Préparer les connexions réseau pour les MID Servers

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Avant d’installer le MID Server, effectuez les prérequis nécessaires pour qu’il se connecte à des éléments à l’intérieur et à l’extérieur de votre réseau. Cela inclut les privilèges réseau et les considérations de sécurité.

    Considérations relatives à la sécurité

    Parfois, des mesures de sécurité supplémentaires sont configurées pour les ordinateurs ou les périphériques, qui peuvent interférer avec la capacité du MID Server à exécuter des commandes ou des requêtes sur ces systèmes.

    Par exemple, un serveur Linux peut être configuré pour permettre uniquement à certaines adresses IP de se connecter à celui-ci via SSH. De même, un routeur réseau peut être configuré pour autoriser uniquement certaines adresses IP à interroger SNMP sur celui-ci. Pour autoriser l'accès dans ce type de cas, utilisez l'une des méthodes suivantes :
    • Mettez à jour la configuration de ces ordinateurs ou appareils pour permettre au MID Server souhaité d'exécuter des commandes ou de les interroger. Par exemple, un routeur réseau peut être configuré pour permettre uniquement aux systèmes de gestion des réseaux d'interroger SNMP dessus. Dans ce cas, ajoutez le MID Server comme s'il s'agissait d'un autre système de gestion des réseaux.
    • Installez un MID Server sur un ordinateur qui a déjà accès aux ordinateurs ou aux périphériques réseau avec de telles restrictions. Par exemple, pour utiliser Découverte dans une zone DMZ (où la communication en dehors de la zone DMZ sera fortement limitée), installez un MID Server sur un ordinateur qui se trouve déjà dans la zone DMZ.

    Besoins de connectivité externe

    Ces exigences s’appliquent spécifiquement à l’utilisation des MID Servers avec les ServiceNow® Découverte produits and Orchestration .

    Le serveur MID communique en toute sécurité sur le port 443 vers l’instance et ne nécessite aucune connexion entrante. Dans certains cas, il peut être nécessaire d’autoriser cette communication via le pare-feu si le MID Server ne parvient pas à s’enregistrer sur l’instance. Pour déterminer si l’application ou une restriction de sécurité réseau est à l’origine de l’échec de la connexion, essayez d’effectuer une connexion Telnet à l’instance sur le port 443 à partir du serveur hébergeant l’application Serveur MID. Si cette connexion échoue, le problème peut provenir d’un proxy web (puisque 443 est une connexion https) ou d’une règle de pare-feu empêchant les connexions TCP externes à partir de cet hôte. Contactez le personnel de sécurité réseau pour obtenir les informations de proxy à ajouter au fichier config.xml, ou demandez que le pare-feu soit configuré pour autoriser l’accès à l’aide de l’une des syntaxes suivantes :
    • <adresse IP source> à <n’importe laquelle>
    • <IP source> à < ServiceNow > toute adresse IP
    • <IP source> vers <instance_name.service-now.com> 443
    Important :
    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow au install.service-now.com pour effectuer automatiquement la mise à niveau. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package d’installation du Serveur MID dans vos hôtes du Serveur MID. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Besoins de connectivité interne

    Ces méthodes sont utilisées pour détecter divers périphériques sur un réseau et sont spécifiquement destinées à l’utilisation des MID Servers avec les Découverte produits and Orchestration .
    • SSH : pour les machines de type UNIX et Orchestration, Découverte utilisez le protocole SSH, version 2 pour accéder aux machines cibles. SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH communique sur le port 22 au sein d’un flux de données chiffré et nécessite une connexion pour accéder aux cibles à l’aide de deux méthodes d’authentification disponibles : une combinaison de nom d’utilisateur et de mot de passe et un nom d’utilisateur et une clé privée partagée. Spécifiez les informations d’authentification SSH et saisissez-les dans le module Informations d’identification . Si plusieurs informations d’identification sont saisies, la plateforme les essaie l’une après l’autre jusqu’à ce qu’une connexion soit établie avec succès ou qu’elles soient finalement toutes refusées. Pour fournir des relations d’application, un nombre limité de commandes SUDO doit être disponible pour être exécutées. Des détails supplémentaires sur ces exigences sont disponibles dans UNIX/ Linux commandes nécessitant des privilèges root pour Découverte et Orchestration.
    • WMI : pour Windows les machines, Découverte utilise l’interface WMI (Management Instrumentation) pour interroger les Windows appareils. En raison des restrictions de sécurité de WMI, l’application Serveur MID exécutant les requêtes WMI doit s’exécuter en tant qu’utilisateur de domaine avec des privilèges d’administrateur local (cible). Lorsqu’il Découverte détecte une activité sur le port 135, il lance une requête WMI. La réponse de l’appareil Windows est envoyée via un port DCOM (Distributed Component Object Model) configuré pour WMI sur Windows les machines. Il peut s’agir de n’importe quel port. Assurez-vous que la machine hôte de l’application Serveur MID a accès aux cibles sur tous les ports en raison de la nature unique des exigences WMI.
    • Windows PowerShell : PowerShell est basé sur . Windows NET Framework et est conçu pour contrôler et automatiser l’administration des machines et des Windows applications. Orchestration utilise PowerShell pour exécuter les activités de workflow sur Windows les ordinateurs. PowerShell doit être installé sur n’importe quel Serveur MID qui exécute ces activités. Les MID Servers utilisant PowerShell doivent être installés sur un système d’exploitation pris en charge Windows . ServiceNow prend en charge PowerShell 3.0 à 5.1. Les activités d’orchestration pour PowerShell nécessitent un type d’informations d’identification Windows.
    • SNMP - Réseau : pour les appareils réseau, Découverte utilise une analyse SNMP pour obtenir les MIB et OID spécifiques à l’appareil. SNMP est un protocole commun utilisé sur la plupart des routeurs, commutateurs, imprimantes, équilibreurs de charge et divers autres périphériques réseau. Utilisez une chaîne de communauté (mot de passe) pour l’authentification lors de l’analyse d’un équipement via SNMP. De nombreux appareils ont une chaîne de communauté par défaut de public qui Découverte est utilisée par défaut lors de l’interrogation d’une cible. Définissez des chaînes de communauté supplémentaires dans le formulaire d’informations d’identification SNMP qui sont essayées successivement, ainsi que publiques, jusqu’à ce qu’une requête réussie soit renvoyée. En plus des informations d’identification, la plate-forme nécessite également la possibilité d’effectuer des requêtes SNMP sur le port 161 du MID Server à la cible. Si des listes de contrôle d’accès (ACL) sont en place pour contrôler les adresses IP qui peuvent effectuer ces requêtes, assurez-vous que l’adresse IP du serveur MID se trouve dans l’ACL. Découverte prend en charge les versions SNMP 1, 2c et 3.
    • WBEM : La gestion d’entreprise basée sur le Web (WBEM) définit une implémentation particulière du modèle d’information commun (CIM), y compris les protocoles de détection et d’accès à chaque implémentation CIM. WBEM nécessite l’un des deux ports, 5989 ou 5988 et utilise le protocole de transport HTTP. WBEM prend en charge le cryptage SSL et utilise les informations d’identification du nom d’utilisateur/mot de passe CIM. Découverte lance une sonde de port WBEM pour détecter l’activité sur les ports cibles et ajouter les données recueillies à une sonde de classification qui explore les serveurs CIM.

    Configurer la connectivité réseau du Serveur MID

    Préparez le réseau pour que les MID Servers se connectent à l’instance et accèdent au site de téléchargement. Le réseau doit être préparé avant d’installer ou de configurer le MID Server. Si les ordinateurs ou les périphériques ont des mesures de sécurité supplémentaires, cette sécurité peut interférer avec les MID Servers sur ces systèmes.

    Avant de commencer

    Rôle requis : administrateur
    Configurer l’indicateur pour la phase des prérequis de connexionAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauConfigurer la sécurité du MID ServerConfigurer votre MID ServerTélécharger et installer le MID Server sur un hôte Linux ou WindowsTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Assurez-vous que l’ordinateur hôte répond aux exigences spécifiées dans le Configuration requise pour le Serveur MIDfichier .

    Pourquoi et quand exécuter cette tâche

    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow au install.service-now.com pour effectuer automatiquement la mise à niveau. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package d’installation du Serveur MID dans vos hôtes du Serveur MID. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Les pare-feu et les configurations de proxy peuvent bloquer les appels vers le serveur OCSP Entrust, empêchant ainsi le MID Server de fonctionner. Vous devrez peut-être modifier vos autorisations de pare-feu afin que le trafic OCSP passe correctement. Pour plus d’informations et de résolutions, consultez l’article de la base de connaissances HI [KB1216223].

    L’ordinateur hôte doit disposer des privilèges réseau suivants :
    • Accès par pare-feu : configurez tous les pare-feu entre le serveur MID et les équipements cibles pour autoriser une connexion. Si votre réseau utilise une zone DMZ et que vos protocoles de sécurité réseau limitent l’accès des ports de l’intérieur du réseau à la zone DMZ, vous devrez peut-être déployer un serveur MID sur une machine de la zone DMZ pour sonder les périphériques qui s’y trouvent.
    • Accès réseau : configurez les équipements cibles pour permettre à la sonde du MID Server de se connecter. Si la sécurité réseau vous empêche de configurer de nouveaux ordinateurs capables de se connecter aux cibles, installez le serveur MID sur un ordinateur existant disposant de privilèges de connexion.
    • Compte réseau : installez le Serveur MID avec le compte approprié, qu’il s’agisse d’un administrateur local ou d’un administrateur de domaine.
    De plus, pour que le MID Server accède à votre ServiceNow instance, remplissez les conditions préalables suivantes :
    • Accès réseau à l’instance : configurez le réseau utilisé par le serveur MID pour autoriser le trafic sur le ServiceNow port TCP 443.
    • Un utilisateur MID : créez un ServiceNow enregistrement d’utilisateur pour que le Serveur MID puisse l’utiliser. Cet enregistrement utilisateur doit comporter les rôles mid_server et import_admin.
    Remarque :
    Vérifiez que la page publique de base de référence InstanceInfo est active pour que le MID Server se connecte à l’instance.

    Procédure

    1. Configurez le réseau pour autoriser la connectivité réseau du Serveur MID à l’instance via le ServiceNow port TCP 443.
    2. Configurez l’authentification de base pour les communications SOAP avec l’instance ServiceNow .
    3. Accédez à la Services web du système > Services Web basés sur un script > Services SOAP scriptés.
    4. Confirmer que les services Web suivants sont actifs :
      • GetMIDInfo
      • InstanceInfo (en anglais seulement)
      • MIDAssignedPackages
      • MIDFieldForFileProvider
      • MIDFileSyncSnapshot
      • MIDServerCheck
      • MIDServerFileProvider
    5. Saisissez sys_public.list dans le champ de recherche de navigation et appuyez sur Entrée.
      La liste des enregistrements Pages publiques s’affiche.
    6. Vérifiez que la page publique InstanceInfo est active pour permettre au MID Server de valider sa version.
    7. Assurez-vous que l’ordinateur hôte du Serveur MID peut accéder au site de téléchargement à install.service-now.com.

    Que faire ensuite

    Une fois le réseau préparé, passez à Installation du MID Server.