Préparer les connexions réseau pour les serveurs MID

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 10 minutes de lecture

    • Avant d’installer le Serveur MID, effectuez les conditions préalables nécessaires pour qu’il se connecte aux éléments à l’intérieur et à l’extérieur de votre réseau. Cela inclut les privilèges réseau et les considérations de sécurité.

    Considérations de sécurité

    Parfois, des mesures de sécurité supplémentaires sont configurées sur des ordinateurs ou des périphériques, qui peuvent interférer avec la capacité du MID Server à exécuter des commandes ou des requêtes sur ces systèmes.

    Par exemple, un serveur Linux peut être configuré pour permettre uniquement à certaines adresses IP de se connecter à celui-ci via SSH. De même, un routeur réseau peut être configuré pour autoriser uniquement certaines adresses IP à interroger SNMP sur celui-ci. Pour autoriser l'accès dans ce type de cas, utilisez l'une des méthodes suivantes :
    • Mettez à jour la configuration de ces ordinateurs ou appareils pour permettre au MID Server souhaité d'exécuter des commandes ou de les interroger. Par exemple, un routeur réseau peut être configuré pour permettre uniquement aux systèmes de gestion des réseaux d'interroger SNMP dessus. Dans ce cas, ajoutez le MID Server comme s'il s'agissait d'un autre système de gestion des réseaux.
    • Installez un MID Server sur un ordinateur qui a déjà accès aux ordinateurs ou aux périphériques réseau avec de telles restrictions. Par exemple, pour utiliser Découverte dans une zone DMZ (où la communication en dehors de la zone DMZ sera fortement limitée), installez un MID Server sur un ordinateur qui se trouve déjà dans la zone DMZ.

    Spray d’informations d’identification

    Utilise Serveur MID le client SMB (Server Message Block) et la configuration de Windows son hôte pour se connecter à d’autres Windows machines. Si Windows elle est configurée pour utiliser des protocoles hérités, la connexion est vulnérable aux attaques de l’intercepteur qui peuvent entraîner une divulgation faible du mot de passe et l’exécution de code à distance.

    Utilisez la configuration d’hôte suivante pour limiter l’impact d’un attaquant avec un point d’observation de l’homme du milieu :

    • Assurez-vous que la signature SMB est configurée pour être requise sur le client Serveur MID afin de limiter les attaques potentielles sur l’intégrité.

    • Assurez-vous que la signature SMB est requise par tous les serveurs SMB au sein de l’environnement.

    • Utilisez des mots de passe forts pour limiter les attaques par dictionnaire hors ligne si l’ordinateur hôte doit prendre en charge les protocoles d’authentification hérités tels que NetNTLM.

    • Utilisez un compte unique pour chaque hôte pertinent afin de limiter l’impact des informations d’identification compromises sur les systèmes finaux.

    Exigences de connectivité externe

    Ces exigences sont spécifiquement pour l’utilisation des MID Servers avec le et Orchestration les ServiceNow® Découverte produits.

    Le serveur MID communique en toute sécurité sur le port 443 avec l’instance et ne nécessite aucune connexion entrante. Dans certains cas, il peut être nécessaire d’autoriser cette communication à travers le pare-feu si le MID Server ne parvient pas à s’enregistrer sur l’instance. Pour déterminer si l’application ou une restriction de sécurité réseau est à blâmer pour l’échec de la connexion, essayez d’effectuer une opération Telnet vers l’instance sur le port 443 à partir du serveur qui héberge l’application Serveur MID. Si cette connexion échoue, le problème peut provenir d’un proxy web (puisque 443 est une connexion https) ou d’une règle de pare-feu empêchant les connexions TCP externes à partir de cet hôte. Contactez le personnel de sécurité réseau pour obtenir les informations de proxy à ajouter au fichier config.xml ou demandez que le pare-feu soit configuré pour autoriser l’accès à l’aide de l’une des syntaxes suivantes :
    • <IP source> à <n’importe lequel>
    • <adresse IP source> à <ServiceNow> tout établissement
    • <IP source> vers <instance_name.service-now.com> 443
    Important :
    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow à install.service-now.com pour effectuer une mise à niveau automatique. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package du programme d’installation de Serveur MID dans vos hôtes de Serveur MID. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Exigences de connectivité interne

    Ces méthodes sont utilisées pour détecter divers périphériques sur un réseau et sont spécifiquement destinées à l’utilisation de MID Servers avec les Découverte produits et Orchestration les produits.
    • SSH : pour les machines de type UNIX et Orchestration, Découverte utilisez le protocole SSH, version 2 pour accéder aux machines cibles. SSH est un protocole réseau qui permet d’échanger des données à l’aide d’un canal sécurisé entre deux appareils en réseau. SSH communique sur le port 22 au sein d’un flux de données chiffré et nécessite une connexion pour accéder aux cibles à l’aide de deux méthodes d’authentification disponibles : une combinaison nom d’utilisateur et mot de passe et un nom d’utilisateur et une clé privée partagée. Spécifiez les informations d’authentification SSH et saisissez le type dans le module Informations d’identification . Si plusieurs informations d’identification sont saisies, la plateforme les essaie l’une après l’autre jusqu’à ce qu’une connexion réussie soit établie ou que toutes soient finalement refusées. Pour fournir des relations d’application, un nombre limité de commandes SUDO doit être disponible pour être exécuté. Des détails supplémentaires sur ces exigences sont disponibles dans UNIX/ Linux commandes nécessitant des privilèges racine pour Découverte et Orchestration.
    • WMI : pour Windows les machines, Découverte utilise l’interface WMI (Management Instrumentation) pour interroger les Windows appareils. En raison des restrictions de sécurité de WMI, l’application Serveur MID exécutant les requêtes WMI doit s’exécuter en tant qu’utilisateur de domaine avec des privilèges d’administrateur local (cible). Lorsqu’il Découverte détecte une activité sur le port 135, il lance une requête WMI. La réponse de l’appareil Windows est envoyée via un port DCOM (Distributed Component Object Model) configuré pour WMI sur Windows les machines. Il peut s’agir de n’importe quel port. Assurez-vous que l’ordinateur hôte de l’application Serveur MID a accès aux cibles sur tous les ports en raison de la nature unique des exigences WMI.
    • Windows PowerShell : PowerShell est basé sur le Windows .NET Framework et est conçu pour contrôler et automatiser l’administration des machines et des Windows applications. Orchestration utilise PowerShell pour exécuter des activités de workflow sur Windows des ordinateurs. PowerShell doit être installé sur tout Serveur MID qui exécute ces activités. Les serveurs MID utilisant PowerShell doivent être installés sur un système d’exploitation pris en charge Windows . ServiceNow prend en charge PowerShell 3.0 à 5.1. Les activités d’orchestration pour PowerShell nécessitent un type d’informations d’identification Windows.
    • SNMP - Réseau : pour les appareils réseau, Découverte utilise une analyse SNMP pour obtenir des MIB et des OID spécifiques à l’appareil. SNMP est un protocole commun utilisé sur la plupart des routeurs, commutateurs, imprimantes, équilibreurs de charge et divers autres périphériques réseau. Utilisez une chaîne de communauté (mot de passe) pour l’authentification lors de l’analyse d’un appareil via SNMP. De nombreux appareils disposent d’une chaîne de communauté publique par défaut qui Découverte l’utilise par défaut lors de l’interrogation d’une cible. Définissez des chaînes de communauté supplémentaires dans le formulaire Informations d’identification SNMP qui sont essayées successivement, ainsi que publiques, jusqu’à ce qu’une requête aboutisse. En plus des informations d’identification, la plateforme nécessite également la possibilité d’effectuer des requêtes SNMP sur le port 161 du serveur MID à la cible. Si des listes de contrôle d’accès (ACL) sont en place pour contrôler les adresses IP qui peuvent effectuer ces requêtes, assurez-vous que l’adresse IP du serveur MID se trouve dans l’ACL. Découverte prend en charge les versions SNMP 1, 2c et 3.
    • WBEM : La gestion d’entreprise basée sur le Web (WBEM) définit une implémentation particulière du modèle d’information commun (CIM), y compris des protocoles pour la détection et l’accès à chaque implémentation CIM. WBEM nécessite l’un des deux ports, 5989 ou 5988 et utilise le protocole de transport HTTP. WBEM prend en charge le cryptage SSL et utilise les informations d’identification CIM nom d’utilisateur/mot de passe. Découverte lance une sonde de port WBEM pour détecter l’activité sur les ports cibles et ajouter les données recueillies à une sonde de classification qui explore les serveurs CIM.

    Configurer la connectivité réseau du Serveur MID

    Préparez le réseau pour que les MID Servers se connectent à l’instance et accèdent au site de téléchargement. Le réseau doit être préparé avant l’installation ou la configuration du Serveur MID. Si les ordinateurs ou les appareils disposent de mesures de sécurité supplémentaires, cette sécurité peut interférer avec les MID Servers sur ces systèmes.

    Avant de commencer

    Rôle requis : admin
    Indicateur de configuration pour la phase des prérequis de connexionAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauConfigurer la sécurité du MID ServerConfigurer votre MID ServerTélécharger et installer le MID Server sur un hôte Linux ou WindowsTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Assurez-vous que l’ordinateur hôte répond aux exigences spécifiées dans le Configuration requise pour le Serveur MID.

    Pourquoi et quand exécuter cette tâche

    L’ordinateur hôte du Serveur MID doit avoir accès au site de téléchargement ServiceNow à install.service-now.com pour effectuer une mise à niveau automatique. Si vous disposez d’un environnement ServiceNow auto-hébergé qui bloque l’accès au site de téléchargement, vous devez importer manuellement le package du programme d’installation de Serveur MID dans vos hôtes de Serveur MID. Pour obtenir des instructions, consultez KB0760123 dans la base de connaissances auto-hébergée.

    Les pare-feu et les configurations proxy peuvent bloquer les appels vers les serveurs OCSP Entrust et DigiCert, ce qui empêche le MID Server de fonctionner. Vous devrez peut-être modifier les autorisations de votre pare-feu pour que le trafic OCSP passe. Pour plus d’informations et de résolutions, consultez l’article de la base de connaissances HI [KB1216223].

    L’ordinateur hôte doit disposer des privilèges réseau suivants :
    • Accès au pare-feu : configurez tous les pare-feu entre le serveur MID et les appareils cibles pour autoriser une connexion. Si votre réseau utilise une zone DMZ et si vos protocoles de sécurité réseau limitent l’accès au port de l’intérieur du réseau à la zone DMZ, vous devrez peut-être déployer un serveur MID sur une machine à l’intérieur de la zone DMZ pour sonder les périphériques qui s’y trouvent.
    • Accès réseau : configurez les équipements cibles pour permettre à la sonde du serveur MID de se connecter. Si la sécurité réseau vous empêche de configurer de nouvelles machines qui peuvent se connecter aux cibles, installez le Serveur MID sur une machine existante disposant de privilèges de connexion.
    • Compte réseau : installez le Serveur MID avec le compte approprié, local ou administrateur de domaine.
    En outre, pour que le MID Server accède à votre ServiceNow instance, vous devez satisfaire les conditions préalables suivantes :
    • Accès réseau à l’instance ServiceNow : configurez le réseau que le serveur MID utilise pour autoriser le trafic sur le port TCP 443.
    • Utilisateur MID : créez un ServiceNow enregistrement utilisateur que le serveur MID doit utiliser. Cet enregistrement utilisateur doit avoir les rôles mid_server et import_admin.
    Remarque :
    Vérifiez que la page publique de base de référence InstanceInfo est active pour que le serveur MID se connecte à l’instance.

    Procédure

    1. Configurez le réseau pour autoriser la connectivité réseau du serveur MID à l’instance via le ServiceNow port TCP 443.
    2. Configurez l’authentification de base pour les communications SOAP avec l’instance ServiceNow .
    3. Accédez à la Services web du système > Services Web basés sur un script > Services SOAP scriptés.
    4. Confirmer que les services Web suivants sont actifs :
      • GetMIDInfo
      • InfoInstance
      • MIDAssignedPackages
      • MIDFieldForFileProvider
      • MIDFileSyncSnapshot
      • MIDServerCheck
      • MIDServerFileProvider
    5. Tapez sys_public.list dans le champ de navigation et appuyez sur Entrée.
      La liste des enregistrements des pages publiques s’affiche.
    6. Vérifiez que la page publique InstanceInfo est active pour permettre au serveur MID d’en valider la version.
    7. Assurez-vous que l’ordinateur hôte du Serveur MID peut accéder au site de téléchargement à l’adresse install.service-now.com.

    Que faire ensuite

    Une fois le réseau préparé, passez à .Installation du Serveur MID