Changes for page Agentless Scanner

Last modified by Jannis Klein on 2024/10/28 14:07

From 11.1 to 12.1 From 13.1 to 14.1

From version 12.1

edited by Jannis Klein
on 2024/10/23 12:56

Change comment: There is no comment for this version

To version 13.1

edited by Jannis Klein
on 2024/10/23 13:12

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)
Attachments (0 modified, 3 added, 0 removed)

Details

Page properties

Content

@@ -1,156 +1,63 @@
--{{aagon.priorisierung}}
--20
--{{/aagon.priorisierung}}
++Mit dem //Agentless Scanner //ist die Inventarisierung von Windows-Clients über das Active Directory (AD) möglich, ohne dass eine Software auf den Clients ausgeführt oder installiert werden muss. Darüber hinaus können Sie vom //Agentless Scanner Configuration Manager// ausgehend mithilfe des integrierten XML Importers auch Linux- und MacOS-Clients inventarisieren.
--{{aagon.floatingbox/}}
++= Funktionsweise =
--Der //Agentless Scanner// dient der Inventarisierung von Clients, ohne dass eine Software auf diesen ausgeführt oder gar installiert werden muss. Er besteht aus den zwei Teilen AD-Import und XML-Import. Im Folgenden finden Sie eine Beschreibung der unterschiedlichen Teile.
++Grundsätzlich setzt sich der Agentless Scanner aus drei Komponenten zusammen: dem AD Connector, dem AD Agent sowie dem WMI Scanner. Die Basisdaten eines Clients werden dabei aus dem AD erfasst, mit den in ACMP vorhandenen Daten verglichen und, sofern es sich um noch nicht vorhandene Daten handelt, schließlich hinterlegt. Einmal eingerichtet, werden Clients, welche neu an das AD angebunden wurden, automatisch inventarisiert. Somit entfällt das manuelle Anstoßen einer Inventarisierung.
  {{aagon.infobox}}
--Es kann vorkommen, dass der NetBios Name beim Agentless Scan in Multidomain-Umgebungen nicht richtig aufgelöst wird. Um hier Fehler zu vermeiden wird zusätzlich versucht die Clients per FQDN zu erreichen.
++Der Agentless Scanner liefert weniger Daten als der ACMP Agent, da er auf Grund seiner Funktionsweise nicht alle Daten auslesen kann.
  {{/aagon.infobox}}
--= AD-Import =
++ Im Folgenden wird die Funktionsweise der einzelnen Komponenten im Detail erklärt.
--Der Agentless Scanner dient der Inventarisierung von Clients, ohne dass eine Software auf diesen ausgeführt oder gar installiert werden muss. Dabei dient ein Active Directory als Datenquelle für die Basisdaten eines Clients. Die eigentliche Inventarisierung erfolgt anschließend über einen WMI Remote Scan. Dadurch können auch Clients inventarisiert werden, welche nicht per NetBIOS erreichbar sind (z.B. auf Grund bestimmter Netzwerkrichtlinien) und somit nicht in der [[Agenteninstallation>>doc:ACMP.67.ACMP-Solutions.Client-Management.Agenteninstallation.WebHome]] auftauchen. Weiterhin werden Clients, welche neu an das AD angebunden wurden, automatisch inventarisiert. Dadurch entfällt das manuelle Anstoßen einer Inventarisierung. Der Agentless Scanner liefert jedoch weniger Daten als der ACMP Agent, da er auf Grund seiner Funktionsweise (dem Auslesen der Clients per WMI) nicht alle Daten auslesen kann.
++|=(% scope="row" %)AD Connector|(((
++Der AD Connector ist für das Erfassen der Daten aus dem Active Directory verantwortlich. Grundsätzlich wird das AD dafür in festen Intervallen nach neuen Clients gescannt. Zusätzlich wird das Auslesen durch bestimmte AD-Ereignisse ausgelöst, wie z.B. durch das Hinzufügen eines neuen Rechners zum AD. Die ausgelesenen Daten werden dabei gesammelt und anschließend an den AD Agent weitergeleitet.
--Der Agentless Scanner besteht aus den drei Komponenten ACMP AD Connector, ACMP AD Agent sowie dem ACMP WMI Scanner. Wenn z.B. ein neuer Rechner zum AD hinzugefügt wird, löst das hierdurch erzeugte AD-Ereignis den Import des Rechners durch den AD Connector aus. Zusätzlich scannt er den AD aber in festen Intervallen nach neuen Clients. Die gesammelten Daten werden anschließend an den ACMP AD Agent weitergereicht und von diesem mit den ACMP-Daten abgeglichen. Wurde ein neuer Client im AD gefunden, werden Basisdaten wie Name, Beschreibung, Domain und Adresse in der ACMP-Datenbank hinterlegt. Dadurch ist der Client in der Agenteninstallation auffindbar und seine Daten können normal verarbeitet werden (z.B. in Queries oder Client Commands). Damit weitere Daten des Clients inventarisiert werden können, wird vom ACMP WMI Scanner ein Scan über die WMI des Clients angestoßen. Diese Daten werden anschließend in der ACMP-Datenbank gespeichert.
--
--Es kann vorkommen, dass auf Windows Server 2003 keine MSI-Software ausgelesen werden kann. Dies ist der Fall, wenn die WMI Klasse WIN32_Product nicht installiert ist. Diese kann mit den folgenden Schritten nachinstalliert werden:
--
--1.    Systemsteuerung\Software\Windows-Komponenten hinzufügen
--2.    Verwaltungs- und Überwachungsprogramme auswählen
--3.    Details Button drücken
--4.    WMI-Anbieter für Windows Installer auswählen
--5.    Mit OK bestätigen und anschließend das System neu starten
--
--= Installationsvoraussetzungen =
--
--Bevor die Installation durchgeführt werden kann, prüfen Sie folgende Voraussetzungen:
--
--▪    Die Dienste werden auf dem Server installiert, auf dem auch ACMP installiert ist.
--▪    Es ist bereits das .Net-Framework in der Version 3.5 installiert.
--▪    Das Message Queuing ist installiert. Falls das Message Queuing noch nicht installiert ist, kann dieses über die Systemsteuerung unter Windowskomponenten hinzufügen/entfernen (für Workstation-Systeme) oder über den Server-Manager unter Features (für Server-Systeme) installiert werden.
--
--
--= Installation durchführen =
--
--Um den Agentless Scanner nutzen zu können, müssen zunächst die entsprechenden Dienste installiert werden. Dazu finden Sie im Installationsverzeichnis des ACMP Servers den Ordner //Installers/AgentlessScan// mit der Installationsdatei //ACMP Agentless Scanner_Installer.exe//. Folgen Sie den Installationsanweisungen und installieren Sie alle fünf Komponenten.
--
--= Agentless Scanner konfigurieren =
--
--Für die Konfiguration des Agentless Scanners rufen Sie den soeben installierten Configuration Manager auf. Dieser bietet Ihnen fünf Bereiche zur Konfiguration des Scanners.
--
--Über den Bereich General wird der Connectionstring zur ACMP Datenbank eingetragen. Klicken Sie dazu auf //Get database connection string from ACMP configuration//. Der Connectionstring wird automatisch aus ACMP ausgelesen und hier eingetragen. Klicken Sie nun auf //Test connection string//. Bekommen Sie die Meldung Connection successful, kann eine Verbindung zur Datenbank aufgebaut werden. Bekommen Sie diese Meldung nicht, muss der Connectionstring über //Edit connection string //angepasst und anschließend wieder getestet werden. Bei Problemen hilft Ihnen der Aagon Support weiter, alternativ finden Sie auch [[hier>>doc:ACMP.67.ACMP installieren.ACMP Server installieren.Verbindung vom ACMP Server zum SQL Server einrichten.Connectionstring anpassen.WebHome]] weitere Informationen zu den generellen Anpassungen für den Connectionstring.
--
--{{figure}}
--[[image:Agentless Scanner - Database Connection String.png||data-xwiki-image-style-alignment="center"]]
--
--{{figureCaption}}
--Agentless Scanner: Database Connection String
--{{/figureCaption}}
--{{/figure}}
--
--Über den Bereich //AD Connector// geben Sie Informationen für den AD-Zugriff an. Dazu tragen Sie unter Domain Controller den Namen oder die IP-Adresse des Servers ein, auf dem das AD installiert ist. Unter //User Name// tragen Sie einen Benutzer ein, welcher Leserechte für die Domain besitzt, aus welcher die Client-Daten gelesen werden sollen. Geben Sie zusätzlich das Password des Benutzers an. Achten Sie darauf, dass es sich nicht um ein leeres Passwort handelt. Den Namen der Domain, aus welcher die Client-Daten gelesen werden, hinterlegen Sie unter NT Domain Name. Zusätzlich tragen Sie unter BaseDN den AD-Pfad ein, unter dem die Clients zu finden sind, dessen Daten gelesen werden sollen. Dies kann z.B. das Hauptverzeichnis aber auch eine bestimmte Gruppe (OU) innerhalb des AD sein. Über die Option I//gnore Objects that haven´t changed for X days// können Clients gefiltert werden, die sei X Tagen nicht im Netzwerk waren und sich nicht am Domain Controller gemeldet haben.
--
--{{figure}}
--[[image:Agentless Scanner - Active Directory Connector.png||data-xwiki-image-style-alignment="center"]]
--
--{{figureCaption}}
--
--Agentless Scanner: Active Directory Connector
--
--{{/figureCaption}}
--{{/figure}}
--
--Neben den Angaben, die Sie in der Konfigurationsoberfläche des Configuration Manager machen können, haben Sie die Möglichkeit weitere Einstellungen in der Konfigurationsdatei vorzunehmen. Speichern Sie dazu zunächst die im Configuration Manager getätigten Eingaben. Nun öffnen Sie die Konfigurationsdatei //Configuration.xml//, die sich im Installationspfad im Unterordner //Configuration //befindet. Mithilfe der 3 Tags OuAllowList, OuDenyList und OuRuleOrder ist es Ihnen möglich festzulegen, aus welchen OUs Computerobjekte importiert werden sollen. Das OuAllowList-Tag dient dazu OUs angeben, die ausgelesen werden sollen, während das OuDenyList-Tag es Ihnen ermöglicht OUs anzugeben, die nicht ausgelesen werden sollen. OUs müssen in der Distinguished Name (DN) Schreibweise angegeben werden (siehe Beispiel). Beim Bearbeiten der Configuration.xml-Datei muss beachtet werden, dass diese Groß- und Kleinschreibung beachtet. Das heißt, wird der Listeneintrag „OuAllow“ als „OUAllow“ geschrieben, wird die gesamte Konfigurationsdatei als fehlerhaft angesehen und der Dienst beendet sich direkt nach dem Starten wieder.
--
--Das OuRuleOrder-Tag verhält sich folgendermaßen:
--
--|•|Der Standardwert der OuRuleOrder ist 0. Das bedeutet, dass grundsätzlich alle OUs ausgelesen werden. Alle OUs, die nicht mit einbezogen werden sollen, müssen in der OuDenyList eingetragen werden. Rekursiv darunter liegende OUs werden dann ebenfalls nicht berücksichtigt. Sollen diese berücksichtigt werden, so müssen sie in die OuAllowList eingetragen werden.
--
--|•|Wird die OuRuleOrder auf 1 geändert, so ändert sich die Reihenfolge, in der die OuDeny- und OuAllowList ausgewertet werden. Es müssen jetzt explizit alle OUs in der OuAllowList angegeben werden, die einbezogen werden sollen. Sollen bestimmte, darunter liegende OUs nicht mit einbezogen werden, so müssen diese in der OuDenyList eingetragen werden.
--
--Das folgende Beispiel soll das Verhalten illustrieren:
--
--(% style="width:759px" %)
--|(% style="width:756px" %)
--
--{{{<OuAllowList>
--
--  <OuAllow>OU=Aagon,dc=aagon,dc=local</OuAllow>
--
--</OuAllowList>
--
--<OuDenyList>
--
--  <OuDeny>OU=Marketing,OU=Aagon,dc=aagon,dc=local</OuDeny>
--
--</OuDenyList>
--
--<OuRuleOrder>1</OuRuleOrder>}}}
--
--(% style="width:756px" %)
--(((
--[[image:hmfile_hash_0a8ef710.png||data-xwiki-image-style-alignment="center"]]
--
--
++{{aagon.infobox}}
++Es kann vorkommen, dass der NetBios Name beim Auslesen durch den AD Connector in Multidomain-Umgebungen nicht richtig aufgelöst wird. Zur Vermeidung dieses Fehlers wird zusätzlich versucht, die Clients per FQDN zu erreichen.
++{{/aagon.infobox}}
  )))
++|=AD Agent |Der AD Agent ist für den Abgleich der erhaltenen Daten mit den bereits in ACMP vorhandenen Daten zuständig. Wurde ein neuer Client oder ein vorhandener Client mit neuen Daten im AD gefunden, werden die Basisdaten des Clients (Name, Beschreibung, Domain und Adresse) in der ACMP-Datenbank hinterlegt bzw. geändert. Dadurch ist der Client in der Agenteninstallation auffindbar und seine Basisdaten können normal verarbeitet werden (z.B. in Queries oder Client Commands).
++|=WMI Scanner |(((
++Der WMI Scanner wird benötigt, damit weitere Daten des Clients inventarisiert werden können, die über die Basisdaten hinaus gehen. Dabei wird ein Scan der WMI des Clients angestoßen. Diese Daten werden anschließend in der ACMP Datenbank gespeichert. So können auch Clients inventarisiert werden, welche nicht per NetBIOS erreichbar sind (z.B. auf Grund bestimmter Netzwerkrichtlinien) und somit nicht in der [[Agenteninstallation>>doc:ACMP.67.ACMP-Solutions.Client-Management.Agenteninstallation.WebHome]] auftauchen.
++)))
--Grundsätzlich sind alle OUs verboten, da die RuleOrder auf 1 gesetzt ist. Durch die Angabe einer OU in der OuAllowList wird die OU „Aagon“ und alle unter ihr liegenden OUs erlaubt. Durch Angabe der OU „Marketing“ wird diese spezielle OU wieder ausgeschlossen.
++= Installationsvoraussetzungen  =
--Über den Bereich //AD Agent// kann der Pfad der Message Queue, sowie die Anzahl der internen IP Scanner Threads geändert werden. Diese Einstellungen werden für die internen Abläufe des Agentless Scanner benötigt und sollten nur nach Aufforderung durch den Aagon Support geändert werden.
++Bevor die Installation durchgeführt werden kann, prüfen Sie folgende Voraussetzungen:
--Sie können über das Dropdown zusätzlich bestimmen, ob die Agenteninstallation und/oder das Inventory (AD-Clients) befüllt werden soll.
++* Die Dienste werden auf dem Server installiert, auf dem auch ACMP installiert ist.
++* Es ist mindestens das .Net-Framework in der Version 4.7.2 installiert.
++* Das Message Queuing ist installiert.
--{{figure}}
--[[image:Agentless Scanner - Active Directory Agent.png||data-xwiki-image-style-alignment="center"]]
++{{aagon.infobox}}
++Falls das Message Queuing noch nicht installiert ist, kann dieses über die Systemsteuerung unter Windows-Komponenten hinzugefügt/entfernt (für Workstation-Systeme) oder über den Server-Manager unter Features (für Server-Systeme) installiert werden.
++{{/aagon.infobox}}
--{{figureCaption}}
--Agentless Scanner: Active Directory Agent
--{{/figureCaption}}
--{{/figure}}
++== Installation durchführen  ==
--Der Bereich //WMI Scanner// dient der weiteren Konfiguration des Scanners. Hier können u.a. der Message Queuing Path sowie die Anzahl der Scanner Threads geändert werden. Auch hier sollte dies nur nach Aufforderung durch den Aagon Support geschehen.
++Zur Verwendung des Agentless Scanners müssen Sie zunächst die entsprechenden Dienste installieren. Führen Sie dazu die Installationsdatei //ACMP Agentless Scanner_Installer.exe// aus, die Sie im Installationsverzeichnis des ACMP Servers im Ordner// Installers/AgentlessScan// finden. Folgen Sie den Installationsanweisungen und installieren Sie alle Komponenten.
--{{figure}}
--[[image:Agentless Scanner - WMI Scanner.png||data-xwiki-image-style-alignment="center"]]
++[[Installation des Agentless Scanners >>image:Agentless Scanner_Installer.png||alt="Installation des Agentless Scanners"]]
--{{figureCaption}}
--Agentless Scanner: WMI Scanner
--{{/figureCaption}}
--{{/figure}}
++{{aagon.infobox}}
++Der XML Importer wird ausschließlich für die Inventarisierung von Linux- und MacOS-Clients benötigt und kann ggf. Nachträglich auch einzeln installiert werden.
++{{/aagon.infobox}}
--Über die Database Request Frequency wird festgelegt, in welchem Intervall (in Stunden) die ACMP Datenbank geprüft werden soll. Bei dieser Prüfung werden alle Clients ermittelt, welche über das AD (Bereich //AD Connector//) erfasst, aber noch nicht gescannt wurden. Diese Clients werden an den WMI Scanner übergeben, der die Eigenschaften der Clients per WMI ausliest.
++= Agentless Scanner konfigurieren  =
--Unter //Domain Credentials //können Benutzerkonten hinterlegt werden, die auf den zu scannenden Clients Administratorrechte besitzen. Mindestens einen Benutzer müssen Sie hier eintragen. Über den Plus-Button können Sie dazu einen Dialog aufrufen.
++Öffnen Sie nun den// Configuration Manager//, um mit der Konfiguration des Agentless Scanners zu beginnen. Der Configuration Manager ist in sechs Bereiche unterteilt.
--{{figure}}
--[[image:Agentless Scanner - Domain Credentials.png||data-xwiki-image-style-alignment="center"]]
--
--{{figureCaption}}
--Agentless Scanner: Domain Credentials
--{{/figureCaption}}
--{{/figure}}
--
--
--Tragen Sie unter Domain name den „Fully Qualified Domain Name“ (FQDN) der Domain ein, deren Clients gescannt werden sollen. Den Benutzernamen geben Sie nach dem Prinzip Benutzer@FQDN „User Principal Name“ (UPN) an und setzen das Passwort. Dabei müssen der zuerst angegebene Domain name und der FQDN des Benutzers nicht identisch sein. Der Domain name stellt einen Filter der übergebenen Clientdaten dar. Dadurch werden nur Clients gescannt, welche laut ACMP-Datenbank der entsprechenden Domain zugehören. Kehren Sie über den OK-Button zurück zum WMI Scanner und tragen Sie gegebenenfalls weitere Domänen mit entsprechenden Benutzerangaben ein.
--
--Im Bereich Services können Sie die installierten und konfigurierten Dienste des Agentless Scanner über die jeweiligen Buttons starten und stoppen.
--
  {{aagon.infobox}}
--Beachten Sie, dass Sie vor dem Starten oder Stoppen eines Dienstes alle Änderungen über //Save// speichern.
++Sie finden die Anwendung in Ihrem angegebenen Installationsverzeichnis oder über die Windows-Schnellsuche unter dem Namen //Configuration Manager//.
  {{/aagon.infobox}}
--= Agentless Scanner aktualisieren =
++== General  ==
--Nach der Installation eines ACMP Updates kann es vorkommen, dass eine Aktualisierung des Agentless Scanners erforderlich ist.
++Im Bereich //General //ist standardmäßig der Connection String zur ACMP Datenbank eingetragen. Sollte dieser nicht vorhanden oder ein anderer Connection String eingetragen sein, klicken Sie auf //Get database connection string from ACMP configuration//, um den Connection String zur ACMP Datenbank automatisch eintragen zu lassen.
--{{aagon.infobox}}
--Aus den [[ACMP Release Notes>>https://www.aagon.com/produkte/ueberblick/release-notes-acmp/]] entnehmen Sie, ob und welche Zusatzkomponenten von Ihnen aktualisiert werden müssen.
--{{/aagon.infobox}}
++Klicken Sie nun auf //Test connection string//, um die Verbindung zu testen. Wenn Sie die Meldung //Connection successful// erhalten, konnte die Verbindung zur Datenbank aufgebaut werden. Bekommen Sie stattdessen die Meldung //Failed to connect//, muss der Connection string angepasst werden.
--Sollte eine neue Version vom Agentless Scanner im ACMP Update vorhanden sein, können Sie Ihre vorhandene Installation wie folgt aktualisieren:
++Um den Connection string anzupassen, klicken Sie auf //Edit connection string// und geben Sie den korrekten Connection String an. Wiederholen Sie anschließend den Test-Prozess, bis die Verbindung erfolgreich aufgebaut werden konnte.
--1. Navigieren Sie zum Installationsverzeichnis des ACMP Servers zum Ordner// Installers/AgentlessScan// mit der Installationsdatei //ACMP Agentless Scanner_Installer.exe//.
--1. Folgen Sie den [[Installationsanweisungen>>doc:||anchor="HAgentlessScannerkonfigurieren"]] und installieren Sie alle fünf Komponenten.
++Bei Problemen hilft Ihnen der Aagon Support weiter, alternativ finden Sie [[hier >>doc:ACMP.67.ACMP installieren.ACMP Server installieren.Verbindung vom ACMP Server zum SQL Server einrichten.Connectionstring anpassen.WebHome]]weitere Informationen zu den generellen Anpassungen für den Connection string.

1729688483404-505.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jklein

Size

...	...	@@ -1,0 +1,1 @@
	1	+495 bytes

Content

1729688644200-724.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jklein

Size

...	...	@@ -1,0 +1,1 @@
	1	+495 bytes

Content

Agentless Scanner_Installer.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jklein

Size

...	...	@@ -1,0 +1,1 @@
	1	+15.7 KB

Content