Depot Server , DMZ und Ports

Antworten
Liedtke
Beiträge: 22
Registriert: 16. Mär 2016, 15:42
Kontaktdaten:

Depot Server , DMZ und Ports

Beitrag von Liedtke » 16. Mär 2016, 16:39

Guten Tag alle beisammen,

vorweg hoffe ich, dass die Katgorie "Verschiedenes" halbwegs passt, da keine die Kommunikation Hauptserver <-> Depotserver diekt anspricht.

Aber zum Problem:
Bisher haben wir nur innerhalb der Umgebung einen Matrix-Server eingesetzt und das läuft mittlerweile auch recht rund.
Nur möchten wir Kollegen, die viel geschäftlich unterwegs sind bei ebstehender Internet-Verbindung auch extern mit Patches und Updates versorgen.

Ich habe mich schon durch das Dokuemtationsmaterial gewühlt aber viele Fragen wurden nicht beantwortet, weshalb ich mich nun an euch wende.

1) Ports: Hauptserver <-> Depotserver
Welche Ports benötigt die Kommunikation Hauptserver <-> Depotserver?
Verteilen soll der Depotserver nur Patches und Software-Updates / Packages.
Ich habe lediglich eine Portübersicht ohne verzeichneten Depotserver gefunden:
http://helpfiles.matrix42-web.de/2015_D ... anchor2098
http://helpfiles.matrix42-web.de/2015_D ... anchor2099

2) Ports: Client (extern) <-> Depotserver
Das Ziel ist es, dass Softwareupdates und Patches nach außerhalb des Netzwerkes verteilt werden.
Darum steht ein Depotserver in der DMZ, von außen erreichbar.
Welche Protokolle benötigen die Clients zur Abfrage von Patches und Downloads von extern?
Läuft alles über HTTP/HTTPS/RSYNC oder werden parallel weitere benötigt?
Im Auszug oben aus der Doku ist die Softwareverteilung nach extern gelistet, Patches werden nicht erwähnt.

Hinweis
Eingesetzt wird Matrix42 Physical v16.
Depot und Hauptserver sind am selben Ort, Replizierung per SMB angestrebt.
Bei Rückfragen stelle ich die Informationen gern zur Verfügung.

Falls in dem Zusammenhang jemand Licht ins Dunkel bringen kann wäre ich sehr erfreut.
Alternativ genügt auch eine Dokumentation die die oben angesprochenen Themen näher behandelt.

MfG
Liedtke
Eingesetzte Version: Matrix42 Physical v16.x

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7409
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Re: Depot Server , DMZ und Ports

Beitrag von Hendrik_Ambrosius » 18. Mär 2016, 15:44

Zwischen Depot und Hauptserver werden nur die Ports für den Sync gebraucht, also SMB bzw. RSync.
ggf. TCP 5001 für die IPerf Bandbreitenmessung.

Der Client braucht nur http(s).
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Liedtke
Beiträge: 22
Registriert: 16. Mär 2016, 15:42
Kontaktdaten:

Re: Depot Server , DMZ und Ports

Beitrag von Liedtke » 22. Mär 2016, 11:12

Vielen Dank für die Rückmeldung.

Wenn ein Server durch Matrix42 gemanaged werden soll (Patches, Möglichkeit Agent neu zu verteilen) benötigt man auch noch die Client Response, NetBIOS over TCP, RPC Port Mapper und den SwDepot Push + ggf. SNMP für Inventarisierung, korrekt?
Im Test funktioniert nun so zumindest alles, aber das sind für meinen Geschmack langsam ein paar viele Ports :/

Bisher suche ich noch, wo ich einem Agent am Client vermitteln kann an welche Stelle er sich vom WAN aus melden soll.
Gefunden habe ich nur den "Ausfall-Server", der aber dann den FQDN des Depot-Servers in der Agenten XML einträgt.
Der Eintrag "DistributionServers" scheint laut Doku auch nur Einträge ind er Form von \\Server1, ... anzunehmen.

Die kann ein Client außerhalb des Netzwerks aber nun mal nicht auflösen.
Eine Option, wo ich die WAN-IP für den Depot-Server als Ausfall hinterlegen kann habe ich (bisher) nicht finden können.

Online-Recherche war auch nicht ergiebig.
Entweder man findet es gar nicht oder es ist so einfach (oder ich so blind), dass das Problem niemand hat :/

MfG
Liedtke
Eingesetzte Version: Matrix42 Physical v16.x

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7409
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Re: Depot Server , DMZ und Ports

Beitrag von Hendrik_Ambrosius » 05. Apr 2016, 18:26

Auch ein Server verhält sich im Prinzip wie ein normaler Client wenn er Software bezieht.
Daher braucht er generell keine weiteren Ports.
Wenn man natürlich einen Device Discovery Service dort betreiben will muss aus SNMP freigeschaltet sein.
Agent-Verteilung ist im Tagesgeschäft nach dem Initial-Rollout ja nicht mehr notwendig und würde auch nur vom Hauptserver aus laufen.

Sie können die WAN-IP des Depotservers einfach in die EmpirumServer-Systemvariable des Clients eintragen.
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Liedtke
Beiträge: 22
Registriert: 16. Mär 2016, 15:42
Kontaktdaten:

Re: Depot Server , DMZ und Ports

Beitrag von Liedtke » 07. Apr 2016, 10:11

Mit der Systemvariable hat es leider nicht stabil funktioniert.
Mal war diese vorhanden und gefüllt, zu einderen Zeitpunkten und Tests über eine WAN-Leitung dann nicht mehr.
Eine Regelmäßigkeit lies sich nicht feststellen.

Anbei für andere mit einem vergleichbaren Problem die Antwort des Matrix Supports:
legen Sie in der EMC ein Dummy Computerobjekt an, dass den Namen des DMZ Servers trägt, mit dem er von außen erreichbar ist.
Geben Sie diesem Computerobjekt das Attribut "Depot Server".
Dann steht dieser Server zur Auswahl bei den "Zugewiesenen Empirum Servern" und in der Agentenkonfiguration zur Auswhl zur Verfügung.
Beachten sie aber, dass der Agent nicht in der lage ist dynamisch das Protokoll HTTPS <-> SMB zu wechseln.
Wenn Sie sicherstellen möchten, dass auch der Master Empirum Server für die Clients erreichbar ist, denen das Template zugewiesen ist, die den Depot Server via HTTPS Protokoll erreichen sollen, wäre auch auf dem empirum Server das "Subdepot Webservices Paket zu installieren, dass auch dort der IIS zur Verfügung steht.
Bezüglich der Ports werde ich die weiteren Freigaben zwischen Subdepot und Hauptserver während der Testphase Stück für Stück abschalten und mal sehen in wieweit dies die Verwaltbarkeit einschränkt.
Anders komme ich da wahrscheinlich nicht auf einen grünen Zweig, aber dennoch danke für den Hinweis mit dem Discovery, das hätte ich vermutlich übersehen und mich später gewundert ;)
Eingesetzte Version: Matrix42 Physical v16.x

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7409
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Re: Depot Server , DMZ und Ports

Beitrag von Hendrik_Ambrosius » 08. Apr 2016, 11:43

Wobei das mit dem automatisch zwischen http und smb umschalten offiziell so eine korrekte Aussage ist, in der Praxis aber geht.
Dazu muss man in der XML der Agent-Definition manuell beide Protokolle (SMB und HTTP) auf "Protocol isactive="true"" setzen.
Dann findet eine automatische Umschaltung statt.
Es soll aber noch Probleme mit dem Patch Management geben.
Ist ja auch keine offizielle Funktion...
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Liedtke
Beiträge: 22
Registriert: 16. Mär 2016, 15:42
Kontaktdaten:

Re: Depot Server , DMZ und Ports

Beitrag von Liedtke » 18. Apr 2016, 11:56

Bei uns klappt jetzt (fast) alles soweit.

Die Clients verbinden sich korrekt von extern mit dem Server in der DMZ und intern mit dem Hauptserver im LAN.

Einziges Problem: Der Agent Push mit einem funktionstüchtigen Agenten klappt nun nicht mehr.
Da das aber vom ursprünglichen Thema wegführt habe ich hier (Link entfernt) ein neues Thema eröffnet.
Update: Es gab einen Konfigurationsfehler, ist bereits behoben, Thema habe ich wieder entfernt (0 Antworten).

Ich möchte mich an dieser Stelle auch noch einmal abschließend für die Hilfestellung bedanken :)

MfG
Liedtke
Eingesetzte Version: Matrix42 Physical v16.x

Antworten

Zurück zu „Verschiedenes“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast