Agentless Scanner
Mit dem Agentless Scanner ist die Inventarisierung von Windows-Clients über das Active Directory (AD) möglich, ohne dass eine Software auf den Clients ausgeführt oder installiert werden muss. Darüber hinaus können Sie vom Agentless Scanner Configuration Manager ausgehend mithilfe des integrierten XML Importers auch Linux- und MacOS-Clients inventarisieren.
Funktionsweise
Grundsätzlich setzt sich der Agentless Scanner aus drei Komponenten zusammen: dem AD Connector, dem AD Agent sowie dem WMI Scanner. Die Basisdaten eines Clients werden dabei aus dem AD erfasst, mit den in ACMP vorhandenen Daten verglichen und, sofern es sich um noch nicht vorhandene Daten handelt, schließlich hinterlegt. Einmal eingerichtet, werden Clients, welche neu an das AD angebunden wurden, automatisch inventarisiert. Somit entfällt das manuelle Anstoßen einer Inventarisierung.
Note:
Der Agentless Scanner liefert weniger Daten als der ACMP Agent, da er auf Grund seiner Funktionsweise nicht alle Daten auslesen kann.
Im Folgenden wird die Funktionsweise der einzelnen Komponenten im Detail erklärt.
| AD Connector | Der AD Connector ist für das Erfassen der Daten aus dem Active Directory verantwortlich. Grundsätzlich wird das AD dafür in festen Intervallen nach neuen Clients gescannt. Zusätzlich wird das Auslesen durch bestimmte AD-Ereignisse ausgelöst, wie z.B. durch das Hinzufügen eines neuen Rechners zum AD. Die ausgelesenen Daten werden dabei gesammelt und anschließend an den AD Agent weitergeleitet.
Es kann vorkommen, dass der NetBios Name beim Auslesen durch den AD Connector in Multidomain-Umgebungen nicht richtig aufgelöst wird. Zur Vermeidung dieses Fehlers wird zusätzlich versucht, die Clients per FQDN zu erreichen. |
|---|---|
| Nun können Sie bei Bedarf noch weitere Domänen mit entsprechenden Benutzerangaben hinzufügen. AD Agent | Der AD Agent ist für den Abgleich der erhaltenen Daten mit den bereits in ACMP vorhandenen Daten zuständig. Wurde ein neuer Client oder ein vorhandener Client mit neuen Daten im AD gefunden, werden die Basisdaten des Clients (Name, Beschreibung, Domain und Adresse) in der ACMP-Datenbank hinterlegt bzw. geändert. Dadurch ist der Client in der Agenteninstallation auffindbar und seine Basisdaten können normal verarbeitet werden (z.B. in Queries oder Client Commands). |
| WMI Scanner | Der WMI Scanner wird benötigt, damit weitere Daten des Clients inventarisiert werden können, die über die Basisdaten hinaus gehen. Dabei wird ein Scan der WMI des Clients angestoßen. Diese Daten werden anschließend in der ACMP Datenbank gespeichert. So können auch Clients inventarisiert werden, welche nicht per NetBIOS erreichbar sind (z.B. auf Grund bestimmter Netzwerkrichtlinien) und somit nicht in der Agenteninstallation auftauchen. |
Installationsvoraussetzungen
Bevor die Installation durchgeführt werden kann, prüfen Sie folgende Voraussetzungen:
- Die Dienste werden auf dem Server installiert, auf dem auch ACMP installiert ist.
- Es ist mindestens das .Net-Framework in der Version 4.7.2 installiert.
- Das Message Queuing ist installiert.
Note:
Falls das Message Queuing noch nicht installiert ist, kann dieses über die Systemsteuerung unter Windows-Komponenten hinzugefügt/entfernt (für Workstation-Systeme) oder über den Server-Manager unter Features (für Server-Systeme) installiert werden.
Installation durchführen
Zur Verwendung des Agentless Scanners müssen Sie zunächst die entsprechenden Dienste installieren. Führen Sie dazu die Installationsdatei ACMP Agentless Scanner_Installer.exe aus, die Sie im Installationsverzeichnis des ACMP Servers im Ordner Installers/AgentlessScan finden. Folgen Sie den Installationsanweisungen und installieren Sie alle Komponenten.
Installation des Agentless Scanners
Note:
Der XML Importer wird ausschließlich für die Inventarisierung von Linux- und MacOS-Clients benötigt und kann ggf. Nachträglich auch einzeln installiert werden.
Agentless Scanner konfigurieren
Öffnen Sie nun den Configuration Manager, um mit der Konfiguration des Agentless Scanners zu beginnen. Der Configuration Manager ist in sechs Bereiche unterteilt.
Note:
Sie finden die Anwendung in Ihrem angegebenen Installationsverzeichnis oder über die Windows-Schnellsuche unter dem Namen Configuration Manager.
General
Im Bereich General ist standardmäßig der Connection String zur ACMP Datenbank eingetragen. Sollte dieser nicht vorhanden oder ein anderer Connection String eingetragen sein, klicken Sie auf Get database connection string from ACMP configuration, um den Connection String zur ACMP Datenbank automatisch eintragen zu lassen.
Klicken Sie nun auf Test connection string, um die Verbindung zu testen. Wenn Sie die Meldung Connection successful erhalten, konnte die Verbindung zur Datenbank aufgebaut werden. Bekommen Sie stattdessen die Meldung Failed to connect, muss der Connection string angepasst werden.
Um den Connection string anzupassen, klicken Sie auf Edit connection string und geben Sie den korrekten Connection String an. Wiederholen Sie anschließend den Test-Prozess, bis die Verbindung erfolgreich aufgebaut werden konnte.
Bei Problemen hilft Ihnen der Aagon Support weiter, alternativ finden Sie hier weitere Informationen zu den generellen Anpassungen für den Connection string.
Verbindung zur ACMP Datenbank herstellen
AD Connector
Im Bereich AD Connector können Sie die Einstellungen für den AD-Zugriff festlegen:
- Tragen Sie bei Domain Controller den Namen oder die IP-Adresse des Servers ein, auf dem das AD installiert ist.
- Tragen Sie bei User Name einen Benutzer ein, der Leserechte für die Domain besitzt, aus welcher die Client-Daten gelesen werden sollen.
- Tragen Sie bei Password das Passwort für den zuvor eingetragenen Benutzer ein.
- Tragen Sie bei NT Domain Name den Namen der Domain ein, aus welcher die Client-Daten gelesen werden.
- Tragen Sie bei BaseDN den AD-Pfad ein, unter dem die Clients zu finden sind, dessen Daten gelesen werden sollen. Dies kann z.B. das Hauptverzeichnis sein, Sie können aber auch eine bestimmte Gruppe (OU) innerhalb des AD angeben.
- Sofern Sie Clients filtern möchten, die seit einer bestimmten Anzahl an Tagen nicht im Netzwerk waren und sich nicht am Domain Controller gemeldet haben, vergeben Sie bei der Option Ignore Objects that haven´t changed for X days einen Wert für die Anzahl der Tage.
Active Directory Connector konfigurieren
Note:
Zusätzlich zur Konfiguration über den Configuration Manager, können Sie weitere Einstellungen in der Konfigurationsdatei des AD Connectors vorzunehmen. Weitere Informationen dazu finden Sie im Abschnitt Zusätzliche Anpassungen in der Konfigurationsdatei des AD Connectors.
AD Agent
Die Einstellungen im Bereich AD Agent werden für die internen Abläufe des Agentless Scanner benötigt. Dazu gehört der Pfad der Message Queue und die Anzahl der internen IP Scanner Threads.
Warning:
Diese Einstellungen sollten Sie nur nach Aufforderung durch den Aagon-Support ändern.
Abgesehen von den beiden genannten Einstellungen, können Sie im Eintrag Client Destaination festlegen, wie mit den gefundenen Clients und den erfassten Daten umgegangen werden soll. Sie können zwischen folgenden Optionen wählen:
- Inventory – Das Inventory wird mit den Clients inklusive der erfassten Daten befüllt
- AgentDistribution – Die erfassten Clients werden in der Agenteninstallation in ACMP eingetragen
- Inventory and AgentDistribution – Beide Vorgänge werden ausgeführt
Active Directory Agent konfigurieren
WMI Scanner
Der Bereich WMI Scanner können Sie, wie schon zuvor beim AD Agent, die Einstellungen für den Pfad der Message Queue und die Anzahl der internen IP Scanner Threads für den WMI Scanner anpassen.
Warning:
Diese Einstellungen sollten Sie nur nach Aufforderung durch den Aagon-Support ändern.
WMI Scanner konfigurieren
Abgesehen von den beiden genannten Einstellungen, können Sie im Eintrag Database Request Frequency festlegen, in welchem Intervall (in Stunden) die ACMP Datenbank geprüft werden soll. Bei dieser Prüfung werden alle Clients ermittelt, welche vom AD Connector erfasst wurden, für die aber noch keine Daten vorhanden sind. Diese Clients werden schließlich an den WMI Scanner übergeben und es wird ein Scan der WMI der Clients angestoßen, in dem die erweiterten Daten und Eigenschaften der Clients ausgelesen werden.
Unter Domain Credentials können Benutzerkonten hinterlegt werden, die Administratorrechte auf den zu scannenden Clients besitzen. Sie müssen hier mindestens einen Benutzer eintragen. Gehen Sie dafür folgendermaßen vor:
- Klicken Sie auf den Plus-Button, um das Dialogfenster für die Credentials zu öffnen.
- Tragen Sie unter Domain name (FQDN) den „Fully Qualified Domain Name“ der Domain ein, deren Clients gescannt werden sollen.
- Trage Sie bei User Name den Benutzernamen ein. Dieser muss nach dem Prinzip Benutzer@FQDN „User Principal Name“ (UPN) aufgebaut sein. Note:
Der zuerst angegebene Domain name und der FQDN des Benutzers müssen nicht identisch sein. Der Domain name stellt einen Filter der übergebenen Clientdaten dar. So werden nur Clients gescannt, welche nach ACMP Datenbank zur entsprechenden Domain gehören.
- Tragen Sie bei Password das Passwort für den Benutzer ein.
- Klicken Sie auf den OK-Button, um Ihre Angaben zu bestätigen und das Dialogfenster zu schließen.
Domain Credentials hinterlegen
Nun können Sie bei Bedarf noch weitere Domänen mit entsprechenden Benutzerangaben hinzufügen.
XML Importer
Während Clients mit Windows-Betriebssystem über die beschriebenen Schritte mithilfe des AD inventarisiert werden können, erfolgt die Inventarisierung von Linux- und MacOS-Clients durch den Einsatz von XML-Dateien. Dabei werden folgende Arbeitsschritte für die Inventarisierung durchgeführt:
- Ausführung eines lokalen Python-Skripts auf allen Linux- und MacOS-Clients mithilfe des Client Commands Linux- und MacOS-Inventarisierung.
- Automatische Erzeugung von XML-Dateien (eine Datei pro Client) auf einer spezifischen Netzwerkfreigabe durch das Skript, in denen jeweils alle gesammelten Informationen des Clients gespeichert sind.
- Die erzeugten XML-Dateien werden durch den XML Importer ausgelesen, die enthaltenen Informationen werden erfasst und schließlich in der ACMP Datenbank hinzugefügt.
Da im Agentless Scanner selbst nur der XML-Import (Arbeitsschritt 3) durchgeführt wird, wird an dieser Stelle auch nur die Konfiguration des XML Importers beschrieben. Für weiterführende Informationen zur Ausführung des Python-Skripts und der Erzeugung der XML-Dateien (Arbeitsschritte 1 und 2), lesen Sie bitte den Abschnitt Linux- und MacOS-Inventarisierung.
Im Bereich XML Importer müssen Sie für die Inventarisierung der Linux- und MacOS-Clients bei Reader die Netzwerkfreigaben angeben, auf der die zu importierenden XML-Dateien hinterlegt sind. Bei der Verwendung des XML Importers müssen Sie folgende Hinweise beachten:
- Sollten zwei Clients ihre Daten in derselben XML-Datei speichern, so überschreibt der zweite Client die Daten des ersten.
- Nach dem Importieren werden die XML-Dateien gelöscht.
- Defekte Dateien oder Dateien, die nicht für den XML Importer bestimmt sind, werden ebenfalls gelöscht. Daher dürfen in der Freigabe nur Dateien für den XML Importer hinterlegt werden.
- Es ist nicht möglich die XML-Dateien in einem Unterverzeichnis der Freigabe abzulegen
- Die Software-Inventarisierung mit dem Paketmanager „dpkg“ kann einige Zeit in Anspruch nehmen (15-20 min). Die Softwareinventarisierung kann jedoch unter „Options“ in der Oberfläche des ClientCommands ausgeschaltet werden.
- Linux Software wird standardmäßig im Lizenzmanagement ausgeblendet, da grundsätzlich davon ausgegangen wird, dass es sich um Open Source Software handelt. Sie kann jedoch auch wieder eingeblendet werden.
Sie können zwischen drei verschiedenen Reader-Typen wählen (FTP-, SCP- und Share Reader). Die Konfiguration der verschiedenen Reader ist im Grundsatz gleich aufgebaut:
- Pfad des Verzeichnisses, in dem die XML-Dateien hinterlegt sind Note:
Beachten Sie, dass der FTP-Reader nicht das FTP-Root unterstützt. Es ist daher notwendig, dass Sie ein Unterverzeichnis angeben.
- Benutzer, der über Zugriffsrechte auf die Verzeichnisse verfügt
- Domain, in der der Benutzer angelegt ist
- Passwort für das Benutzerkonto
- Pfad des Verzeichnisses, in dem alle Dateien vor dem Import lokal als Sicherheitskopie zwischengespeichert werden
- Maximale Anzahl von Inventardateien, die gleichzeitig aus dem Verzeichnis importiert werden
- Zeitangabe in Sekunden, wie oft der Reader nach einem Scan warten soll, bis er das Verzeichnis nach neuen XML-Dateien scannt
Reader konfigurieren
Im Eintrag Max queue length können Sie die maximale Anzahl an gleichzeitig zu verarbeitenden XML-Dateien begrenzen. Weiterhin können Sie im Eintrag Wait every n cycles festlegen, dass der Verarbeitungsvorgang nach einer gewissen Anzahl n an verarbeiteten XML-Dateien unterbrochen werden soll. Die Dauer der Wartezeit können Sie im Eintrag Wait time einstellen. Auf diese Weise ist es möglich die Datenbank zu entlasten.
Services
Im Bereich Services können Sie die einzelnen Dienste des Agentless Scanners starten und stoppen.
Note:
Beachten Sie, dass Sie vor dem Starten oder Stoppen eines Dienstes alle Änderungen über Save speichern müssen, bevor ein Starten/Stoppen möglich ist.
Zusätzliche Anpassungen in der Konfigurationsdatei des AD Connectors
Neben den Angaben, die Sie in der Konfigurationsoberfläche des Configuration Manager machen können, haben Sie die Möglichkeit, weitere Einstellungen in der Konfigurationsdatei des AD Connectors vorzunehmen.
Speichern Sie dazu zunächst die im Configuration Manager getätigten Eingaben. Öffnen Sie nun die Konfigurationsdatei Configuration.xml, die Sie im Dateiverzeichnis Aagon/Configuration finden.
Mithilfe der XML-Tags <OuAllowList>,<OuDenyList> und <OuRuleOrder> ist es Ihnen möglich festzulegen, aus welchen OUs Computerobjekte importiert werden sollen. Die verschiedenen XML-Tags haben folgende Funktionen:
- <OuAllowList> - Liste mit allen OUs, die ausgelesen werden
- <OuDenyList> - Liste mit allen OUs, die nicht ausgelesen werden
- <OuRuleOrder> - Reihenfolge zur Auswertung der beiden Listen
- 0 (Standardwert) = Alle OUs werden ausgelesen und alle OUs, die nicht einbezogen werden sollen, müssen in der OuDenyList eingetragen werden. Rekursiv darunter liegende OUs werden dann ebenfalls nicht berücksichtigt. Sollen diese berücksichtigt werden, so müssen sie in die OuAllowList eingetragen werden
- 1 = Keine OUs werden ausgelesen und es müssen explizit alle OUs in der OuAllowList angegeben werden, die einbezogen werden sollen. Sollen bestimmte, darunter liegende OUs nicht mit einbezogen werden, so müssen diese in der OuDenyList eingetragen werden.
Note:
OUs müssen in der Schreibweise des Distinguished Name (DN) angegeben werden (siehe Beispiel). Beachten Sie beim Bearbeiten der Configuration.xml-Datei die Groß- und Kleinschreibung, ansonsten wird die gesamte Konfigurationsdatei als fehlerhaft angesehen und der Dienst beendet sich direkt nach dem Starten wieder.
Das folgende Beispiel soll das Verhalten illustrieren:
<OuAllow>OU=Aagon,dc=aagon,dc=local</OuAllow>
</OuAllowList>
<OuDenyList>
<OuDeny>OU=Marketing,OU=Aagon,dc=aagon,dc=local</OuDeny>
</OuDenyList>
<OuRuleOrder>1</OuRuleOrder>
Erklärung des Beispiels: Grundsätzlich sind alle OUs verboten, da die RuleOrder auf 1 gesetzt ist. Durch die Angabe einer OU in der OuAllowList wird die OU „Aagon“ und alle unter ihr liegenden OUs erlaubt. Durch Angabe der OU „Marketing“ wird diese spezielle OU wieder ausgeschlossen.
Agentless Scanner aktualisieren
Nach der Installation eines ACMP Updates kann es vorkommen, dass eine Aktualisierung des Agentless Scanners erforderlich ist
Note:
Sie können aus den ACMP Release Notes entnehmen, ob und welche Zusatzkomponenten von Ihnen aktualisiert werden müssen.
Sollte eine neue Version vom Agentless Scanner im ACMP Update vorhanden sein, können Sie Ihre vorhandene Installation wie folgt aktualisieren:
- Navigieren Sie zum Installationsverzeichnis des ACMP Servers zum Ordner Installers/AgentlessScan mit der Installationsdatei ACMP Agentless Scanner_Installer.exe.
- Folgen Sie den Installationsanweisungen und installieren Sie alle fünf Komponenten.