Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Systemvoraussetzungen zur Installation / Upgrade / Initialen Einrichtung / Durchführung von Dienstleistung
„Ivanti Endpoint Manager und aller zugehörigen Module “
Muster
Seite 2 von 17
Inhaltsverzeichnis
1 Einleitung ............................................................................................ 4
2 Allgemeine Voraussetzungen .............................................................. 4
2.1 Voraussetzung bei vor Ort Tätigkeit .................................................................................4
2.1.1 Technischer Ansprechpartner ..........................................................................................4
2.1.2 Zugang zum Internet bei vor Ort Tätigkeiten ....................................................................4
2.2 Voraussetzung bei Remotetätigkeit .................................................................................4
2.2.1 Programm zur Fernwartung .............................................................................................4
3 Voraussetzungen für den Abruf von beauftragten
Dienstleistungsstunden oder -tagen ................................................... 5
4 Voraussetzungen für Ivanti EPM Bereitstellung (Neuinstallation, In-
Place Upgrade, Side-by-Side Migration) .............................................. 5
4.1 Sicherung des bestehenden Systems (nur bei In-Place Upgrade oder Side-by-Side
Migration) .......................................................................................................................5
4.1.1 Bei einem In-Place Upgrade .............................................................................................5
4.1.2 Bei einer Side-by-side Migration ......................................................................................5
4.2 Bereitgestellte Windows Server .......................................................................................5
4.2.1 Bei einem In-Place Upgrade .............................................................................................5
4.2.2 Bei einer Side-by-side Migration ......................................................................................6
4.2.3 Bei einer Neuinstallation ..................................................................................................6
4.3 Benötigte Benutzerkonten ...............................................................................................6
4.3.1 Serviceaccounts Ivanti EPM .............................................................................................6
4.3.2 Benutzeraccount für die Ivanti Coreserver Installation .....................................................6
4.3.3 Benutzeraccount für den Datenbank-Server ....................................................................6
4.4 Netzwerkanforderungen ..................................................................................................7
4.4.1 Ivanti Endpoint Manager Portliste....................................................................................7
4.5 Systemanforderungen zur Installation .............................................................................7
4.6 Unterstützte Plattformen und Kompatibilitätsmatrix – Ivanti Endpoint Manager .............8
4.7 Architektur Guidelines und Ausstattung der Systeme .......................................................8
4.8 Systemvoraussetzungen für Ivanti Agenten und Remotekonsolen....................................9
4.8.1 Voraussetzungen für die Agenteninstallation (Windows Systeme) ...................................9
4.8.2 Windows Client Plattformen ............................................................................................9
4.9 Remotekonsolen Betriebssysteme zur Installation der Remotekonsole ............................9
Muster
Seite 3 von 17
4.10 Backupanforderungen .....................................................................................................9
5 Voraussetzungen zur Einrichtung der Preferred Server Systeme ........ 9
5.1 Voraussetzungen Ivanti EPM ............................................................................................9
5.2 Voraussetzungen Infrastruktur....................................................................................... 10
5.3 Voraussetzungen Einrichtung Preferred Server .............................................................. 10
5.3.1 Pfade und Freigaben auf Preferred Servern ................................................................... 10
6 Voraussetzungen zur Implementierung der Ivanti virtual Cloud
Services Appliance (vCSA) ................................................................. 11
6.1 Technische Voraussetzungen ......................................................................................... 11
6.2 Netzwerkvoraussetzungen ............................................................................................. 11
6.3 Internetanforderungen .................................................................................................. 12
6.4 Testvoraussetzungen ..................................................................................................... 12
6.5 Offizielles SSL Zertifikat .................................................................................................. 13
7 Voraussetzungen zur Implementierung von Mobility Management . 13
7.1 Allgemeine Technische Voraussetzungen ....................................................................... 13
7.2 Voraussetzungen zum Managen von iOS Geräten .......................................................... 13
7.3 Voraussetzungen zum Managen von Android Geräten ................................................... 14
7.4 APNS Zertifikat / Google Project number ....................................................................... 14
7.5 Freizugebende Ports ...................................................................................................... 14
8 Voraussetzung zur Einrichtung der Softwareverteilung im EPM ....... 15
9 Voraussetzungen zur Einrichtung von OS-Provisioning ..................... 15
10 Voraussetzungen zur Einrichtung des Ivanti Patchmanagers im EPM 15
11 Voraussetzungen zur Bereitstellung von Data Analytics im EPM ....... 15
12 Beschreibung der Produkte und Techniken....................................... 16
12.1 Ivanti Endpoint Manager (EPM) ..................................................................................... 16
12.2 Preferred Server ............................................................................................................ 16
Muster
Seite 4 von 17
1 Einleitung
Dieses Dokument beschreibt sämtliche Voraussetzungen, die gemäß Leistungsbeschreibung/en der
zu erbringenden Dienstleistungen durch den Auftraggeber erfüllt werden müssen.
Die in diesem Dokument aufgeführten Voraussetzungen, für die keine Dienstleistung beauftragt
wurde, können ignoriert werden.
2 Allgemeine Voraussetzungen
2.1 Voraussetzung bei vor Ort Tätigkeit
Sofern nicht anders vereinbart, findet die vom Auftragnehmer zu erbringende Dienstleistung vor Ort
beim Auftraggeber statt.
Folgende Voraussetzungen müssen für die Durchführung der vor Ort Tätigkeit geschaffen sein:
2.1.1 Technischer Ansprechpartner
Auf Seiten des Auftraggebers muss ein technischer Ansprechpartner verfügbar sein, der während der
gesamten Zeit der vor Ort Tätigkeit erreichbar ist und administrativen Zugriff auf alle relevanten Sys-
teme geben kann.
2.1.2 Zugang zum Internet bei vor Ort Tätigkeiten
Der Mitarbeiter des Auftragnehmers, der vor Ort die Bereitstellung und Einrichtung des Ivanti End-
point Managers oder einzelner Module durchführt, benötigt uneingeschränkten Zugang zum Internet
mit seinem Firmennotebook. Der Auftraggeber ist dafür verantwortlich, diesen Zugang zu gewähr-
leisten.
Der Internetzugang wird zu Recherche – und Kommunikationszwecken im Rahmen des Auftrags be-
nötigt.
2.2 Voraussetzung bei Remotetätigkeit
Der Auftragnehmer bietet dem Auftraggeber die Möglichkeit, die beauftragte Dienstleistung remote
durchzuführen.
Die Durchführung einer Remotedienstleistung muss zwischen Auftraggeber und Auftragnehmer ver-
einbart werden.
Folgende Voraussetzungen müssen für die Remotedienstleistung geschaffen sein:
2.2.1 Programm zur Fernwartung
Es wird ein Programm zur Fernwartung auf alle entsprechenden Systeme des Auftraggebers benötigt (Ivanti Systeme, Datenbankserver, Testclients, ... etc.).
Der Auftragnehmer bietet die Möglichkeit, Teamviewer in der vom Auftragnehmer lizensierten Ver-
sion einzusetzen. Optional kann ein anderes, vom Auftraggeber bereitgestelltes Fernwartungspro-
gramm verwendet werden.
Muster
Seite 5 von 17
3 Voraussetzungen für den Abruf von beauftragten Dienstleistungsstunden
oder -tagen
Der Auftragnehmer bietet Dienstleistung an, die stunden- oder tageweise durch den Auftraggeber
abgerufen werden können.
Der Abruf von Dienstleistung von beauftragten Stunden oder Tagen durch den Auftraggeber setzt im-
mer eine vorherige Terminvereinbarung zwischen Auftraggeber und Auftragnehmer voraus. Sollte
die beauftragte Dienstleistung durch den Auftraggeber in Teilstücken abgerufen werden, so muss je-
des Mal vor Abruf eines Teils der beauftragten Dienstleistung ein neuer Termin vereinbart werden.
Der Auftraggeber liefert spätestens bei Terminvereinbarung detaillierte Informationen über Art und
Umfang der durchzuführenden Tätigkeiten in schriftlicher Form (z.B. E-Mail).
Sollten für die kommunizierten Inhalte der durchzuführenden Dienstleistung weitere Voraussetzun-
gen erforderlich sein, die in dieser Systemvoraussetzung nicht aufgeführt werden, so teilt der Auf-
tragnehmer dies rechtzeitig mit.
Der Auftraggeber ist dafür verantwortlich, sämtliche kommunizierten Voraussetzungen für die
Durchführung der Dienstleistung zu erbringen.
Die Durchführung der Dienstleistung Remote oder vor Ort wird zwischen Auftraggeber und Auftrag-
nehmer zuvor vereinbart.
4 Voraussetzungen für Ivanti EPM Bereitstellung (Neuinstallation, In-Place
Upgrade, Side-by-Side Migration)
4.1 Sicherung des bestehenden Systems (nur bei In-Place Upgrade oder Side-by-Side Migration)
Der Auftraggeber ist dafür verantwortlich, vor Durchführung des Upgrades folgende Sicherungen des
Altsystems zu erstellen:
4.1.1 Bei einem In-Place Upgrade
- Snapshot des bestehenden Ivanti Coreservers (VM)
- Sicherung der aktuell eingebundenen Ivanti Datenbank
- Sicherung des folgenden Verzeichnisses vom bestehenden Ivanti Coreserver:
o C:\Program Files\LANDesk\Shared Files
4.1.2 Bei einer Side-by-side Migration
- Sicherung der aktuell eingebundenen Datenbank
- Sicherung des folgenden Verzeichnisses vom bestehenden Ivanti Coreserver:
o C:\Program Files\LANDesk\Shared Files
4.2 Bereitgestellte Windows Server
4.2.1 Bei einem In-Place Upgrade
Es müssen keine zusätzlichen Systeme bereitgestellt werden
Muster
Seite 6 von 17
4.2.2 Bei einer Side-by-side Migration
Es muss ein neuer Windows Server bereitgestellt werden, auf dem der EPM neu installiert
werden kann.
4.2.3 Bei einer Neuinstallation
Es muss ein neuer Windows Server bereitgestellt werden, auf dem der EPM neu installiert
werden kann.
4.3 Benötigte Benutzerkonten
4.3.1 Serviceaccounts Ivanti EPM
Der Ivanti Endpoint Manager benötigt zwei Serviceaccounts mit folgenden Berechtigungen:
Benutzer 1 —> Lokale Administrator-Rechte auf allen Endpoints, auf denen ein Ivanti EPM Agent
installiert werden soll. Bei Linux-Endpoints muss dieses Konto über root-Rechte verfügen.
Benutzer 2 —> Lesende Rechte im Active Directory zur Synchronisation von AD Benutzeraccounts
in das Benutzermanagement des Ivanti Endpoint Managers. Dieser Account muss gleichzeitig lo-
kaler Administrator auf dem Ivanti Coreserver sein, um diverse Ivanti Dienste starten zu können.
Beide Benutzeraccounts sollten vorzugsweise im Active Directory abgebildet werden und als Ivanti
Services Accounts gekennzeichnet werden. Das Passwort für diese Accounts sollte nach Einrichtung
des Ivanti EPM nicht mehr verändert werden.
4.3.2 Benutzeraccount für die Ivanti Coreserver Installation
Die Ivanti Endpoint Manager-Installationsroutine wird mit einem Benutzeraccount durchgeführt, der
über lokale Administrationsrechte auf dem Ivanti Coreserver verfügt. Idealerweise ist dieser Account
der unter 3.3.1 bereitgestellte Ivanti Serviceaccount (Benutzer 2).
4.3.3 Benutzeraccount für den Datenbank-Server
Vor der Ausführung der Ivanti EPM Installationsroutine muss eine neue Datenbank auf dem bereitge-
stellten SQL Cluster durch den Auftragnehmer erstellt werden (DB-Name frei wählbar, z.B. „epm“).
Für diese Datenbank wird zusätzlich ein dediziertes SQL-Benutzerkonto (Kein Windows Benutzer-
konto) mit folgenden Anmeldeeigenschaften erstellt:
Anmeldeeigenschaften SQL-Datenbank
Allgemein SQL Server-Authentifizierung
Allgemein - Standarddatenbank Neu erstellte EPM-Datenbank (z.B. „epm“)
Serverrollen public
Benutzerzuordnung (auf EPM-DB) public, db_owner
Status Berechtigung zum Herstellen einer Verbin-
dung: Erteilen
Muster
Seite 7 von 17
Anmeldename: Aktiviert
4.4 Netzwerkanforderungen
Die folgende Zeichnung zeigt alle vom Ivanti Endpoint Manager benötigten Netzwerk-Ports in der Cli-
ent / Server Kommunikation.
Alle aufgelisteten Netzwerk Ports in der dargestellten Kommunikationsrichtung und den vorhande-
nen VLAN- und/oder Firewall-Konfigurationen müssen offen sein.
4.4.1 Ivanti Endpoint Manager Portliste
Für die Kommunikation der einzelnen Komponenten untereinander und der unterschiedlichen Ivanti
Services wird eine Vielzahl an Portfreigaben vorausgesetzt (siehe Schaubild unter Punkt 4.4).
Eine genaue Auflistung aller zu öffnenden Ports finden Sie auf der Seite des Herstellers hier:
https://forums.ivanti.com/s/article/About-Ports-used-by-Ivanti-Endpoint-Manager-EPM-LANDESK-
Management-Suite-LDMS-full-list
Es gilt zu beachten, dass nur Ports für die benötigten Services entsprechend freigegeben werden
müssen.
Als Beispiel müssen die Ports 2195 und 2196 auf dem EPM Server nicht freigegeben werden, wenn
kein Mobile Device Management mit iOS-Geräten mit dem Ivanti EPM durchgeführt werden soll.
4.5 Systemanforderungen zur Installation
Für eine erfolgreiche Bereitstellung des Ivanti Endpoint Manager muss der Auftraggeber folgende
Punkte einhalten:
Muster
Seite 8 von 17
- Erfüllung der versionsspezifischen Hardwareanforderungen laut Empfehlung des Herstellers
(siehe Verlinkung zur Herstellerseite unter Punkt 3.7).
- Der als Ivanti Coreserver verwendete Server muss als eigenständiger Server und nicht als Pri-
mary Domain Controller (PDC), Backup Domain Controller (BDC), Active Directory Controller,
DHCP Server, DNS Server oder (Ivanti) PXE Server konfiguriert sein.
- Auf dem Ivanti Coreserver sollten keine weiteren Funktionen oder Produkte installiert wer-
den.
- Die Funktion „Automatische Microsoft Updates“ muss auf dem Ivanti Server deaktiviert wer-
den. Das Einspielen von Microsoft Patchen auf dem Ivanti Server darf ausschließlich nach
Rücksprache mit dem Auftragnehmer erfolgen.
- Keine Änderung von Rechten bei Benutzer/Gruppen, welche in Verbindung mit der Ivanti
Software stehen.
- Keine Änderung von Gruppenrichtlinien, welche in Verbindung mit dem Ivanti Server stehen.
- Das .Net Framework 4.7 muss installiert sein.
- Der FQDN des Ivanti Coreservers muss vor der Installation des Ivanti Endpoint Manager fest-
gelegt werden und kann später nicht mehr geändert werden.
- Nur bei Ablösung eines älteren EPM – Systems: Der zuvor festgelegte FQDN und die zugehö-
rige IP Adresse dürfen nicht mit den entsprechenden Daten des Altsystems übereinstimmen,
da beide Systeme während der Migration parallel laufen.
- Alle benötigten Rollen, wie z.B. der IIS Webserver, werden vom Setup des Ivanti Endpoint
Manager mit installiert.
- Der bereitgestellte Server sollte Mitglied einer Windows Domäne sein (empfohlen), die Do-
main sollte nach der Installation des Ivanti EPM-Systems nicht mehr geändert werden.
- Microsoft Silverlight muss installiert sein.
- Es wird empfohlen, den Ivanti Endpoint Manager Coreserver als virtuelle Maschine in einer
VMware vSphere Umgebung oder Hyper-V Umgebung bereitzustellen.
4.6 Unterstützte Plattformen und Kompatibilitätsmatrix – Ivanti Endpoint Manager
Ein Übersicht aller unterstützten Systeme zur Installation des Ivanti EPM sowie der unterstützten Sys-
teme, die mit dem Ivanti EPM gemanaged werden können, finden Sie auf der Seite des Herstellers
hier:
https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-
point-Manager
4.7 Architektur Guidelines und Ausstattung der Systeme
Die Ausstattung der Systeme richtet sich im Wesentlichen danach, wie viele Endpoints gemanaged
werden sollen.
Ein Übersicht darüber, welche Ausstattung des/der bereitgestellten Systeme empfohlen wird, finden
Sie auf der Seite des Herstellers hier:
https://forums.ivanti.com/s/article/Ivanti-Endpoint-Manager-2018-Architecture-Guidelines
Muster
Seite 9 von 17
4.8 Systemvoraussetzungen für Ivanti Agenten und Remotekonsolen
4.8.1 Voraussetzungen für die Agenteninstallation (Windows Systeme)
Um eine reibungslose Agentenverteilung auf Windows Systemen zu ermöglichen, müssen die folgen-
den Voraussetzungen an den betroffenen Clients erfüllt sein:
- Datei- und Druckerfreigabe müssen aktiviert sein
- einfache Dateifreigabe muss deaktiviert sein
- Serviceaccount mit lokalen Administratorrechten muss am Client existieren (siehe Punkt 4.1)
- C$ Share muss vom Core aus an den Clients erreichbar sein
- die Netzwerkkommunikation zwischen Client und Core muss gegeben sein, Ports sind anhand
dieses Dokuments in einer vorhandenen Firewall als Ausnahmen einzutragen
- funktionierende Namensauflösung (DNS)
4.8.2 Windows Client Plattformen
Eine Auflistung aller unterstützten Plattformen für die Agenteninstallation vom Hersteller finden Sie
hier:
https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-
point-Manager
4.9 Remotekonsolen Betriebssysteme zur Installation der Remotekonsole
Die Ivanti Management Konsole wird standardmäßig als Teil des Ivanti Coreservers mitinstalliert. Zu-
sätzliche Konsolen können auf Clientsystemen nachinstalliert werden:
https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-
point-Manager
4.10 Backupanforderungen
Der Ivanti Endpoint Manager kann in die kundenspezifische Backuproutine des Auftraggebers inte-
griert werden. Folgende Punkte müssen jedoch unbedingt beachtet werden:
- Während der Sicherung der Ivanti Endpoint Manager Datenbanken müssen alle relevanten
Ivanti (LANDesk) Dienste gestoppt werden.
- Wird eine Sicherung des Datasystems durchgeführt, so müssen zu diesem Zeitpunkt alle
Ivanti (LANDesk) Dienste gestoppt sein.
Sollte dies nicht erfolgen, so kann nicht garantiert werden, dass die Sicherung konsistent ist.
5 Voraussetzungen zur Einrichtung der Preferred Server Systeme
Die im folgenden Abschnitt beschriebenen Voraussetzungen müssen erfüllt werden, wenn abge-
setzte Standorte via Preferred Server an den Ivanti EPM angebunden werden sollen.
5.1 Voraussetzungen Ivanti EPM
Um Preferred Server einrichten zu können, muss der Ivanti EPM vorhanden sein.
Muster
Seite 10 von 17
5.2 Voraussetzungen Infrastruktur
An jedem der Remote Standorte, an denen ein Preferred Server eingesetzt werden soll, muss ein ent-
sprechendes Windows System oder Nicht-Windows System (Linux Server, NAS Laufwerk), bevorzugt
als virtuelle Maschine, bereitgestellt werden.
Der Einsatz eines Windows Server oder Clientsystems als Preferred Server wird empfohlen.
Bei der Verwendung von Nicht-Windows Systemen als Preferred Server muss zwingend ein Replika-
tor als Zwischenspeicher vorgeschaltet werden (Replikator: Windows Client/Server System mit instal-
liertem Ivanti EPM Agenten).
Die bereitgestellten Preferred Server und Replikatoren müssen netzwerkseitig vom Ivanti Coreserver
aus erreichbar sein. Die entsprechenden Ports zur Kommunikation müssen über die verschiedenen
Subnetze und Remote Standorte hinweg gemäß den Vorgaben in diesem Dokument konfiguriert sein.
Der FQDN und die IP-Adresse der Preferred Server Systeme müssen fest vergeben und dem Auftrag-
nehmer in einer elektronischen Liste (z.B. Excel) vorab übergeben werden (siehe Beispiel Excelliste).
Die IP-Adressranges der Endpoints in den einzelnen Remote Standorten mit der Zuordnung des je-
weiligen Preferred Servers muss dem Auftragnehmer in einer elektronischen Liste (z.B. Excel) vorab
übergeben werden (siehe Beispiel Excelliste).
Beispiel Excelliste:
Preferred Server
FQDN
IP-Adresse IP-Adressrange
(Endpoints)
Zugehöriger Rep-
likator
Stand-
ort
System
Servername.Do-
main.de
192.168.1.1 192.168.1.10 –
192.168.1.254
Clientname.Do-
main.de
MUC Windows
Server 2106
Servername2.Do-
main.de
192.100.1.1 192.100.1.10 –
192.100.1.254
Clientname2.Do-
main.de
HBG Synology
NAS XYZ
5.3 Voraussetzungen Einrichtung Preferred Server
Auf den Preferred Servern müssen zwei Benutzer-Accounts hinterlegt werden, ein Readuser-Account
und ein Writeuser-Account.
Zur besseren Verwaltung dieser Accounts sollte es sich hierbei um AD-Service-Accounts handeln
(Windows Systeme), die auf allen Preferred Servern berechtigt werden.
Die entsprechenden Accountnamen und Passwörter müssen dem Auftragnehmer in einer sicheren
Kommunikation übermittelt werden und dürfen nachträglich nicht verändert werden.
5.3.1 Pfade und Freigaben auf Preferred Servern
Um den Content (Patch und/oder Softwarepakete) vom Mastershare auf die Preferred Server syn-
chronisieren zu können, muss der Verzeichnispfad mit Freigabe auf dem Preferred Server identisch
wie auf dem Mastershare angelegt werden.
Muster
Seite 11 von 17
Für den Fall, dass Patche und/oder Softwarepakete durch die Clients auch via http-Freigabe vom Pre-
ferred Server heruntergeladen werden sollen, muss ein Webserver auf dem Preferred Server einge-
richtet werden.
Bei der Bereitstellung von Microsoft Patchen müssen die MIME-Types am IIS des Preferred Servers
konfiguriert werden, so dass u.a. auch .dat-Dateien übertragen werden können.
Sollte ein Linux/NAS System als Preferred Server zum Einsatz kommen, muss zuvor vom Auftraggeber
geklärt werden, ob http-Freigaben möglich sind und ob standardmäßig der Filetransfer via http ein-
geschränkt ist. Möglicherweise funktioniert die Übertragung von Patchen via http von einem
Linux/NAS System zu einem angebundenen Client nicht. In diesem Fall kann nur auf unc-Freigaben
zurückgegriffen werden.
6 Voraussetzungen zur Implementierung der Ivanti virtual
Cloud Services Appliance (vCSA)
Die im folgenden Abschnitt beschriebenen Voraussetzungen müssen erfüllt werden, wenn Endpoints
über eine vCSA an den EPM angebunden werden sollen. Dies ist z.B. der Fall, wenn Mobile Devices
(iOS und Android) gemanaged werden sollen oder zu managende Windows Clients über keine direkte
LAN Anbindung an den EPM verfügen (z.B. via VPN oder Netzwerk)
6.1 Technische Voraussetzungen
Die technischen Voraussetzungen zur Bereitstellung einer vCSA in einer VM-Umgebung wird auf der
Seite des Herstellers beschrieben:
https://forums.ivanti.com/s/article/How-to-upgrade-or-perform-a-new-install-for-a-Cloud-Services-
Appliance
6.2 Netzwerkvoraussetzungen
- Netzwerktopologie
Muster
Seite 12 von 17
6.3 Internetanforderungen
- Eine öffentliche IP Adresse vom Internet Provider, die ausschließlich für die Ivanti vCSA vor-
gesehen ist.
- Ein öffentlicher DNS-Name, der eindeutig bzw. ausschließlich für die vCSA vorgesehen ist
und im Internet bekannt bzw. über die bekannten Browser erreichbar ist (z.B.
https://vCSA.kundenname.de)
- Die öffentliche IP Adresse muss auf die IP Adresse von der Netzwerkkarte eth0 im DMZ wei-
tergeleitet werden.
- Ein offizielles SSL Zertifikat für den DNS Eintrag (!!Wildcard Zertifikate sind nicht unterstützt)
- Folgende Portfreigaben sind notwendig:
Quelle Port Richtung Ziel
DMZ – eth0 IP TCP - 80 outbound license.lan-
desk.com
patch.lan-
desk.com
Any TCP – 443 Inbound DMZ – eth0 IP
DMZ – eth0 IP TCP – 443 Outbound patch.lan-
desk.com
license.lan-
desk.com
DMZ – eth0 IP TCP – 53 Outbound Any
DMZ – eth0 IP UDP – 53 Outbound Any
Core Server IP TCP – 443 Inbound DMZ – eth1 IP
Remote Console
Clients IP
TCP – 443 Inbound DMZ – eth1 IP
Optional
Core Server IP TCP – 22 Inbound DMZ – eth1 IP
DMZ – eth1 IP TCP – 25 Outbound SMTP IP
6.4 Testvoraussetzungen
- 1-2 Testrechner mit aktuell unterstütztem Windows Betriebssystem (idealerweise
unterschiedliche Modelle)
- Testrechner sind zu Beginn der Testphase im internen LAN angeschlossen und sind
vom Coreserver erreichbar.
- Anbindungsmöglichkeit direkt zum Public Internet, ohne Einschränkungen (wie z.B.
Proxy Server)
Muster
Seite 13 von 17
6.5 Offizielles SSL Zertifikat
Das offizielle SSL Zertifikat muss auf den CN (common name) der veröffentlichten vCSA-URL ausge-
stellt werden (z.B. vCSA.ihre-public-url.de).
Ein Wildcardzertifikat (z.B. *.ihre-public-url.de) ist nicht zulässig.
Es muss beim Beantragen des offiziellen SSL Zertifikats unbedingt darauf geachtet werden, dass Mo-
bile Devices unterstützt werden.
Der Hash-Algorithmus für das SSL Zertifikat muss SHA-256 (entspricht SHA-2) sein.
Die Aussteller der SSL Zertifikate (CA’s) benötigen i.d.R. spezielle Firmenangaben zur Überprüfung
des Antragstellers und spezielle Mailadressen zur Rücksendung des ausgestellten SSL Zertifikats (z.B.
[email protected], [email protected], [email protected],...)
SSL Zertifikate können z.B. von folgendem Zwischenhändler ausgestellt werden:
https://www.psw.net/ssl-zertifikate.cfm
7 Voraussetzungen zur Implementierung von Mobility Management
Mit dem Ivanti Endpoint Manager ist es möglich, Mobile Devices wie z.B. Android und iOS Devices zu
managen.
In diesem Abschnitt werden die Voraussetzungen beschrieben, die zur Implementierung des Mobility
Managements erfüllt werden müssen.
7.1 Allgemeine Technische Voraussetzungen
1. Mobile Geräte zum Testen (iPhone/iPad; Android Smartphone)
2. Die Ivanti vCSA muss vorhanden und richtig konfiguriert sein.
(Vorbereitende Schritte zur Implementierung der vCSA entnehmen Sie bitte der entspre-
chenden Dokumentation)
3. Ein Ivanti Endpoint Manager Coreserver muss vorhanden und eingerichtet sein.
4. Der Ivanti Endpoint Manager Coreserver muss mit der Ivanti vCSA verbunden sein
(wurde im Zuge der Implementierung der vCSA durch Magelan eingerichtet).
5. Administrativer Zugriff auf den DNS Server zum Einrichten spezieller .txt-Records für iOS
und/oder Android in der Forward Lookup Zone des DNS Servers muss gewährleistet sein.
6. Auf dem Ivanti Coreserver muss das Feature „Desktop Experience“ (Flash) aktiviert sein.
7.2 Voraussetzungen zum Managen von iOS Geräten
Um Apple iOS Geräte (iPhone und iPad) mit dem Ivanti Endpoint Manager verwalten zu können, müs-
sen folgende Voraussetzungen erfüllt sein:
1. Supported iOS Versionen der Mobile Devices ab iOS 7.0 und höher.
2. Eine Apple ID muss vorhanden sein (Registrierung: https://appleid.apple.com/).
3. Ein APNS Zertifikat muss erstellt werden (kann im Zuge der Implementierung Mobility Ma-
nagement mit dem vorhandenen Account aus Punkt 2.2 -2 erstellt werden, siehe auch 3.2)
Muster
Seite 14 von 17
4. Der Ivanti Coreserver muss die von Apple zur Verfügung gestellten APNS Server über spezi-
elle TCP-Ports erreichen können (siehe Punkt 4).
5. Die iOS Geräte müssen die von Apple zur Verfügung gestellten APNS Server über spezielle
TCP-Ports erreichen können, sowohl aus dem jeweiligen WLAN, in dem sich die Geräte befin-
den, als auch über den APN des Providers (siehe Punkt 4).
6. Auf den iOS Geräten muss der Ivanti Agent über den iOS App Store installiert werden.
7.3 Voraussetzungen zum Managen von Android Geräten
1. Supportet Android Versionen ab Android 4.0.3(API15) und höher.
2. Ein Google Firebase Account muss vorhanden sein („Google-Firebase Cloud Messaging“ Por-
tal)
3. Eine Google Project Number und ein Server Key müssen generiert werden (kann im Zuge der
Implementierung Mobility Management mit dem vorhandenen Account aus Punkt 2.3 -2 er-
stellt werden, siehe auch 3.2)
4. Port 443 TCP muss für die Android Geräte aus ihrem jeweiligen WLAN und Provider APN ge-
öffnet sein.
5. Auf den Android Geräten muss der Ivanti Agent oder der Ivanti for Work Agent über den
Google Play Store installiert werden.
7.4 APNS Zertifikat / Google Project number
Die Zertifikate (APNS für iOS Devices und Project Number/Server Key für Android) können auf
Wunsch zusammen mit dem Auftragnehmer im Zuge der Dienstleistung erstellt werden (Bestandteil
der Leistungsvereinbarung). Es ist jedoch unbedingt erforderlich, dass die notwendigen Accounts da-
für bereits existieren.
Das Einrichten dieser Accounts kann ein bisschen Zeit in Anspruch nehmen, die für die Implementie-
rung des Mobility Managements durch Magelan nicht berücksichtigt ist.
7.5 Freizugebende Ports
Damit der Coreserver mit den von Apple bereitgestellten APNS Servern kommunizieren kann, müs-
sen folgende Verbindungen vom Coreserver konfiguriert werden:
-TCP Port 2195 auf „gateway.push.apple.com“
-TCP Port 2196 auf „feedback.push.apple.com“
Apple hat zwecks Lastenverteilung verschiedene APNS Server im Adressblock 17.0.0.0/8 bereitge-
stellt. Es muss gewährleistet sein, dass der gesamte Adressblock über die angegebenen Ports vom
Coreserver erreichbar ist.
Damit die iOS Geräte ebenfalls mit den APNS Servern kommunizieren können, muss sichergestellt
sein, dass der TCP-Port 5223 geöffnet ist.
Dieser Port muss i.d.R. aus den WLAN-Netzen geöffnet werden, in denen sich die iOS Geräte anmel-
den können.
Muster
Seite 15 von 17
Über den Access Point Name (APN) des Mobilfunknetzes ist dieser Port i.d.R. offen. Allerdings gibt es
die Möglichkeit, dass Ihr Mobilfunk Provider spezielle APN’s für Ihre mobilen Geräte konfiguriert hat.
Bitte fragen Sie bei Ihrem Mobilfunk Provider nach, ob das der Fall ist, falls MDM über das Mobil-
funknetz nicht funktioniert.
8 Voraussetzung zur Einrichtung der Softwareverteilung im EPM
- Der Ivanti Endpoint Manager muss vorhanden und eingerichtet sein
- Ein Mastershare für die Installationsquellen ist eingerichtet
- Eine gültige Lizenz für die Ivanti Softwareverteilung muss vorliegen
- Die Installationsquellen der zu erstellenden Softwarepakete sind auf dem Mastershare ver-
fügbar
- Silent-Switche für die unbeaufsichtigte Installation sind bekannt
- Testsysteme zum Testen der Pakete stehen zur Verfügung
9 Voraussetzungen zur Einrichtung von OS-Provisioning
- Der Ivanti Endpoint Manager muss installiert und verfügbar sein
- Eine gültige Lizenz für Ivanti OS Provisioning muss vorliegen
- Windows Lizenzen für die zu installierenden Betriebssysteme müssen vorliegen
- Windows Installationsquellen (.iso-Files) für die zu installierenden Betriebssysteme müssen
vorliegen
- Eine ausreichende Anzahl von Testsystemen muss verfügbar sein (Windows Clients)
- Ein Gerät, auf dem die PXE Dienste installiert sind (im Management befindliches Gerät), muss
im Subnetz der Ivanti Coreserver verfügbar sein
- Gerätetreiber für die zu provisionierende Hardware müssen vorliegen
Bei der Bereitstellung von VM’s als Testsystem kann das Einbinden von Gerätetreibern während des
OS Provisionings nur theoretisch behandelt werden.
10 Voraussetzungen zur Einrichtung des Ivanti Patchmanagers im EPM
- Der Ivanti Endpoint Manager muss installiert und verfügbar sein
- Eine gültige Lizenz für die Ivanti Patchsubscription muss vorliegen
- Eine ausreichende Anzahl von Testsystemen muss verfügbar sein (Windows Clients)
- Ein Ivanti EPM Agent muss auf den Testclients installiert sein
11 Voraussetzungen zur Bereitstellung von Data Analytics im EPM
- Der Ivanti Endpoint Manager muss installiert und verfügbar sein
- Eine gültige Lizenz für Data Analytics muss vorliegen
- Zugangsdaten für die verschiedenen Webportale der Lieferanten (z.B. Microsoft Silber-
partner Portal, …etc.)
Muster
Seite 16 von 17
12 Beschreibung der Produkte und Techniken
12.1 Ivanti Endpoint Manager (EPM)
- Ivanti Coreserver
Der Ivanti Coreserver ist der zentrale Server, auf dem die Ivanti Endpoint Manager Suite in-
klusive aller Module installiert wird. Je nach aktivierter Lizenz sind dann entweder alle Mo-
dule oder nur Teile der gesamten Suite verfügbar.
- Ivanti PXE-Server
Das Preboot eXecution Environment (PXE) ist ein Verfahren, um Computern einen netzwerk-
basierten Bootvorgang zu ermöglichen. Der Ivanti PXE-Server stellt alle benötigten Dienste
und Daten für den PXE-Bootvorgang zur Verfügung.
- Endpoints
Endpoints sind die Geräte (Desktops, Notebooks, Server, Mobile Devices etc.), die mit dem
EPM gemanaged werden.
- Unattended Installation
Bei einer unbeaufsichtigten Installation (engl. unattended installation) wird das komplette
Setup eines Programms oder einer Installationsroutine durchlaufen, ohne dass währenddes-
sen Eingaben vom Benutzer nötig sind. Angaben während der Installation, zum Beispiel zum
gewünschten Installationspfad, die Eingabe eines eventuell benötigten Lizenzschlüssels oder
die Quittierung von Bestätigungen entfallen also, da diese Einstellungen zuvor zum Beispiel in
einem Skript (einer so genannten Antwortdatei) oder mit einem bestimmten Kommandozei-
lenparameter festgelegt werden.
- Admin-File Installation
Bei einer unbeaufsichtigten Admin-File Installation (engl. Admin-File installation) wird das
komplette Setup von Microsoft Office durchlaufen, ohne dass währenddessen Eingaben vom
Benutzer nötig sind. Angaben während der Installation, zum Beispiel zum gewünschten In-
stallationspfad, die Eingabe eines eventuell benötigten Lizenzschlüssels oder die Quittierung
von Bestätigungen entfallen also, da diese Einstellungen zuvor in einer so genannten Ant-
wortdatei festgelegt werden.
- In-Place Migration
Die bestehende Serverhardware wird mit einem neuen Betriebssystem installiert und konfi-
guriert.
- In-Place Upgrade
Es findet ein Upgrade der bestehenden Software auf der bestehenden Serverhardware statt.
- Side-by-side Migration
Es wird neue Serverhardware komplett neuinstalliert und die Daten von der alten Ser-
verhardware werden übernommen.
12.2 Preferred Server
- Ivanti Preferred Server
Ein Preferred Server ist ein freigegebenes Netzlaufwerk, auf das die Endpoints über eine UNC
– oder HTTP Freigabe lesend Zugriff haben, um die benötigten Installationsdateien zur Instal-
lation von Patchen, Softwarepaketen und Betriebssystemen zu beziehen.
Muster
Seite 17 von 17
Der Zweck eines Preferred Servers ist es, die Installationsdateien, die die Endpoints für die
Installation von Softwarepaketen und Patchen benötigen, am jeweiligen Remote Standort
vorzuhalten. Somit müssen diese Dateien nicht über eine WAN Strecke vom definierten Mas-
tershare bezogen werden.
- Ivanti kann im Endpoint Manager verschiedene Systeme als Preferred Server verwalten. Dies
können Windows– oder Linux-Systeme sein, das können Client– oder Serversysteme sein.
- Replikator
Ein Windows System (Client oder Server) mit installiertem Ivanti Agenten.
Bei der Synchronisation des Contents vom Mastershare zum Preferred Server dient der Repli-
kator als Zwischenspeicher.
Ein Replikator kann für mehrere Preferred Server den zu synchronisierenden Content zwi-
schenspeichern. Da der komplette zu synchronisierende Content auf dem Replikator zwi-
schengespeichert wird, ist es zwingend erforderlich, ausreichend Speicherplatz auf dem Rep-
likator bereitzustellen.
Werden als Preferred Server ausschließlich Windows Systeme verwendet, dann kann das de-
finierte Mastershare als Replikator für alle Preferred Server konfiguriert werden.
Alternativ kann der definierte Windows Preferred Server als Replikator für sich selbst einge-
richtet werden. In diesem Fall gilt es aber zu beachten, dass genug Speicherplatz vorhanden
ist, da der Content auf dem System doppelt abgelegt wird.
Werden als Preferred Server Nicht-Windows Systeme verwendet (Linux Server, NAS Lauf-
werke), so ist es zwingend erforderlich, einen Replikator als Zwischenspeicher zu definieren,
da ansonsten die Synchronisation des Contents nicht funktioniert.
Es wird empfohlen, an jedem Remote Standort einen eigenen Replikator zu installieren.
- Remote Standort
Ein Standort, der über eine WAN Strecke an das zentrale Unternehmens-LAN angebunden ist.
Die Clients in diesem Remote Standort befinden sich somit nicht im selben Standort wie der
Ivanti Coreserver.
- Readuser und Writeuser
Auf den Preferred Servern lokal berechtigte Benutzeraccounts, bevorzugt AD-Serviceac-
counts.
Der Readuser-Account wird von den am Remote Standort befindlichen Endpoints verwendet,
um lesend auf die Freigaben zuzugreifen und die Installationsdateien der zu installierenden
Softwarepakete oder Patche zu kopieren.
Der Writeuser-Account dient dazu, den benötigten Content vom Mastershare auf den Prefer-
red Server zu synchronisieren.
Der Readuser-Account und der Writeuser-Account werden im Ivanti Coreserver in der Prefer-
red Server Konfiguration mit Username und Passwort hinterlegt.
Muster