Conforme você planeja a implantação do Directory and Resource Administrator, use esta seção para avaliar seu ambiente de hardware e de software para compatibilidade e para anotar as portas e os protocolos necessários que você precisará configurar para a implantação.
Esta seção fornece informações de dimensionamento para nossa recomendação de recurso básico. Os resultados podem variar de acordo com o hardware disponível, o ambiente específico e o tipo específico de dados processados, entre outros fatores. É provável que existam configurações de hardware maiores e mais potentes, capazes de lidar com uma carga mais pesada. Se você tiver perguntas, consulte os Serviços de Consultoria da NetIQ.
Executado em um ambiente com aproximadamente um milhão de objetos do Active Directory:
Componente |
CPU |
Memória |
Armazenamento |
---|---|---|---|
Servidor de Administração do DRA |
4 núcleos de CPU (x64) de 2,0 GHz |
16 GB |
100 GB |
Console da Web do DRA |
2 núcleos de CPU (x64) de 2,0 GHz |
8 GB |
100 GB |
Gerador de relatórios do DRA |
4 núcleos de CPU (x64) de 2,0 GHz |
16 GB |
100 GB |
Servidor de workflow do DRA |
4 núcleos de CPU (x64) de 2,0 GHz |
16 GB |
100 GB |
O DRA mantém segmentos de memória grandes ativos por períodos prolongados. Ao aprovisionar recursos para um ambiente virtual, as seguintes recomendações devem ser consideradas:
Alocar o armazenamento como “Thick Provisioned”
Definir a reserva de memória para Reservar Toda a Memória de Convidado (Toda Bloqueada)
Verifique se o arquivo de paginação é suficientemente grande para cobrir a realocação da memória inchada na camada virtual
As portas e os protocolos para comunicação com o DRA são fornecidos nesta seção.
As portas configuráveis são indicadas com um asterisco *
As portas que requerem um certificado são indicadas com dois asteriscos **
Protocolo e porta |
Direção |
Destino |
Uso |
---|---|---|---|
TCP 135 |
Bidirecional |
Servidores de administração do DRA |
Mapeador de endpoint, um requisito básico para comunicação com o DRA; habilita servidores de Administração a localizarem uns aos outros em MMS |
TCP 445 |
Bidirecional |
Servidores de administração do DRA |
Replicação de modelo de delegação; replicação de arquivo durante a sincronização de MMS (SMB) |
Faixa de portas TCP dinâmicas * |
Bidirecional |
Controladores de domínio do Microsoft Active Directory, clientes do DRA |
Por padrão, o DRA atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM) |
TCP 50000 * |
Bidirecional |
Servidores de administração do DRA |
Replicação de atributo e comunicação servidor DRA-ADAM. (LDAP) |
TCP 50001 * |
Bidirecional |
Servidores de administração do DRA |
Replicação de atributos SSL (ADAM) |
TCP/UDP 389 |
Saída |
Controladores de domínio do Microsoft Active Directory |
Gerenciamento de objetos do Active Directory (LDAP) |
Saída |
Microsoft Exchange Server |
Gerenciamento de caixa de correio (LDAP) |
|
TCP/UDP 53 |
Saída |
Controladores de domínio do Microsoft Active Directory |
Resolução de nome |
TCP/UDP 88 |
Saída |
Controladores de domínio do Microsoft Active Directory |
Permite autenticação do servidor do DRA para os controladores de domínio (Kerberos) |
TCP 80 |
Saída |
Microsoft Exchange Server |
Necessário para todos os servidores do Exchange locais de 2010 a 2013 (HTTP) |
Saída |
Microsoft Office 365 |
Acesso remoto ao PowerShell (HTTP) |
|
TCP 443 |
Saída |
Microsoft Office 365, Change Guardian |
Acesso à API (Application Programming Interface) e integração do Change Guardian (HTTPS) |
TCP 443, 5986, 5985 |
Saída |
Microsoft PowerShell |
Cmdlets nativos do PowerShell (HTTPS) e comunicação remota com o PowerShell |
TCP 8092 * ** |
Saída |
Servidor de workflow |
Status e acionamento de workflow (HTTPS) |
TCP 50101 * |
Entrada |
Cliente DRA |
Clique o botão direito do mouse no relatório de histórico de mudanças para o relatório de auditoria da interface do usuário. Pode ser configurado durante a instalação. |
TCP 8989 |
Host local |
Serviço de arquivo de registro |
Comunicação com o arquivo de registro (não precisa ser aberto por meio do firewall) |
TCP 50102 |
Bidirecional |
Serviço básico do DRA |
Serviço de arquivo de registro |
TCP 50103 |
Host local |
Serviço de cache do DRA |
Comunicação do serviço de cache no servidor do DRA (não precisa ser aberto por meio do firewall) |
TCP 1433 |
Saída |
Microsoft SQL Server |
Coleta de dados do gerador de relatórios |
UDP 1434 |
Saída |
Microsoft SQL Server |
O serviço de browser do SQL Server usa essa porta para identificar a porta para a instância nomeada. |
TCP 8443 |
Bidirecional |
Servidor do Change Guardian |
Histórico de mudanças unificado |
Protocolo e porta |
Direção |
Destino |
Uso |
---|---|---|---|
TCP 8755 * ** |
Entrada |
Servidor IIS, cmdlets do PowerShell do DRA |
Executar atividades de workflow baseadas em REST do DRA (ActivityBroker) |
TCP 11192 * ** |
Saída |
Serviço de host do DRA |
Para comunicação entre o serviço REST do DRA e o serviço de administração do DRA |
TCP 135 |
Saída |
Controladores de domínio do Microsoft Active Directory |
Descoberta automática usando o Ponto de Conexão do Serviço (SCP) |
TCP 443 |
Saída |
Controladores de domínio do Microsoft AD |
Descoberta automática usando o Ponto de Conexão do Serviço (SCP) |
Protocolo e porta |
Direção |
Destino |
Uso |
---|---|---|---|
TCP 8755 * ** |
Saída |
Serviço REST do DRA |
Para comunicação entre o console da Web do DRA, o PowerShell do DRA e o serviço de host do DRA |
TCP 443 |
Entrada |
Browser do cliente |
Abrindo um site na web do DRA |
TCP 443 ** |
Saída |
Servidor de Advanced Authentication |
Advanced Authentication |
Protocolo e porta |
Direção |
Destino |
Uso |
---|---|---|---|
TCP 135 |
Saída |
Controladores de domínio do Microsoft Active Directory |
Descoberta automática usando SCP |
Faixa de portas TCP dinâmicas * |
Saída |
Servidores de administração do DRA |
Atividades de workflow do adaptador do DRA. Por padrão, o DCOM atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM) |
TCP 50102 |
Saída |
Serviço básico do DRA |
Geração de relatórios do histórico de mudanças |
Protocolo e porta |
Direção |
Destino |
Uso |
---|---|---|---|
TCP 8755 |
Saída |
Servidores de administração do DRA |
Executar atividades de workflow baseadas em REST do DRA (ActivityBroker) |
Faixa de portas TCP dinâmicas * |
Saída |
Servidores de administração do DRA |
Atividades de workflow do adaptador do DRA. Por padrão, o DCOM atribui portas dinamicamente da faixa de portas TCP de 1024 a 65535. No entanto, você pode configurar essa faixa usando serviços de componente. Para obter mais informações, veja Usando COM distribuído com firewalls (DCOM) |
TCP 1433 |
Saída |
Microsoft SQL Server |
Armazenamento de dados de workflow |
TCP 8091 |
Entrada |
Console de operações e console de configuração |
API (Application Programming Interface) de BSL do workflow (TCP) |
TCP 8092 ** |
Entrada |
Servidores de administração do DRA |
API (Application Programming Interface) de BSL do workflow (HTTP) |
TCP 2219 |
Host local |
Provedor de Namespace |
Usado pelo Provedor de Namespace para executar adaptadores |
TCP 9900 |
Host local |
Correlation Engine |
Usado pelo Correlation Engine para comunicar-se com o Mecanismo de Workflow e o Provedor de Namespace |
TCP 10117 |
Host local |
Provedor de namespace do gerenciamento de recursos |
Usado pelo Provedor de namespace do gerenciamento de recursos |
Para obter as informações mais recentes sobre as plataformas de software suportadas, consulte a página do Directory and Resource Administrator no site na Web da NetIQ:
Sistema gerenciado |
Pré-requisitos |
---|---|
Active Directory |
|
Microsoft Exchange |
|
Microsoft Office 365 |
|
Skype for Business |
|
Histórico de mudanças |
|
Browsers da Web |
|
O DRA tem os seguintes requisitos de servidor para software e contas:
Componente |
Pré-requisitos |
---|---|
Destino de Instalação Sistema Operacional |
Sistema operacional do Servidor de Administração da NetIQ:
Interfaces do DRA do Windows:
|
Instalador |
|
Servidor de Administração |
Directory and Resource Administrator:
Administração do Microsoft Office 365/Exchange Online:
Para obter mais informações, veja Plataformas suportadas. |
Componentes legados da web |
Servidor Web:
Componentes do Microsoft IIS:
Interfaces do DRA do Windows:
|
Conta |
Descrição |
Permissões |
---|---|---|
Grupo AD LDS |
A conta do serviço DRA precisa ser adicionada a este grupo para acesso ao AD LDS |
|
Conta de serviço do DRA |
As permissões necessárias para executar o Serviço de Administração da NetIQ |
NOTA:Para obter mais informações sobre como configurar contas de acesso a domínio com privilégios mínimos, veja: Contas de acesso do DRA com privilégios mínimos. |
Administrador do DRA |
Conta do usuário ou grupo provisionado na função incorporada de administrador do DRA |
|
Contas de Admin Assistente do DRA |
Contas às quais serão delegados poderes via DRA |
|
Abaixo estão as permissões e privilégios necessários para as contas especificadas e os comandos de configuração que você precisa executar.
Conta de acesso a domínio: Atribua as permissões do Active Directory a seguir à conta de acesso a domínio:
Controle TOTAL sobre objetos de Usuário
Controle TOTAL sobre objetos de Computador
Controle TOTAL sobre objetos de Grupo
Controle TOTAL sobre objetos de Contato
Controle TOTAL sobre objetos de Unidade Organizacional
Controle TOTAL sobre objetos Inetorgperson
Controle TOTAL sobre objetos de Impressora
Controle TOTAL sobre objetos de Domínio Incorporado
Controle TOTAL sobre objetos de Container
Controle TOTAL sobre objetos MsExchSystemObjectContainer
Controle TOTAL sobre Grupos de Distribuição Dinâmica
Controle TOTAL sobre Pastas Públicas
Especifique os privilégios a seguir com um escopo de “Este objeto e todos os objetos filhos” para a conta de serviço do domínio:
Permitir a criação de objetos de computador
Permitir o apagamento de objetos de computador
Permitir a criação de objetos de contato
Permitir o apagamento de objetos de contato
Permitir a criação de Objetos de Grupo
Permitir o apagamento de Objetos de Grupo
Permitir o apagamento de objetos InetOrgPerson
Permitir a criação de objetos de Unidade Organizacional
Permitir o apagamento de objetos de Unidade Organizacional
Permitir a criação de Objetos do Usuário
Permitir o apagamento de Objetos do Usuário
Permitir a criação de Grupos de Distribuição Dinâmica
Permitir o apagamento de Grupos de Distribuição Dinâmica
Permitir a criação de Ponto de Conexão do Serviço
Permitir o apagamento de Ponto de Conexão do Serviço
Permitir a criação de Container
Permitir o apagamento de Container
Permitir a criação de Pastas Públicas
Permitir o apagamento de Pastas Públicas
Conta de Acesso do Locatário ao Office 365: Atribua as permissões do Active Directory a seguir à conta de acesso ao locatário do Office 365:
Administrador de Gerenciamento de Usuários no Office 365
Gerenciamento de Destinatários no Exchange Online
Conta de Acesso ao Exchange: Atribua a função Gerenciamento Organizacional à conta de acesso ao Exchange para gerenciar o Exchange 2010.
Conta de Acesso ao Skype: Verifique se essa conta é um usuário habilitado para o Skype e que é um membro de pelo menos uma das seguintes opções:
Função CSAdministrator
Ambas as funções CSUserAdministrator e CSArchiving
Conta de Acesso à Pasta Pública: Atribua as permissões do Active Directory a seguir à conta de acesso à pasta pública:
Gerenciamento de Pasta Pública
Pastas Públicas Habilitadas para E-mail
Publicar instalação do DRA:
Execute o comando a seguir para delegar a permissão para o “Container de Objetos Apagados” da pasta Instalação do DRA (observação: o comando precisa ser executado por um administrador do domínio):
DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Nome da Conta>
Execute o comando a seguir para delegar permissão para a “NetIQReceyleBin OU” da pasta Instalação do DRA (observação: isso só pode ser feito após adicionar os respectivos domínios a serem gerenciados pelo DRA):
DraRecycleBinUtil.exe /domain:<NomeDeDomínioNetbios> /delegate:<NomeDaConta>
Adicione a conta de anulação com o mínimo de privilégios ao grupo “Administradores Locais” em cada computador em que o DRA gerenciará recursos como Impressoras, Serviços, Registro de Eventos, Dispositivos etc.
Conceda à conta de anulação com o mínimo de privilégios “Permissão Total” para pastas compartilhadas ou pastas DFS em que Diretórios pessoais são provisionados.
Adicione a conta de anulação com o mínimo de privilégios à função “Gerenciamento Organizacional” para gerenciar objetos do Exchange.
Os requisitos para o console da Web e as extensões REST incluem os seguintes:
Componente |
Pré-requisitos |
---|---|
Destino de Instalação |
Sistema Operacional:
|
Serviço de host do DRA |
|
Serviço e endpoint REST do DRA |
|
Extensões do PowerShell |
|
Console da Web do DRA |
Servidor Web:
Componentes do Microsoft IIS:
|
Os requisitos para o gerador de relatórios do DRA incluem os seguintes:
Componente |
Pré-requisitos |
---|---|
Destino de Instalação |
Sistema Operacional:
|
NetIQ Reporting Center (v3.2) |
Banco de dados:
Servidor Web:
Microsoft .NET Framework 3.5: Cada servidor de administração do DRA que se conecta ao Gerador de Relatórios do DRA também precisa do .NET Framework 3.5. NOTA:Ao instalar o NetIQ Reporting Center (NRC) em um computador com SQL Server, o .NET Framework 3.5 pode exigir uma instalação manual antes de instalar o NRC. |
Gerador de relatórios do DRA |
Banco de dados:
|
Sua licença determina os produtos e recursos que você pode usar. O DRA requer que uma chave de licença esteja instalada com o Servidor de Administração.
Após instalar o servidor de administração, você poderá usar o Utilitário de Verificação de Saúde para instalar uma chave de licença de avaliação (License1.lic) que permite gerenciar um número ilimitado de contas de usuário e caixas de correio por 30 dias.
Consulte o Contrato de Licença por Usuário Final (EULA) para obter informações adicionais sobre definição e restrições de licenças.