Systemvoraussetzungen zur Installation / Upgrade / Initialen Einrichtung / Durchführung von Dienstleistung

„Ivanti Endpoint Manager und aller zugehörigen Module “

Muster

Seite 2 von 17

Inhaltsverzeichnis

1 Einleitung ............................................................................................ 4

2 Allgemeine Voraussetzungen .............................................................. 4

2.1 Voraussetzung bei vor Ort Tätigkeit .................................................................................4

2.1.1 Technischer Ansprechpartner ..........................................................................................4

2.1.2 Zugang zum Internet bei vor Ort Tätigkeiten ....................................................................4

2.2 Voraussetzung bei Remotetätigkeit .................................................................................4

2.2.1 Programm zur Fernwartung .............................................................................................4

3 Voraussetzungen für den Abruf von beauftragten

Dienstleistungsstunden oder -tagen ................................................... 5

4 Voraussetzungen für Ivanti EPM Bereitstellung (Neuinstallation, In-

Place Upgrade, Side-by-Side Migration) .............................................. 5

4.1 Sicherung des bestehenden Systems (nur bei In-Place Upgrade oder Side-by-Side

Migration) .......................................................................................................................5

4.1.1 Bei einem In-Place Upgrade .............................................................................................5

4.1.2 Bei einer Side-by-side Migration ......................................................................................5

4.2 Bereitgestellte Windows Server .......................................................................................5

4.2.1 Bei einem In-Place Upgrade .............................................................................................5

4.2.2 Bei einer Side-by-side Migration ......................................................................................6

4.2.3 Bei einer Neuinstallation ..................................................................................................6

4.3 Benötigte Benutzerkonten ...............................................................................................6

4.3.1 Serviceaccounts Ivanti EPM .............................................................................................6

4.3.2 Benutzeraccount für die Ivanti Coreserver Installation .....................................................6

4.3.3 Benutzeraccount für den Datenbank-Server ....................................................................6

4.4 Netzwerkanforderungen ..................................................................................................7

4.4.1 Ivanti Endpoint Manager Portliste....................................................................................7

4.5 Systemanforderungen zur Installation .............................................................................7

4.6 Unterstützte Plattformen und Kompatibilitätsmatrix – Ivanti Endpoint Manager .............8

4.7 Architektur Guidelines und Ausstattung der Systeme .......................................................8

4.8 Systemvoraussetzungen für Ivanti Agenten und Remotekonsolen....................................9

4.8.1 Voraussetzungen für die Agenteninstallation (Windows Systeme) ...................................9

4.8.2 Windows Client Plattformen ............................................................................................9

4.9 Remotekonsolen Betriebssysteme zur Installation der Remotekonsole ............................9

Muster

Seite 3 von 17

4.10 Backupanforderungen .....................................................................................................9

5 Voraussetzungen zur Einrichtung der Preferred Server Systeme ........ 9

5.1 Voraussetzungen Ivanti EPM ............................................................................................9

5.2 Voraussetzungen Infrastruktur....................................................................................... 10

5.3 Voraussetzungen Einrichtung Preferred Server .............................................................. 10

5.3.1 Pfade und Freigaben auf Preferred Servern ................................................................... 10

6 Voraussetzungen zur Implementierung der Ivanti virtual Cloud

Services Appliance (vCSA) ................................................................. 11

6.1 Technische Voraussetzungen ......................................................................................... 11

6.2 Netzwerkvoraussetzungen ............................................................................................. 11

6.3 Internetanforderungen .................................................................................................. 12

6.4 Testvoraussetzungen ..................................................................................................... 12

6.5 Offizielles SSL Zertifikat .................................................................................................. 13

7 Voraussetzungen zur Implementierung von Mobility Management . 13

7.1 Allgemeine Technische Voraussetzungen ....................................................................... 13

7.2 Voraussetzungen zum Managen von iOS Geräten .......................................................... 13

7.3 Voraussetzungen zum Managen von Android Geräten ................................................... 14

7.4 APNS Zertifikat / Google Project number ....................................................................... 14

7.5 Freizugebende Ports ...................................................................................................... 14

8 Voraussetzung zur Einrichtung der Softwareverteilung im EPM ....... 15

9 Voraussetzungen zur Einrichtung von OS-Provisioning ..................... 15

10 Voraussetzungen zur Einrichtung des Ivanti Patchmanagers im EPM 15

11 Voraussetzungen zur Bereitstellung von Data Analytics im EPM ....... 15

12 Beschreibung der Produkte und Techniken....................................... 16

12.1 Ivanti Endpoint Manager (EPM) ..................................................................................... 16

12.2 Preferred Server ............................................................................................................ 16

Muster

Seite 4 von 17

1 Einleitung

Dieses Dokument beschreibt sämtliche Voraussetzungen, die gemäß Leistungsbeschreibung/en der

zu erbringenden Dienstleistungen durch den Auftraggeber erfüllt werden müssen.

Die in diesem Dokument aufgeführten Voraussetzungen, für die keine Dienstleistung beauftragt

wurde, können ignoriert werden.

2 Allgemeine Voraussetzungen

2.1 Voraussetzung bei vor Ort Tätigkeit

Sofern nicht anders vereinbart, findet die vom Auftragnehmer zu erbringende Dienstleistung vor Ort

beim Auftraggeber statt.

Folgende Voraussetzungen müssen für die Durchführung der vor Ort Tätigkeit geschaffen sein:

2.1.1 Technischer Ansprechpartner

Auf Seiten des Auftraggebers muss ein technischer Ansprechpartner verfügbar sein, der während der

gesamten Zeit der vor Ort Tätigkeit erreichbar ist und administrativen Zugriff auf alle relevanten Sys-

teme geben kann.

2.1.2 Zugang zum Internet bei vor Ort Tätigkeiten

Der Mitarbeiter des Auftragnehmers, der vor Ort die Bereitstellung und Einrichtung des Ivanti End-

point Managers oder einzelner Module durchführt, benötigt uneingeschränkten Zugang zum Internet

mit seinem Firmennotebook. Der Auftraggeber ist dafür verantwortlich, diesen Zugang zu gewähr-

leisten.

Der Internetzugang wird zu Recherche – und Kommunikationszwecken im Rahmen des Auftrags be-

nötigt.

2.2 Voraussetzung bei Remotetätigkeit

Der Auftragnehmer bietet dem Auftraggeber die Möglichkeit, die beauftragte Dienstleistung remote

durchzuführen.

Die Durchführung einer Remotedienstleistung muss zwischen Auftraggeber und Auftragnehmer ver-

einbart werden.

Folgende Voraussetzungen müssen für die Remotedienstleistung geschaffen sein:

2.2.1 Programm zur Fernwartung

Es wird ein Programm zur Fernwartung auf alle entsprechenden Systeme des Auftraggebers benötigt (Ivanti Systeme, Datenbankserver, Testclients, ... etc.).

Der Auftragnehmer bietet die Möglichkeit, Teamviewer in der vom Auftragnehmer lizensierten Ver-

sion einzusetzen. Optional kann ein anderes, vom Auftraggeber bereitgestelltes Fernwartungspro-

gramm verwendet werden.

Muster

Seite 5 von 17

3 Voraussetzungen für den Abruf von beauftragten Dienstleistungsstunden

oder -tagen

Der Auftragnehmer bietet Dienstleistung an, die stunden- oder tageweise durch den Auftraggeber

abgerufen werden können.

Der Abruf von Dienstleistung von beauftragten Stunden oder Tagen durch den Auftraggeber setzt im-

mer eine vorherige Terminvereinbarung zwischen Auftraggeber und Auftragnehmer voraus. Sollte

die beauftragte Dienstleistung durch den Auftraggeber in Teilstücken abgerufen werden, so muss je-

des Mal vor Abruf eines Teils der beauftragten Dienstleistung ein neuer Termin vereinbart werden.

Der Auftraggeber liefert spätestens bei Terminvereinbarung detaillierte Informationen über Art und

Umfang der durchzuführenden Tätigkeiten in schriftlicher Form (z.B. E-Mail).

Sollten für die kommunizierten Inhalte der durchzuführenden Dienstleistung weitere Voraussetzun-

gen erforderlich sein, die in dieser Systemvoraussetzung nicht aufgeführt werden, so teilt der Auf-

tragnehmer dies rechtzeitig mit.

Der Auftraggeber ist dafür verantwortlich, sämtliche kommunizierten Voraussetzungen für die

Durchführung der Dienstleistung zu erbringen.

Die Durchführung der Dienstleistung Remote oder vor Ort wird zwischen Auftraggeber und Auftrag-

nehmer zuvor vereinbart.

4 Voraussetzungen für Ivanti EPM Bereitstellung (Neuinstallation, In-Place

Upgrade, Side-by-Side Migration)

4.1 Sicherung des bestehenden Systems (nur bei In-Place Upgrade oder Side-by-Side Migration)

Der Auftraggeber ist dafür verantwortlich, vor Durchführung des Upgrades folgende Sicherungen des

Altsystems zu erstellen:

4.1.1 Bei einem In-Place Upgrade

- Snapshot des bestehenden Ivanti Coreservers (VM)

- Sicherung der aktuell eingebundenen Ivanti Datenbank

- Sicherung des folgenden Verzeichnisses vom bestehenden Ivanti Coreserver:

o C:\Program Files\LANDesk\Shared Files

4.1.2 Bei einer Side-by-side Migration

- Sicherung der aktuell eingebundenen Datenbank

- Sicherung des folgenden Verzeichnisses vom bestehenden Ivanti Coreserver:

o C:\Program Files\LANDesk\Shared Files

4.2 Bereitgestellte Windows Server

4.2.1 Bei einem In-Place Upgrade

Es müssen keine zusätzlichen Systeme bereitgestellt werden

Muster

Seite 6 von 17

4.2.2 Bei einer Side-by-side Migration

Es muss ein neuer Windows Server bereitgestellt werden, auf dem der EPM neu installiert

werden kann.

4.2.3 Bei einer Neuinstallation

Es muss ein neuer Windows Server bereitgestellt werden, auf dem der EPM neu installiert

werden kann.

4.3 Benötigte Benutzerkonten

4.3.1 Serviceaccounts Ivanti EPM

Der Ivanti Endpoint Manager benötigt zwei Serviceaccounts mit folgenden Berechtigungen:

Benutzer 1 —> Lokale Administrator-Rechte auf allen Endpoints, auf denen ein Ivanti EPM Agent

installiert werden soll. Bei Linux-Endpoints muss dieses Konto über root-Rechte verfügen.

Benutzer 2 —> Lesende Rechte im Active Directory zur Synchronisation von AD Benutzeraccounts

in das Benutzermanagement des Ivanti Endpoint Managers. Dieser Account muss gleichzeitig lo-

kaler Administrator auf dem Ivanti Coreserver sein, um diverse Ivanti Dienste starten zu können.

Beide Benutzeraccounts sollten vorzugsweise im Active Directory abgebildet werden und als Ivanti

Services Accounts gekennzeichnet werden. Das Passwort für diese Accounts sollte nach Einrichtung

des Ivanti EPM nicht mehr verändert werden.

4.3.2 Benutzeraccount für die Ivanti Coreserver Installation

Die Ivanti Endpoint Manager-Installationsroutine wird mit einem Benutzeraccount durchgeführt, der

über lokale Administrationsrechte auf dem Ivanti Coreserver verfügt. Idealerweise ist dieser Account

der unter 3.3.1 bereitgestellte Ivanti Serviceaccount (Benutzer 2).

4.3.3 Benutzeraccount für den Datenbank-Server

Vor der Ausführung der Ivanti EPM Installationsroutine muss eine neue Datenbank auf dem bereitge-

stellten SQL Cluster durch den Auftragnehmer erstellt werden (DB-Name frei wählbar, z.B. „epm“).

Für diese Datenbank wird zusätzlich ein dediziertes SQL-Benutzerkonto (Kein Windows Benutzer-

konto) mit folgenden Anmeldeeigenschaften erstellt:

Anmeldeeigenschaften SQL-Datenbank

Allgemein SQL Server-Authentifizierung

Allgemein - Standarddatenbank Neu erstellte EPM-Datenbank (z.B. „epm“)

Serverrollen public

Benutzerzuordnung (auf EPM-DB) public, db_owner

Status Berechtigung zum Herstellen einer Verbin-

dung: Erteilen

Muster

Seite 7 von 17

Anmeldename: Aktiviert

4.4 Netzwerkanforderungen

Die folgende Zeichnung zeigt alle vom Ivanti Endpoint Manager benötigten Netzwerk-Ports in der Cli-

ent / Server Kommunikation.

Alle aufgelisteten Netzwerk Ports in der dargestellten Kommunikationsrichtung und den vorhande-

nen VLAN- und/oder Firewall-Konfigurationen müssen offen sein.

4.4.1 Ivanti Endpoint Manager Portliste

Für die Kommunikation der einzelnen Komponenten untereinander und der unterschiedlichen Ivanti

Services wird eine Vielzahl an Portfreigaben vorausgesetzt (siehe Schaubild unter Punkt 4.4).

Eine genaue Auflistung aller zu öffnenden Ports finden Sie auf der Seite des Herstellers hier:

https://forums.ivanti.com/s/article/About-Ports-used-by-Ivanti-Endpoint-Manager-EPM-LANDESK-

Management-Suite-LDMS-full-list

Es gilt zu beachten, dass nur Ports für die benötigten Services entsprechend freigegeben werden

müssen.

Als Beispiel müssen die Ports 2195 und 2196 auf dem EPM Server nicht freigegeben werden, wenn

kein Mobile Device Management mit iOS-Geräten mit dem Ivanti EPM durchgeführt werden soll.

4.5 Systemanforderungen zur Installation

Für eine erfolgreiche Bereitstellung des Ivanti Endpoint Manager muss der Auftraggeber folgende

Punkte einhalten:

Muster

Seite 8 von 17

- Erfüllung der versionsspezifischen Hardwareanforderungen laut Empfehlung des Herstellers

(siehe Verlinkung zur Herstellerseite unter Punkt 3.7).

- Der als Ivanti Coreserver verwendete Server muss als eigenständiger Server und nicht als Pri-

mary Domain Controller (PDC), Backup Domain Controller (BDC), Active Directory Controller,

DHCP Server, DNS Server oder (Ivanti) PXE Server konfiguriert sein.

- Auf dem Ivanti Coreserver sollten keine weiteren Funktionen oder Produkte installiert wer-

den.

- Die Funktion „Automatische Microsoft Updates“ muss auf dem Ivanti Server deaktiviert wer-

den. Das Einspielen von Microsoft Patchen auf dem Ivanti Server darf ausschließlich nach

Rücksprache mit dem Auftragnehmer erfolgen.

- Keine Änderung von Rechten bei Benutzer/Gruppen, welche in Verbindung mit der Ivanti

Software stehen.

- Keine Änderung von Gruppenrichtlinien, welche in Verbindung mit dem Ivanti Server stehen.

- Das .Net Framework 4.7 muss installiert sein.

- Der FQDN des Ivanti Coreservers muss vor der Installation des Ivanti Endpoint Manager fest-

gelegt werden und kann später nicht mehr geändert werden.

- Nur bei Ablösung eines älteren EPM – Systems: Der zuvor festgelegte FQDN und die zugehö-

rige IP Adresse dürfen nicht mit den entsprechenden Daten des Altsystems übereinstimmen,

da beide Systeme während der Migration parallel laufen.

- Alle benötigten Rollen, wie z.B. der IIS Webserver, werden vom Setup des Ivanti Endpoint

Manager mit installiert.

- Der bereitgestellte Server sollte Mitglied einer Windows Domäne sein (empfohlen), die Do-

main sollte nach der Installation des Ivanti EPM-Systems nicht mehr geändert werden.

- Microsoft Silverlight muss installiert sein.

- Es wird empfohlen, den Ivanti Endpoint Manager Coreserver als virtuelle Maschine in einer

VMware vSphere Umgebung oder Hyper-V Umgebung bereitzustellen.

4.6 Unterstützte Plattformen und Kompatibilitätsmatrix – Ivanti Endpoint Manager

Ein Übersicht aller unterstützten Systeme zur Installation des Ivanti EPM sowie der unterstützten Sys-

teme, die mit dem Ivanti EPM gemanaged werden können, finden Sie auf der Seite des Herstellers

hier:

https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-

point-Manager

4.7 Architektur Guidelines und Ausstattung der Systeme

Die Ausstattung der Systeme richtet sich im Wesentlichen danach, wie viele Endpoints gemanaged

werden sollen.

Ein Übersicht darüber, welche Ausstattung des/der bereitgestellten Systeme empfohlen wird, finden

Sie auf der Seite des Herstellers hier:

https://forums.ivanti.com/s/article/Ivanti-Endpoint-Manager-2018-Architecture-Guidelines

Muster

Seite 9 von 17

4.8 Systemvoraussetzungen für Ivanti Agenten und Remotekonsolen

4.8.1 Voraussetzungen für die Agenteninstallation (Windows Systeme)

Um eine reibungslose Agentenverteilung auf Windows Systemen zu ermöglichen, müssen die folgen-

den Voraussetzungen an den betroffenen Clients erfüllt sein:

- Datei- und Druckerfreigabe müssen aktiviert sein

- einfache Dateifreigabe muss deaktiviert sein

- Serviceaccount mit lokalen Administratorrechten muss am Client existieren (siehe Punkt 4.1)

- C$ Share muss vom Core aus an den Clients erreichbar sein

- die Netzwerkkommunikation zwischen Client und Core muss gegeben sein, Ports sind anhand

dieses Dokuments in einer vorhandenen Firewall als Ausnahmen einzutragen

- funktionierende Namensauflösung (DNS)

4.8.2 Windows Client Plattformen

Eine Auflistung aller unterstützten Plattformen für die Agenteninstallation vom Hersteller finden Sie

hier:

https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-

point-Manager

4.9 Remotekonsolen Betriebssysteme zur Installation der Remotekonsole

Die Ivanti Management Konsole wird standardmäßig als Teil des Ivanti Coreservers mitinstalliert. Zu-

sätzliche Konsolen können auf Clientsystemen nachinstalliert werden:

https://forums.ivanti.com/s/article/Supported-Platforms-and-Compatibility-Matrix-for-Ivanti-End-

point-Manager

4.10 Backupanforderungen

Der Ivanti Endpoint Manager kann in die kundenspezifische Backuproutine des Auftraggebers inte-

griert werden. Folgende Punkte müssen jedoch unbedingt beachtet werden:

- Während der Sicherung der Ivanti Endpoint Manager Datenbanken müssen alle relevanten

Ivanti (LANDesk) Dienste gestoppt werden.

- Wird eine Sicherung des Datasystems durchgeführt, so müssen zu diesem Zeitpunkt alle

Ivanti (LANDesk) Dienste gestoppt sein.

Sollte dies nicht erfolgen, so kann nicht garantiert werden, dass die Sicherung konsistent ist.

5 Voraussetzungen zur Einrichtung der Preferred Server Systeme

Die im folgenden Abschnitt beschriebenen Voraussetzungen müssen erfüllt werden, wenn abge-

setzte Standorte via Preferred Server an den Ivanti EPM angebunden werden sollen.

5.1 Voraussetzungen Ivanti EPM

Um Preferred Server einrichten zu können, muss der Ivanti EPM vorhanden sein.

Muster

Seite 10 von 17

5.2 Voraussetzungen Infrastruktur

An jedem der Remote Standorte, an denen ein Preferred Server eingesetzt werden soll, muss ein ent-

sprechendes Windows System oder Nicht-Windows System (Linux Server, NAS Laufwerk), bevorzugt

als virtuelle Maschine, bereitgestellt werden.

Der Einsatz eines Windows Server oder Clientsystems als Preferred Server wird empfohlen.

Bei der Verwendung von Nicht-Windows Systemen als Preferred Server muss zwingend ein Replika-

tor als Zwischenspeicher vorgeschaltet werden (Replikator: Windows Client/Server System mit instal-

liertem Ivanti EPM Agenten).

Die bereitgestellten Preferred Server und Replikatoren müssen netzwerkseitig vom Ivanti Coreserver

aus erreichbar sein. Die entsprechenden Ports zur Kommunikation müssen über die verschiedenen

Subnetze und Remote Standorte hinweg gemäß den Vorgaben in diesem Dokument konfiguriert sein.

Der FQDN und die IP-Adresse der Preferred Server Systeme müssen fest vergeben und dem Auftrag-

nehmer in einer elektronischen Liste (z.B. Excel) vorab übergeben werden (siehe Beispiel Excelliste).

Die IP-Adressranges der Endpoints in den einzelnen Remote Standorten mit der Zuordnung des je-

weiligen Preferred Servers muss dem Auftragnehmer in einer elektronischen Liste (z.B. Excel) vorab

übergeben werden (siehe Beispiel Excelliste).

Beispiel Excelliste:

Preferred Server

FQDN

IP-Adresse IP-Adressrange

(Endpoints)

Zugehöriger Rep-

likator

Stand-

ort

System

Servername.Do-

main.de

192.168.1.1 192.168.1.10 –

192.168.1.254

Clientname.Do-

main.de

MUC Windows

Server 2106

Servername2.Do-

main.de

192.100.1.1 192.100.1.10 –

192.100.1.254

Clientname2.Do-

main.de

HBG Synology

NAS XYZ

5.3 Voraussetzungen Einrichtung Preferred Server

Auf den Preferred Servern müssen zwei Benutzer-Accounts hinterlegt werden, ein Readuser-Account

und ein Writeuser-Account.

Zur besseren Verwaltung dieser Accounts sollte es sich hierbei um AD-Service-Accounts handeln

(Windows Systeme), die auf allen Preferred Servern berechtigt werden.

Die entsprechenden Accountnamen und Passwörter müssen dem Auftragnehmer in einer sicheren

Kommunikation übermittelt werden und dürfen nachträglich nicht verändert werden.

5.3.1 Pfade und Freigaben auf Preferred Servern

Um den Content (Patch und/oder Softwarepakete) vom Mastershare auf die Preferred Server syn-

chronisieren zu können, muss der Verzeichnispfad mit Freigabe auf dem Preferred Server identisch

wie auf dem Mastershare angelegt werden.

Muster

Seite 11 von 17

Für den Fall, dass Patche und/oder Softwarepakete durch die Clients auch via http-Freigabe vom Pre-

ferred Server heruntergeladen werden sollen, muss ein Webserver auf dem Preferred Server einge-

richtet werden.

Bei der Bereitstellung von Microsoft Patchen müssen die MIME-Types am IIS des Preferred Servers

konfiguriert werden, so dass u.a. auch .dat-Dateien übertragen werden können.

Sollte ein Linux/NAS System als Preferred Server zum Einsatz kommen, muss zuvor vom Auftraggeber

geklärt werden, ob http-Freigaben möglich sind und ob standardmäßig der Filetransfer via http ein-

geschränkt ist. Möglicherweise funktioniert die Übertragung von Patchen via http von einem

Linux/NAS System zu einem angebundenen Client nicht. In diesem Fall kann nur auf unc-Freigaben

zurückgegriffen werden.

6 Voraussetzungen zur Implementierung der Ivanti virtual

Cloud Services Appliance (vCSA)

Die im folgenden Abschnitt beschriebenen Voraussetzungen müssen erfüllt werden, wenn Endpoints

über eine vCSA an den EPM angebunden werden sollen. Dies ist z.B. der Fall, wenn Mobile Devices

(iOS und Android) gemanaged werden sollen oder zu managende Windows Clients über keine direkte

LAN Anbindung an den EPM verfügen (z.B. via VPN oder Netzwerk)

6.1 Technische Voraussetzungen

Die technischen Voraussetzungen zur Bereitstellung einer vCSA in einer VM-Umgebung wird auf der

Seite des Herstellers beschrieben:

https://forums.ivanti.com/s/article/How-to-upgrade-or-perform-a-new-install-for-a-Cloud-Services-

Appliance

6.2 Netzwerkvoraussetzungen

- Netzwerktopologie

Muster

Seite 12 von 17

6.3 Internetanforderungen

- Eine öffentliche IP Adresse vom Internet Provider, die ausschließlich für die Ivanti vCSA vor-

gesehen ist.

- Ein öffentlicher DNS-Name, der eindeutig bzw. ausschließlich für die vCSA vorgesehen ist

und im Internet bekannt bzw. über die bekannten Browser erreichbar ist (z.B.

https://vCSA.kundenname.de)

- Die öffentliche IP Adresse muss auf die IP Adresse von der Netzwerkkarte eth0 im DMZ wei-

tergeleitet werden.

- Ein offizielles SSL Zertifikat für den DNS Eintrag (!!Wildcard Zertifikate sind nicht unterstützt)

- Folgende Portfreigaben sind notwendig:

Quelle Port Richtung Ziel

DMZ – eth0 IP TCP - 80 outbound license.lan-

desk.com

patch.lan-

desk.com

Any TCP – 443 Inbound DMZ – eth0 IP

DMZ – eth0 IP TCP – 443 Outbound patch.lan-

desk.com

license.lan-

desk.com

DMZ – eth0 IP TCP – 53 Outbound Any

DMZ – eth0 IP UDP – 53 Outbound Any

Core Server IP TCP – 443 Inbound DMZ – eth1 IP

Remote Console

Clients IP

TCP – 443 Inbound DMZ – eth1 IP

Optional

Core Server IP TCP – 22 Inbound DMZ – eth1 IP

DMZ – eth1 IP TCP – 25 Outbound SMTP IP

6.4 Testvoraussetzungen

- 1-2 Testrechner mit aktuell unterstütztem Windows Betriebssystem (idealerweise

unterschiedliche Modelle)

- Testrechner sind zu Beginn der Testphase im internen LAN angeschlossen und sind

vom Coreserver erreichbar.

- Anbindungsmöglichkeit direkt zum Public Internet, ohne Einschränkungen (wie z.B.

Proxy Server)

Muster

Seite 13 von 17

6.5 Offizielles SSL Zertifikat

Das offizielle SSL Zertifikat muss auf den CN (common name) der veröffentlichten vCSA-URL ausge-

stellt werden (z.B. vCSA.ihre-public-url.de).

Ein Wildcardzertifikat (z.B. *.ihre-public-url.de) ist nicht zulässig.

Es muss beim Beantragen des offiziellen SSL Zertifikats unbedingt darauf geachtet werden, dass Mo-

bile Devices unterstützt werden.

Der Hash-Algorithmus für das SSL Zertifikat muss SHA-256 (entspricht SHA-2) sein.

Die Aussteller der SSL Zertifikate (CA’s) benötigen i.d.R. spezielle Firmenangaben zur Überprüfung

des Antragstellers und spezielle Mailadressen zur Rücksendung des ausgestellten SSL Zertifikats (z.B.

hostmaster@kundenname.de, postmaster@kundenname.de, administrator@kundenname.de,...)

SSL Zertifikate können z.B. von folgendem Zwischenhändler ausgestellt werden:

https://www.psw.net/ssl-zertifikate.cfm

7 Voraussetzungen zur Implementierung von Mobility Management

Mit dem Ivanti Endpoint Manager ist es möglich, Mobile Devices wie z.B. Android und iOS Devices zu

managen.

In diesem Abschnitt werden die Voraussetzungen beschrieben, die zur Implementierung des Mobility

Managements erfüllt werden müssen.

7.1 Allgemeine Technische Voraussetzungen

1. Mobile Geräte zum Testen (iPhone/iPad; Android Smartphone)

2. Die Ivanti vCSA muss vorhanden und richtig konfiguriert sein.

(Vorbereitende Schritte zur Implementierung der vCSA entnehmen Sie bitte der entspre-

chenden Dokumentation)

3. Ein Ivanti Endpoint Manager Coreserver muss vorhanden und eingerichtet sein.

4. Der Ivanti Endpoint Manager Coreserver muss mit der Ivanti vCSA verbunden sein

(wurde im Zuge der Implementierung der vCSA durch Magelan eingerichtet).

5. Administrativer Zugriff auf den DNS Server zum Einrichten spezieller .txt-Records für iOS

und/oder Android in der Forward Lookup Zone des DNS Servers muss gewährleistet sein.

6. Auf dem Ivanti Coreserver muss das Feature „Desktop Experience“ (Flash) aktiviert sein.

7.2 Voraussetzungen zum Managen von iOS Geräten

Um Apple iOS Geräte (iPhone und iPad) mit dem Ivanti Endpoint Manager verwalten zu können, müs-

sen folgende Voraussetzungen erfüllt sein:

1. Supported iOS Versionen der Mobile Devices ab iOS 7.0 und höher.

2. Eine Apple ID muss vorhanden sein (Registrierung: https://appleid.apple.com/).

3. Ein APNS Zertifikat muss erstellt werden (kann im Zuge der Implementierung Mobility Ma-

nagement mit dem vorhandenen Account aus Punkt 2.2 -2 erstellt werden, siehe auch 3.2)

Muster

Seite 14 von 17

4. Der Ivanti Coreserver muss die von Apple zur Verfügung gestellten APNS Server über spezi-

elle TCP-Ports erreichen können (siehe Punkt 4).

5. Die iOS Geräte müssen die von Apple zur Verfügung gestellten APNS Server über spezielle

TCP-Ports erreichen können, sowohl aus dem jeweiligen WLAN, in dem sich die Geräte befin-

den, als auch über den APN des Providers (siehe Punkt 4).

6. Auf den iOS Geräten muss der Ivanti Agent über den iOS App Store installiert werden.

7.3 Voraussetzungen zum Managen von Android Geräten

1. Supportet Android Versionen ab Android 4.0.3(API15) und höher.

2. Ein Google Firebase Account muss vorhanden sein („Google-Firebase Cloud Messaging“ Por-

tal)

3. Eine Google Project Number und ein Server Key müssen generiert werden (kann im Zuge der

Implementierung Mobility Management mit dem vorhandenen Account aus Punkt 2.3 -2 er-

stellt werden, siehe auch 3.2)

4. Port 443 TCP muss für die Android Geräte aus ihrem jeweiligen WLAN und Provider APN ge-

öffnet sein.

5. Auf den Android Geräten muss der Ivanti Agent oder der Ivanti for Work Agent über den

Google Play Store installiert werden.

7.4 APNS Zertifikat / Google Project number

Die Zertifikate (APNS für iOS Devices und Project Number/Server Key für Android) können auf

Wunsch zusammen mit dem Auftragnehmer im Zuge der Dienstleistung erstellt werden (Bestandteil

der Leistungsvereinbarung). Es ist jedoch unbedingt erforderlich, dass die notwendigen Accounts da-

für bereits existieren.

Das Einrichten dieser Accounts kann ein bisschen Zeit in Anspruch nehmen, die für die Implementie-

rung des Mobility Managements durch Magelan nicht berücksichtigt ist.

7.5 Freizugebende Ports

Damit der Coreserver mit den von Apple bereitgestellten APNS Servern kommunizieren kann, müs-

sen folgende Verbindungen vom Coreserver konfiguriert werden:

-TCP Port 2195 auf „gateway.push.apple.com“

-TCP Port 2196 auf „feedback.push.apple.com“

Apple hat zwecks Lastenverteilung verschiedene APNS Server im Adressblock 17.0.0.0/8 bereitge-

stellt. Es muss gewährleistet sein, dass der gesamte Adressblock über die angegebenen Ports vom

Coreserver erreichbar ist.

Damit die iOS Geräte ebenfalls mit den APNS Servern kommunizieren können, muss sichergestellt

sein, dass der TCP-Port 5223 geöffnet ist.

Dieser Port muss i.d.R. aus den WLAN-Netzen geöffnet werden, in denen sich die iOS Geräte anmel-

den können.

Muster

Seite 15 von 17

Über den Access Point Name (APN) des Mobilfunknetzes ist dieser Port i.d.R. offen. Allerdings gibt es

die Möglichkeit, dass Ihr Mobilfunk Provider spezielle APN’s für Ihre mobilen Geräte konfiguriert hat.

Bitte fragen Sie bei Ihrem Mobilfunk Provider nach, ob das der Fall ist, falls MDM über das Mobil-

funknetz nicht funktioniert.

8 Voraussetzung zur Einrichtung der Softwareverteilung im EPM

- Der Ivanti Endpoint Manager muss vorhanden und eingerichtet sein

- Ein Mastershare für die Installationsquellen ist eingerichtet

- Eine gültige Lizenz für die Ivanti Softwareverteilung muss vorliegen

- Die Installationsquellen der zu erstellenden Softwarepakete sind auf dem Mastershare ver-

fügbar

- Silent-Switche für die unbeaufsichtigte Installation sind bekannt

- Testsysteme zum Testen der Pakete stehen zur Verfügung

9 Voraussetzungen zur Einrichtung von OS-Provisioning

- Der Ivanti Endpoint Manager muss installiert und verfügbar sein

- Eine gültige Lizenz für Ivanti OS Provisioning muss vorliegen

- Windows Lizenzen für die zu installierenden Betriebssysteme müssen vorliegen

- Windows Installationsquellen (.iso-Files) für die zu installierenden Betriebssysteme müssen

vorliegen

- Eine ausreichende Anzahl von Testsystemen muss verfügbar sein (Windows Clients)

- Ein Gerät, auf dem die PXE Dienste installiert sind (im Management befindliches Gerät), muss

im Subnetz der Ivanti Coreserver verfügbar sein

- Gerätetreiber für die zu provisionierende Hardware müssen vorliegen

Bei der Bereitstellung von VM’s als Testsystem kann das Einbinden von Gerätetreibern während des

OS Provisionings nur theoretisch behandelt werden.

10 Voraussetzungen zur Einrichtung des Ivanti Patchmanagers im EPM

- Der Ivanti Endpoint Manager muss installiert und verfügbar sein

- Eine gültige Lizenz für die Ivanti Patchsubscription muss vorliegen

- Eine ausreichende Anzahl von Testsystemen muss verfügbar sein (Windows Clients)

- Ein Ivanti EPM Agent muss auf den Testclients installiert sein

11 Voraussetzungen zur Bereitstellung von Data Analytics im EPM

- Der Ivanti Endpoint Manager muss installiert und verfügbar sein

- Eine gültige Lizenz für Data Analytics muss vorliegen

- Zugangsdaten für die verschiedenen Webportale der Lieferanten (z.B. Microsoft Silber-

partner Portal, …etc.)

Muster

Seite 16 von 17

12 Beschreibung der Produkte und Techniken

12.1 Ivanti Endpoint Manager (EPM)

- Ivanti Coreserver

Der Ivanti Coreserver ist der zentrale Server, auf dem die Ivanti Endpoint Manager Suite in-

klusive aller Module installiert wird. Je nach aktivierter Lizenz sind dann entweder alle Mo-

dule oder nur Teile der gesamten Suite verfügbar.

- Ivanti PXE-Server

Das Preboot eXecution Environment (PXE) ist ein Verfahren, um Computern einen netzwerk-

basierten Bootvorgang zu ermöglichen. Der Ivanti PXE-Server stellt alle benötigten Dienste

und Daten für den PXE-Bootvorgang zur Verfügung.

- Endpoints

Endpoints sind die Geräte (Desktops, Notebooks, Server, Mobile Devices etc.), die mit dem

EPM gemanaged werden.

- Unattended Installation

Bei einer unbeaufsichtigten Installation (engl. unattended installation) wird das komplette

Setup eines Programms oder einer Installationsroutine durchlaufen, ohne dass währenddes-

sen Eingaben vom Benutzer nötig sind. Angaben während der Installation, zum Beispiel zum

gewünschten Installationspfad, die Eingabe eines eventuell benötigten Lizenzschlüssels oder

die Quittierung von Bestätigungen entfallen also, da diese Einstellungen zuvor zum Beispiel in

einem Skript (einer so genannten Antwortdatei) oder mit einem bestimmten Kommandozei-

lenparameter festgelegt werden.

- Admin-File Installation

Bei einer unbeaufsichtigten Admin-File Installation (engl. Admin-File installation) wird das

komplette Setup von Microsoft Office durchlaufen, ohne dass währenddessen Eingaben vom

Benutzer nötig sind. Angaben während der Installation, zum Beispiel zum gewünschten In-

stallationspfad, die Eingabe eines eventuell benötigten Lizenzschlüssels oder die Quittierung

von Bestätigungen entfallen also, da diese Einstellungen zuvor in einer so genannten Ant-

wortdatei festgelegt werden.

- In-Place Migration

Die bestehende Serverhardware wird mit einem neuen Betriebssystem installiert und konfi-

guriert.

- In-Place Upgrade

Es findet ein Upgrade der bestehenden Software auf der bestehenden Serverhardware statt.

- Side-by-side Migration

Es wird neue Serverhardware komplett neuinstalliert und die Daten von der alten Ser-

verhardware werden übernommen.

12.2 Preferred Server

- Ivanti Preferred Server

Ein Preferred Server ist ein freigegebenes Netzlaufwerk, auf das die Endpoints über eine UNC

– oder HTTP Freigabe lesend Zugriff haben, um die benötigten Installationsdateien zur Instal-

lation von Patchen, Softwarepaketen und Betriebssystemen zu beziehen.

Muster

Seite 17 von 17

Der Zweck eines Preferred Servers ist es, die Installationsdateien, die die Endpoints für die

Installation von Softwarepaketen und Patchen benötigen, am jeweiligen Remote Standort

vorzuhalten. Somit müssen diese Dateien nicht über eine WAN Strecke vom definierten Mas-

tershare bezogen werden.

- Ivanti kann im Endpoint Manager verschiedene Systeme als Preferred Server verwalten. Dies

können Windows– oder Linux-Systeme sein, das können Client– oder Serversysteme sein.

- Replikator

Ein Windows System (Client oder Server) mit installiertem Ivanti Agenten.

Bei der Synchronisation des Contents vom Mastershare zum Preferred Server dient der Repli-

kator als Zwischenspeicher.

Ein Replikator kann für mehrere Preferred Server den zu synchronisierenden Content zwi-

schenspeichern. Da der komplette zu synchronisierende Content auf dem Replikator zwi-

schengespeichert wird, ist es zwingend erforderlich, ausreichend Speicherplatz auf dem Rep-

likator bereitzustellen.

Werden als Preferred Server ausschließlich Windows Systeme verwendet, dann kann das de-

finierte Mastershare als Replikator für alle Preferred Server konfiguriert werden.

Alternativ kann der definierte Windows Preferred Server als Replikator für sich selbst einge-

richtet werden. In diesem Fall gilt es aber zu beachten, dass genug Speicherplatz vorhanden

ist, da der Content auf dem System doppelt abgelegt wird.

Werden als Preferred Server Nicht-Windows Systeme verwendet (Linux Server, NAS Lauf-

werke), so ist es zwingend erforderlich, einen Replikator als Zwischenspeicher zu definieren,

da ansonsten die Synchronisation des Contents nicht funktioniert.

Es wird empfohlen, an jedem Remote Standort einen eigenen Replikator zu installieren.

- Remote Standort

Ein Standort, der über eine WAN Strecke an das zentrale Unternehmens-LAN angebunden ist.

Die Clients in diesem Remote Standort befinden sich somit nicht im selben Standort wie der

Ivanti Coreserver.

- Readuser und Writeuser

Auf den Preferred Servern lokal berechtigte Benutzeraccounts, bevorzugt AD-Serviceac-

counts.

Der Readuser-Account wird von den am Remote Standort befindlichen Endpoints verwendet,

um lesend auf die Freigaben zuzugreifen und die Installationsdateien der zu installierenden

Softwarepakete oder Patche zu kopieren.

Der Writeuser-Account dient dazu, den benötigten Content vom Mastershare auf den Prefer-

red Server zu synchronisieren.

Der Readuser-Account und der Writeuser-Account werden im Ivanti Coreserver in der Prefer-

red Server Konfiguration mit Username und Passwort hinterlegt.

Muster