Dieser Abschnitt enthält Angaben zur Beurteilung der Kompatibilität Ihrer Hardware- und Softwareumgebung und zu den erforderlichen Ports und Protokollen, die Sie für die Bereitstellung konfigurieren müssen. Beachten Sie diese Informationen bei der Planung Ihrer Directory and Resource Administrator-Bereitstellung.
Dieser Abschnitt enthält Informationen zur Größe der empfohlenen Basisressourcen. Je nach verfügbarer Hardware, der spezifischen Umgebung, der Art der verarbeiteten Daten und anderen Faktoren können Ihre Ergebnisse abweichen. Unter Umständen stehen nun größere, leistungsstärkere Hardwarekonfigurationen zur Verfügung, die eine größere Last verarbeiten können. Wenden Sie sich bei Fragen an NetIQ Consulting Services.
Ausführung in einer Umgebung mit ungefähr einer Million Active Directory-Objekten:
|
Komponente |
Prozessor |
Arbeitsspeicher |
Speicher |
|---|---|---|---|
|
DRA-Verwaltungsserver |
4 Prozessorkerne (x64), 2,0 GHz |
16 GB |
100 GB |
|
DRA-Webkonsole |
2 Prozessorkerne (x64), 2,0 GHz |
8 GB |
100 GB |
|
DRA-Berichterstellung |
4 Prozessorkerne (x64), 2,0 GHz |
16 GB |
100 GB |
|
DRA-Workflowserver |
4 Prozessorkerne (x64), 2,0 GHz |
16 GB |
100 GB |
DRA hält große Arbeitsspeichersegmente über längere Zeiträume aktiv. Berücksichtigen Sie beim Bereitstellen von Ressourcen für eine virtuelle Umgebung die folgenden Empfehlungen:
Weisen Sie den Speicher als „Thick-Provisioning“ zu
Legen Sie die Arbeitsspeicherreservierung auf „Reserve All Guest Memory (All Locked)“ (Gesamten Gastarbeitsspeicher reservieren (Alle gesperrt)) fest
Stellen Sie sicher, dass die Auslagerungsdatei groß genug ist, um die potenzielle Neuzuweisung von Arbeitsspeicher zu decken, der durch Ballooning gesperrt wurde
Dieser Abschnitt beschreibt die Ports und Protokolle für die DRA-Kommunikation.
Konfigurierbare Ports sind mit einem Sternchen (*) gekennzeichnet.
Ports, für die ein Zertifikat erforderlich ist, sind mit zwei Sternchen (**) gekennzeichnet.
|
Protokoll und Port |
Richtung |
Ziel |
Verwendung |
|---|---|---|---|
|
TCP 135 |
Bidirektional |
DRA-Verwaltungsserver |
Der Endgerät-Mapper, eine grundlegende Anforderung für die DRA-Kommunikation, ermöglicht Verwaltungsservern das gegenseitige Auffinden in MMS |
|
TCP 445 |
Bidirektional |
DRA-Verwaltungsserver |
Reproduktion des Delegierungsmodells; Dateireproduktion während der MMS-Synchronisierung (SMB) |
|
Dynamischer TCP-Portbereich * |
Bidirektional |
Microsoft Active Directory-Domänencontroller |
Standardmäßig weist DRA dynamisch Ports aus dem TCP-Portbereich von 1024 bis 65535 zu. Sie können diesen Bereich jedoch mit den Komponentendiensten konfigurieren. Weitere Informationen finden Sie in Using Distributed COM with Firewalls (DCOM) (Verwendung von Distributed COM mit Firewalls (DCOM)) |
|
TCP 50000 * |
Bidirektional |
DRA-Verwaltungsserver |
Attributreproduktion und Kommunikation zwischen dem DRA-Server und ADAM. (LDAP) |
|
TCP 50001 * |
Bidirektional |
DRA-Verwaltungsserver |
SSL-Attributreproduktion (ADAM) |
|
TCP/UDP 389 |
Ausgehend |
Microsoft Active Directory-Domänencontroller |
Active Directory-Objektverwaltung (LDAP) |
|
Ausgehend |
Microsoft Exchange Server |
Postfachmanagement (LDAP) |
|
|
TCP/UDP 53 |
Ausgehend |
Microsoft Active Directory-Domänencontroller |
Namensauflösung |
|
TCP/UDP 88 |
Ausgehend |
Microsoft Active Directory-Domänencontroller |
Ermöglicht die Authentifizierung vom DRA-Server an den Domänencontrollern (Kerberos) |
|
TCP 80 |
Ausgehend |
Microsoft Exchange Server |
Für alle vor Ort installierten Exchange-Server von 2010 bis 2013 erforderlich (HTTP) |
|
Ausgehend |
Microsoft Office 365 |
PowerShell-Fernzugriff (HTTP) |
|
|
TCP 443 |
Ausgehend |
Microsoft Office 365, Change Guardian |
Graph API-Zugriff und Change Guardian-Integration (HTTPS) |
|
TCP 443, 5986, 5985 |
Ausgehend |
Microsoft PowerShell |
Native PowerShell-Commandlets (HTTPS) und PowerShell-Remotebefehle |
|
TCP 8092 * ** |
Ausgehend |
Workflowserver |
Workflowstatus und Auslösung (HTTPS) |
|
TCP 50101 * |
Eingehend |
DRA-Client |
Rechtsklick-Änderungsverlaufbericht bis Benutzeroberflächen-Revisionsbericht. Kann während der Installation konfiguriert werden. |
|
TCP 8989 |
Localhost |
Protokollarchivdienst |
Protokollarchivkommunikation (muss nicht über die Firewall geöffnet werden) |
|
TCP 50102 |
Bidirektional |
DRA-Kernservice |
Protokollarchivdienst |
|
TCP 50103 |
Localhost |
DRA-Cacheservice |
Kommunikation des Cacheservice auf dem DRA-Server (muss nicht über die Firewall geöffnet werden) |
|
TCP 1433 |
Ausgehend |
Microsoft SQL Server |
Datenerfassung für Berichterstellung |
|
UDP 1434 |
Ausgehend |
Microsoft SQL Server |
Der SQL Server-Browserdienst verwendet diesen Port zum Identifizieren des Ports für die benannte Instanz. |
|
TCP 8443 |
Bidirektional |
Change Guardian-Server |
Unified-Änderungsverlauf |
|
Protokoll und Port |
Richtung |
Ziel |
Verwendung |
|---|---|---|---|
|
TCP 8755 * ** |
Eingehend |
IIS-Server, DRA-PowerShell-Commandlets |
Ausführen DRA-REST-basierter Workflowaktivitäten (ActivityBroker) |
|
TCP 11192 * ** |
Ausgehend |
DRA-Hostservice |
Kommunikation zwischen dem DRA-REST-Service und dem DRA-Verwaltungsservice |
|
TCP 135 |
Ausgehend |
Microsoft Active Directory-Domänencontroller |
Automatische Erkennung mit Dienstverbindungspunkt (SCP) |
|
TCP 443 |
Ausgehend |
Microsoft AD-Domänencontroller |
Automatische Erkennung mit Dienstverbindungspunkt (SCP) |
|
Protokoll und Port |
Richtung |
Ziel |
Verwendung |
|---|---|---|---|
|
TCP 8755 * ** |
Ausgehend |
DRA-REST-Service |
Kommunikation zwischen DRA-Webkonsole, DRA PowerShell und DRA-Hostservice |
|
TCP 443 |
Eingehend |
Clientbrowser |
Öffnen einer DRA-Website |
|
TCP 443 ** |
Ausgehend |
Advanced Authentication Server |
Advanced Authentication |
|
Protokoll und Port |
Richtung |
Ziel |
Verwendung |
|---|---|---|---|
|
TCP 135 |
Ausgehend |
Microsoft Active Directory-Domänencontroller |
Automatische Erkennung mit Dienstverbindungspunkt (SCP) |
|
Dynamischer TCP-Portbereich * |
Ausgehend |
DRA-Verwaltungsserver |
DRA-Adapter-Workflowaktivitäten. Standardmäßig weist DCOM dynamisch Ports aus dem TCP-Portbereich von 1024 bis 65535 zu. Sie können diesen Bereich jedoch mit den Komponentendiensten konfigurieren. Weitere Informationen finden Sie in Using Distributed COM with Firewalls (DCOM) (Verwendung von Distributed COM mit Firewalls (DCOM)) |
|
TCP 50102 |
Ausgehend |
DRA-Kernservice |
Erstellung des Änderungsverlaufberichts |
|
Protokoll und Port |
Richtung |
Ziel |
Verwendung |
|---|---|---|---|
|
TCP 8755 |
Ausgehend |
DRA-Verwaltungsserver |
Ausführen DRA-REST-basierter Workflowaktivitäten (ActivityBroker) |
|
Dynamischer TCP-Portbereich * |
Ausgehend |
DRA-Verwaltungsserver |
DRA-Adapter-Workflowaktivitäten. Standardmäßig weist DCOM dynamisch Ports aus dem TCP-Portbereich von 1024 bis 65535 zu. Sie können diesen Bereich jedoch mit den Komponentendiensten konfigurieren. Weitere Informationen finden Sie in Using Distributed COM with Firewalls (DCOM) (Verwendung von Distributed COM mit Firewalls (DCOM)) |
|
TCP 1433 |
Ausgehend |
Microsoft SQL Server |
Workflow-Datenspeicher |
|
TCP 8091 |
Eingehend |
Betriebs- und Konfigurationskonsole |
Workflow-BSL-API (TCP) |
|
TCP 8092 ** |
Eingehend |
DRA-Verwaltungsserver |
Workflow-BSL-API (HTTP) und (HTTPS) |
|
TCP 2219 |
Localhost |
Namespace-Anbieter |
Wird vom Namespace-Anbieter zum Ausführen von Adaptern verwendet |
|
TCP 9900 |
Localhost |
Correlation Engine |
Wird von Correlation Engine für die Kommunikation mit der Workflow-Engine und dem Namespace-Anbieter verwendet |
|
TCP 10117 |
Localhost |
Ressourcenmanagement-Namespace-Anbieter |
Wird vom Ressourcenmanagement-Namespace-Anbieter verwendet |
Die neuesten Informationen zu den unterstützten Softwareplattformen finden Sie auf der Directory and Resource Administrator-Seite auf der NetIQ-Website:
|
Verwaltetes System |
Voraussetzungen |
|---|---|
|
Active Directory |
|
|
Microsoft Exchange |
|
|
Microsoft Office 365 |
|
|
Skype for Business |
|
|
Änderungsverlauf |
|
|
Webbrowser |
|
|
Workflowautomatisierung |
|
Für DRA gelten die folgenden Serveranforderungen für Software und Konten:
|
Komponente |
Voraussetzungen |
|---|---|
|
Installationsziel Betriebssystem |
Betriebssystem des NetIQ-Verwaltungsservers:
Windows-DRA-Benutzeroberflächen:
|
|
Installationsprogramm |
|
|
Verwaltungsserver |
Directory and Resource Administrator:
Administration von Microsoft Office 365/Exchange Online:
Weitere Informationen finden Sie unter Unterstützte Plattformen. |
|
Veraltete Webkomponenten |
Webserver:
Microsoft IIS-Komponenten:
Windows-DRA-Benutzeroberflächen:
|
|
Konto |
Beschreibung |
Berechtigungen |
|---|---|---|
|
AD-LDS-Gruppe |
Das DRA-Servicekonto muss zu dieser Gruppe hinzugefügt werden, um Zugriff auf AD-LDS zu erhalten. |
|
|
DRA-Servicekonto |
Zum Ausführen des NetIQ-Verwaltungsservice erforderliche Berechtigungen |
HINWEIS:Weitere Informationen zum Einrichten von Domänenzugriffskonten mit den niedrigsten Berechtigungen finden Sie in: DRA-Zugriffskonten mit niedrigsten Berechtigungen. |
|
DRA-Administrator |
Benutzerkonto oder Gruppe, das/die für die integrierte DRA-Administratorrolle bereitgestellt wird |
|
|
DRA-Hilfsadministratorkonten |
Konten, denen über DRA Befugnisse delegiert werden |
|
Nachstehend finden Sie Informationen zu den Berechtigungen und Privilegien, die für die angegebenen Konten und für die auszuführenden Konfigurationsbefehle erforderlich sind.
Domänenzugriffskonto: Weisen Sie dem Domänenzugriffskonto die folgenden Active Directory-Berechtigungen zu:
VOLLSTÄNDIGE KONTROLLE über Objekte vom Typ „Integrierte Domäne“
VOLLSTÄNDIGE KONTROLLE über Computerobjekte
VOLLSTÄNDIGE KONTROLLE über Kontaktobjekte
VOLLSTÄNDIGE KONTROLLE über Containerobjekte
VOLLSTÄNDIGE KONTROLLE über dynamische Verteilergruppen
VOLLSTÄNDIGE KONTROLLE über Gruppenobjekte
VOLLSTÄNDIGE KONTROLLE über Inetorgperson-Objekte
VOLLSTÄNDIGE KONTROLLE über MsExchSystemObjectContainer-Objekte
VOLLSTÄNDIGE KONTROLLE über Objekte vom Typ „organisatorische Einheit“
VOLLSTÄNDIGE KONTROLLE über Druckerobjekte
VOLLSTÄNDIGE KONTROLLE über öffentliche Ordner
VOLLSTÄNDIGE KONTROLLE über Benutzerobjekte
Legen Sie für das Domänenzugriffskonto die folgenden Berechtigungen mit einem Umfang von „Dieses Objekt und alle untergeordneten Objekte“ fest:
Erstellen von Computerobjekten zulassen
Erstellen von Kontaktobjekten zulassen
Erstellen von Containern zulassen
Erstellen von Gruppenobjekten zulassen
Erstellen von MsExchDynamicDistributionList-Objekten zulassen
Erstellen von Objekten vom Typ „organisatorische Einheit“ zulassen
Erstellen von öffentlichen Ordnern zulassen
Erstellen von Dienstverbindungspunkten (SCP) zulassen
Erstellen von Benutzerobjekten zulassen
Löschen von Computerobjekten zulassen
Löschen von Kontaktobjekten zulassen
Löschen von Containern zulassen
Löschen von Gruppenobjekten zulassen
Löschen von InetOrgPerson-Objekten zulassen
Löschen von MsExchDynamicDistiributionList-Objekten zulassen
Löschen von Objekten vom Typ „organisatorische Einheit“ zulassen
Löschen von öffentlichen Ordnern zulassen
Löschen von Dienstverbindungspunkten (SCP) zulassen
Löschen von Benutzerobjekten zulassen
Office 365-Mandantenzugriffskonto: Weisen Sie dem Office 365-Mandantenzugriffskonto die folgenden Active Directory-Berechtigungen zu:
Benutzerverwaltungsadministrator in Office 365
Empfängerverwaltung in Exchange Online
Exchange-Zugriffskonto: Weisen Sie dem Exchange-Zugriffskonto die Rolle Organisationsverwaltung für die Verwaltung von Exchange 2010 zu.
Skype-Zugriffskonto: Stellen Sie sicher, dass dieses Konto ein Skype-fähiger Benutzer ist und mindestens eine der folgenden Rollenmitgliedschaften erfüllt:
Mitglied der CSAdministrator-Rolle
Mitglied der CSUserAdministrator-Rolle und der CSArchiving-Rolle
Konto für den Zugriff auf öffentliche Ordner: Weisen Sie dem Konto für den Zugriff auf öffentliche Ordner die folgenden Active Directory-Berechtigungen zu:
Verwaltung öffentlicher Ordner
Für Mail aktivierte öffentliche Ordner
Nach der DRA-Installation:
Führen Sie den folgenden Befehl aus, um die Berechtigung auf den Container „Gelöschte Objekte“ vom DRA-Installationsordner zu delegieren (und beachten Sie dabei, dass der Befehl von einem Domänenadministrator ausgeführt werden muss):
DraDelObjsUtil.exe /domain:<Netbios-Domänenname> /delegate:<Kontoname>
Führen Sie den folgenden Befehl aus, um die Berechtigung auf die OU NetIQRecycleBin vom DRA-Installationsordner zu delegieren; (beachten Sie, dass dies erst nach dem Hinzufügen der entsprechenden Domänen zur Verwaltung durch DRA erledigt werden kann):
DraRecycleBinUtil.exe /domain:<Netbios-Domänenname> /delegate:<Kontoname>
Fügen Sie das Überschreibungskonto mit der niedrigsten Berechtigung auf jedem Computer, auf dem DRA zur Verwaltung von Ressourcen wie Druckern, Services, Ereignisprotokoll oder Geräten verwendet wird, zur Gruppe „Lokale Administratoren“ hinzu.
Erteilen Sie dem Überschreibungskonto mit der geringsten Berechtigung die „uneingeschränkte Berechtigung“ auf Freigabeordner oder DFS-Ordner, wo Basisverzeichnisse bereitgestellt werden.
Fügen Sie das Überschreibungskonto mit der geringsten Berechtigung zur Rolle „Organisationsverwaltung“ für die Verwaltung von Exchange-Objekten hinzu.
Die Anforderungen für die Webkonsole und die REST-Erweiterungen sind folgende:
|
Komponente |
Voraussetzungen |
|---|---|
|
Installationsziel |
Betriebssystem:
|
|
DRA-Hostservice |
|
|
DRA-REST-Endgerät und -Service |
|
|
PowerShell-Erweiterungen |
|
|
DRA-Webkonsole |
Webserver:
Microsoft IIS-Komponenten:
|
Die Anforderungen für die DRA-Berichterstellung sind folgende:
|
Komponente |
Voraussetzungen |
|---|---|
|
Installationsziel |
Betriebssystem:
|
|
NetIQ Reporting Center (v3.2) |
Datenbank:
Webserver:
Microsoft .NET Framework 3.5: Jeder DRA-Verwaltungsserver, der eine Verbindung zur DRA-Berichterstellung herstellt, benötigt außerdem .NET Framework 3.5. HINWEIS:Wenn NetIQ Reporting Center (NRC) auf einem SQL Server-Computer installiert wird, muss .NET Framework 3.5 unter Umständen vor der Installation von NRC manuell installiert werden. |
|
DRA-Berichterstellung |
Datenbank:
|
Ihre Lizenz bestimmt, welche Produkte und Funktionen Sie verwenden können. Für DRA muss ein Lizenzschlüssel mit dem Verwaltungsserver installiert werden.
Nach der Installation des Verwaltungsservers können Sie mit dem Systemdiagnose-Dienstprogramm einen Probelizenzschlüssel (TrialLicense.lic) installieren, mit dem Sie 30 Tage lang eine unbegrenzte Anzahl an Benutzerkonten und Postfächern verwalten können.
Weitere Informationen zu Lizenzdefinitionen und -einschränkungen finden Sie in der Endbenutzer-Lizenzvereinbarung (EULA).