1、LANDesk服务器管理器解决方案342020年5月29日文档仅供参考LANDesk服务器管理器解决方案北京通软欣盛高技术有限公司 11月目录1公司简介32解决方案简介43系统架构64产品功能模块详解74.1产品架构和通讯机制74.1.1资产扫描及设备发现84.1.2安全性扫描94.1.3软件分发104.1.4管理角色划分114.1.5系统维护134.1.6系统安全135系统监控146报警167清单扫描和报告188软件分发219远程控制2310漏洞扫描和修补2511仪表板(Dashboard)281 公司简介LANDesk软件是业界领先的桌面设备,服务器和移动设备的管理和安全解决方案提供商。自
2、 从Intel拆分出来后,保持了50%以上的高速增长。其产品线以LANDesk管理套件为核心,扩展了安全套件,补丁管理器,系统管理器,服务器管理器,手持设备管理器等多个产品和插件。在企业网络终端设备的管理和安全防护领域提供了全面的解决方案。LANDesk中国分公司于 初在北京建立,现在在上海,广州有办事机构。到当前为止已经发展成为具有研发,测试,销售,市场等完整架构的营运中心,员工共70多人,能够为国内市场的用户提供即时高效的服务和支持。到当前为止,在银行,电信,移动,联通,交通,石化,传媒等领域拥有众多的用户。中国分公司也因为其100%的高速增长,成为全球继北美,欧洲和日本后新的战略重心。2
3、 解决方案简介现在,全球服务器市场获得了强劲的增长,这增强了对提高服务器易管理性的重要性和需求。根据调研公司Gartner公布的报告,在 第二季度,全球服务器销售收入已攀升到115亿美元,比 同期增长了近8%(详见 7月26日Gartner发布的)。随着企业环境中服务器的增加以及服务器担负着越来越重要的作用,其安全性,稳定性和可靠性如何,直接关系到其对整个企业范围内提供服务的质量和企业的生产质量和效率,因而企业用户对有效管理服务器的呼声日益高涨。比较起来,服务器管理的范畴从深度和广度上都要远远超过桌面设备的管理。服务器管理关心的内容包括对硬件24*7的监控和报警,操作系统健康,安全和系统资源可
4、用性的监控,操作系统的应用状态和事件,以及远程对服务器进行的配置操作。应该说,传统的服务器管理是割裂的:主板和服务器厂商更加着重于硬件层面的管理,系统软件厂商注重于操作系统和底层服务的管理,应用软件厂商更注重应用自身的管理。而LANDesk提出了一揽子管理方案,秉承对I/A硬件架构十几年的研究和最新操作系统/网络平台的深入掌握,LANDesk服务器管理器提供从底层硬件健康监控,操作系统资源和性能监控/安全管理到应用软件安装/卸载跟踪的全部功能。LANDesk服务器管理器支持企业级服务器、普通服务器以及”刀片”式服务器,能在实现低影响的管理服务的同时允许您选择管理所覆盖的层次,从简单的信息收集到
5、扩展的性能分析、安全及配置控制,并经过B/S架构实现灵活的,无需安装控制台的轻量级管理。LANDesk服务器管理器还拥有完整的配置管理方案,能够远程实现服务器电源操作,远程控制和软件分发等功能。LANDesk作为桌面管理软件的行业先驱,其产品严格主导并遵循业界的规范,包括DMI,WMI,SMBIOS,CIM,WBEM,WOL,AOL,ASF, IPMI等标准。因为其业界主导地位, ,Intel选择LANDesk作为其服务器硬件产品的OEM软件提供商。国内的方正也在同期在其服务器中捆绑LANDesk的管理软件。LANDesk服务器管理器以其功能的完备性和界面的易用性获得越来越多用户的肯定,为更多
6、的企业带来成本的节约和效能的增加。3 系统架构4 产品功能模块详解4.1 产品架构和通讯机制LANDesk服务器管理器的服务器端和客户端均采用Web控制台进行控制,经过服务器向客户端推送代理,从服务器Web控制台能够访问管理和客户控制界面。如下图所示。管理控制台界面客户端管理界面LANDesk服务器管理器包括资产清单和报告,软件分发,远程支持,漏洞管理和系统监控等功能。这些功能的高效和准确实现基于服务器管理器统一的后台架构和通讯机制,下面是对这些技术的介绍。4.1.1 资产扫描及设备发现LANDesk服务器管理器具有强大的资产管理功能,经过该软件客户端的资产扫描功能,所有的软硬件信息都将及时的
7、被扫描并存放在核心数据库中。LANDesk是桌面管理标准(DMI标准)的制定者,同时支持业界所有的与桌面及服务器管理相关的标准,如DMI、CIM、WMI、Wfm、SMBIOS、ASF、IPMI等。经过支持以上的管理标准,LANDesk服务器管理器能够收集业界当前最全面的计算机软硬件资源信息,如:所辖客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件、存在的安全漏洞等。IT资产管理能够帮助公司了解当前所有计算机的资产信息,弥补固定资产报表的不足,并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。使用设备搜寻功能,LANDesk服务器管
8、理器能够主动的发现网络上所有基于IP的客户端设备包括计算机、网络打印机以及路由器及交换机等设备,分组发现工具能够使用”PING扫描”来发现特定子网设备。设备搜寻在网络上查找尚未将清单扫描结果提交到 Management Suite 核心数据库的客户端。并能够使用多种方法来查找不受管的客户端。LANDesk服务器管理器具有完善的报警功能,在任何库存信息发生变化时或者服务器的硬件发生异常时,都能够以日志及警报的方式及时通知管理人员,充分确保服务器的运行安全。LANDesk 服务器管理器针对安全信息预定义各类型报表,能够随时以报表的方式展示库存信息。LANDesk支持以WEB方式展示报表内容。IT资
9、产管理是所有管理功能的基础。LANDesk基于查询的库存分组功能能够任意组合查询。能够实现以行政机构类型或操作系统类型划分群组,甚至能够以CPU类型或IP段进行分组,从而实施不同的管理任务。4.1.2 安全性扫描LANDesk服务器管理器的安全性扫描独立于资产扫描,该扫描能够经过Web方式从服务器获得相应的安全扫描内容,包括系统漏洞信息,禁用的应用列表,间谍软件列表等等,获取内容的方式是使用HTTP协议,因此不需要80以外的其它端口或windows共享。LANDesk安全性扫描的特点如下: 客户端安全性扫描经过80端口更新Web服务器漏洞数据,更新过程也会进行差异比较,每个安全定义的数据量非常
10、小,平均在几百字节。 扫描的结果需要传输的数据量非常少,对于每个安全内容属性而言,只是取其在客户端测试的结果能够,因而对网络不会有本质的影响。4.1.2.1 启动方式LANDesk安全性扫描的启动方式有以下几种: 客户端在重新启动后自动运行安全性扫描 客户端用户手动在本机运行安全性扫描 服务器端运行主动的网络安全性扫描4.1.2.2 带宽占用分析LANDesk安全性扫描缺省也是在客户端启动时运行,每个安全性扫描生成的数据量在1K左右,能够满足大规模客户端并发启动的需求而不会对网络造成明显的影响。4.1.3 软件分发作为桌面设备管理行业的领导厂商, LANDesk的软件分发功能具有高效、安全及全
11、面的特点。针对客户端所具有的操作系统类型不同,LANDesk服务器管理器可自动针对相应操作系统进行补丁智能安装,无须管理人员及客户的任何参与,同时支持以手动的方式以计划任务或应用策略的模式在服务端直接进行补丁修补作业。在服务器端,管理人员可根据不同类型的补丁针对特定管理群组或机构制定相应的修补策略,以实现灵活完善的软件分发策略和流程。LANDesk的软件分发支持自动及手动模式,并使用了多项业界领先的专利技术来确保补丁分发任务的高效、完整,而且对系统资源的耗费最小化。这些重要的功能和技术包括:可计划的任务分发等。可计划的任务分发(基于PUSH的分发模式):LANDesk的软件分发任务可即时或按自
12、定义的计划时间向指定的客户群组进行分发操作并可定义重复的频率及分发任务失败后的重新开始,计划分发还可采用网络唤醒技术在非工作时间唤醒目标设备并进行分发作业,极大的减少对正常业务的影响。LANDesk服务器管理器提供完善的报表功能,能够按特定漏洞类型来提供用户即时或历史记录报表,也可按用户定义的物理位置等多种条件来提供用户已修补或查询到的安全漏洞报表。4.1.4 管理角色划分基于角色的管理是 LANDesk管理软件中一个强大的功能。管理员(具有 LANDesk 管理员权限的用户)经过单击”工具”菜单或工具栏中的用户即可访问基于角色的管理工具。经过基于角色的管理,可将用户添加到 Managemen
13、t Suite 系统中,然后根据这些用户的权限和范围给她们分配特殊的管理角色。权限决定用户能够看到和利用的 Management Suite 工具和功能范围决定用户能够看到和管理的设备范围您能够根据用户的职责、您希望她们能执行的管理任务以及想让她们看到、访问和管理的设备来为她们创立角色。您能够将用户能访问的设备限定在某个地理位置,例如国家、地区、州(省)、城市甚至一个办公室或部门。也能够将访问限定为特定的客户端平台、处理器类型或某些其它设备硬件或软件属性。经过使用基于角色的管理,您能够全权掌握要创立多少个不同的角色,哪些用户能够充当这些角色,她们的设备访问范围应该有多大或多小。例如,您能够指定
14、一个或多个用户充当软件分发管理员,指定另一个用户负责远程控制操作,再指定一个用户负责运行报告,等等。 要贯彻实施基于角色的管理,只需将当前的 NT 用户指定为 Management Suite用户,或创立新的 NT 用户并将其添加为 Management Suite 用户,然后给她们分配必要的权限(以利用 Management Suite 功能)和范围即可。下表列出了一些您可能要实施的服务器管理器管理角色、用户要执行的常见任务,以及用户要有效行使该角色的职责所需的权限。角色 任务 所需的权限 管理员 配置核心服务器,管理用户,配置警报等功能 LANDesk 管理员(意味着拥有所有权限) 资产管
15、理员 搜寻设备、配置客户端、运行清单扫描器、创立和分发自定义数据表单、启用清单历史记录跟踪等。 ”设备搜寻” 和”公共查询管理” 补丁及安全管理员安全漏洞更新、补丁的下载及分发、使用定向多播和对等下载、启用应用程序策略管理等 补丁管理 报告管理员 运行预定义的报告、创立自定义报告、打印报告、导入和导出报告、测试用户报告等 报告(所有报告都必须)以上只是角色示例。基于角色的管理非常灵活,因此,您能够根据自己的需要创立任意多个自定义角色。您能够给不同的用户分配一些相同的权限,但将她们的访问权限限制为范围较窄的一组设备。甚至能够用范围来限制管理员,使她们实质上只是某地理区域或某类受管设备的管理员。如
16、何利用基于角色的管理取决于您的网络、人力资源以及您的具体需要。4.1.5 系统维护LANDesk服务器管理器支持多种模式的客户端安装方式,无论是在工作组模式或域管理模式下,LANDesk服务器管理器均可方便的向Windows 及以上平台进行基于推送的直接客户端安装。同时支持以Web或网络共享模式的安装,安装方式非常简单。LANDesk服务器管理器是业界最易用的桌面管理解决方案。LANDesk管理软件具有包括中文在内的七种语言版本,支持在线帮助。4.1.6 系统安全蓝代斯克服务器管理器提供了增强的基于证书的安全加密模式以防止未授权的控制台远程访问客户端,软件传输以及其它远程操作。LANDesk服
17、务器管理器充分考虑到数据的安全性特征。为确保数据传输安全,核心服务器与客户端之间采用了高达2048位的加密数据通道,由客户端到核心服务器之间采用了1024位的HTTPS下载模式,为确保传输过程中文件不被非法篡改,所有传输文件均采用MD5算法计算HASH值。另外,对资产数据的传输均采用压缩传输,有效的避免通讯链路上可能存在的通讯包泄密行为。5 系统监控LANDesk服务器管理器能够对硬件进行严密的监控,能够捕获包括SMART硬盘,CPU,内存等硬件发出的失败预警。为了保证对硬件24*7的监控,LANDesk提供包括对”智能平台管理界面 (IPMI)” 1.5 和 2.0 版本的支持。IPMI 是
18、由 Intel、HP、NEC和 Dell开发的一种规范,用来为可管理的硬件定义消息和系统界面。IPMI 包含监视和恢复功能,能够利用IPMI机制在服务器关机状态下对主板电压/风扇转速/机箱温度/入侵检测等属性进行监测,并能够实现远程电源操作。IPMI 监控基于 BMC(Baseboard Management Controller,基板管理控制器)。BMC 依靠备用电源运作,并自动轮询系统健康状态。如果 BMC 检测到任何元件超出范围,能够对 IPMI 可采取的相应措施进行配置,例如登录事件、生成警报或执行自动恢复操作。LANDesk服务器管理器设备监控还能够实现对系统性能,配置更改和系统连接
19、性的监控。 性能监控经过对系统设置性能计数器实现,LANDesk服务器管理器的性能监视器中能够设置对众多的监视计数器进行设置。 配置更改主要指对系统硬/软件信息的更改进行监控。 系统连接性监控主要指对客户端在线与否进行监控。经过以上的功能,LANDesk能够实现对客户端服务器从底层硬件到应用环境细粒度的监控。6 报警能够针对服务器的多项硬件,软件和资源计数器进行警报设置,包括硬件的失败预警,机箱入侵检测,温度,风扇,电压参数异常,配置变更警报(添加/删除了应用程序或硬件变化),系统资源,服务,进程变化警报,远程控制警报等等。服务器管理器的配置变更警报包括如下事件: 安装或卸载应用程序 添加或删
20、除内存 添加或删除硬盘驱动器 添加或删除处理器 报警传递的方式有以下几种: 将信息添加到日志。 经过电子邮件发送通知。 在核心服务器或个人服务器上运行程序。 将 SNMP 陷阱发送到网络上的 SNMP 管理控制台。所有的报警都是实时的而且能够设置警报类型。警报类型包括 未知 无法确定警报状态,或未在服务器上安装监控代理。 信息 可用来支持配置更改、BSA 事件或制造商在各自的计算机系统中附带的计算机事件。 良好 当问题已经解决且返回到可接受的级别时,向您发出通知。 警告 在问题变得严重之前给予一些预先警告。 严重 可能需要您即时注意。不同级别的警报在控制台上显示的图标不同,借以直观反映警报的严
21、重程度。7 清单扫描和报告LANDesk服务器具有强大的资产管理功能,经过该软件客户端的清单扫描功能,所有的软硬件信息都将及时的被扫描并存放在核心数据库中。LANDesk管理套件能够收集所有的计算机软硬件资源,如:所辖客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件等。IT资产管理能够帮助公司了解当前所有计算机的资产信息,弥补固定资产报表的不足,并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。比较同类产品,LANDesk资产管理有以下优势:资产的完备性LANDesk秉承深厚的技术底蕴,使用多种技术手段侦测网络资产,经过包括SMB
22、IOS 2.1,DMI(桌面管理接口),CIM(通用信息模型),WMI(微软桌面管理接口),注册表,总线硬件驱动程序等等方式读取资产信息,从而保证获取的资产是最完整的资产变更的实时性LANDesk资产管理模块能够比较实时反映系统变更的信息。该变更以警报的方式体现。参照上面的第六节。详细的报告LANDesk服务器管理器的报告功能非常强大,预定义多种Web报表。8 软件分发LANDesk服务器管理器的软件分发功能能够将不同类别的软件发送到服务器客户端,软件类别包括MSI程序包,SWD程序包,可执行文件和批处理文件。LANDesk服务器管理器并提供一个工具:程序包生成器来制作程序包。程序包的分发能够
23、经过3个步骤实现。分别是准备分发包,确定分发方式和进行计划任务设定。使用软件分发,能够高效配置远程服务器的应用环境。9 远程控制能够对远程需要帮助的计算机进行在服务器端的操作,这样,能够帮助远程的客户端进行异地操作和检查系统问题,充分发挥、共享服务器端的技术优势。LANDesk的远程帮助功能不同于业界同类产品的功能实现。为了保证数据传输的效率,蓝代斯克采用显卡差分技术,在帮助连接的两端建立显卡间的底层数据传输通道,保证高效的数据压缩和传输。而其它产品的功能实现采用在操作系统之上的视频差分技术,其压缩和传输效率比前者有显著的降低。LANDesk的远程帮助可对远程控制性能进行优化,可动态地调整颜色
24、深度、墙纸可见性、远程窗口的外观效果和使用镜像驱动程序等提高远程控制的性能。 LANDesk的远程帮助功能还经过多种认证机制保证安全性。比如,能够经过证书认证,受管理节点的本地超户认证等方式保证受管理节点只接受合法控制台的远程帮助,为防止对远程客户端支持完成后,客户端系统对外开放,还能够实现帮助退出后自动进入客户端登录界面。LANDesk的远程帮助界面集成远程文件传输,远程会话,远程执行,远程启动,画图等功能,能够在单一界面上实现远程帮助所需的全部功能,提高了管理员的支持效率。10漏洞扫描和修补LANDesk服务器管理器能够实现补丁管理的功能。补丁管理主要实现对漏洞的主动修补。补丁管理实现的原
25、理是经过服务器的漏洞扫描获得服务器本地的漏洞信息。漏洞信息支持的平台和语言很广泛,包括以下内容:a) 支持客户端平台语言:丹麦语、荷兰语、英语、芬兰语、法语、德语、意大利语、日语、挪威语、葡萄牙语、简体中文、西班牙语、瑞典语、繁体中文b) 支持的客户端平台: Windows 98 SE Windows NT(4.0 SP6a 版和更高版本) Windows SP4 / / XP SP1 Mac OS X 10.2.x 和 10.3.x Red Hat Linux,版本 9(从控制台扫描,手动修补) SUSE Linux(从控制台扫描,手动修补) Sun Solaris(从控制台扫描,手动修补)
26、c) 支持对Solaris,Mac,Linux设备的安全漏洞检测。能够对漏洞进行计划更新是之成为系统维护的任务。LANDesk补丁的应用能够经过计划任务显式执行。在运行完漏洞扫描后,就能够针对某个漏洞进行修补,修补时系统会自动确定受影响的客户端并自动匹配补丁对应的平台。LANDesk漏洞能够进行分组,分组为”已扫描”,”未扫描”,”已检测”和”未分配”等不同的组。将”未分配”组的内容能够放到”已扫描”,”未扫描”之一的组中,由此确定是否需要对此漏洞进行扫描操作。11仪表板(Dashboard)”仪表板”是关于服务器的一个简单、高级、有序的视图。它用一个图标代表每个服务器,图标代表服务器的当前状
27、态。基于范围和角色在”仪表板”中查看服务器。”仪表板”是可移动和可配置的。”仪表板”视图中显示了所有服务器的总体健全性,并按状态列出了服务器的数量(处于”严重”状态的服务器有多少,处于”正常”状态的服务器有多少)。能够查看图形和服务器列表,或分离图形,在工作站或组监视器上只查看该图形。当右键单击服务器图标时,能够在弹出的窗口中查看该服务器的属性或详细状态信息。从此窗口中,能够查看服务器的类型和服务器上所使用重要资源的百分比。还能够选择基本的故障排除项,或双击该图标转至控制台。李鑫磊北京通软欣盛高技术有限公司北京市海淀区知春路甲48号盈都大厦C座1单元17B电话:,58732086,58732087,58732088传真:手机:Email: