Konfigurieren von Proxyservern

IT-Asset-Management (Cloud)
Wenn eine Inventarisierungsstation auf das Internet zugreifen muss, um eine Verbindung mit dem zentralen Anwendungsserver herzustellen, wird die Kommunikation in der Regel mit einem Proxyserver geschützt. Die Unterstützung für Proxyserver in FlexNet Beacon hat die folgenden Einschränkungen:
  • Die Authentifizierung bei Proxyservern mittels Benutzernamen und Kennwort wird nicht unterstützt. FlexNet Beacon unterstützt Proxyserver mit anonymer Authentifizierung.
  • Die Verwendung des PAC-Skripts (Proxy Auto-Configuration) wird nicht unterstützt. Dies kann Änderungen an den Microsoft Internet Explorer-Einstellungen der Inventarisierungsstation notwendig machen; die entsprechende Vorgehensweise wird nachstehend erläutert.
Bei konventionellen Implementierungen wird möglicherweise ein einzelner Proxyserver zwischen einer Inventarisierungsstation und dem Internet eingerichtet. Bei sehr umfangreichen Implementierungen jedoch kann der zentrale Anwendungsserver auf drei (oder mehr) getrennten Computern eingerichtet werden. Damit sind separate Endpunkte für die Datenübertragung von einer Inventarisierungsstation vorhanden. Es wäre theoretisch möglich, separate Proxyserver bereitzustellen, die den Datenaustausch mit den einzelnen getrennten Endpunkten vermitteln. Sie haben auch die Wahl zwischen dem HTTP- und dem HTTPS-Protokoll. Deshalb sind viele verschiedene Einstellungen für Proxyserver möglich. Wenn Sie nur über einen einzigen Proxyserver für eine Inventarisierungsstation verfügen, müssen Sie leider einige der Einstellungen nach dieser Verfahrensbeschreibung konfigurieren; es kann aber sein, dass für alle Einstellungen ein gemeinsamer Wert festgelegt wird.

Dieser Vorgang muss auf der Inventarisierungsstation durchgeführt werden.

So konfigurieren Sie die Kommunikation über einen Proxyserver:

  1. Konfigurieren Sie mithilfe von regedit in der Inventarisierungsstation die folgenden Registrierungseinstellungen (weitere Informationen finden Sie unter Registrierungsschlüssel für Inventarisierungsstationen).
    • [Registrierung]\Common\https_proxy =http://Proxyserver-URL:Portnummer
    • [Registrierung]\Common\DownloadSettings\ReplicatorParent\Proxy =http://Proxyserver-URL:Portnummer
    • [Registrierung]\Common\UploadSettings\ReplicatorParent\Proxy =http://Proxyserver-URL:Portnummer
    Alle zentralen Server in der Cloud-Implementierung von Flexera werden für die HTTPS-Datenübertragung konfiguriert. Stellen Sie bei einer Inventarisierungsstation der obersten Ebene, die auf den zentralen Inventarisierungsserver zugreift, sicher, dass bei keiner dieser Einstellungen das HTTP-Protokoll verwendet wird. Wenn diese Inventarisierungsstation über einen Proxy auf eine andere Inventarisierungsstation in Ihrer Hierarchie zugreift, können Sie alternativ das Protokoll verwenden, das in Ihrer Umgebung erforderlich ist.

    Das Programm für den Paketabruf (Retriever) und das Startprogramm (Launcher) verwenden die folgenden Einstellungen zum Erfassen der Übernahme- und Upgradepakete vom Inventarisierungsserver.

    • [Registrierung]\Launcher\CurrentVersion\https_proxy =http://Proxyserver-URL:Portnummer
      Wichtig: Hierbei handelt es sich nicht um einen Schreibfehler. Der HTTPS-Proxy für das Startprogramm muss mit dem vorangestellten Protokollwerthttp:// angegeben werden.
  2. Ermitteln (und bei Bedarf erstellen) Sie ein benanntes Konto, das Stapelverarbeitungsprozesse auf der Inventarisierungsstation ausführen wird.
    Das Konto muss auf dem Server der Inventarisierungsstation über die folgenden Rechte verfügen:
    • Local administrator rights (Lokale Administratorrechte): erforderlich für den Betrieb der Software FlexNet Beacon
    • Logon interactively (Interaktiv anmelden): erforderlich, um sich anzumelden und für die Konfiguration des Proxy Microsoft Internet Explorer auszuführen (dieses Recht kann anschließend bei Bedarf wieder entfernt werden)
    • Logon as a service (Als Dienst anmelden): erforderlich, um die FlexNet Beacon-Engine als Dienst auszuführen
    • Logon as a batch job (als Batchjob anmelden): erforderlich, um geplante Aufgaben auszuführen
    Im Microsoft Service Manager der Inventarisierungsstation können Sie prüfen, unter welchem Konto der Dienst der FlexNet Beacon-Engine ausgeführt wird. Die FlexNet Beacon-Engine ist standardmäßig so konfiguriert, dass sie als lokaler SYSTEM-Benutzer ausgeführt wird. (Wenn Sie ein anderes Konto anlegen, beachten Sie bitte, dass durch ein Upgrade von FlexNet Beacon das Konto auf das lokale SYSTEM zurückgesetzt werden kann und Sie das Konto im Rahmen des Upgrade-Vorgangs erneut einrichten müssen.)
  3. Melden Sie sich unter dem benannten Konto an und starten Sie Internet Explorer:
    1. Navigieren Sie im Internet Explorer zu Extras > Internetoptionen.
    2. Wählen Sie im Dialogfeld Internetoptionen die Registerkarte Verbindungen aus.
    3. Klicken Sie auf LAN-Einstellungen.
    4. Gehen Sie im Dialogfeld Einstellungen für lokales Netzwerk wie folgt vor:
      • Übernehmen Sie die Standardeinstellung, die im Kontrollkästchen Einstellungen automatisch erkennen ausgewählt ist.
      • Vergewissern Sie sich, dass das Kontrollkästchen Skript für automatische Konfiguration verwenden deaktiviert ist (diese Option wird für die Kommunikation mit der Inventarisierungsstation nicht unterstützt).
      • Aktivieren Sie im Abschnitt Proxyserver das Kontrollkästchen Proxyserver für LAN verwenden.
      • Klicken Sie auf Erweitert und geben Sie im Dialogfeld Proxyeinstellungen weitere erforderliche Details ein.
    5. Klicken Sie so oft auf OK, bis alle Dialogfelder geschlossen wurden.
      Diese Einstellungen im Internet Explorer werden für die Kommunikation mit dem Batchserver-Endpunkt verwendet.
  4. Nur falls bei der Überprüfung von Zertifikaten von HTTPS-Datenübertragungen Verzögerungen in FlexNet Beacon auftreten, können Sie [Registrierung]\Common\CheckCertificateRevocation hinzufügen und diesen Wert auf „false“ (falsch) setzen.
    Wenn zwischen einer Inventarisierungsstation und dem Anwendungsserver ein Datenaustausch unter Verwendung des HTTPS-Protokolls stattfindet, wird für die übertragenen Daten ein Webserverzertifikat erstellt. Wenn Webserverzertifikate von Servern empfangen werden, stellt der entsprechende Agent eine Verbindung mit dem Server der Zertifizierungsstelle (Certification Authority, CA) her, damit gewährleistet ist, dass sich die Zertifikate nicht auf der Zertifikatsperrliste (Certificate Revocation List, CRL) befinden. Falls ein Agent die CRL nicht überprüfen kann (z. B. weil der Zugriff auf den CA-Server durch dessen Firewall oder durch einen Proxyserver verhindert wird), kann eine Systemverzögerung auftreten. Zur Verhinderung solcher Systemverzögerungen können Sie die Einstellung Common\CheckCertificateRevocation hinzufügen und auf False festlegen, sodass Code-Agenten in Zukunft keine CRL-Überprüfungen mehr vornehmen.
    Wichtig: Aus der Perspektive der Sicherheit ist es nicht ratsam, die CRL-Prüfung (Certificate Revocation List, Zertifikatsperrliste) zu deaktivieren, weil Sie dadurch nicht mehr feststellen können, wann ein Zertifikat gesperrt wurde (dies passiert, wenn die Zertifizierungsstelle erkennt, dass ein Server nicht mehr vertrauenswürdig ist, oder wenn ein privater Schlüssel beschädigt zu sein scheint). Stattdessen wäre es viel vorteilhafter, die Probleme zu beheben, die den Zugriff auf den CA-Server (Certification Authority, Zertifizierungsstelle) für die CRL-Prüfung verhindern.
  5. Konfigurieren Sie Folgendes zur Ausführung unter Ihrem gewählten benannten Konto:
    • den Dienst der FlexNet Beacon Engine
    • die geplante Aufgabe Upload third party inventory data (Inventardaten von Fremdanbieter hochladen)
    • die geplante Aufgabe Upload Flexera logs and inventories (Flexera-Protokolle und Inventardaten hochladen)
  6. Starten Sie den Dienst der FlexNet Beacon Engine neu.
  7. Wechseln Sie auf die Seite Inventarisierungseinstellungen. Vergewissern Sie sich im Bereich Einstellungen für Inventarisierungsstation, dass die Einstellung Genehmigte FlexNet Beacon-Version nicht den Wert Immer die neueste Version verwenden (derzeit Versionsnummer) anzeigt.
    Ein automatisches Upgrade, das sofort nach Veröffentlichung einer neuen Version für die Inventarisierungsstationdurchgeführt wird, würde dazu führen, dass das für die oben genannten geplanten Aufgaben und den Dienst verwendete benannte Konto unkontrolliert entfernt würde. Wenn Sie sich dafür entscheiden, ein Upgrade der Inventarisierungsstationen zuzulassen, überprüfen Sie den oben genannten Dienst und die Aufgaben und stellen Sie deren Konfigurationen zur Ausführung unter dem benannten Konto wieder her.
Wenn sowohl der Proxyserver als auch die Inventarisierungsstation wie oben beschrieben konfiguriert wurden, findet der Datenaustausch zwischen FlexNet Beacon und dem zentralen Anwendungsserver ordnungsgemäß statt und ermöglicht so das Herunterladen von Regeln und Updatepaketen für installierte FlexNet-Inventarisierungsagenten sowie das Hochladen erfasster Inventardateien.

IT-Asset-Management (Cloud)

Current