Bereiten Sie Netzwerkverbindungen für MID Server vor

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Stellen Sie vor der Installation des MID-Servers sicher, dass die erforderlichen Voraussetzungen erfüllt werden, um Verbindungen zu Komponenten innerhalb und außerhalb Ihres Netzwerks herzustellen. Dies beinhaltet Netzwerkprivilegien und Sicherheitsaspekte.

    Sicherheitsaspekte

    In einigen Fällen sind auf Computern oder Geräten zusätzliche Sicherheitsmaßnahmen konfiguriert, und diese Maßnahmen können die Fähigkeit des MID-Servers beeinträchtigen, Befehle oder Abfragen auf diesen Systemen auszuführen.

    Zum Beispiel kann der Linux-Server unter Umständen so konfiguriert sein, dass nur bestimmte IP-Adressen über SSH eine Verbindung herstellen können. In ähnlicher Weise kann ein Netzwerkrouter so konfiguriert sein, dass nur bestimmte IP-Adressen SNMP abfragen. Verwenden Sie eine der folgenden Methoden, um den Zugriff in solchen Fällen zu ermöglichen:
    • Aktualisieren Sie die Konfiguration dieser Computer oder Geräte, damit der gewünschte MID Server Befehle ausführen oder Abfragen an sie senden kann. Beispielsweise kann ein Netzwerkrouter so konfiguriert sein, dass nur Netzwerkverwaltungssysteme SNMP abfragen können. Fügen Sie in diesem Fall den MID Server hinzu, als wäre es ein weiteres Netzwerkverwaltungssystem.
    • Installieren Sie einen MID Server auf einem Computer, der bereits Zugriff auf die Computer oder Netzwerkgeräte mit solchen Einschränkungen hat. Um beispielsweise Discovery innerhalb einer DMZ (wo die Kommunikation von außerhalb der DMZ stark eingeschränkt wird) zu verwenden, installieren Sie einen MID-Server auf einem Computer, der sich bereits in der DMZ befindet.

    Externe Verbindungsanforderungen

    Diese Anforderungen gelten speziell für die Verwendung von MID-Servern mit den ServiceNow® Discovery- und Orchestration-Produkten.

    Der MID-Server kommuniziert sicher über Port 443 mit der Instanz und erfordert keine eingehenden Verbindungen. In einigen Fällen kann es erforderlich sein, diese Kommunikation über die Firewall zuzulassen, wenn sich der MID-Server nicht bei der Instanz registrieren kann. Um festzustellen, ob die Anwendung oder eine Netzwerksicherheitsbeschränkung für einen Verbindungsfehler verantwortlich ist, versuchen Sie, von dem Server, der die MID-Server-Anwendung hostet, eine Telnet-Verbindung mit der Instanz an Port 443 herzustellen. Wenn diese Verbindung fehlschlägt, könnte das Problem ein Web-Proxy (da 443 eine https-Verbindung ist) oder eine Firewall-Regel sein, die externe TCP-Verbindungen von diesem Host aus verhindert. Wenden Sie sich an das Netzwerksicherheitspersonal, um die Proxy-Informationen zu erhalten, die Sie zur Datei config.xml hinzufügen können, oder fordern Sie an, dass die Firewall so konfiguriert wird, dass der Zugriff mit einer der folgenden Syntaxen möglich ist:
    • <Quell-IP> zu <alle>
    • <Quell-IP> zu <ServiceNow> alle festgelegten
    • <Quell-IP> zu <Instanzbezeichnung.service-now.com> 443
    Wichtig:
    Der Hostcomputer des MID-Servers muss Zugriff auf die ServiceNow-Download-Website unter install.service-now.com haben, um das Upgrade automatisch durchzuführen. Wenn Sie über eine selbst gehostete ServiceNow-Umgebung verfügen, die den Zugriff auf die Download-Site blockiert, müssen Sie das MID-Server-Installationspaket manuell in Ihre MID-Server-Hosts importieren. Anweisungen hierzu finden Sie unter KB0760123 in der selbst gehosteten Knowledge Base.

    Interne Verbindungsanforderungen

    Diese Methoden dienen zum Erkennen verschiedener Geräte in einem Netzwerk und sind speziell für die Verwendung von MID-Servern mit den Produkten Discovery und Orchestration vorgesehen.
    • SSH: Bei UNIX-ähnlichen Computern verwenden Discovery und Orchestration das SSH-Protokoll, Version 2, um auf Zielcomputer zuzugreifen. SSH ist ein Netzwerkprotokoll, mit dem Daten über einen sicheren Kanal zwischen zwei Netzwerkgeräten ausgetauscht werden können. SSH kommuniziert auf Port 22 innerhalb eines verschlüsselten Datenstroms und erfordert ein Login mit zwei verfügbaren Authentifizierungsmethoden, um auf die Ziele zuzugreifen: einer Kombination aus Benutzernamen und Passwort sowie einem Benutzernamen und einem gemeinsam genutzten privaten Key. Legen Sie die SSH-Authentifizierungsinformationen fest, und geben Sie sie in das Modul Anmeldeinformationen ein. Wenn mehrere Anmeldeinformationen eingegeben werden, probiert die Plattform sie der Reihe nach aus, bis eine erfolgreiche Verbindung hergestellt ist oder letztendlich alle verweigert werden. Um Anwendungsbeziehungen bereitzustellen, muss eine begrenzte Anzahl von SUDO-Befehlen zur Ausführung verfügbar sein. Zusätzliche Details zu diesen Anforderungen finden Sie unter UNIX/ Linux Befehle, die Root-Berechtigungen für Discovery und Orchestration erfordern.
    • WMI: Für Windows -Computer verwendet DiscoveryWindows die WMI-Schnittstelle (Management Instrumentation) [], um Geräte abzufragen. Aufgrund von Sicherheitseinschränkungen für WMI muss die MID-Server-Anwendung, die die WMI-Abfragen ausführt, als Domänenbenutzer mit lokalen Administratorberechtigungen (Ziel) ausgeführt werden. Wenn Discovery Aktivitäten auf Port 135 erkennt, wird eine WMI-Abfrage gestartet. Die Antwort des Windows-Geräts wird über einen DCOM-Port (Distributed Component Object Model) gesendet, der auf Windows-Geräten für WMI konfiguriert ist. Dies kann jeder beliebige Port sein. Stellen Sie sicher, dass der Host-Computer mit der MID-Server-Anwendung Zugriff auf die Ziele aller Ports hat, um den der einzigartigen WMI-Anforderungen zu entsprechen.
    • Windows PowerShell: Power Shell baut auf dem Windows.NET Framework auf und dient zur Steuerung und Automatisierung der Verwaltung von Windows-Computern und -Anwendungen. Orchestration verwendet PowerShell, um Workflow-Aktivitäten auf Windows-Computern auszuführen. PowerShell muss auf jedem MID-Server installiert sein, auf dem diese Aktivitäten ausgeführt werden. MID-Server, die PowerShell verwenden, müssen unter dem unterstützten Betriebssystem Windows installiert sein. ServiceNow unterstützt PowerShell 3.0 bis 5.1. Für Orchestration-Aktivitäten für PowerShell ist ein Typ von Anmeldeinformationen von Windows erforderlich.
    • SNMP – Netzwerk: Für Netzwerkgeräte verwendet Discovery einen SNMP-Scan, um gerätespezifische MIBs und OIDs abzurufen. SNMP ist ein allgemeines Protokoll, das bei den meisten Routern, Switches, Druckern, Lastverteilern und verschiedenen anderen netzwerkfähigen Geräten verwendet wird. Verwenden Sie eine Community-Zeichenfolge (Passwort) für die Authentifizierung beim Scannen eines Geräts über SNMP. Viele Geräte haben die standardmäßige Community-Zeichenfolge public, der von Discovery beim Abfragen eines Ziels standardmäßig verwendet wird. Definieren Sie zusätzliche Community-Zeichenfolgen im Formular für SNMP-Anmeldeinformationen, die nacheinander zusammen mit public getestetwerden, bis eine erfolgreiche Abfrage zurückgegeben wird. Zusätzlich zu den Anmeldeinformationen erfordert die Plattform auch die Möglichkeit, SNMP-Anforderungen an Port 161 vom MID Server an das Ziel zu senden. Wenn Zugriffssteuerungslisten (ACLs) vorhanden sind, um die IP-Adressen zu steuern, die diese Abfragen durchführen können, stellen Sie sicher, dass die IP-Adresse des MID-Servers in der ACL enthalten ist. Discovery unterstützt die SNMP-Versionen 1, 2c und 3.
    • WBEM: Web-Based Enterprise Management (WBEM) definiert eine bestimmte Implementierung des Common Information Model (CIM), einschließlich Protokollen für die Erkennung und den Zugriff auf jede CIM-Implementierung. WBEM erfordert einen der beiden Ports 5989 oder 5988 und verwendet das HTTP-Transportprotokoll. WBEM unterstützt SSL-Verschlüsselung und verwendet Anmeldeinformationen mit CIM-Anwendernamen/Passwort. Discovery startet eine WBEM-Portprobe, um Aktivitäten an den Zielports zu erkennen und die gesammelten Daten an eine Klassifizierungsprobe anzuhängen, die CIM-Server untersucht.

    MID Server-Netzwerkverbindung konfigurieren

    Bereiten Sie das Netzwerk für MID-Server vor, um eine Verbindung zur -Instanz herzustellen und auf die Download-Site zuzugreifen. Vor der Installation oder Konfiguration des MID-Servers muss das Netzwerk vorbereitet werden. Wenn für Computer oder Geräte zusätzliche Sicherheitsmaßnahmen ergriffen wurden, kann dies die MID-Server auf diesen Systemen beeinträchtigen.

    Vorbereitungen

    Erforderliche Rolle: admin
    Setup-Indikator für die Phase der VerbindungsvoraussetzungenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannSicherheit des MID Servers konfigurierenMID Server konfigurierenMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Stellen Sie sicher, dass der Hostcomputer die in Systemanforderungen für den MID Serverangegebenen Anforderungen erfüllt.

    Warum und wann dieser Vorgang ausgeführt wird

    Der Hostcomputer des MID-Servers muss Zugriff auf die ServiceNow-Download-Website unter install.service-now.com haben, um das Upgrade automatisch durchzuführen. Wenn Sie über eine selbst gehostete ServiceNow-Umgebung verfügen, die den Zugriff auf die Download-Site blockiert, müssen Sie das MID-Server-Installationspaket manuell in Ihre MID-Server-Hosts importieren. Anweisungen hierzu finden Sie unter KB0760123 in der selbst gehosteten Knowledge Base.

    Aufrufe an den OCSP Entrust-Server werden möglicherweise durch Firewalls und Proxy-Konfigurationen blockiert, wodurch der MID Server nicht funktioniert. Möglicherweise müssen Sie die Firewall-Berechtigungen ändern, damit der OCSP-Datenverkehr ordnungsgemäß verarbeitet wird. Weitere Informationen und Lösungen finden Sie im HI Knowledge Base-Artikel [KB1216223].

    Der Host-Computer muss über folgende Netzwerkprivilegien verfügen:
    • Firewall-Zugriff: Konfigurieren Sie alle Firewalls zwischen dem MID-Server und den Zielgeräten so, dass eine Verbindung zugelassen wird. Wenn in Ihrem Netzwerk eine DMZ verwendet wird und Ihre Netzwerksicherheitsprotokolle den Portzugriff innerhalb des Netzwerks auf die DMZ beschränken, müssen Sie möglicherweise einen MID-Server auf einem Computer in der DMZ bereitstellen, um dort die Geräte zu testen.
    • Netzwerkzugriff: Konfigurieren Sie die Zielgeräte so, dass die Verbindung zum MID-Server-Probe hergestellt werden kann. Wenn Sie aufgrund der Netzwerksicherheit keine neuen Computer konfigurieren können, die eine Verbindung zu den Zielen herstellen können, installieren Sie den MID-Server auf einem vorhandenen Computer mit Verbindungsberechtigungen.
    • Netzwerkkonto: Installieren Sie den MID-Server mit dem richtigen Konto (lokales oder Domänenadministrator-Konto).
    Stellen Sie darüber hinaus sicher, dass die folgenden Voraussetzungen erfüllt werden, damit der MID-Server auf Ihre ServiceNow-Instanz zugreifen kann:
    • Netzwerkzugriff auf die ServiceNow-Instanz: Konfigurieren Sie das vom MID-Server verwendete Netzwerk so, dass der Datenverkehr über den TCP-Port 443 zugelassen wird.
    • Ein MID-Benutzer: Erstellen Sie einen ServiceNow-Benutzerdatensatz für den zu verwendenden MID-Server. Dieser Benutzerdatensatz muss die Rollen „mid_server“ und „import_admin“ haben.
    Hinweis:
    Stellen Sie sicher, dass die öffentliche Baseline-Seite InstanceInfo aktiv ist, damit der MID-Server eine Verbindung zur Instanz herstellen kann.

    Prozedur

    1. Konfigurieren Sie das Netzwerk so, dass eine Netzwerkkonnektivität des MID-Servers zur Instanz ServiceNow über den TCP-Port 443 hergestellt wird.
    2. Konfigurieren Sie die Basic Authentication für die SOAP-Kommunikation mit der ServiceNow-Instanz.
    3. Navigieren zu System-Webservices > Geskriptete Webservices > Geskriptete SOAP-Servicesan.
    4. Stellen Sie sicher, dass die folgenden Webservices aktiv sind:
      • GetMIDInfo
      • InstanceInfo
      • MIDAssignedPackages
      • MIDFieldForFileProvider
      • MIDFileSyncSnapshot
      • MIDServerCheck
      • MIDServerFileProvider
    5. Geben Sie im Navigationssuchfeld sys_public.list ein und drücken Sie die Eingabetaste.
      Die Liste der Datensätze der öffentlichen Seiten wird angezeigt.
    6. Stellen Sie sicher, dass die öffentliche Seite InstanceInfo aktiv ist, damit der MID-Server seine Version überprüfen kann.
    7. Stellen Sie sicher, dass der Hostcomputer des MID-Servers auf die Download-Website unter install.service-now.comzugreifen kann.

    Nächste Maßnahme

    Nachdem das Netzwerk vorbereitet wurde, fahren Sie mit MID Server installierenfort.