Perguntas frequentes

Um servidor preferencial é uma máquina que hospeda um compartilhamento de arquivos. Como tal, requer no mínimo o seguinte:

• Espaço em disco para os arquivos destinados a serem baixados pelos clientes. Isso difere para patches e aplicativos, da seguinte forma:
  • Para patches, o espaço real necessário varia conforme da diversidade de sistemas operacionais e aplicativos descobertos pela análise de patches nas máquinas clientes. Observe que se você corrigir clientes macOS, as atualizações de SO deles poderão ser grandes.
    A Ivanti recomenda 100 GB de espaço em disco.
  • Para distribuição de aplicativos, o espaço real necessário depende dos downloads definidos para os aplicativos.
    

    A sincronização automática da distribuição de aplicativos não é suportada, embora você possa preparar manualmente os aplicativos nos servidores preferenciais.

• Suporte ao protocolo necessário para download (HTTPS, SMB)
  • O protocolo SMB é habilitado no Windows por padrão. Consulte Recomendações de segurança do servidor preferencial.
  • Para downloads via HTTPS, será necessário instalar ou habilitar um servidor web (como o IIS).

Sim, pode ser um compartilhamento de arquivos padrão usando o compartilhamento de arquivos convencional do Windows. Especifique "arquivo:" como o protocolo de download no campo URL.
Por exemplo: arquivo://meuservidor.ivantosi.org/meucompartilhamento.

Servidores preferenciais não baixam nada. Os pontos de extremidade clientes baixam dos servidores preferenciais, e os mecanismos de sincronização enviam aos servidores preferenciais. Naturalmente, um servidor preferencial precisa estar aberto para conexões de entrada no protocolo que você especificar para download no campo URL.
Exemplo: para HTTPS, a porta TCP 443 precisa estar aberta. Os mecanismos de sincronização fazem upload para os servidores preferenciais via SMB, que usa a porta TCP 445 por padrão.

Use os seguintes formatos:

• arquivo://ivantosi-srv/meucompartilhamento
• https://meuservidor/meucompartilhamento
• http://meuservidor/meucompartilhamento

A credencial de leitura é usada pelos pontos de extremidade clientes quando fazem download de um servidor preferencial. Por segurança, a conta autenticada pela credencial de leitura deve receber somente privilégio de leitura ao diretório que foi compartilhado como servidor preferencial.

A credencial de gravação é usada por mecanismos de sincronização quando fazem upload para um servidor preferencial ou excluem arquivos nele. A conta autenticada por uma credencial de gravação deve ter privilégio de gravação no diretório compartilhado como servidor preferencial e nas permissões do próprio compartilhamento.

Use os seguintes formatos:

• \\meuservidor\meucompartilhamento (formato UNC)
• smb://meuservidor/meucompartilhamento

Não suportado. Esse controle foi removido.

Não suportado. Esse controle foi removido.

No caso de credenciais de leitura (que são opcionais), os pontos de extremidade que usam o servidor preferencial nas Configurações do Agente tentarão fazer download do servidor preferencial sem usar credenciais de leitura. Se o servidor preferencial exigir autenticação, os pontos de extremidade não conseguirão fazer download dele e continuarão tentando outras fontes de download, conforme definido nas Configurações do Agente.

As credenciais de gravação são usadas apenas por mecanismos de sincronização.

Não, desde que você atribua permissões de leitura ao grupo "Todos" no compartilhamento e no diretório que está sendo compartilhado.

Depende da largura de banda de internet disponível para os pontos de extremidade clientes baixarem patches e aplicativos, em comparação ao custo de manter um servidor de arquivos ativo na sua LAN.
A Ivanti recomenda não usar servidores preferenciais em locais onde você tenha um pequeno número de clientes compartilhando uma conexão de alta velocidade (largura de banda da internet / nº de clientes > 1 Mb/s).

Supondo que a largura de banda disponível na LAN para um ponto de extremidade cliente seja alta (tal como numa Ethernet GB totalmente comutada), considere pelo menos um servidor preferencial para cada 2.500 pontos de extremidade.

Se você tiver sub-redes separadas por firewalls, cada uma com um número substancial de clientes, considere configurar um servidor preferencial em cada sub-rede para reduzir o tráfego que flui pelos firewalls.

Considere redundância. As configurações do agente permitem que você defina uma lista ordenada de servidores preferenciais a serem usados, de modo que, se um ficar indisponível, os pontos de extremidade recorrerão a outro servidor preferencial antes de recorrerem ao download direto da Internet.

Sim. Você pode remover a seleção do servidor preferencial nas Configurações do Agente.

Você não pode excluir um servidor preferencial que esteja em uso por algum intervalo IP ou configuração de mecanismo de sincronização sem primeiro removê-lo de tais intervalos IP e/ou configurações de mecanismo de sincronização.

Não, os pontos de extremidade farão download diretamente do fornecedor, se necessário, mesmo quando o download por pares não estiver habilitado. Os pontos de extremidade tentarão downloads na seguinte ordem:

• Pontos de extremidade pares, se habilitados.
• Se a opção acima falhar ou estiver desabilitada, então servidores preferenciais, se habilitados.
• Se as opções acima falharem ou estiverem desabilitadas, então diretamente do fornecedor, via Internet.

Não. O ponto de extremidade sempre usará o primeiro intervalo de IP encontrado que inclua um dos endereços IP vinculados a si, mas, se houver vários desses intervalos, você não poderá controlar a ordem em que o ponto de extremidade os avalia.

Os intervalos de IP não podem ser reordenados e, mesmo que pudessem, a ordem de avaliação deles não seria garantida. Além disso, clique aqui para mais informações.

O mecanismo de sincronização é um recurso que você habilita no agente, de modo semelhante aos mecanismos que executam outros recursos do Neurons nos pontos de extremidade. Ele baixa os arquivos do fornecedor e os carrega nos servidores preferenciais. Ele também excluiu arquivos expirados nos servidores preferenciais. Os mecanismos de sincronização são regidos por regras que descrevem quais arquivos são desejados nos servidores preferenciais e por quanto tempo devem ficar lá. As regras são mantidas automaticamente por recursos do Neurons, como o Gerenciamento de Patches, que exigem o download de grandes quantidades de conteúdo.

Um mecanismo de sincronização é executado quatro vezes por dia. Ele também pode ser acionado manualmente pela linha de comando.

Não há um limite rígido, mas use um número pequeno, porque os mecanismos de sincronização devem ser conectados por uma LAN de alta velocidade aos servidores preferenciais que lhes foram atribuídos ou, até mesmo, executados na mesma máquina que hospeda os compartilhamentos dos servidores preferenciais.

Clique aqui para obter mais informações.

Não é recomendado. Você poderia usar, mas isso pressupõe que os servidores preferenciais sempre tenham regras de arquivo idênticas. Na maior parte dos casos, as regras são idênticas entre os servidores preferenciais para o Gerenciamento de Patches, mas isso não é necessariamente obrigatório.

É importante saber que um mecanismo de sincronização faz downloads como qualquer outro mecanismo, podendo inclusive baixar de um servidor preferencial enquanto envia para outro, de forma semelhante a um sistema de arquivos com replicação.

Distribuição de patches e aplicativos. Atualizações de agentes e mecanismos não são suportadas na sincronização automática, e a natureza dinâmica dessas atualizações as torna candidatas ruins para sincronização manual.

Sim. Além disso, clique aqui para mais informações.

Os erros podem incluir desde resolução de nomes e autenticação até conexões perdidas e espaço em disco. Em geral, rede e sistema de arquivos.

O mecanismo de sincronização gerencia conteúdo somente nos servidores preferenciais explicitamente listados na configuração de sincronização de servidores preferenciais definida na política dele. Quando você cria um novo servidor preferencial, ele não é sincronizado automaticamente até que você o adicione à configuração de um mecanismo de sincronização na sua rede.

Um mecanismo de sincronização é executado quatro vezes por dia. Ele também pode ser acionado manualmente pela linha de comando. Além disso, é possível colocar manualmente um arquivo em um servidor preferencial a qualquer momento, desde que você saiba o caminho completo e o nome exato que ele deve ter.

Defina ACLs para o diretório do compartilhamento de arquivos e para o próprio compartilhamento, permitindo gravação apenas por administradores e por uma conta de serviço associada às suas credenciais de gravação. Da mesma forma, você pode restringir as ACLs para leitura apenas por credenciais de leitura, mas nenhum segredo é mantido no servidor preferencial. Trata-se de arquivos de instalação publicamente disponíveis.

Não use uma conta de administrador de domínio para credenciais de gravação, mesmo que temporariamente. Isso contraria o Princípio do Menor Privilégio e exige mais privilégios do que um mecanismo de sincronização.

Execute uma listagem de diretórios no compartilhamento do servidor preferencial.

Sim. Se as regras de arquivo disserem que determinado arquivo deve estar lá e, por qualquer motivo, ele não estiver, o mecanismo de sincronização o carregará. Os mecanismos de sincronização são executados quatro vezes por dia.

Os mecanismos de sincronização baixam e enviam arquivos inteiros. Não aplicação de patch por delta. Cada arquivo é avaliado individualmente, e os arquivos não são baixados ou enviados em grupos.