MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1



Podobne dokumenty
Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Wymagania do zdalnej instalacji agentów firmy StorageCraft

Problemy techniczne SQL Server

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Wymagania techniczne infrastruktury IT potrzebne do uruchomienia i pracy ServiceDesk Plus

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Projektowanie bezpieczeństwa sieci i serwerów

Zapora systemu Windows Vista

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

R o g e r A c c e s s C o n t r o l S y s t e m 5

Windows Server Active Directory

Instrukcja instalacji Control Expert 3.0

Laboratorium - Konfiguracja zapory sieciowej systemu Windows Vista

Praca w sieci równorzędnej

Laboratorium - Konfigurowanie zapory sieciowej systemu Windows 7

Instalacja Active Directory w Windows Server 2003

baza MS SQLEXPRES domyślnie po instalacji nie umożliwia obsługi połączenia z innego komputera

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Ustawienia personalne

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Projektowanie i implementacja infrastruktury serwerów

Wprowadzenie do Active Directory. Udostępnianie katalogów

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

Instalowanie i konfigurowanie Windows Server 2012 R2

11. Autoryzacja użytkowników

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Serwer druku w Windows Server

Administrowanie systemami sieciowymi Laboratorium 3

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Data modyfikacji:

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Windows Server 2012 Active Directory

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Automatyczna aktualizacja. Instalacja Serwera aktualizacji

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Podziękowania... xv. Wstęp... xvii

Kancelaria Prawna.WEB - POMOC

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

1. Zakres modernizacji Active Directory

Sieciowa instalacja Sekafi 3 SQL

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

oprogramowania F-Secure

Jarosław Kuchta. Instrukcja do laboratorium. Administrowanie Systemami Komputerowymi. Usługi DNS i DHCP

Instalacja i konfiguracja serwera IIS z FTP

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

KONFIGURACJA USŁUGI ZSIMED NA SERWERZE ZDALNYM

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Tomasz Greszata - Koszalin

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

Aktualizacja firmware w urządzeniu za pośrednictwem FTP

9. Internet. Konfiguracja połączenia z Internetem

Ćwiczenie 7a - Active Directory w pracowniach MEN

Wskazówki do instalacji Systemu Symfonia Forte. Szybki start

Zapoznanie się z konfiguracją i zarządzaniem serwerem Samba.

DESlock+ szybki start

Ćwiczenie 2. Instalacja i konfiguracja serwera Windows Serwer 2008 cz. 1

Instalacja i konfiguracja serwera WSUS. Ćwiczenie 1 Instalacja serwera WSUS. Mariusz Witczak Bartosz Matusiak

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Synchronizacja czasu - protokół NTP

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Zasady zabezpieczeń lokalnych

Program dla praktyki lekarskiej

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Konfiguracja serwera druku w Windows Serwer 2008R2.

Kancelaria instalacja sieciowa

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Numer ogłoszenia: ; data zamieszczenia:

UPS 1000 VA Digitus Professional DN DN

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Instrukcja konfiguracji programu Fakt z modułem lanfakt

10.2. Udostępnianie zasobów

Laboratorium Ericsson HIS NAE SR-16

4. Podstawowa konfiguracja

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Skonfigurowanie usług katalogowych Active Directory (AD)

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci eduroam

Tomasz Greszata - Koszalin

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Transkrypt:

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1 NetCrunch 7 monitoruje systemy MS Windows bez instalowania dodatkowych agentów. Jednakże, ze względu na zaostrzone zasady bezpieczeństwa, zdalne monitorowanie jest możliwie jedynie po wstępnej konfiguracji, która zależy od Twojego środowiska Windows. SERWER MONITORUJĄCY Serwer NetCrunch może być zainstalowany na Windows Server 2003 R2, Windows Server 2008/2008 R2 lub Windows Server 2012. Jeśli zarządzasz większością serwerów przy użyciu Active Directory, najlepszym rozwiązaniem będzie zainstalowanie serwera NetCruncha na maszynie w domenie Active Directory. Dzięki temu konfiguracja będzie łatwiejsza. MONITOROWANE SYSTEMY SERWERY Większość systemów serwerowych ma domyślnie włączoną opcję zapory sieciowej, co blokuje zdalną administrację. Jest to pierwsza rzecz, którą należy zmienić. Konfiguracja jest prosta, zwłaszcza jeśli domena zarządzana jest przez zasady grup Active Directory. W innym przypadku czeka Cię osobne konfigurowanie każdego z serwerów możesz to zrobić przy użyciu prostego skryptu (do pobrania z: http://www.adremsoft.com/download/setwinfornc.zip). STACJE ROBOCZE Jeśli zarządzasz swoimi stacjami roboczymi poprzez Active Directory, należy je przygotować do monitorowania tak samo jak serwery (za pomocą zasad grup Active Directory). Monitorowanie stacji roboczych w grupach roboczych jest nieco trudniejsze do skonfigurowania, ponieważ począwszy od Windows Vista, wszystkie systemy używają UAC (Kontroli Konta Użytkownika), co nie pozwala na zdalne dziedziczenie praw administracyjnych z grupy lokalnych Administratorów. W takim przypadku możesz zdecydować się na użycie wbudowanego konta lokalnego Administratora, lub na utworzenie nowego konta i ręczne przypisanie do niego potrzebnych uprawnień. WPROWADZENIE DO KONFIGURACJI 1. Ustawienia praw dostępu NetCrunch do monitorowania wymaga konta użytkownika z prawami dostępu do DCOM, WMI (root\cimv2) i (prawami do odczytu) do klucza rejestru HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib. Najprostszym sposobem nadania tych praw jest dodanie użytkownika do grupy lokalnej Administratorzy. 2. Ustawienia reguł zapory sieciowej Reguły zapory muszą zezwalać na ruch sieciowy związany z: RPC, zdalnym monitorowaniem wydajności, łączami nazwanymi i WMI.

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 2 3. Włączenie zdalnego monitorowania wydajności Usługa Rejestr Zdalny musi działać a jej tryb uruchamiania powinien być ustawiony na Automatycznie. 4. Wyłączenie ograniczeń zdalnego dostępu dla UAC Ograniczenia w kontroli konta użytkownika dotyczące łączenia zdalnego powinny być wyłączone na serwerach znajdujących się poza domeną. Wymaga to zmiany wartości klucza rejestru: KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Loc alaccounttokenfilterpolicy KONFIGURACJA W DOMENIE ACTIVE DIRECTORY Poniższa procedura wymaga praktycznej znajomości takich narzędzi administracyjnych jak Użytkownicy i Komputery usługi Active Directory oraz Zarządzanie Zasadami Grup. Jeśli w większości przypadków do zarządzania serwerami używasz domeny Active Directory, to najlepszym rozwiązaniem jest zainstalowanie NetCruncha na serwerze w domenie Active Directory i stworzenie dedykowanego konta użytkownika, którego NetCrunch bedzie używał do monitorowania. W takim przypadku powinieneś teraz przerwać instalacje i najpierw skonfigurować Twoją domenę Active Directory. Możesz wznowić instalację NetCruncha po tym jak konfiguracja zostanie rozpropagowana na wszystkie serwery, co domyślnie trwa około 2 godzin. W ten sposób NetCrunch będzie w stanie wykryć wszystkie serwery w domenie AD i automatycznie ustawić ich monitorowanie. Serwery z niezaufanych domen lub grup roboczych mogą być konfigurowane oddzielnie (zobacz rozdział Konfiguracja oddzielnych serwerów Windows.) USTAWIENIE PRAW DOSTĘPU STEP 1 STWORZENIE UŻYTKOWNIKA DO MONITOROWANIA Utwórz konto użytkownika domeny Active Directory (na przykład nc-mon-user), które będzie używane przez NetCruncha do monitorowania. Podczas instalacji NetCruncha będziesz poproszony o dane do autoryzacji dla tego użytkownika. STEP 2 USTAWIENIE UPRAWNIEŃ DLA UŻYTKOWNIKA Konto użytkownika wymaga praw administratora do wszystkich monitorowanych komputerów z systemem Windows (łącznie z serwerem, na którym zainstalowany jest NetCrunch). W zależności od architektury domeny Active Directory oraz Twoich potrzeb, możesz wykonać ten krok na dwa sposoby: POJEDYNCZA DOMENA, W KTÓREJ CHCESZ MONITOROWAĆ WSZYSTKIE MASZYNY

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 3 Dodaj stworzone konto użytkownika do grupy Active Directory Administratorzy Domen (predefiniowanej przez Micorsoft). WIELE ZAUFANYCH DOMEN LUB TYLKO PODZBIÓR KOMPUTERÓW WYMAGA MONITOROWANIA Użyj Zasad Grup, aby zmodyfikować grupę lokalnych Administratorów (na każdej monitorowanej maszynie Windows). a) Utwórz grupę w domenie Active Directory o nazwie np. Użytkownicy Monitorujący i dodaj wcześniej utworzone konto (nc-mon-user) do tej grupy. W lesie z wieloma domenami, domyślny zakres grupy Active Directory (czyli Globalny ) powinien być wystarczający dla tej grupy, ponieważ grupy globalne mogą być używane do przypisywania uprawnień do zasobów w dowolnej domenie w lesie. b) Utwórz nowy Obiekt Zasad Grupy (GPO) i nazwij go na przykład Członkostwo Lokalnej Grupy Administratorzy dla NetCruncha. c) Utwórz zasadę dla członkostwa grupy Użytkownicy Monitorujący. Konfiguracja Komputera Zasady Ustawienia system Windows Ustawienia zabezpieczeń Grupy z ograniczeniami i dodaj grupę Użytkownicy Monitorujący do lokalnej grupy Administratorzy używając sekcji Ta grupa jest członkiem. d) Połącz utworzone GPO z odpowiednią Jednostką Organizacyjną (OU) w twojej domenie/domenach Active Directory. USTAWIENIE REGUŁ ZAPORY SIECIOWEJ 1. Utwórz nowy Obiekt Zasad Grupy (GPO) i nazwij go na przykład Reguły Zapory Windows do monitorowania przez NetCruncha. 2. Użyj dwóch różnych gałęzi w GPO, aby skonfigurować obie wbudowane wersje zapór w maszynach z różnymi wersjami systemu Windows, które chcesz monitorować: a. Dla XP i Server 2003/2003 R2, Konfiguracja Komputera Szablony Administracyjne Sieć Połączenia sieciowe Zapora systemu Windows Profil domeny i ustaw następujące ustawienia na Włączone : Zapora systemu Windows: zezwalaj na przychodzący wyjątek udostępniania plików i drukarek Zapora systemu Windows: zezwalaj na przychodzący wyjątek administracji zdalnej

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 4 b. Dla Vista/7/8 and Server 2008/2008 R2/2012, Konfiguracja Komputera Zasady Ustawienia system Windows Ustawienia zabezpieczeń Zapora systemu Windows z zabezpieczeniami zaawansowanym i dodaj te reguły do Reguł przychodzących, wybierając je z predefiniowanej listy: Udostępnianie plików i drukarek Administracja zdalna Domyślnie, wbudowana zapora Windows nie blokuje ruchu wychodzącego jeśli zmieniłeś to zachowanie, dodaj reguły z takimi samymi nazwami do predefiniowanej listy do Reguł wychodzących.. 3. Połącz utworzone GPO z odpowiednią Jednostką Organizacyjną (OU) w twojej domenie/domenach Active Directory. Ze względów bezpieczeństwa, zalecana jest modifikacja reguł administracji zdalnej poprzez zawężenie listy dozwolonych adresów IP tylko do adresu serwera NetCruncha. WŁĄCZENIE ZDALNEGO MONITOROWANIA WYDAJNOŚCI 1. Utwórz nowy Obiekt Zasad Grupy (GPO) i nazwij go na przykład Usługi Windows wymagane do monitorowania przez NetCruncha. 2. Ustaw usługę Rejestr zdalny. Konfiguracja Komputera Zasady Ustawienia system Windows Ustawienia zabezpieczeń Usługi systemowe i ustaw tryb uruchamiania usługi Windows Rejestr zdalny na Automatycznie. 3. Połącz utworzone GPO z odpowiednią Jednostką Organizacyjną (OU) w twojej domenie/domenach Active Directory. Zaraz po odświeżeniu się zasad na każdym komputerze, usługa powinna natychmiast wystartować.

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 5 KONFIGURACJA ODDZIELNYCH SERWERÓW WINDOWS Poniższe komendy musisz wykonać z linii poleceń uruchomionej na prawach administratora. GOTOWY SKRYPT KONFIGURUJĄCY JEST DOSTĘPNY POD ADRESEM: http://www.adremsoft.com/download/setwinfornc.zip USTAWIANIE PRAW DOSTĘPU Utwórz konto nc-mon-user i dodaj je do grupy lokalnych Administratorów: net user /add nc-mon-user <Password> net localgroup Administratorzy /add nc-mon-user USTAWIENIE ZASAD DLA ZAPORY Dla Windows Server 2003 i Server 2003 R2: netsh firewall set service type=fileandprint scope=all profile=all netsh firewall set service type=remoteadmin scope=all profile=all Dla Windows Server 2008, Windows Server 2008 R2 i Windows Server 2012 możesz utworzyć regułę tylko dla adresu IP serwera NetCruncha. netsh advfirewall firewall add rule name="nc-mon" dir=in action=allow remoteip="%ip%" netsh advfirewall firewall add rule name="nc-mon" dir=out action=allow remoteip="%ip%" WŁĄCZENIE MONITOROWANIA PRZY UŻYCIU PERFMON Ustaw sposób startowania usługi Rejestr Zdalny i uruchom ją.. WMIC SERVICE where name= RemoteRegistry call ChangeStartMode StartMode=Automatic WMIC SERVICE where name= RemoteRegistry call StartService WYŁĄCZENIE OGRANICZEŃ ZDALNEGO DOSTĘPU DLA UAC Zmodyfikuj zachowanie UAC dla Windows Server 2008/2008 R2 i Windows Server 2012 (http://support.microsoft.com/kb/951016) WMIC /Namespace: \\Root\Default Class StdRegProv Call SetDWORDValue hdefkey="&h80000002" ssubkeyname="software\microsoft\windows\currentversion\policies\system" svaluename="localaccounttokenfilterpolicy" uvalue=1

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 6 TECHNOLOGIE WINDOWS UŻYWANE PRZEZ NETCRUNCHA Technologie Windows zostały zbudowane warstwa na kolejnej warstwie na przykład RPC działa na wierzchu łącz nazwanych, Rejestr Zdalny potrzebuje RPC, a WMI używa DCOM, który także używa RPC do komunikacji. Wszystkie potrzebują właściwych ustawień bezpieczeństwa i zapory. Poniżej znajduje się krótka lista technologii używanych przez NetCruncha, które wymagają właściwej konfiguracji. 1. RPC & Łącza Nazwane (Wymaga włączenia Współdzielenia Plików, ustawienia zapory) 2. Rejestr Zdalny (Wymaga ustawień zapory i działającej usługi Rejestru Zdalnego) 3. WMI & DCOM (Wymaga ustawień zapory, ustawień zabezpieczeń dla DCOM & WMI) Konfiguracja jest prosta, gdy konto użytkownika używane do monitorowania jest członkiem lokalnej grupy Administratorzy co zostało opisane w tym dokumencie. To najprostszy sposób na konfigurację serwerów na potrzeby monitorowania, ale nie najbardziej bezpieczny. W przypadku kiedy priorytetem jest bezpieczeństwo istnieje możliwość ustawienia właściwych uprawnień wyłącznie dla profilu użytkownika służącego do monitorowania.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres