Release Notes - fileserver-tools.com · RELEASE NOTES V4.6 vom Februar 2013 ... NetApp-Logga –...

RELEASE NOTES

V4.6 vom Februar 2013 Christian Zander

2

HAFTUNGSAUSSCHLUSS Die in diesem Handbuch gemachten Angaben können sich jederzeit ohne

vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die

beschriebene Software 8MAN wird von protected-networks.com im Rahmen

einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in

Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses

Dokument darf ohne die vorherige schriftliche Erlaubnis von protected-

networks.com weder ganz noch teilweise in irgendeiner Form reproduziert,

übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell

oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website

von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB,

EULA und der Datenschutzerklärung zu sehen.

URHEBERRECHT 8MAN ist eine geschützte Bezeichnung für ein Programm und die

entsprechenden Dokumente, dessen Urheberrechte bei protected-

networks.com GmbH liegen. Marken und geschäftliche Bezeichnungen sind –

auch ohne besondere Kennzeichnung – Eigentum des jeweiligen

Markeninhabers.

3

Limitierungen in der Evaluierungsversion ............................................................................................................... 4

Wichtig vor dem Update ......................................................................................................................................... 4

Version 4.6 Vom 21.12.2012 ................................................................................................................................... 4

SharePoint Ändern mit Blacklists ........................................................................................................................ 4

SharePoint Report „Wer hat wo Zugriff?“ - Beta ................................................................................................ 7

Exchange Erweiterungen .................................................................................................................................. 10

Import von Report-Konfigurationen ................................................................................................................. 12

Benutzerdefinierte Filesystem-Berechtigungen ............................................................................................... 13

Listrechte Kategorie ausblenden ...................................................................................................................... 14

Version 4.5.309 VOM 17.12.2012 ......................................................................................................................... 16

NetApp-Logga – Datei-Zugriffe auf NetApp Fileservern loggen ....................................................................... 16

Version 4.5.207 VOM 29.11.2012 ......................................................................................................................... 16

SharePoint - Ändern Konfiguration und Gruppenassistent .............................................................................. 16

SharePoint - Ändern von Berechtigungen ........................................................................................................ 16

SharePoint - Claimed based (forderungsbasiert) .............................................................................................. 16

Konfiguration – Ändern von Berechtigungen für non-trusted domains ........................................................... 16

Automatisches Kollektor-Update...................................................................................................................... 17

Scan-Vergleich Erweiterungen für AD, FS und SharePoint ............................................................................... 17

Verzeichnis löschen .......................................................................................................................................... 21

Vererbung durchdrücken .................................................................................................................................. 21

vSphere Berechtigungen ................................................................................................................................... 23

4.4.93 vom 25.09.2012 ......................................................................................................................................... 24

Benutzer-Report ............................................................................................................................................... 24

Neue Dashbord KPIs ......................................................................................................................................... 24

Data Owner – Speicherplatz Report ................................................................................................................. 25

Bekannte Probleme ............................................................................................................................................... 27

Behobene Probleme ............................................................................................................................................. 28

HowTo ................................................................................................................................................................... 29

4

LIMITIERUNGEN IN DER EVALUIERUNGSVERSION Neben der zeitlichen Limitierung der Nutzung von 8MAN sind alle Reporte auf 100 Zeilen beschränkt. XPS

Reports der Zugriffsberechtigungen sind auf 6 Seiten limitiert. Der Simulationsmodus im Gruppen Wizard

bezieht sich nur auf das Verzeichnis ändern.

VERSION 4.6.?? VOM 08.02.2013

Wichtig vor dem Update

Bevor ein Update einer Version ab 4.5.317 auf die 4.6 erfolgt, bitte unbedingt alle offenen Autorisierungs-

Anfragen bearbeiten, da diese sonst verloren gehen. Versionen davor sind nicht davon betroffen und können

problemlos aktualisiert werden.

Änderungen der Netzwerk-Adressierung

Ab dieser Version werden standardmäßig DNS-Hostnamen an Stelle von IP-Adressen zur Kommunikation mit

entfernten 8MAN-Komponenten verwendet. Dies hat zur Folge, dass Hosts, deren IP-Adresse nicht eindeutig

über diesen DNS-Hostnamen auflösbar ist, sich nicht mehr fehlerfrei verbinden. In Umgebungen, in denen die

DNS-Namensauflösung korrekt arbeitet, sind keine Änderungen nötig. Insbesondere jedoch in Nontrusted-

Umgebungen, in denen 8MAN-Komponenten über logisch getrennte Netzwerke verteilt sind, ist es nun

unumgänglich, entweder die 8MAN-Konfigurationsdateien oder die Systemkonfigurationsdatei

\Windows\System32\drivers\etc\hosts auf allen beteiligten Hosts so anzupassen, dass eine bidirektionale

Kommunikation zustande kommt.

Über neue Einstellmöglichkeiten in den 8MAN-Konfigurationsdateien lässt sich die bisherige Arbeitsweise

wieder herstellen. In dieser Konstellation kam es aber immer wieder zu Fehlern, wenn ein

Kommunikationspartner auf Grund von Netzwerk-Konnektivitätsproblemen nicht erreichbar war oder falls in

einem Host Netzwerkadapter vorhanden waren, die zu einem privaten Netzwerk (z. B. Oracle VirtualBox)

gehörten.

Sollten Sie Schwierigkeiten oder Fragen zu diesem Thema haben, hilft Ihnen unser Support gerne.

SharePoint Ändern mit Blacklists

In der SharePoint-Änderungskonfiguration können nun auch Blacklisten verwaltet werden. Hierzu ist es

möglich, eine globale Liste zu konfigurieren, die für alle SharePoint-Farmen gilt. Ebenfalls sind lokale Blacklisten

möglich, welche dann pro SiteCollection gelten.

Die globale Blackliste ist erreichbar über den ersten Technologie-Knoten “SharePoint“ in der

Ressourcenauswahl:

5

Die Funktionsweise dieser Blacklisten entspricht im Wesentlichen der der Filesystem-Konfiguration. Sie können

im linken Bereich nach Gruppen, Benutzern sowie „Bekannten SIDs“ suchen und anschließend über ‚Enter‘,

Doppelklick oder per ‚Drag-and-Drop‘ den selektierten Eintrag in die rechte Liste (die eigentliche Blacklist)

einfügen.

6

Einträge in dieser Liste können jederzeit auch wieder entfernt werden, indem Sie auf klicken. Haben Sie

Einträge entfernt, die von 8MAN standardmäßig definiert wurden, können Sie diese über den Link

einfach erneut hinzufügen, ohne Ihre eigenen bereits definierten Einträge zu

beeinflussen.

Neu hinzugekommen sind die Funktionen „Sperren“ bzw. „Entsperren“ . Das Sperren von Einträgen wirkt

sich auf die lokalen Konfigurationen der einzelnen SiteCollections aus. Sie können dort in der lokalen Blackliste

diese gesperrten Einträge nicht überschreiben, d.h. für die jeweilige SiteCollection nicht widerrufen.

Die lokalen Blacklisten erreichen Sie über die einzelnen SiteCollection Konfigurationen:

In dieser Liste können Sie eigene, nur für die aktuelle SiteCollection gültige, Einträge hinzufügen. Dazu gehören

Benutzer, Gruppen, SharePoint-Gruppen sowie ‚Bekannte SIDs‘.

Globale Einträge, die nicht gesperrt sind, können Sie „widerrufen“. Widerrufene Einträge werden im Kontext

der aktuellen SiteCollection behandelt, als stünden sie nicht in der Blackliste. Dazu wählen Sie den

gewünschten Eintrag aus und klicken auf . Ein widerrufener Eintrag kann durch Klick auf wiederhergestellt

werden und ist somit auch für die aktuelle SiteCollection wieder definiert.

7

SharePoint Report „Wer hat wo Zugriff?“ - Beta

Die Zugriffsberechtigungen von SharePoint-Objekten können in einem Report im PDF-Format ausgegeben

werden. Dafür gibt es nun eine neue Schaltfläche „Erzeuge Report (PDF)“ im Titelbereich der

Zugriffsberechtigungen auf der rechten Seite der Ressource-Ansicht.

Nach dem Klick auf diese Schaltfläche öffnet sich ein Dialog, in dem Sie einige Eigenschaften des zu

erzeugenden Reports beeinflussen können.

Report konfigurieren In den Report werden das selektierte SharePoint-Objekt sowie alle seine untergeordneten Objekte

aufgenommen, die geänderte Zugriffsberechtigungen (unterbrochene Vererbung) haben. Darüber hinaus

lassen sich im Einzelnen folgende Eigenschaften des Reports konfigurieren:

Dem Report kann ein Titel und ein Kommentar zugewiesen werden, die am Anfang des Reports in

einem gesonderten Bereich ausgegeben werden.

Das Auflösen von Gruppenmitgliedschaften kann aktiviert (Standard-Einstellung) oder deaktiviert

werden. Ist diese Eigenschaft deaktiviert, wird der erzeugte Report signifikant kürzer.

Das Auflisten der Gruppenmitgliedschaften kann an zwei

Stellen im Report erfolgen. Einmalig am Ende des Reports

(Standard-Einstellung) oder an jedem Vorkommen von

Gruppen in den einzelnen Zugriffsberechtigungen. Die

Auflistung am Ende erzeugt einen kompakten Report, ohne

auf die wertvollen Informationen der

Gruppenmitgliedschaften zu verzichten. Die Auflösung der

Mitgliedschaften bei jedem Vorkommen der Gruppen

erlaubt es, Ausschnitte des Reports ohne

Informationsverlust zu verwenden. Diese Form des Reports

erzeugt jedoch die umfangreichsten Dokumente, deren

Generierung signifikant länger dauert.

Es gibt im SharePoint das spezielle Recht „Limited Access“, welches nur vom SharePoint selbst

automatisch zugewiesen wird. Dieses Recht bedeutet keinen echten Informationsgewinn innerhalb

eines Reports, daher kann die Ausgabe von Zugriffsberechtigungen für „Limited Access“ ausgeblendet

werden (Standard-Einstellung).

Report erzeugen Nachdem alle Eigenschaften für den neuen Report eingestellt sind, kann die Erzeugung des Reports mit der

„Start“-Schaltfläche begonnen werden. Der Fortschritt lässt sich in vier Abschnitte unterteilen, die im Bereich

über den Schaltflächen angezeigt werden:

8

Vorbereitung der Report-Erzeugung

Rohdaten-Ermittlung (Datenbank-Abfragen)

Ermittlung von Benutzer- und Gruppeninformationen

sowie von Gruppenmitgliedschaften

PDF-Dokument-Erzeugung

Report-Anzeige Nachdem der Report erzeugt ist, können drei verschiedene Aktionen mit dem Ergebnis-Dokument ausgeführt

werden. Das PDF-Dokument

1. unter einem angegebenen Namen speichern,

2. temporär laden und in einem installierten PDF-Viewer anzeigen oder

3. als Anhang einer E-Mail an einen oder mehrere Empfänger versenden (dies setzt voraus, dass in der

8MAN Konfiguration die Einstellungen für die E-Mail-Verwendung bereits vorgenommen wurden).

Darstellung der Zugriffsberechtigungen im PDF-Report Die Zugriffsberechtigungen werden im PDF-Report in einer spalten- und zeilenorientierten Weise dargestellt. In

den Zeilen stehen die Gruppen oder Benutzer, die eine Zugriffsberechtigung auf dem angegebenen SharePoint-

Objekt besitzen. Am Ende der Zeile zeigen die Häkchen an, um welche Berechtigungen es sich dabei handelt.

9

Über ein entsprechendes Zeichen am Beginn jeder Zeile wird symbolisiert, ob es sich bei dem folgenden Namen

um eine Gruppe oder einen einzelnen Benutzer handelt. Je nach den Einstellungen der Report-Konfiguration

können die Gruppen direkt im Anschluss aufgelöst werden, wobei die zugewiesenen Zugriffsberechtigungen

nur in der ersten Zeile ausgegeben werden.

Es werden nur solche Zugriffsberechtigungen angezeigt, die auf dem SharePoint-Objekt zur Anwendung

kommen. Nicht verwendete Richtlinienstufen werden als Spalten unterdrückt, um leere Spalten zu verhindern

und somit die Übersichtlichkeit des Reports zu verbessern. Richtlinien, die auf Webseitensammlungsebenen

definiert sind, werden mit einem Stern (‚*‘) am Anfang des Namens gekennzeichnet.

Einschränkungen des Beta-Reports Bei dem Report für SharePoint handelt es sich derzeit um eine Beta-Version. Die angezeigten

Zugriffsberechtigungen sind korrekt, jedoch gibt es noch einige Einschränkungen:

Die Tiefe der Objekt-Hierarchie, die von einem gewählten Objekt aus in den Report aufgenommen

werden soll, ist nicht einstellbar. Derzeit ist sie unbegrenzt.

Es werden ausschließlich Objekte im Report ausgegeben, die geänderte Zugriffsberechtigungen haben.

Einzige Ausnahme bildet hierbei das selektierte Objekt.

Ein Dateneigentümer kann in der Objekt-Hierarchie ein Element außerhalb seines zugewiesenen

Bereichs auswählen und einen vollständigen Report dafür erzeugen, auch wenn damit Objekte in den

Report aufgenommen werden, die sonst nicht für den Dateneigentümer sichtbar sind.

Das erzeugt Report-Dokument ist nur direkt nach der Erzeugung für den Anwender speicherbar bzw.

mittels eines installierten PDF-Viewers zur Anzeige zu bringen. Diese Reports werden in der

existierenden Report-Übersicht NICHT aufgeführt. Dies ist Gegenstand der nächsten Version.

10

Exchange Erweiterungen

8MAN für Exchange wurde um eine Reihe von zusätzlichen Informationen erweitert. Dabei wurde der Exchange

Scan stark geändert. Alte Scans werden deshalb mit der Installation gelöscht.

Offene Themen 1. Szenario „Wer hat wo Zugriff?“

2. Übersicht „Wo existiert ein Recht ‚xyz‘?“

3. Datenbankstatistiken

Neue Features 1. Bei großen Umgebungen (über 1000 Postfächer) werden die Postfachkategorien jetzt nach

Nachnamen sortiert (AD: Feld „sn“). Das Feld im AD lässt sich in den Konfigurationsdateien verändern.

Verwenden Sie bitte an dieser Stelle nur Textfelder aus dem Active Directory.

2. Die Exchange Datenbank, auf der das Postfach oder der Öffentliche Ordner verwaltet wird, wird

angezeigt.

3. Für alle Konten mit Berechtigungen werden jetzt die Berechtigungspfade einzeln im unteren rechten

Bereich angezeigt.

4. Das Receive-As und May-Impersonate Recht wird jetzt an der Mailbox angezeigt. Weitere werden bei

Bedarf hinzugefügt.

5. Administrative Weiterleitungen werden jetzt gelesen und am Postfach angezeigt. (Outlook

Weiterleitungen, Mailaktivierte User und Kontakte und Richtlinien sowie die Weiterleitung der

gesamten Domäne werden nicht ausgelesen).

11

6. Send-On-Behalf Rechte werden jetzt gelesen und am Postfach angezeigt.

7. Wenn Sie nur eine Teilmenge für zu lesende Öffentliche Ordner festlegen, werden keine Statistikdaten

abgerufen, weil das Auslesen dieser Daten extrem langsam ist.

8. Abwesenheitsnotizen werden jetzt ab Exchange 2010 gelesen und am Postfach angezeigt. Dabei liest

8MAN nicht die Nachrichtentexte.

9. Stellvertretungen werden gelesen und am Postfach angezeigt. Diese Informationen werden nur

ausgelesen, wenn es in der Konfiguration aktiviert ist und der Scan Account Impersonierungsrechte

besitzt.

10. Postfachordner werden mit Berechtigungen gelesen und angezeigt. Diese Informationen werden nur

ausgelesen, wenn es in der Konfiguration explizit aktiviert ist und der Scan Account

Impersonierungsrechte besitzt.

Bitte beachten Sie beim Lesen der Postfachordner ggf. Datenschutzregelungen innerhalb Ihres

Unternehmens. Bereits die Postfachordner können private Informationen preisgeben und dürfen ggf.

nicht eingesehen werden. Z.B. wenn das Postfach auch privat genutzt werden darf.

12

Zum Auslesen der Stellvertretungen und Postfachordner verwenden wir die Exchange Webservices.

Um Daten zu Lesen, die nicht dem Scanaccount zugeordnet sind, wird ein Impersonierungsrecht

benötigt. Eine Beschreibung, wie diese Rechte gesetzt werden können, finden Sie:

- Für Exchange 2007 unter:

http://msdn.microsoft.com/en-us/library/exchange/bb204095(v=exchg.80).aspx

- Für Exchange 2010 unter:


Import von Report-Konfigurationen

Neben dem DataOwner Import ist es jetzt auch möglich Report Konfigurationen zu importieren. Die

Funktionalität kann in der 8MAN Konfiguration aktiviert und über die 8MAN Startseite erreicht werden.

Der Import erfolgt aus einer XML Datei und ist zweistufig aufgebaut. Im ersten Schritt wird die Datei gelesen

und analysiert. Gefundene Konfigurationen und Importfehler werden dann präsentiert. Im zweiten Schritt

werden die erkannten Report-Konfigurationen im Server gespeichert und verhalten sich analog zu manuell

erstellten Report-Konfigurationen.

Beispiel für einen Fehler:



13

Benutzerdefinierte Filesystem-Berechtigungen

Für die Fileserver-Berechtigungen können Sie nun für bestimmte Zugriffskategorien eigene Filesystem-

Berechtigungs-Kombinationen definieren. Standardmäßig werden die Windows-Standard-Zugriffskategorien

Vollzugriff, Ändern, Lesen und Ausführen, Lesen, Schreiben und Ordnerinhalt auflisten in der

Berechtigungsansicht gruppiert dargestellt. Alle Berechtigungen, die nicht in diesen Windows-

Standardkategorien einzuordnen sind, werden unter „Spezielle Rechte“ eingeordnet.

Wenn Sie eigene Berechtigungskonfigurationen in ihrem Unternehmen benutzen, dann können Sie jetzt für die

Zugriffskategorien Ändern und Ordnerinhalt auflisten konfigurieren, welche einzelnen Rechte in der jeweiligen

Zugriffskategorie zusammengefasst werden sollen.

Konfiguration Die Konfiguration erfolgt über die 8MAN Server Konfigurationsdatei. In pnserver.config.xml unter dem

Verzeichnis \ProgramData\protected-networks.com\8MAN\cfg\ muss dieser Abschnitt eingetragen werden:

<reports> <fileSystemRights>

<userDefined type="System.Boolean">true</userDefined>

<rights>

<modify>WriteAttributes,WriteExtendedAttributes,CreateDirectories,CreateFiles

,ReadPermissions,ReadAttributes,ReadExtendedAttributes,ListDirectory,ExecuteFile,De

leteSubdirectoriesAndFiles</modify>

<listDirectory>ListDirectory,ReadAttributes</listDirectory>

<hide>listDirectory</hide>

</rights>

</fileSystemRights>

</reports>

Definieren Sie für Ändern und Ordnerinhalt auflisten, welche einzelnen Rechte in der jeweiligen

Zugriffskategorie aufgelistet werden sollen. Dazu die Einzelrechte kommasepariert unter <modify> oder

<listDirectory> eintragen.

Zusätzlich können Sie mit dem Eintrag <hide> festlegen, ob Ihre Kategorie Ordnerinhalt auflisten im Report

und in der Ressourcen-Ansicht ausgeblendet werden kann.

Hinweis:

Die Propagation kann nicht eingetragen werden bei den benutzerdefinierten Einstellungen. Nur die einzelnen

Rechte werden berücksichtigt.

Der Name der Zugriffskategorien Ändern und Ordnerinhalt auflisten kann nicht selbst definiert werden.

Ressourcen-Ansicht Wenn die Option <userDefined> in der Konfigurationsdatei auf true gesetzt wurde, dann wird in der

Ressourcen-Ansicht ein zusätzlicher Button eingeblendet.

Über diesen können Sie sich anzeigen lassen, welche Einzel-Rechte im Detail konfiguriert wurden. Die

14

Einstellung können Sie hier nicht mehr ändern. Nur durch direkte Änderung in der pnserver.config.xml Datei

und anschließendem Neustart des 8MAN Dienstes bzw. Servers werden die neuen Einstellungen übernommen.

Die Berechtigungen selbst werden jetzt zusammen in einer Kategorie angezeigt, die Windows-Standard-Rechte

für das Modify und die selbst definierten Rechte.

In diesem Beispiel werden die Windows-Modify Rechte und die benutzerdefinierten Modify Rechte

zusammengefasst in einer Zugriffskategorie. Zusätzlich wird die Kategorie blau markiert:

Listrechte Kategorie ausblenden

In der Ressourcen-Ansicht Wenn Sie in der Konfigurationsdatei die <hide> Option auf true gesetzt wurde, dann können Sie die Listrechte

Kategorie in der Ansicht explizit heraus filtern .

Hinweis:

Derzeit kann man nur die Listrechte-Kategorie explizit ausblenden.

Listrechte anzeigen:

15

Listrechte ausblenden:

Im Report: Wer hat wo Zugriff? Für die XPS-Reports können Sie explizit die Listrechte ausblenden. Dazu in der Konfiguration die Checkbox

„Zugriffskategorie ‚Ordnerinhalt auflisten‘ ausblenden“ anwählen.

Dann wird im Report die Kategorie nicht mehr angezeigt. Lediglich ein Hinweis erscheint am Ende des Reports.

Benutzerdefinierte Zugriffskategorien werden im Report so dargestellt:

16

VERSION 4.5.309 VOM 17.12.2012

NetApp-Logga – Datei-Zugriffe auf NetApp Fileservern loggen

Mit der Version 4.5.301 ist die erste Version des NetApp-Fileserver Logga verfügbar.

Damit ist es jetzt möglich, auch auf NetApp-Fileservern Zugriffe auf Verzeichnisse und Dateien zu überwachen.

Eine ausführliche Beschreibung der Logga-Funktionalität und eine Konfigurationsanleitung befinden sich im

Dokument "8MAN - 8MATE für Logga".

VERSION 4.5.207 VOM 29.11.2012

SharePoint - Ändern Konfiguration und Gruppenassistent

Die Version 4.5 implementiert die erste Version des SharePoint Änderungsmoduls. Eine ausführliche

Konfigurationsanleitung findet sich im Dokument (8MATE für SharePoint v4.x).

SharePoint - Ändern von Berechtigungen

Die Version 4.5 hat die Funktionalität des 8MAN Gruppenassistenten auf die Ressourcen des SharePoints

ausgeweitet. Details und Limitierungen sind im Dokument (8MATE für SharePoint v4.x) erläutert.

Die SharePoint Version 2007 ist als Beta-Version zu betrachten.

SharePoint - Claimed based (forderungsbasiert)

Die Version 4.5 unterstützt “Claim based” (Forderungsbasiert) mit der Einschränkung, dass die Prinzipale aus

der Domäne sein müssen, die auch die Heimatdomäne des Sharepoints ist.

Konfiguration – Ändern von Berechtigungen für non-trusted domains

Beginnend mit der Version 4.5 ist es möglich, auch die Änderungsfunktionalitäten auf non-trusted Domänen

anzuwenden.

Die Konfiguration wird in einem separaten Dokument beschrieben (Konfiguration von Nontrusted

Domänen.docx) Die Benutzung der Änderungsmodule (Active Directory und Fileserver) erfordert die Installation

mindestens eines 8MAN Kollektors innerhalb des non-trusted Bereiches.

17

Automatisches Kollektor-Update

Die automatische Aktualisierung einer (entfernten) 8MAN Kollektor-Installation ab Version 4.4. durch einen

neueren 8MAN-Server (Version 4.5. oder höher) geschieht jetzt durch ein Installationspaket (msi-Paket).

Für den neuen Aktualisierungsmechanismus müssen folgende Voraussetzungen erfüllt sein:

Die entfernte 8MAN Kollektor-Installation muss mindestens die Version 4.4. besitzen.

Der 8MAN Server, welche die Aktualisierung initiiert, muss in der Version 4.5. oder höher installiert sein.

Der 8MAN Server muss über die mitgelieferte 8MAN Setup.exe (z.B. 8MAN Setup 4.5.139.0.exe) installiert

worden sein. Im Programmordner von 8MAN befindet sich dann ein Unterordner „update“ (z. B.

C:\Program Files\protected-networks.com\8MAN\update) mit den folgenden zwei Dateien:

„UpdateCollector.cmd“ und „SetupCollector.exe“.

Update von Versionen vor 4.4

Für ältere Kollektor-Installationen wird der bisherige Mechanismus verwendet, bei dem die aktualisierten

Dateien einzeln ausgetauscht werden.

Sollten Sie eine solche Installation besitzen und zusätzlich auf diesem Kollektor den 8MAN Logga verwenden,

dann führen Sie bitte die Aktualisierung manuell aus. Nutzen Sie dafür bitte das mitgelieferte 8MAN-Setup

und wählen Sie bei der Funktionenauswahl „8MAN Datenkollektor“ sowie „8MAN Logga“.

Hinweise

Für ein erfolgreiches Kollektor-Update dürfen entfernte Kollektoren nur mit jeweils einem 8MAN Server

verbunden sein.

Das Kollektor-Update wird erst ausgeführt, wenn alle 8MAN Jobs auf diesem Kollektor abgeschlossen sind.

Scan-Vergleich Erweiterungen für AD, FS und SharePoint

Der Scan-Vergleich unterstützt in der neuen Version auch SharePoint und bietet darüber hinaus eine komplett

überarbeitete Oberfläche. Diese ist nun über die untere Navigationsleiste auf der Startseite von 8MAN

erreichbar oder lässt sich aus jeder anderen Ansicht über die seitliche Navigation aufrufen:

Nach einem Klick auf „Scan-Vergleich“ wechselt 8MAN in die entsprechende Ansicht. Diese nutzt im Gegensatz

zum bisherigen Dialog-Fenster die gesamte Fenstergröße aus:

18

Auswahl der Datenstände

In der oberen Leiste lassen sich die zu vergleichenden Zeitpunkte wählen und zwischen Ressourcenauswahl

sowie Dateneigentümer-Kriterien wechseln. Standardmäßig wird der jeweils aktuellste Zeitpunkt mit dem vor

einer Woche verglichen und die Ressourcenauswahl eingestellt.

Die Zeiten können Sie einfach ändern, indem Sie auf bzw.

klicken und in der darauf erscheinenden Auswahl ein neues Datum und ggf. Uhrzeit auswählen. Klicken Sie auf

, wenn Sie für die linke Auswahl die aktuellsten Datenstände (je Ressource) bzw. für die rechte Auswahl die

ältesten einstellen möchten. (z.B. )

Die für beide Zeitpunkte verwendeten Datenstände lassen sich durch Klick auf die jeweils rechts daneben

befindlichen Info-Symbole anzeigen:

Auswahl der Ressourcen/Dateneigentümer-Kriterien

19

Haben Sie die Ressourcenauswahl eingestellt, können Sie diese durch Klick auf aufrufen.

Wählen Sie dort eine oder mehrere gewünschte Ressourcen aus. Diese werden daraufhin aufgelistet und

können durch Anklicken wieder entfernt werden. Die aktuelle Version des Scan-Vergleichs unterstützt die

Auswahl von Domänen, File-Server (inkl. Shares, Ordner, Unterordner) sowie SharePoint (inkl. Unterelemente).

Je Ressourcen-Typ werden zusätzliche Optionen angezeigt, mit denen Sie den Vergleich an Ihre Anforderungen

anpassen können. Die Optionen werden hierbei pro Benutzer gespeichert, sodass Sie sie nicht jedes Mal von

neuem ändern müssen (dies gilt nicht für die Datenstände und die gewählten Ressourcen).

Mit Klick auf lassen sich die Optionen auch ausblenden, um mehr Platz für die Ergebnisliste zu

schaffen. Die Optionen bleiben dann natürlich weiter bestehen und lassen sich jederzeit wieder einblenden.

Sofern Sie alle Ressourcen eines bestimmten Typs (z.B. File-System) aus Ihrer Auswahl entfernen, wird

automatisch auch die zugehörige Optionen-Leiste entfernt. Umgekehrt können Sie auch alle Ressourcen eines

Typs aus Ihrer Auswahl entfernen, indem Sie auf das der entsprechenden Leiste klicken.

Die Konfiguration eines Vergleichs für Dateneigentümer-Kriterien verläuft analog zu der oben beschriebenen

Vorgehensweise. Mit einem Klick auf können Sie hierbei die Auswahl der Kriterien aufrufen. Je

nach enthaltenen Ressourcen der gewählten Dateneigentümer-Kriterien werden die verschiedenen, oben

genannten Optionen zur Verfügung gestellt.

Vergleich starten

Starten Sie den Vergleich durch Klick auf den grünen Startknopf .

Während der Vergleich läuft, werden Ihnen bereits ermittelte Ergebnisse angezeigt und die Anzahl ausgegeben:

20

Sie können den Vorgang, solange er noch nicht abgeschlossen ist, jederzeit mit einen Klick auf den Stopp-

Button oberhalb der Ergebnisliste oder unterhalb davon abbrechen.

Sobald der Vergleich erfolgreich abgeschlossen ist, wird dies mit einer entsprechenden Meldung angezeigt. Im

Fehlerfall wird stattdessen eine rot hervorgehobene Fehlermeldung ausgegeben.

Ergebnisse exportieren

Neu ist die Funktion, bestimmte Ergebnisse oder die gesamte Liste nach Excel zu exportieren.

Klicken Sie hierzu nach einem abgeschlossenen Scan-Vergleich auf den Button im rechten Bereich. Wählen

Sie anschließend einen Dateinamen sowie Speicherort und klicken auf „Speichern“.

Sie erhalten von Excel ggf. einen Warnhinweis. Bestätigen Sie diesen mit „Ja“, um die exportierte Liste in Excel

zu öffnen.

Die exportierte Excel-Datei enthält genau die Ergebnisse, die im 8MAN auch angezeigt werden. Wenn Sie also

Filter anwenden, um die Liste einzuschränken, wird die exportierte Liste ebenso eingeschränkt. Beachten Sie

bitte, dass der Filter erst zur Verfügung steht, nachdem der Vergleich abgeschlossen wurde.

Neben dem o. g. Excel-Export ist nun auch ein Kopieren der Ergebnisse in die Zwischenablage möglich.

Markieren Sie einfach alle oder nur die gewünschten Datensätzen und drücken Sie Strg+C. Sie können die

Ergebnisse anschließend in eine bestehende Excel-Liste oder in einen beliebigen Editor einfügen. Kopiert wird

in diesem Fall eine durch Tabs separierte Liste.

Weitere Neuerungen

Der File-System-Scan-Vergleich zeigt bei den Berechtigungen jetzt auch den Vererbungsstatus an

21

Verzeichnis löschen

Es ist jetzt möglich, Verzeichnisse über das Kontext Menü

oder den Button neben der Brotkrümelleiste zu löschen.

Sollte 8MAN bereits Berechtigungsgruppen für das

Verzeichnis erstellt haben, so werden diese automatisch

mit gelöscht inklusive aller evtl. existierenden ACE

Verweise der Gruppen. Letztere Funktion erfordert u.U.

zusätzlich entsprechende Active Directory

Kontoinformationen.

Vererbung durchdrücken

Die Modifikation von Vererbungsregeln im File System wurde mit der Version 4.5 ausgeweitet. So stehen jetzt

insgesamt 3 verschiedene Verfahren zur Verfügung. Diese beeinflussen, im Unterschied zu allen anderen

Funktionen, nicht nur Verzeichnisse sondern auch Dateien.

Die 8MAN-GUI hat zusätzlich zur verbalen Erklärung auch noch Piktogramme in der GUI hinzugefügt, um die

neuen Funktionsweisen zu verdeutlichen. Nachfolgend werden die unterschiedlichen Aspekte im Detail

erläutert. Ausgehend von der bereits existierenden Funktionalität, die auch gerne als „Vorschlaghammer“

bezeichnet wird und in der Abbildung unten konfiguriert ist,

sind jetzt noch 2 leichtgewichtigere Funktionen hinzugekommen. Es besteht jetzt die Möglichkeit, in dem

aktuell ausgewählten Verzeichnis nur die Vererbung wieder herzustellen. Die Abbildung unten zeigt die

Funktionalität und die nötigen Einstellungen dafür.

22

Der Einflußbereich dieser Funktion beschränkt sich ausschließlich auf das aktuelle Verzeichnis. Zur

Vervollständigung der Funktionen wurde noch die Variante hinzugefügt, die nicht nur das aktuell gewählte

Verzeichnis anpasst, sondern auch alle Unterverzeichnisse. Die nächste Abbildung zeigt die nötigen

Einstellungen dafür.

Explizite nicht geerbte ACL-Einträge werden durch alle Varianten der Vererbungsfunktionen in den beteiligten

Verzeichnissen und Dateien entfernt!

Alle hier beschriebenen Funktionen verfügen nicht über eine „Rückgängig machen“ Funktion.

Die Angabe von Active Directory Kontoinformationen wird nur dann benötigt und verwendet, wenn bereits

8MAN Berechtigungsgruppen in den Verzeichnissen existieren und diese dann gelöscht werden können

inklusive aller zugehörigen ACE Einträge.

23

vSphere Berechtigungen

Die Version 4.5 implementiert die erste Version des vSphere Berechtigungsmoduls.

Dieses Modul 8MAN für vSphere enthält folgende Funktionen:

- Scannen des vCenters

- Anzeige von Berechtigungen mit

o vSphere-Strukturansicht

o Berechtigungskonten mit Pfaden

o Aufzeigen von Überberechtigungen

- Szenario: Wer hat wo das Privileg?

- Best Practice Checks

o Vorhandene Berechtigungsrollen werden mit herstellerspezifischen Standard-

Arbeitsabläufen verglichen

o Anzeige von: Welche Privilegien stimmen mit den geforderten Privilegien in den

Arbeitsabläufen überein.

Eine ausführliche Konfigurationsanleitung und eine detaillierte Beschreibung des Funktionsumfangs ist

beschrieben sich im Dokument (8MATE für vSphere v4.x).

24

4.4.93 VOM 25.09.2012

Benutzer-Report

Es ist nun möglich, wenn ein Benutzer in der AD Ansicht im Vordergrund ist, einen Benutzer-Report zu

erzeugen. Dazu drückt man auf den Knopf auf der rechten Seite des AD Graphen, wie im Bild beschrieben. Es

werden dann im Report die Elternmitgliedschaften und die Attribute des Benutzers aufgelistet. Das Format des

Reports ist XPS. Der Report wird wie gewohnt im 8MAN gespeichert und kann in der Report-Übersicht

angezeigt und weiter verarbeitet werden (Versenden per Email, löschen, ansehen).

Neue Dashbord KPIs

Es gibt im Dashbord zwei neue KPIs. Der erste gibt die Kerberos TOP 5 wieder. Der andere ist die TOP 5 der

zuletzt eingeloggten User anhand der LastLogonTimestamp, einer LDAP Property die als zwischen den DC

repliziert wird.

25

TOP 5 Kerberos [Bytes] Dieser KPI sagt aus wer für die ausgewählte Domäne die wahrscheinlich meisten Gruppenmitgliedschaften hat.

Der KPI wird in Bytes ausgegeben da dies einer der beiden entscheiden Parameter sind.

Hintergrund (Quelle: http://support.microsoft.com/kb/327825/de)

Transporte wie Remote Procedure Call (RPC) und HTTP verlassen sich auf den MaxTokenSize -Wert, wenn sie

für die Authentifizierung Puffer reservieren möchten. In Windows 2000 (Originalversion) ist der MaxTokenSize

-Wert 8.000 Byte. In Windows 2000 Service Pack 2 (SP2) und Microsoft Windows Server 2003 ist der

MaxTokenSize -Wert 12.000 Byte.

Wenn ein Benutzer Mitglied von mehr als 120 Gruppen ist, ist der Puffer, der durch den MaxTokenSize -Wert

bestimmt ist nicht groß genug. Daher Benutzer nicht authentifizieren, und sie erhalten eine Fehlermeldung

"nicht genügend Arbeitsspeicher". Bevor Sie den Hotfix, der in diesem Artikel beschrieben wird anwenden, wird

jede Gruppe, die ein Benutzerkonto hinzugefügt wird, dieser Puffer um 40 Byte erhöht.

Es sieht so aus als wäre 12.000 Bytes auch der Standard Wert auch für Server 2008 und höher.

TOP 5 LastLogon Timestamp Dieser KPI zeigt die User Accounts die sich schon einmal eingeloggt hatten aber dies schon sehr lange nicht

mehr gemacht haben. Diese LDAP Property wird zwischen den einzelnen DC für einen User repliziert, währen

die Last Logon nur auf dem DC aktualisiert wird auf den es wirklich geschieht. Die Replikation ist zwischen 9-14

Tagen, aber wenn dort zum Beispiel 2010 steht dann kann man davon ausgehen, dass dieser Account sich

schon sehr lange nicht eingeloggt hat. Einem Vollständigen Report gibt es, wenn man den User und Gruppen

Report ausführt.

Data Owner – Speicherplatz Report

In der Dateneigentümerkonfiguration kann man jetzt einen Report starten, der die Speicherplatzauslastung für

einen Data Owner auf seinen Verzeichnissen anzeigt.

http://support.microsoft.com/kb/327825/de

26

Im Ergebnis wird eine neue Reportdatei im csv Format geöffnet.

Die Spalte User wird gefüllt, wenn als Data Owner eine Gruppe eingetragen wurde. Dann werden alle

Mitglieder dieser Gruppe aufgelistet.

27

BEKANNTE PROBLEME Das 8MAN Release 4.6 beinhaltet die folgenden bekannten Probleme:

Nummer Problem

5999 Wenn die Datenbank manuell gewechselt wurde, dann müssen auch alle zugehörigen Scan-Archive gelöscht werden. Anderenfalls kann der Import von alten Datenständen fehlschlagen (erfolgloser Wiederherstellungsversuch).

5708 Verzeichnisrechte ändern im Aufräummodus: Es wird nicht bei allen Accounts (z.B. SYSTEM) in der Vorschau angezeigt, dass diese unberücksichtigt bleiben, da sie in der Blacklist enthalten sind.

6447 Der Versuch, einen Logga-Report zu erstellen, noch bevor die ersten Daten (Standard-Zeitintervall ist 10 Minuten) geliefert wurden, wird mit einer unbestimmten Fehlermeldung quittiert anstatt auf das konkrete Problem hinzuweisen. Zudem ist der angegebene Report-Zeitraum ungültig. Workaround: Logga-Reports frühestens 10 Minuten nach der entsprechenden Report-Konfigurationsänderung starten.

1944 Ein installierter 8MAN Kollektor auf einem Cluster Server kann von einem 8MAN Server auf einem anderen Server nicht erreicht werden.

3364 Wenn das letzte Mitglied einer 8MAN Gruppe ein temporäres Mitglied ist, wird die Gruppe nicht von 8MAN nach dem Entfernen des letzten Mitgliedes gelöscht.

3474 Beim Scannen eines DFS werden die lokalen Benutzer und Gruppen der dahinter benutzen File Server nicht ausgelesen. Dadurch werden lokale Gruppen und lokale User nicht aufgelöst, wenn Sie direkt auf den Verzeichnissen Berechtigt sind. Bspw. haben Administratoren ja oft Domain Administratoren in der lokalen Gruppe als Mitglieder - diese würden dann nicht dargestellt.

3879 Die Zeichen „ss“ und „ß“ können im Server nicht immer eindeutig unterschieden werden. Daher kann es zu ungewünschten Effekten kommen, wenn sich Verzeichnisse bzw. Pfade nur in diesen Zeichen unterscheiden.

6462 Scaneinstellung: max parallele Anfragen >64 kann in bestimmten Situationen zu Aufzeichnungslücken führen

6523 Das 8MAN User Interface und die 8MAN Konfiguration sind nur in englischer Sprache vorhanden, wenn man beide Programme von einem Share aus startet. Wobei die Freigabe nur auf das Installationsverzeichnis \8MAN\bin eingerichtet ist.

6526 Der csv Report für geänderte Pfade zeigt keine hinzugefügten oder entfernten Benutzer an, wenn man vorher die rechte Seite (Benutzer-Berechtigungs-Ansicht) nicht mindestens einmal aufgeklappt hat.

7455 Scan-Vergleich: Gelöschte Objekte können zurzeit nicht aufgelöst werden. 7456 Scan-Vergleich: Organisationseinheiten werden zurzeit nicht aufgelöst. 7523 Scan-Vergleich: Es werden nur File-System-Ressourcen in Dateneigentümer-Kriterien

verarbeitet. 7910 Nach dem erfolgreichen Anlegen eines Benutzers oder einer Gruppe kann der Dialog in

einigen Fällen ohne Rückmeldung geöffnet bleiben. Trotzdem wurde der Benutzer/die Gruppe in einem solchen Fall korrekt angelegt.

7911 Autorisierungsanfragen von Version 4.5 gehen u. U. verloren, sobald der 8MAN-Dienst neugestartet wird. Bitte verarbeiten Sie daher betroffene Autorisierungsanfragen noch vor dem Update auf die aktuelle Version oder ziehen Sie diese zurück bzw. lehnen sie ab, um sie erneut zu stellen. Andere Versionen sind nicht betroffen.

28

BEHOBENE PROBLEME

In Version 4.5.309 Nummer Problem

7501 Scan-Vergleich: Der automatische cleanup Job für den Scan Vergleich bricht manchmal ab 7750 DFS Fileserver Scan, Probleme bei der Erkennung der Provider für lokale Accounts 7720 AD Scan: Nicht lokale Wellknown-Sids werden nicht aufgelöst 7744 Fremde Domänen Objekte werden nicht aufgelöst im Multi-Domänen-Umfeld


7418 Scan-Vergleich: In der Ressourcenauswahl werden auch Unterelemente von Domänen angezeigt. Diese werden jedoch nicht unterstützt und lassen sich dementsprechend nicht auswählen.


7654 Szenario: Wo hat Benutzer Zugriff? Auswahl der Server von der Startseite. Wenn man ein Unterelement unterhalb eines Servers auswählt, dann werden nicht alle Benutzerzugriffspfade in der Ressource View angezeigt.

7655 Szenario: Wo hat Benutzer Zugriff? Auswahl der User und Gruppen von der Startseite wurde das Data Owner Kriterium z.B. OU nicht berücksichtig und es wurden alle User / Gruppen angezeigt.

7656 Report Black List Konfiguration wird in einigen Fällen, z.B. wenn die Netzwerkverbindung zum GC „langsam“ ist, gelöscht und musste immer wieder neu konfiguriert werden. Die Reports konnten diese dann nicht nutzen, wenn sie gelöscht wurden.


4257 Die Blacklist wird im Dialog „Gruppenmitgliedschaften bearbeiten“ nicht berücksichtigt 9197 Wenn ein Scan nicht erfolgreich war, wurde ein Spinnennetz angezeigt. 9223 Die Performance für den Share Point Use Case wurde verbessert. 9231 Bugfixes für den Logga Report 9235 Bugfixes für die Dataowner Konfiguration die manchmal in einer Exception und somit mit

dem beenden der Konfiguration GUI endete. 9240 Bugfix wenn der NTFS Pfad eines Shares Leer war, nicht zu verwechseln mit konnte nicht

ausgelesen werden. 9488 Bugfix für den Credentials Check wenn ein Kollektor in einer „fremden“ Domäne benutz

wird. Bis jetzt wurde zusätzlich immer noch der Basis User benutzt der aber in der anderen Domäne keine Berechtigung hat.

9492 Es ist nun möglich das DFS Pfade konfiguriert werden können außer den Namespaces. Zusätzlich ist ein Background CSV Import für das Mapping möglich.

9612 Bugfix User Report, Fremde Domänen Mitglieder werden nun auch so dargestellt. 9719 Bugfix Udate Probleme bei Multi User. 9762 Bugfixing beim Wiederherstellen von alten Scans.

29

HOWTO

Update der Kollektoren Nach der Installation des 8MAN Servers mit der Version 3.0.xx werden alle konfigurierten und laufenden

8MAN Kollektoren ab der Version 2.1.xx automatisch auf die neue Version aktualisiert. Der

Aktualisierungsvorgang erfolgt innerhalb weniger Minuten nach Abschluss der Serverinstallation. In einigen

Fällen kann die Aktualisierung bis zu 30 Minuten in Anspruch nehmen. Wenn innerhalb dieses Zeitraumes keine

Aktualisierung stattgefunden hat, sollte diese manuell vorgenommen werden.

Hinweis zum Logga-Kollektor: Kollektoren der Versionen kleiner als 4.4.x können nicht automatisch auf eine

Version 4.4.x oder höher aktualisiert werden. In diesen Fällen muss der Logga-Kollektor installiert werden.

Bitte beachten Sie auch, dass, falls sie mehrere 8MAN Server an einem Kollektor betreiben, alle 8MAN Server

die gleiche Version haben müssen, da ansonsten die 8MAN Server konkurrierend immer den Kollektor updaten

werden. Dieser Zustand kann nur noch durch eine Neuinstallation behoben werden.

Die erfolgreiche Aktualisierung wird in der Datei updates.log protokolliert. Diese Datei ist im „Log“-

Verzeichnis auf dem Kollektor-Host zu finden. Abhängig von der Systemsprache und der Windowsversion

befinden sich alle Log-Dateien in einem der folgenden Verzeichnisse:

Deutsch, Windows XP/Windows Server 2003

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\log

English, Windows XP/Windows Server 2003

C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\log

Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008

C:\ProgramData\protected-networks.com\8MAN\log

Ältere 8MAN Kollektoren vor der Version 2.1.xx besitzen noch nicht die Funktionalität der automatischen

Versionsaktualisierung und müssen manuell installiert werden.

Auf einem Windows 2003 Server File Server beträgt die Prozessorlast bis zu

100% verursacht durch wmiprvse.exe (WMI) Der File Server wird sehr langsam und reagiert kaum noch.

Das Verhalten ist im Knowledge Base Artikel http://support.microsoft.com/kb/933593/de von Microsoft

beschrieben. Der dort beschriebene Workaround ist ein Hotfix, den wir erfolgreich getestet haben.

Um die Last wieder zu normalisieren muss der Hotfix installiert werden, der die tägliche Arbeit eines File

Servers nicht beeinträchtigt.

Auslesen von EMC Celera File Server Wenn auf einem sogenannten Admin „C$“ Share die Backup Snapshots gespeichert werden, muss dieser Share

in eine Exclude Liste eingetragen werden, so dass wirklich nur noch die „reinen“ Shares ausgelesen werden.

1. Stoppen Sie den Service 8MAN - Service

2. Öffnen Sie die Datei mit einem Texteditor: <InstallDir>\etc\pnServer.config.xml

http://support.microsoft.com/kb/933593/de

30

3. Ändern Sie in der Datei die folgenden Einträge im Abschnitt:

<fileSystem>

<shareExcludeList>C$</shareExcludeList>

4. Starten Sie den Service 8MAN – Service

Einstellung von Wiederholungsversuchen bei Setzen der Berechtigungen auf

den File Servern In seltenen Fällen kommt es vor, dass neu erzeugte 8MAN Gruppen nicht sofort auf den File Servern zur

Verfügung stehen. (Berechtigungsgruppe in der Verzeichnis Sicherheit (ACL)). Dieses Verhalten haben wir u.a.

bei verschiedenen EMC Modellen im Mixed Mode Betrieb festgestellt. Die Ursache liegt vermutlich an einem

zeitversetzen Informieren der File Server. 8MAN bietet einen Workaround an. Man kann Wiederholungen von

bestimmten Aktionen mit Hilfe von Zusatzparametern in der pnJob.config.xml einstellen.

Wir empfehlen dringend, die Datei im Bereich der User Settings zu ändern bzw. wenn nicht vorhanden neu

anzulegen, um den Verlust nach einem Program-Update zu verhindern.

Die Datei befindet sich unter:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg


C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg


C:\ProgramData\protected-networks.com\8MAN\cfg

Wenn diese Datei nicht vorhanden ist, können sie die originale Datei aus dem Installationsverzeichnis kopieren.

Dieses befindet sich standardmäßig im:

„C:\Programme\ protected-networks.com\8MAN\etc“ oder

im Englischen OS

„C:\Program Files\ protected-networks.com\8MAN\etc“.

Anschließend öffnen sie die Datei pnJobs.config.xml und ändern folgende Werte:

<fsss> <retryCount type="System.Int32">1</retryCount>  <retryValue type="System.Int32">1</retryValue> </fsss>

Beide Werte sind standardmäßig auf 1 eingestellt, was bedeutet, dass 1 mal wiederholt (retryCount) versucht

wird, mit einer Wartezeit von 1 Sekunde (retryValue), die neue SID zu ermitteln. Wir empfehlen grundsätzlich

erst einmal den Anzahl der Wiederholungen zu erhöhen. Nur wenn das nicht funktioniert, kann zusätzlich auch

die Wartezeit verlängert werden.

Außerdem sollte versucht werden herauszufinden, warum die neuen Gruppen nicht sofort zur Verfügung

stehen, möglicherweise sind spezielle Konfigurationseinstellungen dafür verantwortlich.

31

Wenn der folgende Abschnitt nicht vorhanden sein sollte, kopieren sie die Zeilen von diesem Dokument

innerhalb des globalen Abschnittes <config> z.B. :

<config> <fsss> <retryCount type="System.Int32">1</retryCount>  <retryValue type="System.Int32">1</retryValue> </fsss> </config>

Einstellung von IP Adressen, die 8MAN nicht beachten soll In einigen Fällen kann es notwendig sein, IP Adressen einzustellen, die der 8MAN Server nicht benutzen soll.

Beispiel: Es werden Virtuialisierungstools wie Virtuell Box oder VMWare verwendet oder sie haben 2 echte

Netzwerkkarten, die unterschiedliche oder gar abgetrennte Subnetze bedienen sollen. Wenn nun auf solchen

Computern der 8MAN-Client gestartet wird, dann wird normalerweise auf allen Kommunikationskanälen, also

auf allen Netzwerkadressen versucht, eine Verbindung zum 8MAN Server aufzunehmen. Der 8MAN Server

selbst versucht wiederum eine aktive Verbindung zum 8MAN-Client herzustellen. Die Rückadresse ist

systembedingt eine beliebige IP Adresse, aus denen, die vom Client übermittelt wurden. Das kann dazu führen,

dass zum Beispiel der Client auf dem 10.10.10.x Netzwerk den Server anfragt, dieser aber auf den 192.168.x.x

antwortet. Die Reihenfolge, wie der Client seine Adressen einpackt, kann nur beeinflusst werden, in dem man

an den Netzwerkkarten die Prioritäten verändert oder die automatische Metrik in der IP Einstellung auf 1

abändert. (Siehe Abb.)

Um Systemeinstellungen auf den Rechnern zu vermeiden, kann man im 8MAN Server selbst die IP Adressen

auflisten, die er nicht für die Rückantwort verwenden soll.

Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter:


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003

C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008


Öffnen Sie die Datei pnServer.config.xml und ändern Sie den folgenden Abschnitt oder fügen Sie diesen

innerhalb des Abschnittes <config> ein.

Beispiel:

<config> <network>

32

<ignoreIpAddresses>192.0.0.0;194.162.0.0</ignoreIpAddresses> </network> </config>

192.0.0.0 Filtert alle Adresse die mit 192. beginnen aus.

194.162.0.0 Filtert alle Adresse die mit 192.162. beginnen aus.

Laden von Kommentaren verhindern In einigen Fällen verzögert das Laden der Logbuchkommentare die Benutzung des 8MAN und es kann

ungewohnt lange dauern, bis die Verzeichnispfade in der Resourceansicht angezeigt werden. Um das Laden der

Logbuchkommentare zu unterbinden und damit die Resourceansicht zu beschleunigen, kann man die

Konfiguration folgendermaßen anpassen.

Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt.



C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003

C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008


Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt

werden:

<?xml version="1.0" encoding="utf-8"?> <config> </config>

Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden.

<comments> <loadComments type="System.Boolean">true</loadComments> </comments>

Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der <config> Sektion eingefügt

werden.

true Kommentare werden geladen (Standard). false Kommentare werden nicht geladen

Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.

33

Folgen von Symlinks Der Filesystem Scanner kann in seinem Verhalten bezüglich des Verfolgens von Symlinks beeinflußt werden.

Die Einstellungen werden in der Datei pnServer.config.xml und pnJobs.config.xml durchgeführt.

Die Dateien befinden sich unter:







Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigem Inhalt

erstellt werden:


Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. Wenn die Einträge

nicht vorhanden sind, muss der ganze Abschnitt innerhalb der globalen <config> Sektion kopiert werden.

<fileSystem> <config> <followSymLinks type="System.Boolean">false</followSymLinks> </config> </fileSystem>

false Folge den Symlinks nicht (Standard)

true Folge den Symlinks


34

Ändern der Maximalanzahl der zu ladenden OUs Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt.








Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt

werden:


Anschließend müssen die folgenden Änderungen durchgeführt werden. Wenn die Einträge nicht vorhanden

sind, muss der ganze Abschnitt innerhalb der <config> Sektion eingefügt werden.

<activeDirectory> <ouSizeLimit type="System.Int32">64</ouSizeLimit> </activeDirectory>

64 Die Anzahl*1024 OU Einträge, die maximal gelesen werden

Wenn der Wert nicht gesetzt bzw. nicht vorhanden ist, wird die Zahl 8 genommen.


Welche Objekte werden aus dem Active Directory gelesen Der Scanner für das ActiveDirectory verwendet einen Filter auf Objektklassen, um das zu verarbeitende

Datenvolumen zu reduzieren ohne relevante Informationen zu verlieren. Folgende Objektklassen werden

gelesen:

Benutzer („user“)

Gruppe („group“)

Computer („computer“)

Domäne („domainDNS“)

Organisationseinheit („organizationalUnit“)

Alle Objekte anderer Klassen werden vom Scanner nicht gelesen und während des Scannens in der Job-

Übersicht als ausgefiltert angezeigt.

35

Modifizieren der internen Blackliste Normalerweise können auf Grund der internen Blackliste folgende Security Identifer nicht aus der DACL

entfernt werden:

"S-1-3-0" Ersteller/Besitzer "S-1-5-5-(?<session>.+)" Logon User Session (Sollte niemals aus DACL entfernt werden) "S-1-5-32-544" Lokale Administratoren "S-1-5-18" Lokales System "S-1-5-(?<domain>.+)-500$" Domänen Administrator

Die folgenden Einstellungen in den Konfigurationsdateien deaktivieren den Schreibschutz der internen

Blackliste und man kann den Inhalt in der Konfigurationsoberfläche ändern. Vorsicht!

Die Einstellungen werden in der Datei pnServer.config.xml, pnJobs.config.xml und appConfig.config.xml

durchgeführt.

Die Dateien befinden sich unter:







Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigen Inhalt

erstellt werden:


Anschließend müssen die folgenden Änderungen/ Erweiterungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der <config> Sektion kopiert werden.

<fileSystem> <change> <useInternalBlacklist type="System.Boolean">false</useInternalBlacklist > </change> </fileSystem>

true Die interne Blacklist ist schreibgeschützt, d.h. es können keine Einträge entfernt werden. false Die interne Blacklist ist nicht schreibgeschützt, Einträge können beliebig entfernt werden.


36

UAC Grundsätzlich empfehlen wir die UAC auszuschalten, sowohl auf dem 8MAN Server als auch auf allen

Kollektoren.

Folgende Tabelle soll die für den 8MAN Server notwendigen Account-Credentials mit eingeschalteter UAC

veranschaulichen. Nur der pnServer kann sowohl als lokaler Administrator, als auch als Domänen User

gestartet bzw. eingerichtet werden. Alle anderen Accounts müssen Domänen-Accounts und zusätzlich in der

Gruppe der lokalen Administratoren sein.

Lokaler Administrator auf dem 8MAN

Server oder Kollektor Lokaler Benutzer Domänenbenutzer

pnServer X X X

File Server Read X - X

File Server Write X - X

AD Read X - X

AD Write X - X

Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc.

keine Share Berechtigungen angezeigt? Administrative Shares sind Shares, die Windows autark, ohne Eingriffsmöglichkeit von außen, verwaltet. Auf

diese Shares dürfen nur Benutzer der lokalen Fileserver Administrator Gruppe zugreifen.

Diese Shares besitzen keine „Access Control List“, die man auslesen könnte und daher zeigt 8MAN in diesem

Fall auch keine Shareberechtigungen an.

37

8MAN benutzt die WPF Toolkit Bibliothek v.3.5.50211.1 , © Microsoft Corporation 2010

http://wpf.codeplex.com/license

8MAN. Und Berechtigungen bleiben sauber.

Über protected-networks.com GmbH

Die protected-networks.com GmbH mit Sitz in Berlin entwickelt integrierte Lösungen für das

Berechtigungsmanagement in Server-Umgebungen für Unternehmen aller Branchen. Integrated Data Security

Management heißt der Ansatz, den protected-networks.com verfolgt und Unternehmen eine einheitliche

Lösung für die Verwaltung von Berechtigungen und Daten bietet. Die Lösung 8MAN ermöglicht das

Visualisieren, Administrieren, Dokumentieren und Optimieren aller Berechtigungen, die innerhalb der IT-

Umgebung bestehen. Damit erweitert und optimiert 8MAN nicht nur die Funktionen der Microsoft-Dienste wie

Active Directory, Fileserver, SharePoint und Exchange, sondern auch die Funktionen vieler anderer

Serversysteme. Die protected-networks.com GmbH wurde Anfang 2009 gegründet und ist durch die

Investitionsbank Berlin sowie dem High Tech Gründerfonds finanziert.

http://wpf.codeplex.com/license

Release Notes - fileserver-tools.com · RELEASE NOTES V4.6 vom Februar 2013 ... NetApp-Logga –...

Documents

Transcript of Release Notes - fileserver-tools.com · RELEASE NOTES V4.6 vom Februar 2013 ... NetApp-Logga –...