Voraussetzungen für Inventarisierungsstationen

IT-Asset-Management (Cloud)

Damit ein Computer als Inventarisierungsstation verwendet werden kann, muss er folgende Anforderungen erfüllen:

  • Er muss auf das Internet zugreifen können und Sicherheitseinstellungen aufweisen, die den vertrauenswürdigen Zugriff auf IT-Asset-Management zulassen (wie bei der Einrichtung beschrieben). Wenn Sie mehrere Inventarisierungsstationen haben, muss mindestens eine Zugang zum Internet haben, um auf den zentralen Anwendungsserver zugreifen zu können. Die anderen können in einem hierarchischen Aufbau als untergeordnete Inventarisierungsstationen eingerichtet werden.
  • Er muss mit Netzwerkgeschwindigkeit auf die Systeme zugreifen können, mit denen Informationen ausgetauscht werden. Dabei sind folgende Optionen möglich:
    • Inventarisierungssysteme von Drittherstellern, etwa Microsoft SCCM, IBM ILMT und andere, die bereits Inventardaten von mehreren Computern erfasst haben.
    • Bestimmte Systeme oder Geräte, von denen IT-Asset-Management zusätzliche Informationen sammelt, z. B. Oracle-Datenbanken, VMware vCenter u. Ä.
    • Einzelne Computer, von denen die Inventarisierungsstation Inventardaten direkt durch Remoteausführung erfasst, oder durch Delegieren der Inventarisierung an einen speziellen Inventarisierungsagenten, der über IT-Asset-Management verfügbar ist.
  • Installation eines der folgenden unterstützten Betriebssysteme:
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
    • Windows Server 2012
    • Windows Server Core 2008 R2 SP1 x64
    • Windows Server 2008 R2 SP1 x64
    • Windows Server Core 2008 SP2
    • Windows Server Core 2008 SP2 x64
    • Windows Server 2008 SP2
    • Windows Server 2008 SP2 x64
    • Windows 10
    • Windows 10 x64
    • Windows 8
    • Windows 8 x64
    • Windows 7 SP1
    • Windows 7 SP1 x64
  • Installation der folgenden ebenfalls erforderlichen Software (die meisten dieser Softwarekomponenten werden standardmäßig gemeinsam mit den oben aufgeführten Betriebssystemen installiert und sind daher vorhanden, es sei denn, sie wurden gezielt entfernt):
    • PowerShell ab Version 3.0
    • Ein unterstützter Webbrowser, beispielsweise Microsoft Internet Explorer 8 (oder höher)
    • IIS 7.0 (oder später) mit installiertem ASP.NET 4.5 (oder später) (.NET v 4.6.2 oder später wird empfohlen).
      Tipp: Wenn Sie Inventardaten für Microsoft Office 365 erfassen, wird eine Version mindestens ab .NET 4.5.2 vorausgesetzt.
      Hinweis: Wenn IIS auf dem Server der Inventarisierungsstation nicht ausgeführt werden kann, stellt die Software der Inventarisierungsstation (FlexNet Beacon) einen eingeschränkten, selbst gehosteten Webdienst bereit. Dieser reicht für die Inventarisierung aus, unterstützt jedoch weder die Authentifizierung noch HTTPS noch den Zugriff auf SAP. Daher ist diese Alternative nur für Fälle geeignet, in denen der Zugriff anonym über HTTP erfolgt. Eine Liste der Unterschiede zwischen IIS und dem selbst gehosteten Webserver finden Sie unter Konfiguration der Inventarisierung.
    • Das Sicherheitsprotokoll für .NET muss entsprechend dem Zweck jeder Inventarisierungsstation richtig konfiguriert sein:
      • Aktivieren Sie für eine Inventarisierungsstation, die mit einer Version vor 3.4 von Oracle VM Manager verbunden ist, nur TLS 1.0. Frühere Versionen von Oracle VM Manager sind TLS-versionsintolerant, was zu Fehlern beim Hochladen des Inventars führen kann, wenn spätere Versionen von TLS verfügbar sind. Versionen ab 3.4 von Oracle VM Manager unterstützen TLS 1.1 und 1.2.
        Tipp: Wenn eine Inventarisierungsstation eine frühe Version des TLS-Protokolls verlangt, sollten Sie überlegen, sie zu einer untergeordneten Inventarisierungsstation innerhalb des Schutzes durch die Firewall Ihres Unternehmens zu machen. Sie kann dann Daten mit einer übergeordneten Inventarisierungsstation austauschen, die modernere Protokolle verwendet und über das Internet mit dem zentralen Anwendungsserver verbunden ist.
      • Wenn die Inventarisierungsstation Business Adapter Studio ausführt oder Importe über den Business Importer durchführt, wird bei den entsprechenden Geschäftsdaten-Uploads das im Betriebssystem festgelegte Sicherheitsprotokoll verwendet. Vergewissern Sie sich, dass der Standard für Ihre Implementierung geeignet ist.
      • Die Inventarisierungsstationen auf der obersten Ebene (die mit einer Flexera-Cloud-Instanz von IT-Asset-Management verbunden sind) müssen TLS 1.1 und/oder 1.2 aktivieren (beide Versionen werden unterstützt; für SSL 3 und TLS 1.0 wurde der Support aufgrund bekannter Sicherheitsrisiken jedoch eingestellt).
      Tipp: Eine Anleitung zur Konfiguration von TLS-Protokollen auf Ihren Inventarisierungsstationen finden Sie im Wissensdatenbankartikel https://community.flexera.com/t5/FlexNet-Manager-Knowledge-Base/Transport-Layer-Security-TLS-1-1-amp-1-2-Configuration/ta-p/2250 der Flexera-Community.
  • Wenn Sie vorhaben, einen Businessadapter mit dem Business Importer als Treiber einzusetzen, um XSLX-, XLS- oder CSV-Dateien über diese Inventarisierungsstation zu importieren, müssen Sie darauf achten, dass die 32-Bit-Version des Microsoft ACE OLEDB 12.0 Provider installiert ist (überprüfen Sie dies unter „Programme hinzufügen/entfernen“). Bei Bedarf können Sie diesen Provider unter https://www.microsoft.com/en-us/download/details.aspx?id=54920 erhalten. Achten Sie darauf, die 32-Bit-Version auszuwählen.
    Tipp: Diese Voraussetzung gilt nur für Importe durch den Business Importer. Auch eine Inventarisierungsstation kann dazu genutzt werden, Importe des in Excel-Tabellen erfassten Inventars zu planen. Bei diesem separaten Vorgang wird jedoch der Standardtreiber .NET verwendet und es ist keine Installation eines Providers erforderlich.
  • Wenn Sie möchten, dass diese Inventarisierungsstation Oracle-bezogene Inventardaten erfasst, müssen Sie den entsprechenden Treiber für Oracle Provider for OLE DB installieren. Für die Inventarisierungsstation muss dies eine 32-Bit-Treiberversion sein, und der Treiber muss die spezifische Version der jeweiligen Datenbankinstanz unterstützen, auf die diese Inventarisierungsstation zugreift. Lesen Sie die Informationen zu den unterstützten Plattformen, und laden Sie den entsprechenden Treiber unter http://www.oracle.com/technetwork/developer-tools/visual-studio/downloads/index.html herunter.
    Hinweis: Wenn Ihr Oracle-Bestand unterschiedliche Datenbankversionen enthält und Sie somit mehr als einen Oracle-Treiber benötigen, müssen Sie die Treiber jeweils auf separaten Inventarisierungsstationen installieren.
  • Soll diese Inventarisierungsstation Inventardaten vom IBM License Metric Tool (ILMT) importieren, ist eine Verbindung zur ILMT-Datenbank erforderlich. Bei der Datenbank kann es sich um eine Microsoft SQL-Datenbank oder eine IBM DB2-Datenbank handeln. Bei einer DB2 muss auf der Inventarisierungsstation ein entsprechender Treiber installiert sein. Je nach Umgebung und Anforderungen kann eine der folgenden Optionen verwendet werden:
    • Microsoft OLEDB-Anbieter für DB2 Version 2.0 oder höher. Sie verfügen möglicherweise bereits über Version 3 des Microsoft OLE DB-Anbieters, der als Teil des Microsoft SQL Server 2008 RS Feature Packs bereitgestellt wird. Alternativ dazu können Sie den Treiber auf der Seite http://go.microsoft.com/fwlink/?LinkID=188403&clcid=0x409 herunterladen. Beachten Sie, dass dieser Treiber ggf. eine Lizenzierung von Microsoft SQL Server auf der Inventarisierungsstation erfordert und diese Option daher nur in bestimmten Fällen sinnvoll ist.
    • Der OLE DB-Treiber im IBM Data Server Driver Package, den Sie folgendermaßen finden können:
      1. Beginnen Sie bei http://www-01.ibm.com/support/docview.wss?uid=swg27007053 und klicken Sie im Abschnitt DB2 Fix Packs auf das gewünschte Fix Pack für die bei Ihnen installierte Version von DB2.
      2. Blättern Sie auf der eingeblendeten Support-Seite nach unten zum Abschnitt Download fix pack images per operating system (Fix Pack-Images nach Betriebssystem herunterladen).
      3. Nicht nur muss das Betriebssystem mit dem Ihrer Inventarisierungsstation übereinstimmen, sondern auch die Plattform muss stimmen: Sie brauchen einen 64-Bit-Treiber auf einer 64-Bit-Plattform bzw. einen 32-Bit-Treiber auf einer 32-Bit-Plattform. Wenn Sie auf das +-Zeichen über der entsprechenden Überschrift klicken, blenden Sie weitere Links für dieses Betriebssystem und die Plattform ein.
      Hinweis: Für die Integration mit ILMT wird in der Regel eine kommerzielle (bezahlte) Lizenz für die zugrunde liegende DB2-Datenbank benötigt. Ihre Lizenz von IBM muss den Zugriff von Fremdanbietern auf die Datenbank abdecken. Passende Beispiele sind die DB2 Workgroup Server Edition oder (für erweiterte Funktionen der DB2) die DB2 Enterprise Server Edition oder die Advanced Enterprise Server Edition. Die kostenlose DB2-Paketlizenz für ILMT umfasst keine Zugriffsrechte für Fremdanbieter.
  • Wenn Sie auf der Inventarisierungsstation IIS als Ihren Webdienst verwenden, vergewissern Sie sich, dass die folgenden IIS-Rollen/-Dienste konfiguriert sind. Auf einem Windows-Server-Betriebssystem greifen Sie folgendermaßen auf diese Einstellungen zu:
    1. Führen Sie in der Systemsteuerung für die Verwaltung den Server-Manager aus.
    2. Wählen Sie im Dashboard die Option Rollen und Features hinzufügen.
    3. Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features die Option Serverrollen.
    Blättern Sie durch die Liste mit den Rollen und klappen Sie diese nach Bedarf auf, um sich zu vergewissern, dass alle folgenden Elemente ausgewählt sind:
    • Webserver > Anwendungsentwicklung > .NET-Erweiterbarkeit 4.5
    • Webserver > Anwendungsentwicklung > ASP.NET 4.5.+
    • Webserver > Anwendungsentwicklung > ISAPI-Erweiterungen
    • Webserver > Allgemeine HTTP-Features > Verzeichnissuche
    • Webserver > Allgemeine HTTP-Features > HTTP-Fehler
    • Webserver > Allgemeine HTTP-Features > Statischer Inhalt
    • Webserver > Integrität und Diagnose > HTTP-Protokollierung
    • Webserver > Leistung > Komprimierung dynamischer Inhalte
    • Webserver > Leistung > Komprimierung statischer Inhalte
    • Webserver > Sicherheit > Standardauthentifizierung
    • Webserver > Sicherheit > Windows-Authentifizierung
      Tipp: Wenn Sie sich dafür entscheiden, auch Webserver > Sicherheit > Anforderungsfilterung zu aktivieren, achten Sie darauf, keine Dateierweiterungen herauszufiltern, die der FlexNet-Inventarisierungsagent beim Download erwartet. Dazu gehören .osd, .npl, .nds und .ini.
  • Für den Zugriff auf die Benutzeroberfläche der Inventarisierungsstation wird ein Konto mit Administratorrechten auf dem Server der Inventarisierungsstation benötigt.
  • Wenn möglich sollten die Microsoft-Internetinformationsdienste (IIS) auf Inventarisierungsstationen für die anonyme Authentifizierung konfiguriert werden, sodass auf anderen Zielgeräten installierte FlexNet-Inventarisierungsagenten frei auf den Webdienst auf der Inventarisierungsstation zugreifen können. Dahinter steht die folgende Logik:
    • Jeder installierte FlexNet-Inventarisierungsagent leitet sowohl für Uploads als auch für Downloads die Kommunikation mit den Inventarisierungsstationen ein.
    • Für jeden Kommunikationssatz wählt der FlexNet-Inventarisierungsagent die gerade bevorzugte Inventarisierungsstation aus einer Liste der verfügbaren Stationen aus, die als Bestandteil der Agentenrichtlinie heruntergeladen wird (diese Liste wird häufig auch als Failover-Liste bezeichnet). Die Failover-Liste wird von jeder Inventarisierungsstation auf Anforderung aus einer primären (Haupt-)Liste erstellt, die vom zentralen Anwendungsserver regelmäßig auf alle Inventarisierungsstationen herunterladen wird.
    • Damit über die Failover-Liste keine Anmeldeinformationen verteilt werden, enthält die Liste nur die Inventarisierungsstationen, für die eine anonyme Authentifizierung konfiguriert wurde. Daher ist es wichtig, dass für mehrere Inventarisierungsstationen eine anonyme Authentifizierung konfiguriert ist.
    • Auch wenn durch die Konfiguration eine leichte Einflussnahme möglich ist, kann nicht verhindert werden, dass der FlexNet-Inventarisierungsagent die Inventarisierungsstation aus seiner Zielliste auswählt, die am schnellsten reagiert. Das ist auch gar nicht wünschenswert, da dieses Verhalten eine Art systemweiten Lastenausgleich bewirkt und als Schutz vor vorübergehender Nichterreichbarkeit einer bestimmten Inventarisierungsstation fungiert.
      Tipp: Jeder FlexNet-Inventarisierungsagent kann bei der Installation mit einem Satz an Anmeldeinformationen für seine Bootstrap-Inventarisierungsstation konfiguriert werden (das ist die Station, die er nach der Installation zuerst kontaktiert). Der Algorithmus für die Auswahl einer Inventarisierungsstation kann den FlexNet-Inventarisierungsagent dahingehend beeinflussen, dass er bei künftigen Kommunikationsversuchen wieder seine Bootstrap-Inventarisierungsstation verwendet, so lange diese Station entsprechend reagiert. Es ist jedoch weder möglich noch wünschenswert, eine Instanz des FlexNet-Inventarisierungsagenten permanent an eine bestimmte Inventarisierungsstation zu binden. Nach dem erstmaligen Download seiner Agentenrichtlinie wählt der FlexNet-Inventarisierungsagent für jeden nachfolgenden Kommunikationsversuch seine Inventarisierungsstation frei aus.

      Abschließend sei gesagt, dass die Tatsache, dass in einem installierten FlexNet-Inventarisierungsagenten die Anmeldeinformationen für eine Inventarisierungsstation hinterlegt sein können, die Standardauthentifizierung verwendet, die einzige Ausnahme für die allgemeine Regel bildet, dass die Failover-Liste nur Inventarisierungsstationen enthält, für die anonyme Authentifizierung konfiguriert wurde. Da jede Inventarisierungsstation auf Anforderung eine Failover-Liste erstellt, um der erhaltenen Anforderung der Agentenrichtlinie nachzukommen, fügt eine gesicherte Inventarisierungsstation sich selbst in die angeforderte Failover-Liste ein, da klar ist, dass der installierte FlexNet-Inventarisierungsagent bereits über die Anmeldeinformationen verfügt, um auf die gesicherte Inventarisierungsstation zuzugreifen (da er ja gerade seine Agentenrichtlinie von dieser Station angefordert hat). Die von einer beliebigen anderen Inventarisierungsstation auf Anforderung von anderen installierten Instanzen des FlexNet-Inventarisierungsagenten erstellte Failover-Liste enthält dagegen nicht die gesicherte Inventarisierungsstation, da in diesem Fall nicht klar ist, dass diese anderen Instanzen des FlexNet-Inventarisierungsagenten bereits über die erforderlichen Anmeldeinformationen verfügen.

      Aus diesem Verhalten folgt noch etwas anderes: Wenn manche installierten FlexNet-Inventarisierungsagenten bevorzugt eine gesicherte Inventarisierungsstation kontaktiert haben, über deren Anmeldeinformationen sie verfügten (weil diese Station ihre Bootstrap-Inventarisierungsstation war), und Sie bei einer späteren Sicherheitsüberprüfung das Kennwort für diese gesicherte Inventarisierungsstation ändern (dann aber nicht dazu kommen, alle betroffenen Zielgeräte zu aktualisieren), werden jetzt alle nachfolgenden Anforderungen und Uploads auf die Ex-Bootstrap-Inventarisierungsstation aufgrund der veralteten Anmeldeinformationen auf den anvisierten inventarisierten Geräten fehlschlagen. Auch in dieser Situation ist es entscheidend, in der Failover-Liste andere Inventarisierungsstationen zu haben, für die anonyme Authentifizierung konfiguriert ist. Ohne diese Stationen könnten die installierten FlexNet-Inventarisierungsagenten „verwaisen“ und nicht mehr in der Lage sein, Inventar hochzuladen, ihre Agentenrichtlinie zu aktualisieren oder sich selbst eigenständig mit neuen Softwareversionen zu aktualisieren.

      Allgemein gilt, dass zum Erhöhen der Sicherheit von Inventarisierungsstationen diese zuerst für einen Zugriff unter Verwendung des HTTPS-Protokolls konfiguriert werden sollten. Standardauthentifizierung sollte nur bei Konfigurationen hinzugefügt werden, bei denen dies als äußerst wichtig angesehen wird.

IT-Asset-Management (Cloud)

Current