Configurer la connectivité réseau du MID Server

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Préparez le réseau pour que les MID Servers se connectent à l’instance et accèdent au site de téléchargement. Le réseau doit être préparé avant d’installer ou de configurer le MID Server. Si les ordinateurs ou les périphériques disposent de mesures de sécurité supplémentaires, cette sécurité peut interférer avec les MID Servers sur ces systèmes.

    Avant de commencer

    Rôle requis : admin
    Indicateur de configuration pour la phase des prérequis de connexionAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauConfigurer la sécurité du MID ServerConfigurer votre MID ServerTélécharger et installer le MID Server sur un hôte Linux ou WindowsTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Assurez-vous que l’ordinateur hôte répond aux exigences spécifiées dans le Configuration requise pour le MID Serverfichier .

    Pourquoi et quand exécuter cette tâche

    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow au install.service-now.com pour se mettre à niveau automatiquement. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package d’installation du MID Server dans vos hôtes MID Server. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Les pare-feu et les configurations de proxy peuvent bloquer les appels vers le serveur OCSP Entrust, empêchant ainsi le MID Server de fonctionner. Vous devrez peut-être modifier vos autorisations de pare-feu afin que le trafic OCSP passe correctement. Pour plus d’informations et de résolutions, consultez l’article de la base de connaissances HI [KB1216223].

    L’ordinateur hôte doit disposer des privilèges réseau suivants :
    • Accès au pare-feu : configurez tous les pare-feu entre le MID Server et les appareils cibles pour autoriser une connexion. Si votre réseau utilise une zone DMZ et que vos protocoles de sécurité réseau limitent l’accès aux ports de la zone DMZ depuis l’intérieur du réseau, vous devrez peut-être déployer un MID Server sur une machine de la zone DMZ pour sonder les périphériques qui s’y trouvent.
    • Accès réseau : configurez les appareils cibles pour permettre à la sonde MID Server de se connecter. Si la sécurité réseau vous empêche de configurer de nouveaux ordinateurs qui peuvent se connecter aux cibles, installez le MID Server sur un ordinateur existant disposant de privilèges de connexion.
    • Compte réseau : installez le MID Server avec le compte approprié, soit l’administrateur local, soit l’administrateur de domaine.
    De plus, pour que le MID Server accède à votre ServiceNow instance, remplissez les conditions préalables suivantes :
    • Accès réseau à l’instance : configurez le réseau que le MID Server utilise pour autoriser le trafic sur le ServiceNow port TCP 443.
    • Un utilisateur MID : créer un ServiceNow enregistrement utilisateur que le MID Server doit utiliser. Cet enregistrement utilisateur doit avoir les rôles mid_server et import_admin.
    Remarque :
    Vérifiez que la page publique de base de référence InstanceInfo est active pour que le MID Server se connecte à l’instance.

    Procédure

    1. Configurez le réseau pour autoriser la connectivité réseau du MID Server à l’instance via le ServiceNow port TCP 443.
    2. Configurez l’authentification de base pour les communications SOAP avec l’instance ServiceNow .
    3. Accédez à la Services web du système > Services Web basés sur un script > Services SOAP scriptés.
    4. Confirmer que les services Web suivants sont actifs :
      • GetMIDInfo
      • Infos_instance
      • MIDAssignedPackages
      • MIDFieldForFileProvider
      • MIDFileSyncSnapshot
      • MIDServerCheck
      • MIDServerFileProvider
    5. Tapez sys_public.list dans le champ de recherche de navigation et appuyez sur Entrée.
      La liste d’enregistrements Pages publiques s’affiche.
    6. Vérifiez que la page publique InstanceInfo est active pour permettre au MID Server de valider sa version.
    7. Assurez-vous que l’ordinateur hôte du MID Server peut accéder au site de téléchargement à install.service-now.com.

    Que faire ensuite

    Une fois le réseau préparé, passez à Installation du MID Server.

    Préparer les connexions réseau pour les MID Servers

    Avant d’installer le MID Server, effectuez les prérequis nécessaires pour qu’il se connecte à des éléments à l’intérieur et à l’extérieur de votre réseau. Cela inclut les privilèges réseau et les considérations de sécurité.

    Considérations relatives à la sécurité

    Parfois, des mesures de sécurité supplémentaires sont configurées sur les ordinateurs ou les appareils, et ces mesures peuvent interférer avec la capacité du MID Server à exécuter des commandes ou des requêtes sur ces systèmes.

    Par exemple, un serveur Linux peut être configuré pour permettre uniquement à certaines adresses IP de se connecter à celui-ci via SSH. De même, un routeur réseau peut être configuré pour autoriser uniquement certaines adresses IP à interroger SNMP sur celui-ci. Pour autoriser l'accès dans ce type de cas, utilisez l'une des méthodes suivantes :
    • Mettez à jour la configuration de ces ordinateurs ou appareils pour permettre au MID Server souhaité d'exécuter des commandes ou de les interroger. Par exemple, un routeur réseau peut être configuré pour permettre uniquement aux systèmes de gestion des réseaux d'interroger SNMP dessus. Dans ce cas, ajoutez le MID Server comme s'il s'agissait d'un autre système de gestion des réseaux.
    • Installez un MID Server sur un ordinateur qui a déjà accès aux ordinateurs ou aux périphériques réseau avec de telles restrictions. Par exemple, pour utiliser Détection dans une zone DMZ (où la communication en dehors de la zone DMZ sera fortement limitée), installez un MID Server sur un ordinateur qui se trouve déjà dans la zone DMZ.

    Exigences en matière de connectivité externe

    Ces exigences s’appliquent spécifiquement à l’utilisation des MID Servers avec les ServiceNow® Détection produits and Orchestration .

    Le MID Server communique en toute sécurité sur le port 443 vers l’instance et ne nécessite aucune connexion entrante. Dans certains cas, il peut être nécessaire d’autoriser cette communication via le pare-feu si le MID Server ne parvient pas à s’enregistrer sur l’instance. Pour déterminer si l’application ou une restriction de sécurité réseau est à l’origine de l’échec de la connexion, essayez d’effectuer un telnet vers l’instance sur le port 443 à partir du serveur qui héberge l’application MID Server. Si cette connexion échoue, le problème peut provenir d’un proxy Web (puisque 443 est une connexion https) ou d’une règle de pare-feu empêchant les connexions TCP externes de cet hôte. Contactez le personnel de sécurité du réseau pour obtenir les informations de proxy à ajouter au fichier config.xml, ou demandez que le pare-feu soit configuré pour autoriser l’accès à l’aide de l’une des syntaxes suivantes :
    • <IP source> à <n’importe lequel>
    • <IP source> à <ServiceNow> tout
    • <IP source> vers <instance_name.service-now.com> 443
    Important :
    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow au install.service-now.com pour se mettre à niveau automatiquement. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package d’installation du MID Server dans vos hôtes MID Server. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Besoins de connectivité internes

    Ces méthodes sont utilisées pour détecter divers appareils sur un réseau et sont spécifiquement destinées à l’utilisation des MID Servers avec les Détection produits and Orchestration .
    • SSH : pour les ordinateurs Détection de type UNIX et Orchestration, utilisez le protocole SSH, version 2, pour accéder aux ordinateurs cibles. SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH communique sur le port 22 au sein d’un flux de données chiffré et nécessite une connexion pour accéder aux cibles à l’aide de deux méthodes d’authentification disponibles : une combinaison de nom d’utilisateur et de mot de passe et un nom d’utilisateur et une clé privée partagée. Spécifiez les informations d’authentification SSH et tapez-les dans le module Informations d’identification . Si plusieurs informations d’identification sont saisies, la plateforme les essaie l’une après l’autre jusqu’à ce qu’une connexion réussie soit établie ou qu’elles soient finalement toutes refusées. Pour fournir des relations d’application, un nombre limité de commandes SUDO doit être disponible pour être exécuté. Des détails supplémentaires sur ces exigences peuvent être trouvés dans UNIX/ Linux commandes nécessitant des privilèges racine pour Détection et Orchestration.
    • WMI : pour Windows les ordinateurs, Détection utilise l’interface WMI (Management Instrumentation) pour interroger les Windows appareils. En raison des restrictions de sécurité pour WMI, l’application MID Server exécutant les requêtes WMI doit s’exécuter en tant qu’utilisateur de domaine avec des privilèges d’administrateur local (cible). Lorsqu’il Détection détecte une activité sur le port 135, il lance une requête WMI. La réponse de l’appareil Windows est envoyée via un port DCOM (Distributed Component Object Model) configuré pour WMI sur Windows les ordinateurs. Il peut s’agir de n’importe quel port. Assurez-vous que l’ordinateur hôte de l’application MID Server a accès aux cibles sur tous les ports en raison de la nature unique des exigences WMI.
    • Windows PowerShell : PowerShell est basé sur . Windows NET Framework et est conçu pour contrôler et automatiser l’administration des machines et des Windows applications. Orchestration utilise PowerShell pour exécuter les activités de workflow sur Windows les ordinateurs. PowerShell doit être installé sur n’importe quel MID Server qui exécute ces activités. Les MID Servers utilisant PowerShell doivent être installés sur un système d’exploitation pris en charge Windows . ServiceNow prend en charge PowerShell 3.0 à 5.1. Les activités d’orchestration pour PowerShell nécessitent un type d’informations d’identification .Windows
    • SNMP - Réseau : pour les périphériques réseau, Détection utilise une analyse SNMP pour obtenir des MIB et des OID spécifiques à l’appareil. SNMP est un protocole commun utilisé sur la plupart des routeurs, commutateurs, imprimantes, équilibreurs de charge et divers autres périphériques réseau. Utilisez une chaîne de communauté (mot de passe) pour l’authentification lors de l’analyse d’un appareil via SNMP. De nombreux appareils disposent d’une chaîne de communauté par défaut, publique , qui Détection est utilisée par défaut lors de l’interrogation d’une cible. Définissez des chaînes de communauté supplémentaires dans le formulaire Informations d’identification SNMP , qui seront essayées successivement, ainsi que publiques, jusqu’à ce qu’une requête réussie soit renvoyée. Outre les informations d’identification, la plateforme nécessite également la possibilité d’effectuer des demandes SNMP sur le port 161 entre le MID Server et la cible. Si des listes de contrôle d’accès (ACL) sont en place pour contrôler les adresses IP qui peuvent effectuer ces requêtes, assurez-vous que l’adresse IP du MID Server figure dans l’ACL. Détection prend en charge les versions 1, 2c et 3 du protocole SNMP.
    • WBEM: Web-Based Enterprise Management (WBEM) définit une implémentation particulière du modèle CIM (Common Information Model), notamment des protocoles permettant de détecter chaque implémentation CIM et d’y accéder. WBEM nécessite l’un des deux ports, 5989 ou 5988, et utilise le protocole de transport HTTP. WBEM prend en charge le chiffrement SSL et utilise les informations d’identification de nom d’utilisateur/mot de passe CIM. Détection lance une sonde de port WBEM pour détecter l’activité sur les ports cibles et ajouter les données collectées à une sonde de classification qui explore les serveurs CIM.