Import aus Active Directory

IT-Asset-Management (Cloud)
Damit manuelle Eingaben verringert und erweiterte Inventarisierungsfunktionen ermöglicht werden können, importiert die Inventarisierungsstation Daten aus Active Directory (falls verfügbar): Dabei sind Domänen, Standorte, Subnetze, Benutzer und Computer verfügbar. (Um Lizenzen für Anwendungen zu verwalten, bei denen der Zugriff über die Gruppenmitgliedschaft kontrolliert wird, zum Beispiel solche, die über Citrix und App-V bereitgestellt werden, importiert IT-Asset-Management auch Active Directory-Gruppen zusammen mit den Details, welcher Benutzer zu welcher Gruppe gehört. Die Komplexität von Gruppenmitgliedschaften wird in der Weboberfläche jedoch nicht dargestellt.) Für die Domäne, in der sich der Server der Inventarisierungsstation befindet, erfolgt dies standardmäßig automatisch. Sie können die Standardwerte auf jeder Inventarisierungsstation ändern.
Tipp: Wenn Sie eine Hierarchie von Domänen nutzen, müssen Sie die Active Directory-Daten von jeder Domäne und Unterdomäne separat sammeln. Das liegt daran, dass IT-Asset-Management die Trennung Ihrer Domänen berücksichtigt (beispielsweise die Trennung von Entwicklungs- und Testdomänen) und außerdem sowohl die Gruppenzugehörigkeit als auch die Foreign-Security-Principal-Objekte von jeder Domäne und Subdomäne sammeln muss. Dies erreichen Sie entweder durch eine Inventarisierungsstation innerhalb einer Zieldomäne oder durch Verwendung einer Inventarisierungsstation, die entweder über eine vertrauenswürdige Beziehung mit der Zieldomäne oder über einen Benutzernamen und ein Kennwort für den Zugriff auf die Zieldomäne verfügt.
Hinweis: Der Registrierung (Registry) auf dem Server der Inventarisierungsstation können verschiedene Einstellungen hinzugefügt werden, um zu konfigurieren, wie FlexNet Beacon versucht, Active Directory-Daten von einem Domänencontroller zu erfassen. Weitere Informationen finden Sie unter Registrierungsschlüssel für Inventarisierungsstationen und beginnen Sie bei ActiveDirectoryImporter.
Zur Erinnerung: Sie haben IT-Asset-Management möglicherweise so konfiguriert, dass Standorte (eine Art von Unternehmensgruppe) aus den von Active Directory importierten Standorten (Sites) automatisch angelegt werden (wechseln Sie auf die Seite IT-Asset-Management – Einstellungen Allgemeine Angaben, klicken Sie auf die Registerkarte Inventar und wählen Sie die Option Gerätestandort mit Standortsubnetzen synchronisieren aus). Wenn Sie diesen Ansatz verfolgen und IT-Asset-Management zur relevanten Quelle für Sub-Capacity-Berechnungen des PVU-Verbrauchs erklärt haben, müssen Sie auf die Seite IT-Asset-Standorte wechseln und sicherstellen, dass Links zu den IBM-Pflichtregionen hinzugefügt werden/wurden.

Starten Sie diesen Prozess in der Benutzeroberfläche der FlexNet Beacon.

Um Domänen, Standorte, Subnetze, Benutzer und Computer aus Active Directory zu importieren:

  1. Wählen Sie in der Benutzeroberfläche der FlexNet Beacon in der Gruppe Data collection (Datenerfassung) die Verknüpfung Active Directory aus.
    Die Liste Ihrer Active Directory-Verbindungen wird angezeigt. Standardmäßig enthält sie eine einzige Verbindung zur Erfassung von Active Directory-Daten aus der Domäne, in der sich diese Inventarisierungsstation befindet. Von dieser Registerkarte aus können Sie Active Directory-Importe auch vollständig deaktivieren oder eine bestimmte Active Directory-Verbindung aus der Liste auswählen und sie mit der Option Delete löschen.
  2. Wählen Sie einen der folgenden Schritte aus:
    • Wählen Sie eine bereits vorher definierte Active Directory-Verbindung in der Liste aus, und klicken Sie auf Edit... (Bearbeiten), um die Einstellungen dieser Verbindung zu ändern. (Verwenden Sie diese Option nur zur Fehlerkorrektur und nicht zur Wiederverwendung eines Eintrags für eine andere Domäne. Wählen Sie hierzu die alte Verbindung aus und erstellen Sie eine neue als Ersatz.)
    • Klicken Sie auf New (Neu), um eine neue Verbindung zu erstellen.
    Das Dialogfeld Active Directory Connection (Active Directory-Verbindung) wird angezeigt.
  3. Gehen Sie zum Festlegen (oder Ändern) der Werte in diesem Dialogfeld folgendermaßen vor:
    Steuerelement Kommentare

    Verbindungsname

    Ein aussagekräftiger Name für diese Verbindung, den Sie später in Listen leicht wiedererkennen. Der Name kann alphanumerische Zeichen, Unterstriche oder Leerstellen enthalten, muss aber entweder mit einem Buchstaben oder einer Zahl beginnen.

    Domain or domain controller (Domäne oder Domänencontroller) Lassen Sie dieses Feld für die Domäne leer, in der sich die Inventarisierungsstation befindet. Legen Sie anderenfalls den abzufragenden Domänencontroller fest, indem Sie eine der folgenden Informationen (in der bevorzugten Reihenfolge) angeben:
    1. den Namen des Domänencontrollers (zum Beispiel dcserver.tmnis.org)
    2. einen vollständig qualifizierten Domänennamen (zum Beispiel tmnis.org)
    3. seine IP-Adresse
    Tipp: Wenn Sie vorhaben, das Kontrollkästchen Use SSL (SSL verwenden) zu markieren (nachfolgend beschrieben), verwenden Sie nicht die IP-Adresse. Da eine IP-Adresse nicht mit dem allgemeinen Namen (Common Name oder CN) übereinstimmen darf, der in dem vom Domänencontroller verwendeten Zertifikat hinterlegt ist, schlägt die LDAPS-Anforderung fehl, wenn Sie SSL mit einer IP-Adresse anstelle des Namens des Domänencontrollers verwenden. Bei LDAPS (wenn Use SSL (SSL verwenden) markiert ist) können Sie eine der folgenden Optionen verwenden:
    • den vollständig qualifizierten Namen des Domänencontrollers, der genau mit dem allgemeinen Namen (CN) im SSL-Zertifkat übereinstimmen muss, das auf dem Domänencontroller verwendet wird. Wenn es einen korrekten Treffer gibt (und die Inventarisierungsstation der Zertifizierungsstelle des SSL-Zertifikats auf dem Domänencontroller vertraut), funktioniert LDAPS sowohl innerhalb einer einzigen Domäne als auch domänenübergreifend.
    • den vollständig qualifizierten Namen (ohne den Namen eines bestimmten Servers). In diesem Fall liefert der LDAPS-Dienst den am nächsten liegenden geeigneten Domänencontroller. Wenn er den Servernamen liefert, der mit dem allgemeinen Namen im SSL-Zertifikat auf diesem Domänencontroller übereinstimmt, funktioniert die LDAPS-Kommunikation sowohl innerhalb einer einzigen Domäne als auch domänenübergreifend. Aufgrund von DNS-Aliasen kann es vorkommen, dass der bereitgestellte Servername nicht mit dem allgemeinen Namen im SSL-Zertifikat übereinstimmt. In diesem Fall schlägt die LDAPS-Kommunikation fehl.
    Username (Benutzername) Geben Sie ein Konto an, das auf dem Zieldomänencontroller zumindest Leseberechtigungen hat. Wenn Sie dieses Feld leer lassen, versucht das Konto, das den Dienst der Inventarisierungsstation auf dieser Inventarisierungsstation ausführt, die Details aus Active Directory in der (Remote-)Zieldomäne zu lesen.
    Tipp: Das Konto für die Ausführung des FlexNet Beacon-Dienstes wurde angegeben, als diese Inventarisierungsstation installiert wurde.
    Password (Kennwort) Geben Sie das Kennwort für das benannte Konto ein. (Lassen Sie dieses Feld frei, wenn das Feld Username ebenfalls leer ist.)
    Use SSL (SSL verwenden)

    Markieren Sie dieses Kontrollkästchen, um das LDAPS-Protokoll (auch unter „LDAP über SSL“ bekannt) für die Kommunikation zwischen der Inventarisierungsstation und einem Domänencontroller zu verwenden.

    Verwenden Sie diese Einstellung nach sorgfältiger Überlegung. Markieren Sie dieses Kontrollkästchen, wenn:
    • der Domänencontroller, von dem die Inventarisierungsstation die Active Directory-Daten importieren soll, im Feld Domain or domain controller (Domäne oder Domänencontroller) vollständig spezifiziert ist (siehe Anmerkungen oben) und
    • der Domänencontroller so konfiguriert ist, dass er die Verwendung des LDAPS-Protokolls zulässt, und
    • die Inventarisierungsstation dem vom Domänencontroller verwendeten SSL-Zertifikat für ihre LDAPS-Kommunikation vertraut.
    Diese letzte Bedingung (das Vertrauen der Inventarisierungsstation in das Zertifikat des Domänencontrollers) wird gewöhnlich dadurch erreicht, dass sichergestellt wird, dass auf der Inventarisierungsstation eine Kopie des von der Zertifizierungsstelle (CA) ausgegebenen Stammzertifikats, das das Zertifikat des Domänencontrollers ausgegeben hat. lokal installiert ist.
    Hinweis: Vertrauen in das SSL-Zertifikat ist völlig unabhängig vom Vertrauen zwischen den betroffenen Domänen. Die Einrichtung von Vertrauensbeziehungen zwischen Domänen ist weder erforderlich noch ausreichend, um den Betrieb unter Verwendung des LDAPS-Protokolls sicherzustellen.
    Für LDAPS kann die Zertifizierungsstelle folgenden Ursprungs sein:
    • die Zertifizierungsstelle eines Fremdanbieters (wie zum Beispiel DigiCert). Zertifikate gut bekannter Fremdanbieter-Zertifizierungsstellen haben gute Chancen, auch ohne weitere Konfiguration erkannt zu werden, da Microsoft die Stammzertifikate vieler davon als Standardkomponente in Microsoft Windows- (und Windows-Server) installiert. In solchen Fällen wird Ihre Inventarisierungsstation dem SSL-Zertifikat des Domänencontrollers wahrscheinlich vertrauen.
    • Unternehmenszertifizierungsstellen, die mit dem Active Directory-Domänendienst integriert sind. Diese können für gesamtstruktur- und domänenübergreifende Zertifizierung konfiguriert sein. Ist das nicht der Fall, funktioniert das LDAPS-Protokoll in untergeordneten Domänen (in einer Gesamtstruktur), nicht jedoch über gleichrangige Domänen hinweg (es sei denn, es werden spezielle Regelungen getroffen, wie nachfolgend beschrieben).
    • eigenständige Zertifizierungsstellen, die nicht mit Active Directory integriert sind. Standardmäßig funktioniert das LDAPS-Protokoll bei eigenständigen Zertifizierungsstellen weder innerhalb einer einzelnen Domäne noch domänenübergreifend, es sei denn, es werden spezielle Regelungen getroffen.
      Tipp: Weitere Informationen zu Zertifizierungsstellen finden Sie unter https://technet.microsoft.com/en-us/library/hh831574.aspx.
    Wenn das Vertrauen in das SSL-Zertifikat des Domänencontrollers fehlt, wird die Erhebung von Active Directory-Daten bei markiertem Kontrollkästchen Use SSL (SSL verwenden) fehlschlagen. Um Abhilfe zu schaffen, haben Sie die folgenden Möglichkeiten:
    • Heben Sie die Markierung des Kontrollkästchens Use SSL (SSL verwenden) auf (es wird dann versucht, Active Directory-Daten über das Standard-LDAP-Protokoll zu erheben).
    • Treffen Sie spezielle Vorkehrungen, um eine Kopie des Stammzertifikats für die Zertifizierungsstelle (die das auf dem Ziel-Domänencontroller verwendete SSL-Zertifikat ausgibt) auf der Inventarisierungsstation, die die Active Directory-Daten anfordert, bereitzustellen. Das wird bei eigenständigen Zertifizierungsstellen mit an Sicherheit grenzender Wahrscheinlichkeit erforderlich sein, ist über Gesamtstrukturen (und einige Domänen) hinweg bei Unternehmens-Zertifizierungsstellen notwendig, und kann in seltenen Fällen bei Fremdanbieter-Zertifizierungsstellen erforderlich sein.
    Tipp: Um eine spezielle Konfiguration zu vermeiden, mit der Zertifikaten domänenübergreifend vertraut wird, kann die Inventarisierungsstation alternativ in der Domäne installiert werden, bei der die Active Directory-Daten abgefragt werden.
    Weitere Informationen zu Aktivierung von LDAPS finden Sie unter https://support.microsoft.com/en-au/kb/321051.
  4. Klicken Sie auf Save (Speichern), um das Dialogfeld zu schließen und die Active Directory-Verbindung in der Liste anzuzeigen.
  5. Wählen Sie die Verbindung in der Liste der aktuellen Importe aus, klicken Sie auf Schedule... (Planen), und wählen Sie einen Zeitplan für die Sammlung von Active Directory-Daten aus.
    Weitere Informationen zum Festlegen eines Zeitplans finden Sie unter Planen einer Verbindung.
Die Active Directory-Daten werden von der Inventarisierungsstation zur von Ihnen ausgewählten Zeit erhoben. Die abgeschlossenen Datenerhebungen werden dann zeitnah in die Cloud hochgeladen (der Upload wird standardmäßig alle 10 Minuten ausgelöst). Sobald die Daten vollständig in der Cloud bereitgestellt sind, werden sie umgehend in die Compliance-Datenbank importiert.

IT-Asset-Management (Cloud)

Current