常见问题
添加首选服务器
首选服务器的最低要求是什么?
首选服务器是托管文件共享的计算机。 因此,它至少需要以下内容:
- 客户端下载暂存文件的磁盘空间。 修补程序和应用程序有所不同,如下所示:
- 对于修补程序,所需的实际空间取决于修补程序扫描发现的客户端计算机上的操作系统和应用程序的种类。 请注意,如果您修补 macOS 客户端,其操作系统更新可能会很大。
Ivanti 建议使用 100GB 磁盘空间。 - 对于应用程序分发,所需的实际空间取决于为应用程序定义的下载。
虽然您可以在首选服务器上手动分阶段部署应用程序,但不支持应用程序分发的自动同步。
- 对于修补程序,所需的实际空间取决于修补程序扫描发现的客户端计算机上的操作系统和应用程序的种类。 请注意,如果您修补 macOS 客户端,其操作系统更新可能会很大。
- 支持下载所需的协议(HTTPS、SMB)
- Windows 默认启用 SMB 协议。 请参阅 首选服务器安全建议。
- 对于 HTTPS 下载,需要安装或启用 Web 服务器(例如 IIS)。
首选服务器是否需要是 Web 服务器,或者是否可为标准文件共享?
是,它可以是传统 Windows 文件共享的标准文件共享。 在 URL 字段中指定 `file:` 作为下载协议。
例如:file://myserver.ivantosi.org/myshare。
首选服务器需要打开哪些协议/端口才能成功下载内容?
首选服务器不下载任何内容。 客户端端点从首选服务器下载,同步引擎推送到首选服务器。 当然,需要打开首选服务器以接受您在 URL 字段中指定的下载协议的入站连接。
例如:对于 HTTPS,需要打开 TCP 端口 443。 默认情况下,同步引擎通过 SMB 上传到首选服务器,其使用的是 TCP 端口 445。
指定读取内容所用的 URL 的正确格式是什么?
使用以下格式:
- file://ivantosi-srv/myshare
- https://myserver/myshare
- http://myserver/myshare
读取凭据和写入凭据之间有什么区别?
客户端从首选服务器下载时使用读取凭据。 为了安全起见,您应该只向通过作为首选服务器共享的目录的读取凭据进行了验证的帐户授予读取权限。
同步引擎在向首选服务器上传文件或删除服务器上的文件时使用写入凭据。 通过写入凭据验证的帐户必须具备对作为首选服务器共享的目录的写入权限,以及共享本身的权限。
指定 SMB 路径的正确格式是什么?
使用以下格式:
- \\myserver\myshare(UNC 格式)
- smb://myserver/myshare
如果超出最小可用磁盘 (%) 会发生什么情况?
不支持。 此控件已被删除。
如果超出最大缓存大小 (KB) 会发生什么?
不支持。 此控件已被删除。
如果用于读/写/凭据的凭据从凭据存储中删除,首选服务器会发生什么情况?
对于读取凭据(可选),使用代理设置中的首选服务器的端点将尝试从首选服务器下载,而不使用读取凭据。 如果首选服务器需要身份验证,端点将无法从该服务器下载,并继续尝试代理设置中配置的其他下载源。
写入凭据仅供同步引擎使用。
是否必须要求凭据才能从首选服务器下载内容?
否,只要您为共享和所共享目录上的“所有人”组分配读取权限即可。
建议的首选服务器数量是多少? (例如,每 2,500 个端点使用一个首选服务器)
这取决于客户端可用于下载修补程序和应用程序的互联网带宽以及在 LAN 上维持文件服务器运行的成本。
Ivanti 建议不要在少量客户端共享高速连接的位置使用首选服务器(互联网带宽/客户端数值 > 1Mb/s)。
假设客户端端点可用的 LAN 带宽很高(例如完全交换的 GB 以太网),则考虑每 2,500 个端点至少设置一个首选服务器。
如果您的子网由防火墙隔开,且每个子网都拥有大量客户端,请考虑在每个子网上设置一个首选服务器,以减少流经防火墙的流量。
考虑冗余。 代理设置允许您定义要使用的首选服务器的有序列表,这样,如果有一个服务器不可用,端点将故障转移到另一个首选服务器,然后再故障转移到直接互联网下载。
我们可以删除当前端点正在使用的首选服务器吗?
是。 您可以从代理设置中删除首选服务器选择。
您不能删除任何 IP 范围或同步引擎配置正在使用的首选服务器,除非先将其从这些 IP 范围和/或同步引擎配置中删除。
如果环境设置为首选服务器,但不使用对等服务器,这是否会妨碍系统直接从供应商下载更新?
否,如有必要,即使未启用对等下载,也会直接从供应商处下载端点。 端点将按照以下顺序尝试下载:
- 对等端点(如果已启用)。
- 如果上述操作失败或被禁用,则为首选服务器(如果已启用)。
- 如果上述方法失败或被禁用,则可以通过互联网直接从供应商处获取。
添加 IP 地址
如果我有多个重叠的 IP 范围会发生什么? 在这种情况下将使用哪个首选服务器? 可以优先处理此项吗?
否。 端点将始终使用它找到的第一个包含其绑定 IP 地址之一的 IP 范围,但如果有多个这样的范围,您将无法控制端点评估它们时采用的顺序。
将首选服务器添加到 IP 地址范围时,是否需要对其进行优先排序? 如果可以,可以按顺序上下移动它们吗?
IP 范围不能重新排序,但无论如何都无法保证其评估顺序。 也可以点击此处以获取更多信息。
创建同步引擎配置
什么是同步引擎,为什么需要它?
同步引擎是您在代理上启用的一项功能,类似于在端点上执行其他 Neurons 功能的引擎。 它下载供应商文件并将其上传到首选服务器。 它还从首选服务器中删除了到期文件。 同步引擎受规则控制,这些规则描述了首选服务器上需要哪些文件以及需要保存多长时间。 规则由需要大量下载内容的 Neurons 功能(如修补程序管理)自动维护。
同步引擎多久同步一次内容?
同步引擎每天运行四次。 也可以通过命令行手动触发。
我可以向同步引擎配置添加的首选服务器的最大数量是多少?
没有硬性限制,但使用较少的数量,因为同步引擎应该通过高速 LAN 连接到其指定的首选服务器,甚至可以在托管首选服务器共享的同一台机器上运行。
同步引擎使用的是什么协议/端口?
点击此处了解更多信息。
分布式文件系统 (DFS) 复制可用于同步首选服务器之间的内容吗?
不建议这么操作。 您可以使用,但这需要假设首选服务器始终获得相同的文件规则。 大多数情况下,修补程序管理的首选服务器的规则是相同的,但不一定如此
重要的是要知道同步引擎的下载方式和任何其他引擎一样,因此它也可以在上传到另一个首选服务器的同时从一个首选服务器下载,很像复制文件系统一样。
同步内容
首选服务器可用于哪些类型的内容? 我们可以将它用于应用程序分发/修补程序/代理更新/引擎更新吗?
修补程序和应用程序分发。 代理和引擎更新不支持自动同步,并且这些更新的动态特性使它们不适合手动同步。
如果无法从首选服务器同步/下载任何内容,会发生什么情况? 它会恢复成自动从供应商处下载吗?
是。 也可以点击此处以获取更多信息。
可以记录哪些类型的下载/同步错误?
错误范围包括名称解析、身份验证以及与磁盘空间的连接丢失。 一般而言,涉及网络和文件系统。
同步引擎是否在所有首选服务器之间同步内容,还是仅在应用于代理策略的同步引擎配置中的服务器之间同步内容?
同步引擎仅管理在其策略中指定的首选服务器同步配置中明确列出的首选服务器上的内容。 当您创建新的首选服务器时,它将不会自动同步,直到您将其添加到其网络上同步引擎的配置中。
内容多久同步一次? 可以配置此项吗? 有手动同步选项吗?
同步引擎每天运行四次。 它可以通过命令行手动触发。 此外,您可以随时手动将文件拖放到首选服务器上,只要您知道文件的完整路径和文件名即可。
一般问题
首选服务器内容应如何得到保护? 有什么建议吗?
ACL 文件共享的目录和共享本身,只允许管理员和与您的写入凭据关联的服务帐户进行写入。 您也可以类似地锁定 ACL 以便仅通过读取凭据进行读取,但首选服务器上不会保留任何密钥。 它们是公开可用的安装程序文件。
不要使用域管理员帐户来写入凭据,即使是暂时的。 这违反了最小权限原则,并且比同步引擎所需的权限更多。
如何查看同步到首选服务器的内容?
执行首选服务器共享的目录列表。
如果首选服务器的内容被手动删除,同步引擎会将正确的内容重新同步到该服务器吗? 如果是的话,频率是多少?
是,如果文件规则规定某个文件应该存在,但由于某种原因它却不存在,同步引擎就会上传它。 同步引擎每天运行四次。
首选服务器是利用增量变化进行同步,还是所有内容都同步?
同步引擎下载并上传整个文件。 无增量修补。 它确实会单独评估每个文件,并且不会将文件作为集合下载/上传。