Clients aus AD importieren und SID Fragen

Alle Fragen und Antworten zur Inventarisierung, Abfragen und Agentless Scanner
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Hallo,

aktuell läuft nach dem Update auf die Version 4 der Dienst AD Agent nicht, somit werden die Clients nicht aus dem AD abgegriffen. Fehlt hier eine Teilinstallation oder liegt ein Problem vor? Dabei gleich die Frage, ob man sich den Installer für Inventory und Lizenzmanagement runterladen kann?

Können Sie mir bitte den genauen Registrierungspfad nennen, zu der von ACMP genutzten SID, um die Clients voneinander zu unterscheiden. Gehe ich zudem richtig der Annahme, das mit der Funktion "Neue ClientID zuweisen" ausschließlich die ID in der ACMP Datenbank erneuert wird? Stimmt die Hypothese, dass wenn zwei PCs die gleiche SID haben, ich sie mit "Neue ClientID zuweisen" trenne, dies dann aber nur eine, ich sage mal, oberflächlige Lösung ist? Würde ich nämlich beide im Client Management löschen und später wieder hinzufügen würden die weiterhin gleichen SIDs erneut dazu führen, dass die Clients sich gegenseitig rausschmeißen?
Eine Frage anbei, was spricht gegen eine Erfassung per Computername?

Viele Grüße, Christian
tkontorzik

Hallo,

nach dem Update auf ACMP 4 müssen auch die anderen Komponenten wie der Agentless Scanner aktualisiert werden.
Sie finden die aktuellen Installer immer im ACMP-Server Verzeichnis unter Installers.

Inventory und Lizenzmanagement sind Basisbestandteile einer ACMP Installation und müssen nicht separat installiert werden.

ACMP benutzt zur eindeutigen Kennzeichnung seiner Clients eine interne ClientID. Die SID wird vom Betriebssystem vergeben. Wenn Sie also zwei Rechner haben die die gleiche SID haben (durch Cloning) und das Unterscheidungsmerkmal von ACMP steht auf SID dann würden beide Clients die gleiche ClientID bekommen und damit Ihre Inventorydaten gegenseitig überschreiben. Sie sollten daher dafür sorgen, dass Sie keine Rechner mit der gleichen SID in Ihrem Netz haben (durch sysprep).

Der ACMP Client ermittelt seine ClientID wie folgt. Er schaut ob in seinem Installationverzeichnis eine clientid.ini existiert. Wenn nicht schaut er in der Registry unter HKLM/Software/Aagon/ACMP/StoredClientID. Ist auch hier nichts fragt er den Server nach einer ID. Dazu sendet er sein Unterscheidungsmerkmal. Ist unter diesem bereits ein Client vorhanden so wird diese ClientID genommen ansonsten eine neue erzeugt.

Es spricht prinzipiell auch nichts dagegen auf Computername umzustellen. Allerdings funktioniert dann der Mechanismus ebenfalls wie oben beschrieben.
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Hallo Herr Kontorzik,

vielen Dank für die schnelle Antwort.

(1.) Sind die 5 Komponenten irgendwo dokumentiert, neben dieser Doku http://www.aagon.de/handbuch/acmp/de/40 ... canner.htm? Ich habe sie im angegeben Verzeichnis gefunden.

(2.) Gibt es eine Übersicht, die den Funktionsumfang zwischen Agentless Scan und ACMP Agent vergleicht? Bzw. was spricht für und was gegen die eine oder andere Strategie?

(3.) Bisher arbeiten wir mit dem ACMP Agent. Wenn ich die Komponente "ACMP AD Agent_Installer.msi" installiere, werden dann die Clients der Domäne (eingeschränkt auf gewisse OUs) automatisch mit dem Agenten ausgestattet? Oder muss man weiterhin den Installationsbefehl manuell erteilen, weil nur die WMI Abfrage per AD Agent automatisch läuft?

(4.) Was ist genau dieses von Ihnen genannte "Unterscheidungsmerkmal"?

(5.) Wir arbeiten mit Sysprep. Es betrifft daher nur einige wenige Rechner, die in der Vergangenheit mal "falsch" aufgesetzt wurden. Nach meiner Kenntniss gibt es keine eindeutige SID. ACMP liest die unter der Abfrage ausgegebene "Computer SID (Security ID)" die des lokalen Administratorkontos aus: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\ Ist dies die SID, die nicht identisch sein darf mit einem zweiten Client?
Die anderen angelegten User haben ihre eigene SID und werden z.B. von AD Tidy als SID ausgegeben. ACMP stimmt zumindest mit dem Tool PsGetSID überein. Aber es gibt eben nicht DIE SID eines Computers, sofern ich mich nicht täusche.

(6.) Kann man doppelte Client Id's, also sich überschreibende Clients, durch eine Auswertung über die Abfrageverwaltung prüfen, indem man die "Client Id's" ausgibt und Dubletten sucht?

Freundliche Grüße
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Hallo Herr Kontorzik,

falls alle meine Fragen zu viel Zeit erfordern, wäre die kurzfristige Beantwortung von Frage 2 und 3 für mich am wichtigsten und Sie hätten mir damit schon sehr geholfen.

Grüße
tkontorzik

Hallo,

zu 1) Sie finden im jeweiligen Installerverzeichnis ein PDF zur Installation und Konfiguration
zu 2) Der Agentless Scanner inventarisiert nur die wichtigsten Hardwarewerte sowie die installierte Software. Im Gegensatz zum ACMP Agent ist hierzu keine Installation des Agenten auf dem Client nötig. Der ACMP Agent dient nicht nur Inventarisierung sondern über diesen können Sie Software verteilen sowie Client Commands ausführen
zu 3) Der "ACMP AD Agent_Installer.msi" ist ein Dienst der als Schnittstelle zwischen dem AD Connector und ACMP dient. Diesen benötigen Sie nur auf dem ACMP Server. Dieses ist nicht der Agent der auf die Clients ausgebracht wird!
zu 4) In ACMP können Sie unter Einstellungen das Unterscheidungsmerkmal für die Clients festlegen. Sie können hier die SID, Computername oder MAC Adresse als Merkmal festlegen. Meldet sich ein neuer Client der noch keine ID vom Server erhalten hat mit diesem Merkmal beim Server wird geschaut ob es bereits einen Client in der Datenbank mit diesem Merkmal gibt. Wenn ja bekommt der Client dessen ID ansonsten wird eine neue erzeugt
zu 5) ACMP liest die SID des Rechners aus. Wenn die Rechner nicht gecloned werden ist diese eindeutig
zu 6) Da die ClientID in der DB eindeutig sind ist dies nicht möglich
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Folgende Wunschvorstellung für den Einsatz des Agenten wäre das Ziel:

- Die zu verwaltenden Clients werden ausschließlich aus dem AD geholt
- Werden Clients im AD gelöscht, soll dieser Client auch in der ACMP Console gelöscht/verschoben werden
- Alle aus dem AD ausgelesene Clients (unter Agenteninstallation) installieren automatisch den ACMP Agenten - ohne manuelles Auswählen und Klick auf "ACMP Agent auf einem bestimmten Computer installieren"

Der aktuelle Stand ist: In einer OU sind 250 Clients. Diese sind jetzt alle erfolgreich in der ACMP Console unter "Agenteninstallation" zu sehen und mit dem gelben Status "Nicht geprüft". Mit welchen nächsten Schritten ist die oben beschriebene Wunschlösung (möglichst) zu erreichen?

PS zu Punkt 5: Welche SID bzw. welchen Registrierungspfad liest ACMP hierfür?
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Noch ein Nachtrag: alle aus dem AD importierten Computer haben den gelben Status "Nicht geprüft" im Menüpunkt Agenteninstallation. Wieso ist das jetzt so? Vorher war der auf Grün gewechselt.

Edit: ca. 24 Stunden später wechselten nun die ersten Clients auf grün. ABER es sind plötzlich andere Rechner hinzugekommen, z.B. Server, obwohl ich in der configuration.xml nur die OU erlaubt habe der Clients am Standort A. Läuft noch der Netzwerkscan bzw. wieso werden diese erfasst. Anstatt 250 sind es nun 294 erfasste Geräte.
Zuletzt geändert von Christian am Mi Okt 16, 2013 6:11 pm, insgesamt 1-mal geändert.
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Eine weiter Frage: Ich habe in Abfragen aus der Abfrageverwaltung (hier "All Clients") jetzt zwei mal einen Rechner eingetragen. Siehe Bild im Anhang. Das heißt, doppelte Datenbankeinträge. Wie ist mit diesem Fehler (?) umzugehen?
Dateianhänge
2013-10-16_16h43_29.png
2013-10-16_16h43_29.png (8.86 KiB) 14465 mal betrachtet
tkontorzik

Hallo,

wir lesen die Computer SID aus.

Das "Nicht geprüft" ist zunächst korrekt. Der Agentless Scanner schreibt über den AD Agent zunächst die aus dem AD importierten Rechner in die Datenbank. Wenn unter Einstellungen / Agentinstallation die Option "Rechte auf Zielrechnern überprüfen" aktiviert ist so versucht sich der ACMP Server mit dem eingestellten Installationskonto zu verbinden. Ist dies erfolgreich so wechselt der Status auf grün.

Zusätzlich werden vom ACMP Server auch die Rechner eingetragen, die dieser in seiner Netzwerkumgebung hat.

Sie können von den doppelten Einträgen jene welche ein AD Symbol haben löschen.
Christian
Beiträge: 10
Registriert: Do Okt 10, 2013 7:54 am

Hallo Herr Kontorzik,

vielen Dank für die Antwort. Ich habe dazu Rückfragen.
tkontorzik hat geschrieben:Zusätzlich werden vom ACMP Server auch die Rechner eingetragen, die dieser in seiner Netzwerkumgebung hat.
Wie kann man das verhindern? Dazu gibt es die AD Anbindung und die Configuration.xml, welche ja sonst ohne Wirkung wäre?
tkontorzik hat geschrieben:Sie können von den doppelten Einträgen jene welche ein AD Symbol haben löschen.
Ich will nicht manuell eingreifen müssen. ACMP soll doch aus dem AD die zu inventarisierenden PCs lesen und erfassen. Ist das ein Bug?

Freundliche Grüße
Antworten