Häufig gestellte Fragen

Ein bevorzugter Server ist eine Maschine, die eine Dateifreigabe hostet. Daher ist mindestens Folgendes erforderlich:

• Speicherplatz für bereitgestellte Dateien, die von den Clients heruntergeladen werden können. Dies unterscheidet sich bei Patches und Anwendungen wie folgt:
  • Der tatsächlich erforderliche Speicherplatz für Patches variiert je nach der Vielfalt der Betriebssysteme und Anwendungen auf den Clientcomputern, die beim Patchscan erkannt werden. Beachten Sie, dass beim Patchen von macOS-Clients deren Betriebssystemupdates recht umfangreich sein können.
    Ivanti empfiehlt 100 GB Speicherplatz.
  • Bei der App-Verteilung hängt der tatsächlich benötigte Speicherplatz von den für die Anwendungen definierten Downloads ab.
    

    Eine automatische Synchronisierung der App-Verteilung wird nicht unterstützt, Sie können Apps jedoch manuell auf bevorzugten Servern staffeln.

• Unterstützung für das zum Download erforderliche Protokoll (HTTPS, SMB)
  • Das SMB-Protokoll ist unter Windows standardmäßig aktiviert. Siehe Sicherheitsempfehlungen für bevorzugte Server.
  • Für HTTPS-Downloads muss ein Webserver installiert oder aktiviert werden (z. B. IIS).

Ja, es kann auch eine standardmäßige Dateifreigabe sein, die über die herkömmliche Windows-Dateifreigabe bereitgestellt wird. Geben Sie im URL-Feld den Wert file: als Downloadprotokoll an.
Beispiel: file://meinserver.ivantosi.org/meinefreigabe.

Bevorzugte Server laden keine Inhalte herunter. Clientendpunkte laden Inhalte von bevorzugten Servern herunter und Synchronisierungs-Engines übertragen diese dann via Push auf bevorzugte Server. Ein bevorzugter Server muss für eingehende Verbindungen über das Protokoll, das Sie im URL-Feld zum Download angeben, geöffnet sein.
Beispiel: Für HTTPS muss TCP-Port 443 geöffnet sein. Synchronisierungs-Engines laden Daten über SMB, das standardmäßig TCP-Port 445 verwendet, auf bevorzugte Server hoch.

Verwenden Sie die folgenden Formate:

• file://ivantosi-srv/meinefreigabe
• https://meinserver/meinefreigabe
• http://meinserver/meinefreigabe

Lese-Anmeldedaten werden von Clientendpunkten beim Herunterladen von einem bevorzugten Server verwendet. Aus Sicherheitsgründen sollten Sie dem mittels Lese-Anmeldedaten authentifizierten Konto nur Leserechte für das als bevorzugter Server freigegebene Verzeichnis erteilen.

Schreib-Anmeldedaten werden von Synchronisierungs-Engines beim Hochladen auf einen bevorzugten Server oder beim Löschen von Dateien auf diesem verwendet. Ein mittels Schreib-Anmeldedaten authentifiziertes Konto muss über Schreibberechtigungen für das als bevorzugter Server freigegebene Verzeichnis und über die Berechtigungen der Freigabe selbst verfügen.

Verwenden Sie die folgenden Formate:

• \\meinserver\meinefreigabe (UNC-Format)
• smb://meinserver/meinefreigabe

Nicht unterstützt. Dieses Steuerelement wurde entfernt.

Nicht unterstützt. Dieses Steuerelement wurde entfernt.

Im Fall von Lese-Anmeldedaten (die optional sind) versuchen die Endpunkte, die den bevorzugten Server in ihren Agenteneinstellungen verwenden, Daten vom bevorzugten Server herunterzuladen, ohne Lese-Anmeldedaten zu verwenden. Wenn für den bevorzugten Server eine Authentifizierung erforderlich ist, können die Endpunkte von diesem Server keine Downloads durchführen und versuchen weiterhin, andere Downloadquellen zu verwenden, die in ihren Agenteneinstellungen konfiguriert sind.

Die Schreib-Anmeldedaten werden nur von Synchronisierungs-Engines verwendet.

Nein, solange Sie der Gruppe Jeder Leseberechtigungen für die Freigabe und das freigegebene Verzeichnis zuweisen.

Dies hängt von der Internetbandbreite ab, die den Clientendpunkten zum Herunterladen von Patches und Apps zur Verfügung steht, im Vergleich zu den Kosten für den Betrieb eines Dateiservers in Ihrem LAN.
Ivanti empfiehlt, bevorzugte Server nicht an Standorten zu verwenden, an denen sich nur wenige Clients eine Hochgeschwindigkeitsverbindung teilen (Internetbandbreite / Anzahl der Clients > 1 Mb/s)

Wenn die für einen Clientendpunkt verfügbare LAN-Bandbreite hoch ist (z. B. ein vollständig geschaltetes GB-Ethernet), sollten Sie mindestens einen bevorzugten Server für je 2.500 Endpunkte in Betracht ziehen.

Wenn Sie über durch Firewalls getrennte Subnetze mit jeweils einer beträchtlichen Anzahl von Clients verfügen, sollten Sie in jedem Subnetz einen bevorzugten Server einrichten, um den durch die Firewalls fließenden Datenverkehr zu reduzieren.

Berücksichtigen Sie die Redundanz. Mit den Agenteneinstellungen können Sie eine geordnete Liste bevorzugter Server definieren, sodass bei Ausfall eines Servers ein Failover der Endpunkte auf einen anderen bevorzugten Server erfolgt, bevor ein Failover zum direkten Internet-Download erfolgt.

Ja. Sie können die Auswahl der bevorzugten Server aus den Agenteneinstellungen entfernen.

Sie können einen bevorzugten Server, der von einem IP-Bereich oder einer Synchronisierungs-Engine-Konfiguration verwendet wird, erst löschen, nachdem Sie ihn aus diesen IP-Bereichen und/oder Synchronisierungs-Engine-Konfigurationen entfernt haben.

Ja. Endpunkte laden bei Bedarf direkt vom Anbieter herunter, auch wenn Peer-Downloads nicht aktiviert sind. Die Endpunkte versuchen, den Download in der folgenden Reihenfolge durchzuführen:

• Peer-Endpunkte, falls aktiviert
• Wenn das oben genannte fehlgeschlagen ist oder deaktiviert wurde, dann Bevorzugte Server, falls aktiviert
• Wenn die oben genannten Schritte fehlgeschlagen sind oder deaktiviert wurden, dann direkt vom Anbieter über das Internet

Nein. Ein Endpunkt verwendet immer den ersten IP-Bereich, den er findet und der eine seiner gebundenen IP-Adressen enthält. Wenn es jedoch mehrere solcher Bereiche gibt, können Sie die Reihenfolge, in der der Endpunkt sie auswertet, nicht steuern.

IP-Bereiche können nicht neu geordnet werden, ihre Auswertungsreihenfolge ist jedoch ohnehin nicht garantiert. Klicken Sie hier, um weitere Informationen zu erhalten.

Eine Synchronisierungs-Engine ist eine Funktion, die Sie auf einem Agenten aktivieren, ähnlich wie Engines, die andere Neurons-Funktionen auf Endpunkten ausführen. Sie lädt Anbieterdateien herunter und lädt sie auf bevorzugte Server hoch. Außerdem werden abgelaufene Dateien von bevorzugten Servern gelöscht. Synchronisierungs-Engines unterliegen Regeln, die beschreiben, welche Dateien auf bevorzugten Servern erwünscht sind und für wie lange. Die Regeln werden automatisch durch Neurons-Funktionen wie Patchmanagement verwaltet, die große Mengen heruntergeladener Inhalte erfordern.

Eine Synchronisierungs-Engine wird viermal pro Tag ausgeführt. Sie kann auch manuell über die Befehlszeile ausgelöst werden.

Es gibt keine feste Grenze, aber verwenden Sie möglichst wenig, da Synchronisierungs-Engines über ein Hochgeschwindigkeits-LAN mit ihren zugewiesenen bevorzugten Servern verbunden sein oder sogar auf demselben Computer ausgeführt werden sollten, auf dem die bevorzugten Serverfreigaben gehostet werden.

Klicken Sie hier, um weitere Informationen zu erhalten.

Dies wird nicht empfohlen. Sie könnten sie theoretisch verwenden, aber dies setzt voraus, dass bevorzugte Server immer identische Dateiregeln erhalten. Meistens sind die Regeln für Patchmanagement auf allen bevorzugten Servern identisch, dies ist jedoch nicht unbedingt der Fall.

Eine Synchronisierungs-Engine führt Downloads wie jede andere Engine durch. Sie kann also auch von einem bevorzugten Server herunterladen, während sie auf einen anderen hochlädt, ähnlich wie ein replizierendes Dateisystem.

Patch- und App-Verteilung. Agenten- und Engine-Updates werden für die automatische Synchronisierung nicht unterstützt und aufgrund ihrer dynamischen Natur eignen sie sich nicht gut für die manuelle Synchronisierung.

Ja. Klicken Sie hier, um weitere Informationen zu erhalten.

Fehler können von der Namensauflösung über die Authentifizierung bis hin zu getrennten Verbindungen und Speicherplatz reichen. Im Allgemeinen Netzwerk und Dateisystem.

Eine Synchronisierungs-Engine verwaltet nur Inhalte auf bevorzugten Servern, die in der Konfiguration "Synchronisierung bevorzugter Server" explizit aufgeführt und in der Richtlinie benannt sind. Wenn Sie einen neuen bevorzugten Server erstellen, wird dieser erst dann automatisch synchronisiert, wenn Sie ihn zur Konfiguration einer Synchronisierungs-Engine in seinem Netzwerk hinzufügen.

Eine Synchronisierungs-Engine wird viermal pro Tag ausgeführt. Sie kann manuell über die Befehlszeile ausgelöst werden. Sie können eine Datei auch jederzeit manuell auf einem bevorzugten Server ablegen, solange Sie den vollständigen Pfad und den erforderlichen Dateinamen kennen.

Wir empfehlen eine ACL des Verzeichnisses der Dateifreigabe und der Freigabe selbst, damit Schreibvorgänge nur von Administratoren und einem mit Ihren Schreib-Anmeldedaten verknüpften Dienstkonto durchgeführt werden können. Sie können die ACLs sperren, sodass sie nur über die Lese-Anmeldedaten gelesen werden können. Auf einem bevorzugten Server werden jedoch keine Geheimschlüssel gespeichert. Es handelt sich um öffentlich verfügbare Installationsdateien.

Verwenden Sie für Schreib-Anmeldedaten kein Domänen-Administratorkonto, auch nicht vorübergehend. Dies widerspricht dem Prinzip der geringsten Privilegien und räumt mehr Privilegien ein, als für eine Synchronisierungs-Engine erforderlich.

Führen Sie eine Verzeichnisauflistung der bevorzugten Serverfreigabe durch.

Ja. Wenn die Dateiregeln besagen, dass eine bestimmte Datei vorhanden sein sollte, dies aber – aus irgendeinem Grund – nicht der Fall ist, wird sie von der Synchronisierungs-Engine hochgeladen. Die Synchronisierungs-Engines werden viermal täglich ausgeführt.

Synchronisierungs-Engines laden vollständige Dateien herunter und hoch. Es findet kein Delta-Patching statt. Jede Datei wird einzeln ausgewertet und es werden keine Dateien als Sammlungen herunter- oder hochgeladen.