Release Notes Version 6.0
protecting companies from the inside out
D/AE
2
Haftungsausschluss Die in diesem Dokument gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von Protected Networks im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von Protected Networks weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website von Protected Networks veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen.
Urheberrecht
Support
8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei Protected Networks GmbH liegen.
+49 30 390 63 45 – 99
[email protected] https://susi.8man.com
Marken und geschäftliche Bezeichnungen sind – auch ohne besondere Kennzeichnung – Eigentum des jeweiligen Markeninhabers.
Protected Networks GmbH Alt-Moabit 73 10555 Berlin +49 30 390 63 45 - 0 www.protected-networks.com
Access Rights Management. Only much Smarter.
www.8man.com
3
1
Limitierungen in der Evaluierungsversion ...................................................................................................... 4
2
Version 6.0 ..................................................................................................................................................... 5 2.1
Neu: 8MATE FS Logga für EMC® ........................................................................................................ 5
2.2
Neu: Report “FS Logga Berechtigungsverlauf” für EMC® und NetApp® ............................................ 7
2.3
Neu: 8MATE GrantMA - Benutzer und Gruppen bestellen ................................................................ 9
2.4
Neu: DataOwner mit Templates ...................................................................................................... 11
2.5
Neu: 8MATE GrantMA mit Open Order ........................................................................................... 12
2.6
Erweiterungen: Zusätzliche Attribute in Reports ohne Limitierung ................................................ 12
2.7
Erweiterungen: Aufgabenplanung ................................................................................................... 12
2.8
Erweiterung: Report „Wo hat ein Benutzer Zugriff?“ ...................................................................... 13
2.9
Erweiterung: 8MATE for Exchange – Postfach-aktivierte Öffentliche Ordner ................................. 13
3
Behobene Probleme ..................................................................................................................................... 15
4
Bekannte Probleme ...................................................................................................................................... 15
5
How To ......................................................................................................................................................... 16 5.1
Update der Kollektoren ................................................................................................................... 16
5.2
Auf einem Windows 2003 Server File Server beträgt die Prozessorlast bis zu 100% verursacht durch wmiprvse.exe (WMI) ............................................................................................................. 17
5.3
Auslesen von EMC Celera File Server ............................................................................................... 17
5.4
Einstellung von Wiederholungsversuchen bei Setzen der Berechtigungen auf den File Servern ... 17
5.5
Einstellung von IP Adressen, die 8MAN nicht beachten soll ........................................................... 18
5.6
Laden von Kommentaren verhindern .............................................................................................. 19
5.7
Folgen von Symlinks......................................................................................................................... 20
5.8
Ändern der Maximalanzahl der zu ladenden OUs ........................................................................... 21
5.9
Welche Objekte werden aus dem Active Directory gelesen............................................................ 21
5.10
Modifizieren der internen Blackliste................................................................................................ 22
5.11
UAC .................................................................................................................................................. 23
5.12
Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? ............................................................................................................. 23
Anhang .................................................................................................................................................................. 24 Anhang I: Software-Lizenzvereinbarungen ....................................................................................................... 24
Access Rights Management. Only much Smarter.
www.8man.com
4
1 Limitierungen in der Evaluierungsversion Neben der zeitlichen Limitierung der Nutzung von 8MAN sind alle Reporte auf 100 Zeilen beschränkt. XPS und PDF Reports der Zugriffsberechtigungen sind auf 6 Seiten limitiert. Der Simulationsmodus im Gruppen Wizard bezieht sich nur auf das Verzeichnis ändern.
Access Rights Management. Only much Smarter.
www.8man.com
5
2 Version 6.0 2.1 Neu: 8MATE FS Logga für EMC® Neben dem FS Logga für Windows Fileserver und NetApp Fileserver ist jetzt auch der Logga für EMC® Fileserver verfügbar. Unterstützt werden Systeme ab NAS 5.5 oder höher. Das Erstellen einer EMC Logga Konfiguration und die Einrichtung der gewünschten Report-Konfiguration ist identisch mit der Konfiguration beim FS Logga für Windows Fileserver. Unterschiede gibt es in der Kollektor-Konfiguration und der Anbindung des Fileservers, welche in den folgenden Kapiteln beschrieben werden.
2.1.1 Kollektor für den FS Logga für EMC-Fileserver installieren Der Kollektor für den FS Logga für EMC-Fileserver kann nicht auf dem zu überwachenden EMC Fileserver installiert werden. Er muss auf einem Windows Server installiert werden, auf dem der EMC Common Event Enabler. EMC empfiehlt dringend einen Server aus demselben Netzsegment zu wählen, da es sonst zu Performance- und Routingproblemen kommen kann. Der FS Logga für EMC Fileserver, benötigt keine Treiber oder Agents auf dem EMC-Fileserver selbst. Daher müssen Sie nur einen 8MAN Kollektor installieren:
Bei der Anmeldung eines EMC Fileservers im Active Directory wird als eine Eigenschaft auch das Betriebssystem eingetragen. Dieses wird vom Kollektor verwendet, um Fileserver vom Type EMC zu erkennen und entsprechend bei der Einrichtung eines FS Logga als solchen zu kennzeichnen. In der Kollektor Konfigurations-Datei sind standardmäßig zwei Typen von EMC Fileserver Betriebssystemen gesetzt: „EMC File Server“ und „EMC Celerra File Server“. Wenn in Ihrem System die EMC Fileserver andere Werte für das Attribut "operatingSystem" haben, können Sie die Kollektor-Suchwerte anpassen. Dazu öffnen Sie auf dem Fileserver mit dem installierten Kollektor die pnCollector.config.xml-Datei unter C:\ProgramData\protected-networks.com\8MAN\cfg (wenn nicht vorhanden aus C:\Programme \protected-networks.com\8MAN\etc kopieren, den Inhalt löschen und die folgenden Zeilen einfügen):
Access Rights Management. Only much Smarter.
www.8man.com
6
EMC File Server,EMC Celerra File Server
Wenn mehrere Werte für das Attribut "operatingSystem" vorhanden sind, tragen Sie diese einfach mit Komma getrennt ein. Haben nicht alle oder gar kein Fileserver einen Wert für das Attribut „operatingSystem“, so lassen Sie diesen Eintrag leer:
Bei einem leeren Eintrag werden sämtliche mit der Active Directory Anmeldung 'sichtbaren' Fileserver aufgelistet.
2.1.2 Installation EMC Common Event Enabler Neben der Konfiguration des Kollektors ist auch eine Konfiguration des EMC Fileservers notwendig, um die Aufzeichnung der Dateiänderungen zu ermöglichen. Die Überwachung von EMC Fileservern benötigt die Installation der EMC spezifischen Anwendungssoftware “Common Event Enable Framework” (CEE). Dieses kann in der jeweilig aktuellen Version von den EMC Support Seiten geladen werden. Die weiteren maschinenspezifischen Installationsschritte können aus den zu Ihrer Version dazugehörigen Anwendungshandbüchern entnommen werden. Diese sind zu finden unter https://community.emc.com.
2.1.3 8MAN spezifische Anpassung EMC CEE Service Für die effiziente Verbindung zwischen dem 8MAN Kollektor und dem CEE Framework sollten beide Komponenten auf einem Server laufen. Die Verbindung von 8MAN Kollektor und CEE Framework wird durch eine Änderung in den CEE Windows Registry Einträgen gesteuert. Unter dem Registrierungspunkt „[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP]“ müssen folgende Einträge angepasst, beziehungsweise erzeugt werden. [HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] Enabled=(REG_DWORD) 0x00000001 Für eine lokale Verarbeitung der Daten wird folgender Endpoint Eintrag vorgenommen [HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint=(REG_SZ) "pnTracer" Für Änderungen benötigen Sie Admin-Schreibrechte. Nach erfolgten Eintrag muss der Service neu gestartet werden um die Änderungen zu übernehmen. Das kann mittels der grafischen Service Management Konsole oder dem Kommandozeilenaufruf „net [start|stop] „emc cava“ erfolgen.
Access Rights Management. Only much Smarter.
www.8man.com
7
2.2 Neu: Report “FS Logga Berechtigungsverlauf” für EMC® und NetApp® Dieser Report liefert basierend auf den Daten die mit dem 8MATE FS Logga aufgezeichnet wurden eine Übersicht über die Änderungen der Berechtigungslage in einem auszuwählenden Zeitraum. Weiterhin beinhaltet der Report die Darstellung der Berechtigungen zur Anfangs- und Endzeit basierend auf den jeweils passenden Scan-Daten. Dieser Report ist nur für NetApp- und EMC®-Fileserver verfügbar. Voraussetzungen (8MAN Konfiguration): -
Für 8MATE FS Logga muss der neue Reportyp “ACL-Änderungen im Detail” aktiviert und vollständig konfiguriert sein
-
Ein FS-Scan für den gleichen Server, der die überwachten Verzeichnisse beinhaltet muss existieren, damit Startund Endsituation dargestellt werden können
Der Report ist erreichbar auf der Startseite, allerdings nur sichtbar unter folgenden Bedingungen: -
Gültige Konfiguration existiert
-
Feature-Feature „FS Logga Reporte“ muss aktiviert sein
-
Angemeldeter Benutzer muss Administrator sein
Neben der Möglichkeit den Report direkt auszuführen ist es auch möglich eine Ausführung zu planen. In diesem Fall wird empfohlen für den Report nicht ein fixes Anfangs- und Enddatum auszuwählen, sondern einen sich automatisch anpassenden Zeitraum. Der Report erlaubt (wie auch der Berechtigungsreport „Wer hat wo Zugriff?“) die Festlegung der Gruppen/Nutzerdarstellung sowie das zusätzliche Ausgeben von AD-Attributen.
Access Rights Management. Only much Smarter.
www.8man.com
8
Der Report kann folgende Tabellenblätter beinhalten: -
Konfiguration: Zusammenfassung der verwendeten Einstellungen
-
Logga Konfigurationsänderungen: Übersicht über die Einstellungen des FS Logga, die während des Berichtszeitraums geändert wurden
-
Start-Situation: Berechtigungslage zum Beginn des Berichtszeitraums für Ordner
-
Logga-Aufzeichnungen: Übersicht über alle Berechtigungsänderungsereignisse
-
Details: Details zu den einzelnen Änderungsereignissen inkl. Wer? Wann? Was? Wo?
-
8MAN-Änderungen: Auflistung der Änderungen die mit 8MAN durchgeführt wurden, inkl. Kommentar des 8MANBenutzers
-
Ist-Situation: Berechtigungslage zum Ende des Berichtszeitraums für Ordner
Hinweis: Das Ermitteln der notwendigen Daten für diesen Report, also der Details der Berechtigungsänderungen, erhöht, je nach Größe (Anzahl Unterverzeichnisse und Dateien) der zu überwachenden Verzeichnisse, den Speicher- und PerformanceBedarf des Kollektors und in geringerem Maße auch den des zu überwachenden Fileservers. In der FS-Logga Konfiguration sollte deshalb die Verzeichnisauswahl für den Reportyp “ACL-Änderungen im Detail” auf die unbedingt notwendigen Verzeichnisse eingeschränkt werden.
Access Rights Management. Only much Smarter.
www.8man.com
9
2.3 Neu: 8MATE GrantMA - Benutzer und Gruppen bestellen Im Zuge der funktionalen Erweiterungen der GrantMA werden mit dem aktuellen Release Möglichkeiten bereitgestellt, die es Bestellern erlaubt, neue Active Directory Benutzer bzw. – Gruppen anzufordern. Die Bestellungen werden auf Grundlage von Vorlagen / Templates erzeugt. Diese neu im System zu verankernden DataOwner-Ressourcen beinhalten alle notwendigen Bestandteile für die Anzeige und für Validierungen von Eingaben. Diese Vorlagen sind vom Kunden herzustellen. Konkrete Bespiele bzw. eine Beschreibung der einzelnen Bestandteile des Templates finden Sie in einer separaten Dokumentation und im Installationsverzeichnis. Die Kompatibilität zur Vorgängerversion wird über sogenannte Standardtemplates sichergestellt. Diese garantieren den Zustand vor Einführung der neuen Templates. Es werden 3 Benutzer- und ein Gruppentemplate zur Verfügung gestellt.
Die Standardtemplates sind nicht in der GrantMA bestellbar. Die Bestelloptionen der GrantMA werden über die Data Owner Konfiguration gesteuert. (siehe 2.4) Die GrantMA enthält bei entsprechender Konfiguration zusätzliche Schaltfläche für die Account-Bestellung.
Access Rights Management. Only much Smarter.
www.8man.com
10
Die Eingabemaske für die Accounterstellung wird auf Grundlage der neuen Templates aufgebaut. Die Bestellung selbst bleibt unverändert. Eventuelle Probleme bei der Erzeugung werden in der Autorisierungsanfragen-Übersicht in der 8MAN Anwendung reportet und können dort beseitigt werden. z.B. Mehrdeutigkeit des SamAccountNamen Hinweis: Das Hinterlegen von Credential-Informationen für das Erstellen neuer Konten erfolgt in der Scan/Änderungskonfiguration der jeweiligen Domäne. Wenn der Wunsch besteht, die Kontoinformationen immer manuell anzugeben, dann sollte die (finale) Genehmigung in der 8MAN Anwendung erfolgen, da sonst die Kontenerzeugung beim Erstversuch natürlich fehlschlägt und dann stets durch den Admin nachgebessert werden müsste. Nur die 8MAN Anwendung ermöglicht das nachträgliche Setzen von Credential-Informationen.
Der Ausfüllhinweis in der Ansicht oben basiert auf einer definierten Validierungsregel für dieses Eingabefeld im Template. Eine korrekte Eingabe ist in diesem Fall zwingend für eine erfolgreiche Bestellung. Die graue Hinterlegung des Felds „Firma“ beschreibt ein nicht änderbares Feld. Alle verfügbaren Funktionalitäten sind in einem separaten Dokument zusammengefasst.
Access Rights Management. Only much Smarter.
www.8man.com
11
2.4 Neu: Templates in der DataOwner Konfiguration bestellbar machen Die DataOwner Konfiguration muss mit den Templateobjekten erweitert werden. Der Genehmiger eines Templates benötigt ein 8MAN Benutzer sowohl die Rolle „Ändern Zugriff“ (im Beispiel: Willma Anders), als auch Schreibzugriff auf die Organisationseinheit (OU) in der die Konten erstellt werden sollen. Das Templateobjekt in den verwendbaren Ressourcen steuert die Verantwortlichkeit und Bestellbarkeit. Sollen Templates nur bestellbar sein, muss der Einkaufswagen für die Konfiguration aktiv sein:
Wird der Einkaufswagen auf inaktiv gesetzt, ist der DataOwner Genehmiger für die dort konfigurierten Templates. Der Besteller Sam Balölek kann sowohl das Template „Entwicklung Berlin/Erkner“ als auch „Freier Mitarbeiter (USA)“ bestellen, während Will Anders nur das Template „Entwicklung Berlin/Erkner“genehmigen kann. Templates in den „Verwendbaren Ressourcen“ haben immer den Einkaufswagen als Icon daneben.
Die selbst definierten Templates sind zusätzlich in der 8MAN-Anwendung benutzbar. Durch ihre Bindung für eine festgelegte Domäne kommen nur die Templates zur Auswahl, die der aktuell selektierten Domäne zugeordnet sind.
Access Rights Management. Only much Smarter.
www.8man.com
12
2.5 Neu: 8MATE GrantMA mit Open Order Open Order ermöglicht es Ihnen mit GrantMA Bestellvorgänge für selbstdefinierte Ressourcen durchzuführen. Weitere Informationen dazu finden Sie in dem 8MATE GrantMA Open Order Handbuch.
2.6 Erweiterungen: Zusätzliche Attribute in Reports ohne Limitierung Die Option „Zusätzliche Attribute“ für Benutzer in den Reporten anzuzeigen unterstützt ab dieser Version von 8MAN eine unbegrenzte Anzahl. Die vorherige Limitierung von maximal 5 Attributen wurde damit abgeschafft.
2.7 Erweiterungen: Aufgabenplanung Mit dieser Version von 8MAN ist es möglich Aufgaben auch zu einer bestimmten Zeit in der Zukunft auszuführen. Dazu steht ein neuer Eintrag als Ausführungsoption zur Verfügung.
Bei Auswahl dieser Option „Planen …“ öffnet sich die Nachfrage zur Festlegung der Ausführungszeit.
Sobald diese Abfrage mit „Anwenden“ bestätigt wird, wird die Aufgabe eingeplant und ist in der Aufgabenübersicht ersichtlich.
Access Rights Management. Only much Smarter.
www.8man.com
13
Eine geplante Aufgabe kann in der Aufgabenübersicht in den Modus „Gespeichert“ geändert werden.
2.8 Erweiterung: Report „Wo hat ein Benutzer Zugriff?“ Die Möglichkeit einen Report zu erzeugen für „Wo haben diese Benutzer/Gruppen keinen Zugriff?“ bzw. mit der Option „Zeige nur Pfade mit geänderten Berechtigungen“ steht ab dieser Version von 8MAN auch für mehrere Accounts zur Verfügung.
2.9 Erweiterung: 8MATE for Exchange – Postfach-aktivierte Öffentliche Ordner Mit dieser Version von 8MAN werden postfach-aktivierte Öffentliche Ordner in der Ressourcenansicht gesondert gekennzeichnet. Zusätzlich werden zu diesen Ordnern auch die Berechtigungen aus dem Active Directory gelesen und angezeigt.
An einem kleinen Briefsymbol an dem Ordner ist zu erkennen, dass Test1 postfach-aktiviert ist. Zusätzlich wird die primäre E-Mail-Adresse angezeigt.
Access Rights Management. Only much Smarter.
www.8man.com
14
In der Berechtigungsansicht werden jetzt zusätzlich z.B. Senden-Im-Auftrag-Von und Senden-Als Berechtigungen angezeigt.
Access Rights Management. Only much Smarter.
www.8man.com
15
3 Behobene Probleme Mit der Version 6.0 wurden folgende Probleme behoben: Nummer
Problem
21081
GrantMA: Wenn in der Autorisierung „Data Owner Genehmigung – Administrator Ausführung“ eingestellt ist, sieht der Administrator nicht den Kommentar und die Verantwortliche Person in seiner „Berechtigungen genehmigen“-Liste.
21078
GrantMA: Es kann zu starker Last auf dem Server kommen, wenn in der Data Owner Konfiguration sehr viele Active Directory und SharePoint Ressourcen zugeordnet sind.
4 Bekannte Probleme Die Version 6.0 beinhaltet die folgenden bekannten Probleme: Nummer
Problem
21229
Beim Verschieben von Reporten oder Scan-Archiven kann es unter Umständen zu Datenverlusten bei vorhandenen gleichnamigen Dateien kommen.
21166
Wenn das letzte Mitglied einer 8MAN Gruppe ein temporäres Mitglied ist, wird die Gruppe nicht von 8MAN nach dem Entfernen des letzten Mitgliedes gelöscht.
(3364) 20919 (6447)
Der Versuch, einen FS Logga-Report zu erstellen, noch bevor die ersten Daten (Standard-Zeitintervall ist 10 Minuten) geliefert wurden, wird mit einer unbestimmten Fehlermeldung quittiert anstatt auf das konkrete Problem hinzuweisen. Zudem ist der angegebene Report-Zeitraum ungültig. Workaround: FS Logga-Reports frühestens 10 Minuten nach der entsprechenden Report-Konfigurationsänderung starten.
20295
In seltenen Fällen kann es zu einer Deadlock Exception in der Datenbank kommen, wenn parallele AccountÄnderungsanfragen im 8MAN abgearbeitet werden, bei gleichzeitiger Aktualisierung der AccountMitgliedschaften.
20269
In der Account-View kann in seltenen Fällen eine „Invalid Operation Exception“ auftreten. Dies kann unter Umständen dann auftreten, wenn die Ansicht durch einen Domänen-Scan gerade aktualisiert wird und der Anwender zeitgleich ein Account-Element anwählt.
18295
Scanvergleichs-Ansicht: Es kann nicht differenziert werden, ob SharePoint-Änderungen mit 8MAN durchgeführt wurden. Im 8MAN-Logbuch sind die SharePoint-Änderungen, die mit 8MAN ausgeführt wurden, zu finden.
18013
AD Logga Report: Die Liste „Geändertes Attribut“ im AD Logga Report Dialog wird nur beim Neustart des 8MAN Servers aktualisiert. Ein evtl. stattgefundenes AD-Schema-Update wird nicht automatisch im Dialog berücksichtigt.
16321
Beim Scannen eines DFS werden die lokalen Benutzer und Gruppen der dahinter benutzen Fileserver nicht ausgelesen. Dadurch werden lokale Gruppen und lokale User nicht aufgelöst, wenn Sie direkt auf den Verzeichnissen Berechtigt sind. Bspw. haben Administratoren ja oft Domain Administratoren in der lokalen Gruppe als Mitglieder - diese würden dann nicht dargestellt.
(3474)
15092
Wenn eine Admin-Freigabe ($ Share) auch als normale Freigabe eingetragen wurde, dann kommt es zu Problemen bei der Zuordnung bzw. Anzeige der Freigabe-Berechtigungen.
Access Rights Management. Only much Smarter.
www.8man.com
16
9626
In einigen Umgebungskonstellationen stürzt der Microsoft Service Control Manager (SCM) in der Startphase ohne weitere Meldungen ab.
8864
Nach dem Löschen eines Domänenkontos werden dessen ACE-Referenzen im SharePoint nicht automatisch entfernt
8705
Die Erstellung von Filesystem Logga Reports kann je nach Datenaufkommen und gewähltem Zeitraum durchaus im Stundenbereich liegen. Die Einschränkung des Zeitfensters oder eine eingeschränkte Pfadauswahl kann dazu beitragen, dass der Verarbeitungszeitraum kleiner wird. Für 1600 Seiten werden ca. 5 Minuten Verarbeitungszeit angesetzt.
8694
Falls bei einem Exchange Scan ein Fehler aufgetreten ist, dann werden derzeit die Scanprobleme nicht mit erfasst bzw. nicht in der Ressourcen Ansicht angezeigt.
8686
vSphere Datenstände werden nicht automatisch gelöscht, wenn man den Datenstand mit der Scankonfiguration löscht.
7456
Scan-Vergleich: Organisationseinheiten werden zurzeit nicht aufgelöst.
6526
Der CSV-Report für geänderte Pfade zeigt keine hinzugefügten oder entfernten Benutzer an, wenn man vorher die rechte Seite (Benutzer-Berechtigungs-Ansicht) nicht mindestens einmal aufgeklappt hat.
5708
Verzeichnisrechte ändern im Aufräummodus: Es wird nicht bei allen Accounts (z.B. SYSTEM) in der Vorschau angezeigt, dass diese unberücksichtigt bleiben, da sie in der Blacklist enthalten sind.
5 How To 5.1 Update der Kollektoren Nach der Installation des 8MAN Servers mit der Version 3.0.xx werden alle konfigurierten und laufenden 8MAN Kollektoren ab der Version 2.1.xx automatisch auf die neue Version aktualisiert. Der Aktualisierungsvorgang erfolgt innerhalb weniger Minuten nach Abschluss der Serverinstallation. In einigen Fällen kann die Aktualisierung bis zu 30 Minuten in Anspruch nehmen. Wenn innerhalb dieses Zeitraumes keine Aktualisierung stattgefunden hat, sollte diese manuell vorgenommen werden. Hinweis zum Logga-Kollektor: Kollektoren der Versionen kleiner als 4.4.x können nicht automatisch auf eine Version 4.4.x oder höher aktualisiert werden. In diesen Fällen muss der Logga-Kollektor installiert werden. Bitte beachten Sie auch, dass, falls sie mehrere 8MAN Server an einem Kollektor betreiben, alle 8MAN Server die gleiche Version haben müssen, da ansonsten die 8MAN Server konkurrierend immer den Kollektor updaten werden. Dieser Zustand kann nur noch durch eine Neuinstallation behoben werden. Die erfolgreiche Aktualisierung wird in der Datei updates.log protokolliert. Diese Datei ist im „Log“-Verzeichnis auf dem Kollektor-Host zu finden. Abhängig von der Systemsprache und der Windowsversion befinden sich alle Log-Dateien in einem der folgenden Verzeichnisse: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\log English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\log Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008
Access Rights Management. Only much Smarter.
www.8man.com
17
C:\ProgramData\protected-networks.com\8MAN\log
Ältere 8MAN Kollektoren vor der Version 2.1.xx besitzen noch nicht die Funktionalität der automatischen Versionsaktualisierung und müssen manuell installiert werden.
5.2 Auf einem Windows 2003 Server File Server beträgt die Prozessorlast bis zu 100% verursacht durch wmiprvse.exe (WMI) Der File Server wird sehr langsam und reagiert kaum noch. Das Verhalten ist im Knowledge Base Artikel http://support.microsoft.com/kb/933593/de von Microsoft beschrieben. Der dort beschriebene Workaround ist ein Hotfix, den wir erfolgreich getestet haben. Um die Last wieder zu normalisieren muss der Hotfix installiert werden, der die tägliche Arbeit eines File Servers nicht beeinträchtigt.
5.3 Auslesen von EMC Celera File Server Wenn auf einem sogenannten Admin „C$“ Share die Backup Snapshots gespeichert werden, muss dieser Share in eine Exclude Liste eingetragen werden, so dass wirklich nur noch die „reinen“ Shares ausgelesen werden. 1.
Stoppen Sie den Service 8MAN - Service
2.
Öffnen Sie die Datei mit einem Texteditor: \etc\pnServer.config.xml
3.
Ändern Sie in der Datei die folgenden Einträge im Abschnitt: C$
4.
Starten Sie den Service 8MAN – Service
5.4 Einstellung von Wiederholungsversuchen bei Setzen der Berechtigungen auf den File Servern In seltenen Fällen kommt es vor, dass neu erzeugte 8MAN Gruppen nicht sofort auf den File Servern zur Verfügung stehen. (Berechtigungsgruppe in der Verzeichnis Sicherheit (ACL)). Dieses Verhalten haben wir u.a. bei verschiedenen EMC Modellen im Mixed Mode Betrieb festgestellt. Die Ursache liegt vermutlich an einem zeitversetzen Informieren der File Server. 8MAN bietet einen Workaround an. Man kann Wiederholungen von bestimmten Aktionen mit Hilfe von Zusatzparametern in der pnJob.config.xml einstellen. Wir empfehlen dringend, die Datei im Bereich der User Settings zu ändern bzw. wenn nicht vorhanden neu anzulegen, um den Verlust nach einem Program-Update zu verhindern. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg
Access Rights Management. Only much Smarter.
www.8man.com
18
English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn diese Datei nicht vorhanden ist, können sie die originale Datei aus dem Installationsverzeichnis kopieren. Dieses befindet sich standardmäßig im: „C:\Programme\ protected-networks.com\8MAN\etc“ oder im Englischen OS „C:\Program Files\ protected-networks.com\8MAN\etc“.
Anschließend öffnen sie die Datei pnJobs.config.xml und ändern folgende Werte: 1 1
Beide Werte sind standardmäßig auf 1 eingestellt, was bedeutet, dass 1 mal wiederholt (retryCount) versucht wird, mit einer Wartezeit von 1 Sekunde (retryValue), die neue SID zu ermitteln. Wir empfehlen grundsätzlich erst einmal die Anzahl der Wiederholungen zu erhöhen. Nur wenn das nicht funktioniert, kann zusätzlich auch die Wartezeit verlängert werden. Außerdem sollte versucht werden herauszufinden, warum die neuen Gruppen nicht sofort zur Verfügung stehen, möglicherweise sind spezielle Konfigurationseinstellungen dafür verantwortlich. Wenn der folgende Abschnitt nicht vorhanden sein sollte, kopieren sie die Zeilen von diesem Dokument innerhalb des globalen Abschnittes z.B.: 1 1
5.5 Einstellung von IP Adressen, die 8MAN nicht beachten soll In einigen Fällen kann es notwendig sein, IP Adressen einzustellen, die der 8MAN Server nicht benutzen soll. Beispiel: Es werden Virtuialisierungstools wie Virtuell Box oder VMWare verwendet oder sie haben 2 echte Netzwerkkarten, die unterschiedliche oder gar abgetrennte Subnetze bedienen sollen. Wenn nun auf solchen Computern der 8MAN-Client gestartet wird, dann wird normalerweise auf allen Kommunikationskanälen, also auf allen Netzwerkadressen versucht, eine Verbindung zum 8MAN Server aufzunehmen. Der 8MAN Server selbst versucht wiederum eine aktive Verbindung zum 8MAN-Client herzustellen. Die Rückadresse ist systembedingt eine beliebige IP Adresse, aus denen, die vom Client übermittelt wurden. Das kann dazu führen, dass zum Beispiel der Client auf dem 10.10.10.x Netzwerk den Server anfragt, dieser aber auf den 192.168.x.x antwortet. Die Reihenfolge, wie der Client seine Adressen einpackt, kann nur beeinflusst werden, in dem man an den Netzwerkkarten die Prioritäten verändert oder die automatische Metrik in der IP Einstellung auf 1 abändert. (Siehe Abb.)
Access Rights Management. Only much Smarter.
www.8man.com
19
Um Systemeinstellungen auf den Rechnern zu vermeiden, kann man im 8MAN Server selbst die IP Adressen auflisten, die er nicht für die Rückantwort verwenden soll. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Öffnen Sie die Datei pnServer.config.xml und ändern Sie den folgenden Abschnitt oder fügen Sie diesen innerhalb des Abschnittes ein.
Beispiel: 192.0.0.0;194.162.0.0
192.0.0.0 Filtert alle Adresse die mit 192. beginnen aus. 194.162.0.0 Filtert alle Adresse die mit 192.162. beginnen aus.
5.6 Laden von Kommentaren verhindern In einigen Fällen verzögert das Laden der Logbuchkommentare die Benutzung des 8MAN und es kann ungewohnt lange dauern, bis die Verzeichnispfade in der Resourceansicht angezeigt werden. Um das Laden der Logbuchkommentare zu unterbinden und damit die Resourceansicht zu beschleunigen, kann man die Konfiguration folgendermaßen anpassen. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Access Rights Management. Only much Smarter.
www.8man.com
20
Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. true
Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. true Kommentare werden geladen (Standard). false Kommentare werden nicht geladen Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
5.7 Folgen von Symlinks Der Filesystem Scanner kann in seinem Verhalten bezüglich des Verfolgens von Symlinks beeinflußt werden. Die Einstellungen werden in der Datei pnServer.config.xml und pnJobs.config.xml durchgeführt. Die Dateien befinden sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigem Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der globalen Sektion kopiert werden. false
Access Rights Management. Only much Smarter.
www.8man.com
21
false Folge den Symlinks nicht (Standard) true Folge den Symlinks Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
5.8 Ändern der Maximalanzahl der zu ladenden OUs Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. 64
64 Die Anzahl*1024 OU Einträge, die maximal gelesen werden Wenn der Wert nicht gesetzt bzw. nicht vorhanden ist, wird die Zahl 8 genommen. Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
5.9 Welche Objekte werden aus dem Active Directory gelesen Der Scanner für das ActiveDirectory verwendet einen Filter auf Objektklassen, um das zu verarbeitende Datenvolumen zu reduzieren ohne relevante Informationen zu verlieren. Folgende Objektklassen werden gelesen:
Benutzer („user“)
Gruppe („group“)
Computer („computer“)
Domäne („domainDNS“)
Organisationseinheit („organizationalUnit“)
Access Rights Management. Only much Smarter.
www.8man.com
22
Alle Objekte anderer Klassen werden vom Scanner nicht gelesen und während des Scannens in der Job-Übersicht als ausgefiltert angezeigt.
5.10 Modifizieren der internen Blackliste Normalerweise können auf Grund der internen Blackliste folgende Security Identifer nicht aus der DACL entfernt werden: "S-1-3-0" "S-1-5-5-(?.+)" "S-1-5-32-544" "S-1-5-18" "S-1-5-(?.+)-500$"
Ersteller/Besitzer Logon User Session (Sollte niemals aus DACL entfernt werden) Lokale Administratoren Lokales System Domänen Administrator
Die folgenden Einstellungen in den Konfigurationsdateien deaktivieren den Schreibschutz der internen Blackliste und man kann den Inhalt in der Konfigurationsoberfläche ändern. Vorsicht! Die Einstellungen werden in der Datei pnServer.config.xml, pnJobs.config.xml und appConfig.config.xml durchgeführt. Die Dateien befinden sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen/ Erweiterungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion kopiert werden. false
true Die interne Blacklist ist schreibgeschützt, d.h. es können keine Einträge entfernt werden. false Die interne Blacklist ist nicht schreibgeschützt, Einträge können beliebig entfernt werden. Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
Access Rights Management. Only much Smarter.
www.8man.com
23
5.11 UAC Grundsätzlich empfehlen wir die UAC auszuschalten, sowohl auf dem 8MAN Server als auch auf allen Kollektoren. Folgende Tabelle soll die für den 8MAN Server notwendigen Account-Credentials mit eingeschalteter UAC veranschaulichen. Nur der pnServer kann sowohl als lokaler Administrator, als auch als Domänen User gestartet bzw. eingerichtet werden. Alle anderen Accounts müssen Domänen-Accounts und zusätzlich in der Gruppe der lokalen Administratoren sein.
Lokaler Administrator auf dem 8MAN Server oder Kollektor
Lokaler Benutzer
Domänenbenutzer
pnServer
X
X
X
Fileserver Read
X
-
X
Fileserver Write
X
-
X
AD Read
X
-
X
AD Write
X
-
X
5.12 Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? Administrative Shares sind Shares, die Windows autark, ohne Eingriffsmöglichkeit von außen, verwaltet. Auf diese Shares dürfen nur Benutzer der lokalen Fileserver Administrator Gruppe zugreifen. Diese Shares besitzen keine „Access Control List“, die man auslesen könnte und daher zeigt 8MAN in diesem Fall auch keine Shareberechtigungen an.
Access Rights Management. Only much Smarter.
www.8man.com
24
Anhang Anhang I: Software-Lizenzvereinbarungen
Json.net, © 2006-2014 Microsoft, https://json.codeplex.com/license
#ziplib 0.85.5.452, © 2001-2012 IC#Code, http://www.icsharpcode.net/opensource/sharpziplib/
PDFsharp 1.33.2882.0, © 2005-2012 empira Software GmbH, Troisdorf (Germany), http://www.pdfsharp.net/PDFsharp_License.ashx
JetBrains Annotations, ©2007-2012 JetBrains, http://www.apache.org/licenses/LICENSE-2.0
Microsoft Windows Driver Development Kit, © Microsoft, EULA auf dem Computer auf dem der FS Logga für Windows Fileserver installiert ist unter: C:\Program Files\protected-networks.com\8MAN\driver (Verwendung nur für FS Logga für Windows Fileserver)
NetApp Manageability SDK, © 2013 NetApp, https://communities.netapp.com/docs/DOC-1152 (Verwendung nur für FS Logga für NetApp Fileserver)
WPF Shell Integration Library 3.0.50506.1, © 2008 Microsoft Corporation , http://archive.msdn.microsoft.com/WPFShell/Project/License.aspx MSDN CODE GALLERY BINARY LICENSE You are free to install, use, copy and distribute any number of copies of the software, in object code form, provided that you retain: • all copyright, patent, trademark, and attribution notices that are present in the software, • this list of conditions, and • the following disclaimer in the documentation and/or other materials provided with the software. The software is licensed “as-is.” You bear the risk of using it. No express warranties, guarantees or conditions are provided. To the extent permitted under your local laws, the implied warranties of merchantability, fitness for a particular purpose and non-infringement are excluded. This license does not grant you any rights to use any other party’s name, logo, or trademarks. All rights not specifically granted herein are reserved. v061708
WPF Toolkit Library 3.5.50211.1, © Microsoft 2006-2013, http://wpf.codeplex.com/license
Sammy.js, © 2008 Aaron Quint, Quirkey NYC, LLC; https://raw.githubusercontent.com/quirkey/sammy/master/LICENSE Mustache.js, © 2009 Chris Wanstrath (Ruby) and © 2010-2014 Jan Lehnardt (JavaScript), https://github.com/janl/mustache.js/blob/master/LICENSE
jQuery, © 2014 The jQuery Foundation, https://jquery.org/license/
Metro UI CSS 2.0, © 2012-2013 Sergey Pimenov, https://github.com/olton/Metro-UI-CSS/blob/master/LICENSE
LoadingDots, © 2011 John Nelson, http://www.johncoder.com
Underscore.js, © 2009-2014 Jeremy Ashkenas, DocumentCloud and Investigative Reporters & Editors https://github.com/jashkenas/underscore/blob/master/LICENSE
easyModal.js, © 2013 Flavius Matis, https://github.com/flaviusmatis/easyModal.js
Access Rights Management. Only much Smarter.
www.8man.com
25
jsTimezoneDetect, © 2012 Jon Nylander, project maintained at https://bitbucket.org/pellepim/jstimezonedetect; https://bitbucket.org/pellepim/jstimezonedetect/src/f9e3e30e1e1f53dd27cd0f73eb51a7e7caf7b378/LICENCE.txt ?at=defaultjquery-tablesort
jquery-tablesort, © 2013 Kyle Fox, https://github.com/kylefox/jquery-tablesort
Access Rights Management. Only much Smarter.
www.8man.com
