Bereiten Sie Netzwerkverbindungen für MID-Server vor

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • Stellen Sie vor der Installation des MID-Servers sicher, dass die erforderlichen Voraussetzungen erfüllt werden, um Verbindungen zu Komponenten innerhalb und außerhalb Ihres Netzwerks herzustellen. Dies beinhaltet Netzwerkprivilegien und Sicherheitsaspekte.

    Sicherheitsaspekte

    In einigen Fällen sind auf Computern oder Geräten zusätzliche Sicherheitsmaßnahmen konfiguriert, und diese Maßnahmen können die Fähigkeit des MID-Servers beeinträchtigen, Befehle oder Abfragen auf diesen Systemen auszuführen.

    Zum Beispiel kann der Linux-Server unter Umständen so konfiguriert sein, dass nur bestimmte IP-Adressen über SSH eine Verbindung herstellen können. In ähnlicher Weise kann ein Netzwerkrouter so konfiguriert sein, dass nur bestimmte IP-Adressen SNMP abfragen. Verwenden Sie eine der folgenden Methoden, um den Zugriff in solchen Fällen zu ermöglichen:
    • Aktualisieren Sie die Konfiguration dieser Computer oder Geräte, damit der gewünschte MID Server Befehle ausführen oder Abfragen an sie senden kann. Beispielsweise kann ein Netzwerkrouter so konfiguriert sein, dass nur Netzwerkverwaltungssysteme SNMP abfragen können. Fügen Sie in diesem Fall den MID Server hinzu, als wäre es ein weiteres Netzwerkverwaltungssystem.
    • Installieren Sie einen MID Server auf einem Computer, der bereits Zugriff auf die Computer oder Netzwerkgeräte mit solchen Einschränkungen hat. Für die Verwendung von Discovery in einer DMZ (in der die Kommunikation von außerhalb der DMZ stark eingeschränkt ist) zum Beispiel, installieren Sie einen MID Server auf einem Computer, der sich bereits in der DMZ befindet.

    Anmeldeinformationsspray

    Die MID-Server Verwendet die des Hosts Windows SMB-Client (Server Message Block) und Konfiguration für die Verbindung mit anderen Windows Computer. Wenn Windows Ist für die Verwendung von Legacy-Protokollen konfiguriert, ist die Verbindung für man-in-the-Middle-Angriffe angreifbar, die zu schwacher Passwortoffenlegung und Remotecodeausführung führen können.

    Verwenden Sie die folgende Hostkonfiguration, um die Auswirkungen eines Angreifers mit einem man-in-the-Middle-Aussichtspunkt zu begrenzen:

    • Stellen Sie sicher, dass die SMB-Signatur für konfiguriert ist Erforderlich Auf dem Client MID-Server Um potenzielle Angriffe auf die Integrität zu begrenzen.

    • Stellen Sie sicher, dass die SMB-Signatur für alle SMB-Server in der Umgebung erforderlich ist.

    • Verwenden Sie sichere Passwörter, um Offline-Wörterbuchangriffe zu begrenzen, wenn der Hostcomputer Legacy-Authentifizierungsprotokolle wie NetNTLM unterstützen muss.

    • Verwenden Sie für jeden relevanten Host einen eindeutigen Account, um die Auswirkungen gefährdeter Anmeldeinformationen auf die Endsysteme zu begrenzen.

    Externe Verbindungsanforderungen

    Diese Anforderungen gelten speziell für die Verwendung von MID-Servern mit den ServiceNow® Discovery- und Orchestration-Produkten.

    Der MID-Server kommuniziert sicher über Port 443 mit der Instanz und erfordert keine eingehenden Verbindungen. In einigen Fällen kann es erforderlich sein, diese Kommunikation über die Firewall zuzulassen, wenn sich der MID-Server nicht bei der Instanz registrieren kann. Um festzustellen, ob die Anwendung oder eine Netzwerksicherheitsbeschränkung für einen Verbindungsfehler verantwortlich ist, versuchen Sie, von dem Server, der die MID-Server-Anwendung hostet, eine Telnet-Verbindung mit der Instanz an Port 443 herzustellen. Wenn diese Verbindung fehlschlägt, könnte das Problem ein Web-Proxy (da 443 eine https-Verbindung ist) oder eine Firewall-Regel sein, die externe TCP-Verbindungen von diesem Host aus verhindert. Wenden Sie sich an das Netzwerksicherheitspersonal, um die Proxy-Informationen zu erhalten, die Sie zur Datei config.xml hinzufügen können, oder fordern Sie an, dass die Firewall so konfiguriert wird, dass der Zugriff mit einer der folgenden Syntaxen möglich ist:
    • <Quell-IP> zu <alle>
    • <Quell-IP> zu <ServiceNow> alle festgelegten
    • <Quell-IP> zu <Instanzbezeichnung.service-now.com> 443
    Wichtig:
    Der MID-Server-Hostcomputer muss Zugriff auf die ServiceNow-Download-Website unter haben install.service-now.com Dient zum automatischen Upgrade. Wenn Sie über eine selbst gehostete ServiceNow-Umgebung verfügen, die den Zugriff auf die Download-Site blockiert, müssen Sie das MID-Server-Installationspaket manuell in Ihre MID-Server-Hosts importieren. Anweisungen finden Sie unter KB0760123 In der selbst gehosteten Knowledge Base.

    Interne Verbindungsanforderungen

    Diese Methoden werden für die Erkennung verschiedener Geräte in einem Netzwerk verwendet und sind speziell für die Verwendung von MID-Servern mit vorgesehen Discovery Und Orchestration Produkte.
    • SSH : Für UNIX-ähnliche Computer, Discovery Und Orchestration verwenden das SSH-Protokoll Version 2, um auf Zielcomputer zuzugreifen. SSH ist ein Netzwerkprotokoll, mit dem Daten über einen sicheren Kanal zwischen zwei Netzwerkgeräten ausgetauscht werden können. SSH kommuniziert auf Port 22 innerhalb eines verschlüsselten Datenstroms und erfordert ein Login mit zwei verfügbaren Authentifizierungsmethoden, um auf die Ziele zuzugreifen: einer Kombination aus Benutzernamen und Passwort sowie einem Benutzernamen und einem gemeinsam genutzten privaten Key. Legen Sie die SSH-Authentifizierungsinformationen fest, und geben Sie sie in das Modul Anmeldeinformationen ein. Wenn mehrere Anmeldeinformationen eingegeben werden, probiert die Plattform sie der Reihe nach aus, bis eine erfolgreiche Verbindung hergestellt ist oder letztendlich alle verweigert werden. Um Anwendungsbeziehungen bereitzustellen, muss eine begrenzte Anzahl von SUDO-Befehlen zur Ausführung verfügbar sein. Zusätzliche Details zu diesen Anforderungen finden Sie in UNIX/ Linux Befehle, die Stammberechtigungen erfordern Für Discovery Und Orchestration.
    • WMI : Für Windows Computer, Discovery Verwendet Windows Schnittstelle für Verwaltungsinstrumentation (WMI) zum Abfragen von Geräten. Aufgrund von Sicherheitseinschränkungen für WMI muss die MID-Server-Anwendung, die die WMI-Abfragen ausführt, als Domänenbenutzer mit lokalen Administratorberechtigungen (Ziel) ausgeführt werden. Wenn Discovery Aktivitäten auf Port 135 erkennt, wird eine WMI-Abfrage gestartet. Die Antwort des Windows-Geräts wird über einen DCOM-Port (Distributed Component Object Model) gesendet, der auf Windows-Geräten für WMI konfiguriert ist. Dies kann jeder beliebige Port sein. Stellen Sie sicher, dass der Host-Computer mit der MID-Server-Anwendung Zugriff auf die Ziele aller Ports hat, um den der einzigartigen WMI-Anforderungen zu entsprechen.
    • Windows PowerShell: Power Shell baut auf dem Windows.NET Framework auf und dient zur Steuerung und Automatisierung der Verwaltung von Windows-Computern und -Anwendungen. Orchestration verwendet PowerShell, um Workflow-Aktivitäten auf Windows-Computern auszuführen. PowerShell muss auf jedem MID-Server installiert sein, auf dem diese Aktivitäten ausgeführt werden. MID-Server, die PowerShell verwenden, müssen auf einem unterstützten installiert sein Windows Betriebssystem. ServiceNow Unterstützt PowerShell 3,0 bis 5,1. Für Orchestration-Aktivitäten für PowerShell ist ein Typ von Anmeldeinformationen von Windows erforderlich.
    • SNMP: Netzwerk : Für Netzwerkgeräte, Discovery Verwendet einen SNMP-Scan, um gerätespezifische MIBs und OIDs abzurufen. SNMP ist ein allgemeines Protokoll, das bei den meisten Routern, Switches, Druckern, Lastverteilern und verschiedenen anderen netzwerkfähigen Geräten verwendet wird. Verwenden Sie eine Community-Zeichenfolge (Passwort) für die Authentifizierung beim Scannen eines Geräts über SNMP. Viele Geräte haben die standardmäßige Community-Zeichenfolge public, der von Discovery beim Abfragen eines Ziels standardmäßig verwendet wird. Definieren Sie zusätzliche Community-Zeichenfolgen in SNMP-Anmeldeinformationen Formular, das nacheinander zusammen mit versucht wird Öffentlich , Bis eine erfolgreiche Abfrage zurückgegeben wird. Zusätzlich zu den Anmeldeinformationen erfordert die Plattform auch die Möglichkeit, SNMP-Anforderungen an Port 161 vom MID-Server an das Ziel zu senden. Wenn Zugriffssteuerungslisten (ACLs) vorhanden sind, um die IP-Adressen zu steuern, die diese Abfragen durchführen können, stellen Sie sicher, dass sich die IP-Adresse des MID-Servers in der ACL befindet. Discovery Unterstützt SNMP-Versionen 1, 2c und 3.
    • WBEM: Webbasiertes Enterprise Management (WBEM) definiert eine bestimmte Implementierung des Common Information Model (CIM), einschließlich Protokollen für die Erkennung und den Zugriff auf jede CIM-Implementierung. WBEM erfordert einen der beiden Ports 5989 oder 5988 und verwendet das HTTP-Transportprotokoll. WBEM unterstützt SSL-Verschlüsselung und verwendet CIM-Anwendernamen-/Passwortanmeldeinformationen. Discovery Startet eine WBEM-Portprobe, um Aktivitäten auf den Zielports zu erkennen und gesammelte Daten an eine Klassifizierungsprobe anzuhängen, die CIM-Server untersucht.

    Konfigurieren Sie die Netzwerkkonnektivität des MID-Servers

    Bereiten Sie das Netzwerk für MID-Server vor, um eine Verbindung mit der Instanz herzustellen und auf die Download-Site zuzugreifen. Das Netzwerk muss vor der Installation oder Konfiguration des MID-Servers vorbereitet werden. Wenn für Computer oder Geräte zusätzliche Sicherheitsmaßnahmen vorhanden sind, kann diese Sicherheit die MID-Server auf diesen Systemen beeinträchtigen.

    Vorbereitungen

    Erforderliche Rolle: Administrator
    Setup-Indikator für Phase der VerbindungsvoraussetzungenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannSicherheit des MID Servers konfigurierenMID Server konfigurierenMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Stellen Sie sicher, dass der Hostcomputer die in angegebenen Anforderungen erfüllt Systemanforderungen des MID-Servers.

    Warum und wann dieser Vorgang ausgeführt wird

    Der MID-Server-Hostcomputer muss Zugriff auf die ServiceNow-Download-Website unter haben install.service-now.com Dient zum automatischen Upgrade. Wenn Sie über eine selbst gehostete ServiceNow-Umgebung verfügen, die den Zugriff auf die Download-Site blockiert, müssen Sie das MID-Server-Installationspaket manuell in Ihre MID-Server-Hosts importieren. Anweisungen finden Sie unter KB0760123 In der selbst gehosteten Knowledge Base.

    Firewalls und Proxy-Konfigurationen können Aufrufe auf die OCSP Entrust- und DigiCert-Server blockieren, wodurch der MID-Server nicht funktioniert. Möglicherweise müssen Sie Ihre Firewall-Berechtigungen ändern, damit der OCSP-Datenverkehr durchläuft. Weitere Informationen und Lösungen finden Sie im HI Knowledge Base-artikel [KB1216223] .

    Der Host-Computer muss über folgende Netzwerkprivilegien verfügen:
    • Firewall-Zugriff: Konfigurieren Sie alle Firewalls zwischen dem MID-Server und den Zielgeräten so, dass eine Verbindung zugelassen wird. Wenn in Ihrem Netzwerk eine DMZ verwendet wird und Ihre Netzwerksicherheitsprotokolle den Portzugriff innerhalb des Netzwerks auf die DMZ beschränken, müssen Sie möglicherweise einen MID-Server auf einem Computer in der DMZ bereitstellen, um dort die Geräte zu testen.
    • Netzwerkzugriff: Konfigurieren Sie die Zielgeräte so, dass die Verbindung zum MID-Server-Probe hergestellt werden kann. Wenn Sie aufgrund der Netzwerksicherheit keine neuen Computer konfigurieren können, die eine Verbindung zu den Zielen herstellen können, installieren Sie den MID-Server auf einem vorhandenen Computer mit Verbindungsberechtigungen.
    • Netzwerkkonto: Installieren Sie den MID-Server mit dem richtigen Konto (lokales oder Domänenadministrator-Konto).
    Stellen Sie darüber hinaus sicher, dass die folgenden Voraussetzungen erfüllt werden, damit der MID-Server auf Ihre ServiceNow-Instanz zugreifen kann:
    • Netzwerkzugriff auf die ServiceNow-Instanz: Konfigurieren Sie das vom MID-Server verwendete Netzwerk so, dass der Datenverkehr über den TCP-Port 443 zugelassen wird.
    • Ein MID-Benutzer: Erstellen Sie einen ServiceNow-Benutzerdatensatz für den zu verwendenden MID-Server. Dieser Benutzerdatensatz muss die Rollen „mid_server“ und „import_admin“ haben.
    Hinweis:
    Stellen Sie sicher, dass die öffentliche Baseline-Seite InstanceInfo aktiv ist, damit der MID-Server eine Verbindung zur Instanz herstellen kann.

    Prozedur

    1. Konfigurieren Sie das Netzwerk, um MID-Server-Netzwerkkonnektivität mit dem zuzulassen ServiceNow Instanz über TCP-Port 443.
    2. Konfigurieren Sie die Basic Authentication für die SOAP-Kommunikation mit der ServiceNow-Instanz.
    3. Navigieren zu System-Webservices > Geskriptete Webservices > Geskriptete SOAP-Servicesan.
    4. Stellen Sie sicher, dass die folgenden Webservices aktiv sind:
      • GetMIDInfo
      • InstanceInfo
      • MIDAssignedPackages
      • MIDFieldForFileProvider
      • MIDFileSyncSnapshot
      • MIDServerCheck
      • MIDServerFileProvider
    5. Typ sys_public.list Drücken Sie im Navigationssuchfeld Geben Sie Ein .
      Die Liste der Datensätze der öffentlichen Seiten wird angezeigt.
    6. Stellen Sie sicher, dass die öffentliche Seite InstanceInfo aktiv ist, damit der MID-Server seine Version überprüfen kann.
    7. Stellen Sie sicher, dass der MID-Server-Hostcomputer auf die Download-Website unter zugreifen kann install.service-now.com .

    Nächste Maßnahme

    Nachdem das Netzwerk vorbereitet wurde, fahren Sie mit fort MID-Server wird installiert.