常見問題
新增慣用伺服器
偏好的伺服器的最低要求是什麼?
偏好的伺服器是託管檔案共用的電腦。 因此,它至少需要以下內容:
- 用戶端下載暫存檔案的磁碟空間。 修補程式和應用程式有所不同,如下所示:
- 對於修補程式,所需的實際空間取決於修補程式掃描發現的用戶端電腦上的作業系統和應用程式的種類。 請注意,如果您修補 macOS 用戶端,其作業系統更新可能會很大。
Ivanti 建議使用 100GB 磁碟空間。 - 對於應用程式發佈,所需的實際空間取決於為應用程式定義的下載。
雖然您可以在偏好的伺服器上手動分階段部署應用程式,但不支援應用程式發佈的自動同步。
- 對於修補程式,所需的實際空間取決於修補程式掃描發現的用戶端電腦上的作業系統和應用程式的種類。 請注意,如果您修補 macOS 用戶端,其作業系統更新可能會很大。
- 支援下載所需的協定 (HTTPS、SMB)
- Windows 預設啟用 SMB 協定。 請參閱 偏好的伺服器安全建議。
- 對於 HTTPS 下載,需要安裝或啟用 Web 伺服器 (例如 IIS)。
偏好的伺服器是否需要是 Web 伺服器,或者可以是標準檔案共用?
是,它可以是傳統 Windows 檔案共用的標準檔案共用。 在 URL 欄位中指定 `file:` 作為下載協定。
例如: file://myserver.ivantosi.org/myshare。
偏好的伺服器需要開啟哪些協定/連接埠才能成功下載內容?
偏好的伺服器不下載任何內容。 用戶端端點從偏好的伺服器下載,同步引擎推送到偏好的伺服器。 當然,需要開啟偏好的伺服器以接受您在 URL 欄位中指定的下載協定的入站連線。
例如: 對於 HTTPS,需要開啟 TCP 連接埠 443。 預設情況下,同步引擎透過 SMB 上傳到偏好的伺服器,SMB 使用 TCP 連接埠 445。
指定用於讀取內容的 URL 的正確格式是什麼?
使用以下格式:
- file://ivantosi-srv/myshare
- https://myserver/myshare
- http://myserver/myshare
讀取憑證和寫入憑證之間有什麼區別?
用戶端從偏好的伺服器下載時使用讀取憑證。 為了安全起見,您應該只向經過讀取憑證驗證的帳戶授予作為偏好的伺服器共用的目錄的讀取權限。
同步引擎在上傳檔案至偏好的伺服器或刪除伺服器上的檔案時使用寫入憑證。 透過寫入憑證驗證的帳戶必須具有對作為偏好的伺服器共用的目錄的寫入權限,以及共用本身的權限。
指定 SMB 路徑的正確格式是什麼?
使用以下格式:
- \\myserver\myshare (UNC 格式)
- smb://myserver/myshare
如果超出最小可用磁碟空間 (%) 會發生什麼情況?
不受支援。 此控制項已被刪除。
如果超出快取大小上限 (KB) 會發生什麼?
不受支援。 此控制項已被刪除。
如果用於讀取/寫入/憑證的憑證從憑證儲存中刪除,偏好的伺服器會發生什麼情況?
對於讀取憑證 (可選),使用代理程式設定中的偏好的伺服器的端點將嘗試從偏好的伺服器下載,而不使用讀取憑證。 如果偏好的伺服器需要驗證,則端點將無法從該伺服器下載,並繼續嘗試代理設定中設定的其他下載來源。
寫入憑證僅供同步引擎使用。
是否必須要求憑證才能從偏好的伺服器下載內容?
否,只要您為共用和共用目錄上的「所有人」群組分配讀取權限即可。
建議的偏好的伺服器數量是多少? (例如,每 2,500 個端點使用一個偏好的伺服器)
這取決於用戶端可用於下載修補程式和應用程式的網路頻寬以及在 LAN 上維持檔案伺服器執行的成本。
Ivanti 建議不要在少數用戶端共用高速連線 (網際網路頻寬/用戶端數量 >1Mb/s) 的位置使用偏好的伺服器。
假設用戶端端點可用的 LAN 頻寬很高 (例如完全交換的 GB 乙太網路),則考慮每 2,500 個端點至少設定一個偏好的伺服器。
如果您的子網路由防火牆隔開,且每個子網路都有大量用戶端,請考慮在每個子網路上設定偏好的伺服器,以減少流經防火牆的流量。
考慮冗餘。 代理程式設定允許您定義要使用的偏好的伺服器的有序清單,這樣,如果一個伺服器不可用,端點將故障轉移到另一個偏好的伺服器,然後再故障轉移到直接網際網路下載。
我們可以刪除目前端點正在使用的偏好的伺服器嗎?
是。 您可以從代理程式設定中刪除偏好的伺服器選擇。
您無法刪除任何 IP 範圍或同步引擎組態正在使用的偏好的伺服器,除非先將其從這些 IP 範圍和/或同步引擎組態中刪除。
如果環境設定為偏好的伺服器,但不使用對等伺服器,這是否會妨礙系統直接從廠商下載更新?
否,如有必要,即使未啟用對等下載,端點也會直接從廠商下載。 端點將按照以下順序嘗試下載:
- 對等端點 (如果已啟用)。
- 如果上述操作失敗或已停用,則為偏好的伺服器 (如果已啟用)。
- 如果上述方法失敗或被停用,則可以透過網際網路直接從廠商取得。
新增 IP 位址
如果我有多個重疊的 IP 範圍會發生什麼? 在這種情況下將使用哪個偏好的伺服器? 可以優先處理此項嗎?
否。 端點將始終使用它找到的第一個包含其綁定 IP 位址之一的 IP 範圍,但如果有多個這樣的範圍,則您無法控制端點評估它們的順序。
將偏好的伺服器新增至 IP 位址範圍時,是否需要對其進行優先排序? 如果可以,可以按順序上下移動它們嗎?
IP 範圍不能重新排序,但無論如何都無法保證其評估順序。 另外,請按一下這裡以獲取更多資訊。
建立同步引擎組態
什麼是同步引擎,為什麼需要它?
同步引擎是您在代理程式上啟用的功能,類似於在端點上執行其他 Neurons 功能的引擎。 它下載廠商檔案並將其上傳到偏好的伺服器。 它還從偏好的伺服器中刪除了過期的檔案。 同步引擎受規則控制,這些規則描述了偏好的伺服器上需要哪些檔案以及需要儲存多長時間。 規則由需要大量下載內容的 Neurons 功能 (如修補程式管理) 自動維護。
同步引擎多久同步一次內容?
同步引擎每天運轉四次。 可以透過命令列手動觸發。
我可以向同步引擎組態新增的偏好的伺服器的最大數量是多少?
沒有硬性限制,但使用較少的數量,因為同步引擎應該透過高速 LAN 連接到其指定的偏好的伺服器,甚至在託管偏好的伺服器共用的同一台電腦上執行。
同步引擎使用什麼協定/連接埠?
請按這裡以獲取更多資訊。
分散式檔案系統 (DFS) 複製可用於同步偏好的伺服器之間的內容嗎?
不建議這樣做。 您可以使用,但這樣需假設偏好的伺服器始終獲得相同的檔案規則。 大多數情況下,修補程式管理的偏好的伺服器的規則是相同的,但不一定如此。
重要的是要知道同步引擎像任何其他引擎一樣下載,因此它也可以在將其上傳到另一個偏好的伺服器時從一個偏好的伺服器下載,就像複製檔案系統一樣。
同步內容
偏好的伺服器可用於哪些類型的內容? 我們可以將它用於應用程式發佈/修補程式/代理更新/引擎更新嗎?
修補程式和應用程式發佈。 代理和引擎更新不支援自動同步,並且這些更新的動態特性使它們不適合手動同步。
如果任何內容無法從偏好的伺服器同步/下載,會發生什麼情況? 它會恢復成自動從廠商處下載嗎?
是。 另外,請按一下這裡以獲取更多資訊。
可以記錄哪些類型的下載/同步錯誤?
錯誤範圍包括名稱解析、驗證以及與磁碟空間的連線遺失。 一般而言,為網路和檔案系統。
同步引擎是否在所有偏好的伺服器之間同步內容,還是僅在套用於代理程式原則的同步引擎組態中的伺服器之間同步內容?
同步引擎僅管理在其原則中指定的偏好的伺服器同步組態中明確列出的偏好的伺服器上的內容。 當您建立新的偏好的伺服器時,它將不會自動同步,直到您將其新增至其網路上的同步引擎的組態。
內容多久同步一次? 可以對此進行設定嗎? 有手動同步選項嗎?
同步引擎每天運轉四次。 它可以透過命令列手動觸發。 此外,您可以隨時手動將檔案拖放到偏好的伺服器上,只要您知道檔案的完整路徑和檔案名稱即可。
一般問題
偏好的伺服器內容應如何受到保護? 有什麼建議嗎?
ACL 檔案共用的目錄和共用本身,只允許管理員和與您的寫入憑證關聯的服務帳戶進行寫入。 您也可以類似地鎖定 ACL 以便僅透過讀取憑證進行讀取,但偏好的伺服器上不會保留任何密碼。 它們是公開可用的安裝程式檔案。
不要使用域名管理員帳戶來寫入憑證,即使是暫時的。 這違反了最小權限原則,並且比同步引擎所需的權限更多。
如何檢視同步到偏好的伺服器的內容?
執行偏好的伺服器共用的目錄清單。
如果偏好的伺服器的內容被手動刪除,同步引擎會將正確的內容重新同步到此伺服器嗎? 如果是的話,頻率是多少?
是,如果檔案規則規定某個檔案應該存在,但由於某些原因它卻不存在,同步引擎就會上傳它。 同步引擎每天執行四次。
偏好的伺服器是否利用增量變更進行同步,還是所有內容都同步?
同步引擎下載並上傳整個檔案。 無增量修補。 它確實會單獨評估每個檔案,並且不會將檔案作為集合下載/上傳。