生的 SQL Server 憑證必須由 PS 和 MS 的受信任的根憑證授權單位存放區中的受信任的根簽署，或儲存在受信任的根憑證授權單位存放區中。

SCP 實作

設定安全連線時，SQL Server 名稱必須與憑證上的 DNS 名稱相符。這可能需要完整網域名稱。如果已選取驗證伺服器憑證，SCP 會嘗試使用無效的名稱和密碼登入，並檢查傳回狀態以瞭解失敗是憑證無效還是登入無效造成的。SCP 在驗證憑證之前不會使用真實認證。

用於測試的憑證

完成以下步驟以產生並設定用於測試的憑證:

在 SQL Server 電腦上執行以下 PowerShell 指令碼，以便在本機電腦存放區中建立憑證，並將 .cert 檔案儲存在目前目錄中:

$3years = [DateTime]::UtcNow.AddYears(3)
$enhancedKeyUsageServerAuthentication = @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
$name = $env:COMPUTERNAME
$fqdn = [System.Net.Dns]::GetHostByName($name).HostName
$cert = New-SelfSignedCertificate

-CertStoreLocation 'cert:\LocalMachine\My'
-DnsName $fqdn,$name,"localhost"
-FriendlyName "$($name)-sql-server"
-Hash 'SHA256'
-KeyAlgorithm 'RSA'
-KeyExportPolicy ExportableEncrypted
-KeySpec KeyExchange
-KeyFriendlyName "$($name)-sql-server"
-KeyLength 2048
-KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment
-NotAfter $3years
-Provider 'Microsoft RSA SChannel Cryptographic Provider'
-Subject $name
-TextExtension $enhancedKeyUsageServerAuthentication
-Type SSLServerAuthentication

$cert | Export-Certificate -Type CERT -FilePath $name-sql-server.cer
執行 certlm.msc，然後導覽到個人存放區中的新憑證。
以滑鼠右鍵按一下憑證，然後選取所有工作 > 管理私密金鑰。
找出私密金鑰，並對執行 SQL Server 的帳戶授予讀取存取權。
此帳戶通常是本機電腦上的 NT Service\MSSQLSERVER。
執行 SQL Server 組態管理員，並導覽至 SQL Server 網路組態 > MSSQLServer 的通訊協定。
按一下滑鼠右鍵，然後選取屬性 > 憑證索引標籤。從下拉式功能表中選取憑證。
重新啟動 SQL Server 服務。
在 PS/MS 電腦上，使用 certlm.msc，或按一下滑鼠右鍵並選取安裝憑證，即可將步驟 1 中建立的 .cer 檔案匯入到本機電腦的信任的根憑證授權單位存放區。