Опубликован: 24.08.2010 | Уровень: для всех | Доступ: платный
Лекция 6:

Общие сведения о совместимости приложений

< Лекция 5 || Лекция 6: 123456 || Лекция 7 >

Использование MAP 4.0

Как было сказано ранее, Microsoft Assessment and Planning Toolkit в своей работе использует базу данных SQL. Поэтому после запуска мастера настройки первым шагом необходимо указать имя экземпляр базы данных рис. 6.5.


Рис. 6.5.

Указав имя экземпляра базы, завершается этап конфигурирования MAP. При необходимости можно использовать другую базу и в любой момент вернуться к уже созданной. Для того, чтобы понять с какой базой мы имеем дело, необходимо обратиться к самой нижней панели окна Microsoft Assessment and Planning Toolkit.

В данной лекции нас интересует только проверка программных и аппаратных средств компьютерного парка организации на совместимость с операционной системой Windows 7. Для этого необходимо в левой панели выбрать Inventory and Assessment, далее выбираем Discovery and Readiness -> Windows 7 Readiness.

Для сбора данных компьютерного парка необходимо использовать Inventory and Assessment Wizard. Ссылка на запуск мастера расположена в левой колонке.

На первом шаге мастера необходимо указать способ обнаружения компьютеров. Всего поддерживается 6 способов (рис. 6.6.) и на каждом из способах обнаружения мы остановимся чуть подробнее:

  1. Служба каталогов Windows (Active Directory Domain Service)

    Для осуществления данного метода приложение MAP подключается к контроллеру домена для получения списка компьютеров, используемых в целях инвентаризации. Для подключения к домену необходимо указать учетную запись и пароль, а также домен, обрабатывающий вход. Для подключения к домену учетная запись не обязательно должна обладать административными полномочиями. Запросы посылаются с помощью протокола LDAP (Liteweight Directory Access Protocol). Запросы формируется таким образом, чтобы в список попали компьютеры, последний вход в домен с которых осуществлялся не ранее чем 90 дней назад. Данный метод поддерживает экспорт до 120 000 компьютеров на домен. После подключения к контроллеру домена имеется возможность:

    • Найти все компьютеры во всех доменах, контейнерах и организационных единицах.
    • Найти компьютеры в отдельных доменах, контейнерах или организационных единицах.
  2. Сетевые протоколы Windows (Windows network protocols)

    Данный способ использует LAN Manager API запрос к службе "Обозреватель компьютеров" (Computer Browser) для получения списка инвентаризуемых компьютеров. Для успешной работы данного способа службы "Обозреватель компьютеров" и "Сервер" (Server) должны быть запущены на компьютере с MAP. Для данного способа нет ограничения на количество инвентаризуемых компьютеров за один раз.

  3. Импорт компьютеров из файла (Import computer names from file)

    Для данного метода необходимо создать текстовый файл, в котором имя каждого компьютера должно быть записано отдельной строкой. В данном файле поддерживаются следующие имена: имя компьютера, NetBIOS имя или полное доменное имя (FQDN – Fully Qualified Domain Names). За один проход поддерживается только один такой файл с количеством компьютеров не более 120 000.

  4. Сканирование диапазона IP адресов (Scan IP address range)

    Для этого метода необходимо указать первый и последний IP адрес в диапазоне. Имеется возможность указать более одного диапазона IP адресов. Утилита MAP автоматически просканирует указанный диапазон. Поддерживается не более 100 000 ip-адресов за один проход. Данный способ используется для инвентаризации компьютеров, не видимых методами обнаружения с помощью службы каталогов или сетевых протоколов Windows или если необходимо просканировать определенный сегмент сети.

  5. Ввод имен компьютеров вручную (Manually enter computer names and credentials)

    Данный метод используется, если необходимо произвести инвентаризацию нескольких компьютеров в целях тестирования функционирования MAP. Можно использовать имя компьютера, NetBIOS имя или FQDN.

  6. Серверы VMware (VMware Server Discovery)

Рис. 6.6.

Итак, мы разобрались со способами обнаружения компьютеров в сети. Каким же образом MAP собирает данные с указанных компьютеров? Существует несколько способов:

  1. Windows Management Instrumentation (WMI) – основной метод для сбора данных о программном и аппаратном обеспечении компьютеров в роле рабочих станций. WMI – мощный инструмент в руках системного администратора, дающий возможность получить доступ к самым потайным уголкам операционной системы.
  2. Служба удаленного реестра (Remote Registry service ) – используется для сбора информации об установленных ролях. В нашем случае она не используется. В основном применяется для сканирования ролей серверов.
  3. VMware Webservice – используется для инвентаризации хостов, запущенных на VMware ESX, VMware ESXi и VMware Server. В нашем случае она тоже не используется.

Разобравшись с методами обнаружения и способами инвентаризации, перед началом сканирования сети необходимо убедится и, при необходимости, произвести предварительные настройки сканируемых устройств, чтобы процесс завершился успешно и было получено как можно больше данных.

Настройка удаленных систем

Для успешного процесса инвентаризации необходимо произвести настройки сетевого экрана (Firewall) и разрешить запуск WMI сценариев.

Windows Management Instrumentation

Данный способ предназначен для сбора основных данных с клиентских компьютеров и серверов. Его настройка и успешное выполнение является очень важным, поэтому необходимо достаточно ответственно отнестись к процессу настройки. Неправильно собранная или недостаточно собранная информация может ввести нас в заблуждение и даже навредить. Запуск сценариев WMI необходимо разрешить на каждом компьютере. MAP не имеет в своем арсенале средств для активации данной функции, поэтому позаботится о возможности запуска сценариев WMI придется нам самим. Сделать это можно при помощи групповой политики или скриптов, а так же вручную. Для подключения по WMI необходимо, чтобы пользователь, выполняющий сценарии являлся членом локальной группы администраторов. Члены группы Domain Administrators (доменные администраторы) по умолчанию уже являются членами группы локальные администраторы. Во время конфигурирования инвентаризации в мастере есть возможность указать один или несколько учетных записей пользователей для подключения к провайдеру WMI.

Для компьютеров, не являющихся членами домена, т.е. находящихся в рабочей группе и имеющих только одного пользователя без пароля, необходимо либо создать еще одного пользователя и назначить ему пароль, либо задать пароль для текущего пользователя.

Разрешение удаленного администрирования

  • Нажмите кнопку "Пуск", выберите пункт"Выполнит"ь, введите команду gpedit.msc и нажмите кнопку "OК".
  • В корне консоли последовательно разверните узлы "Конфигурация компьютера", "Административные шаблоны", "Сеть", "Сетевые подключения", "Брандмауэр Windows" и выберите узел "Профиль домена".
  • Правой кнопкой мыши щелкните элемент "Брандмауэр Windows: Разрешать исключения для удаленного управления" и выберите пункт "Свойства".
  • Установите переключатель "Включен" и нажмите кнопку "ОК".

Предоставление разрешений на удаленный запуск DCOM

  • Нажмите кнопку "Пуск", выберите пункт "Выполнить", введите команду DCOMCNFG и нажмите кнопку "OК".
  • В диалоговом окне "Службы компонентов" последовательно разверните узлы "Службы компонентов", "Компьютеры" и "Мой компьютер".
  • На панели инструментов нажмите кнопку "Настройка моего компьютера".
  • Появится диалоговое окно "Мой компьютер".
  • В диалоговом окне "Мой компьютер" откройте вкладку "Безопасность СОМ".
  • В разделе "Разрешения на запуск и активацию" нажмите кнопку "Изменить ограничения".
  • Если требуемое имя пользователя или группы отсутствует в списке "Группы или пользователи" в диалоговом окне "Разрешение на запуск", выполните перечисленные ниже действия. В диалоговом окне "Разрешение на запуск" нажмите кнопку "Добавить".
  • В диалоговом окне "Выбор: Пользователи, Компьютеры или Группы" добавьте нужное имя пользователя или группы в поле "Введите имена выбираемых объектов" и нажмите кнопку "OК".
  • В диалоговом окне "Разрешение на запуск" нажмите кнопку "Добавить".
  • В диалоговом окне "Выбор: Пользователи, Компьютеры или Группы" добавьте нужное имя пользователя или группы в поле "Введите имена выбираемых объектов" и нажмите кнопку "OК".
  • В диалоговом окне "Разрешение на запуск" выберите в списке "Группы или пользователи" пользователя или группу. В списке "Разрешения для пользователя" установите в столбце "Разрешить" флажок "Удаленный запуск" и нажмите кнопку "OК".

Открытие порта DCOM

Перед тем как открывать порты в брандмауэре Windows, убедитесь, что в групповой политике включен параметр "Брандмауэр Windows: Разрешать локальные исключения для портов". Для этого выполните перечисленные ниже действия:

  • Нажмите кнопку "Пуск", выберите пункт "Выполнить", введите команду gpedit.msc и нажмите кнопку "OК".
  • В корне консоли последовательно разверните узлы "Конфигурация компьютера", "Административные шаблоны", "Сеть", "Сетевые подключения", "Брандмауэр Windows" и выберите узел "Профиль домена".
  • Правой кнопкой мыши щелкните элемент "Брандмауэр Windows: Разрешать локальные исключения для портов" и выберите пункт "Свойства".
  • Установите переключатель "Включен" и нажмите кнопку "ОК".

Кроме того, настроить исключения для портов можно с помощью параметра "Брандмауэр Windows: Задать исключения портов".

Модели DCOM сопоставлен TCP-порт 135. Чтобы открыть порт DCOM, выполните перечисленные ниже действия. Нажмите кнопку Пуск и выберите пункт Панель управления.

  • Дважды щелкните значок "Брандмауэр Windows" и откройте вкладку "Исключения".
  • Нажмите кнопку "Добавить порт".
  • В поле "Имя" введите "DCOM_TCP135", а в поле "Номер порта" введите "135".
  • Установите переключатель "порт ТСР" и нажмите кнопку "ОК".
  • Нажмите кнопку "ОК".
  • Нажмите кнопку "Пуск" и выберите пункт "Панель управления".

Чтобы открыть порт, можно также ввести следующую команду в командную строку:

netsh firewall add portopening [TCP/UDP][порт][имя]

Также должны быть открыты порты:

  • TCP порт 139 и 445
  • UDP порт 137 и 138

Если используется 64-разрядная операционная система необходимо включить WMI Windows Installer Provider (в 32-разрядных система он включен по умолчанию). Для этого необходимо выполнить следующие действия:

  1. Зайти в "Установка и удаление компонентов".
  2. Выбрать "Средства управления и наблюдения" выбрать "Детали".
  3. В окне "Средства управления и наблюдения" выбрать "WMI Windows Installer Provider" и нажать "OK".
  4. Затем нажать "Next".
< Лекция 5 || Лекция 6: 123456 || Лекция 7 >
Олег Сергеев
Олег Сергеев
Евгений Дедков
Евгений Дедков
Сергей Фатеев
Сергей Фатеев
Россия, г. Ростов - на - Дону
Максим Страмаус
Максим Страмаус
Россия, Таганрог