dot4 Discovery: So bereiten Sie Ihr Netzwerk optimal vor

In den Blog-Beiträgen zu „Discovery von Netzwerkgeräten“ sind wir schon ausführlich auf die technischen Grundlagen für das Discovery eingegangen. Sie konnten dort erfahren, wie die Informationen von Netzwerkgeräten abgelegt sind. In diesem Blog-Beitrag möchte ich Ihnen zeigen, wie für ein Discovery mit dot4 der SNMP-Zugriff auf Rechner in einer Domäne aktiviert werden kann.

Wenn Sie Informationen von Rechnern auslesen möchten, sollte der SNMP-Zugriff auf jedem Rechner aktiviert sein. Die Vorteile liegen auf der Hand: Durch eine zentrale Konfiguration sind keine manuellen Konfigurationen an jedem Rechner notwendig, da sämtliche Konfigurationsänderungen mit Hilfe des Domänen-Kontrollers vorgenommen und an alle Rechner übertragen werden. Zusätzlich wird die Sicherheit erhöht, da zentral festgelegt werden kann, von welchem Rechner aus SNMP-Abfragen möglich sind.

Konfigurationen und Sicherheitseinstellungen können Sie über die globalen Gruppenrichtlinien am Domänen-Kontroller vornehmen, welche über die Management-Konsole erreichbar sind. Wie Sie dazu vorgehen und was es dabei zu beachten gilt, zeige ich Ihnen im Folgenden.

Um die Management-Konsole zu öffnen, geben Sie am Domänen-Kontroller Ihres Netzwerks bei Windows-Ausführen mmc ein.

In der Management-Konsole fügen Sie dann das Snap-In Gruppenrichtlinienobjekt-Editor hinzu.

 

Wählen Sie den Gruppenrichtlinienobjekt-Editor aus.

 

Damit alle Domänenmitglieder die Veränderungen übertragen bekommen, wählen Sie als Gruppenrichtlinienobjekt die Default Domain Policy aus. Hinweis: In diesem Beispiel arbeite ich mit der Default Domain Policy. In einer produktiven Umgebung empfehle ich Ihnen, mit einer eigenen Policy zu arbeiten, um bei Problemen wieder auf die Default Domain Policy zurückgreifen zu können.

 

Danach sollten Sie diese Ansicht erhalten.

Diese Ansicht können Sie jetzt über Datei -> Speichern unter… auf dem Desktop ablegen.

Nun beginnen Sie mit der globalen SNMP-Einrichtung. Unter dem Bereich Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> SNMP können Sie unter der Richtlinie Communities eine Community angelegen und aktivieren.

 

Hier aktiveren Sie die vorhandenen Communities oder fügen eine neue Community hinzu.

 

In der Richtlinie Zugelassene Manager können Sie jetzt den Rechner eintragen, auf dem das Discovery läuft, sodass nur von diesem Rechner aus SNMP-Abfragen möglich sind. Hinweis: Der Einsatz einer Wildcard (*) ist auch möglich. Dies empfehle ich Ihnen aber nicht, da sonst ein Zugriff von allen Rechnern aus möglich wäre.

Damit Sie Informationen erhalten, muss der SNMP-Dienst auf jedem Rechner gestartet und installiert sein. Den automatischen Start des SNMP-Dienstes auf jedem Rechner können Sie ebenfalls konfigurieren. Dazu stellen Sie den SNMP-Dienst unter Computerkonfiguration -> Windows-Einstellungen -> Systemdienste auf Automatisch ein.

Hinweis: Die Sicherheitseinstellungen müssen Sie nicht anpassen, da die Standard-Konfiguration einen Lesezugriff erlaubt. Sie können entsprechend dazu auch den SNMP-Trap-Dienst konfigurieren. Sollte kein SNMP-Dienst auf dem Rechner installiert sein, haben diese Einstellungen keine Auswirkung.

Wenn Sie die Windows Firewall auf Ihren Rechnern aktiviert haben, müssen Sie für den Zugriff per SNMP noch die Portausnahmen festlegen. Dies können sie auch global über die Gruppenrichtlinien erledigen. Dazu gehen Sie zu Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall -> Domänenprofil.

 

Hier legen Sie die benötigten Portausnahmen für die SNMP-Ports 161 und 162 fest. Der * bei Hinzuzufügendes Objekt sollte durch den Rechner, auf dem das Discovery läuft, ersetzt werden.

 

Zusätzlich kann die Windows-Firewall auch Pings abblocken. Ist dies der Fall, kann das Discovery auch keine SNMP-Abfragen starten. Also müssen Sie Pings ebenfalls global erlauben. Dies erledigen Sie, indem Sie über Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall -> Domänenprofil -> ICMP-Ausnahmen zulassen die Echoanforderungen zulassen.

 

Fazit:

Sie sehen, es gibt einiges zu beachten und zu tun, um Rechner für das Discovery mit SNMP vorzubereiten. Aber es lohnt sich, die Zeit zu investieren: Sie ersparen sich nicht nur die manuelle Konfiguration jedes einzelnen Rechners, da jetzt alle Konfigurationsänderungen über den Domänenkontroller vorgenommen werden, sondern haben auch die Sicherheit, dass der Zugriff nur von dem Discovery-Rechner aus erfolgen kann.

 

Autor: Patrik Heim, Product Manager

Kontakt: Patrik.Heim@dot4.de

 

Netzwerktopologien auf Knopfdruck: Alles über den Information Hub dot4

Schreibe einen Kommentar

Your email address will not be published. Required fields are marked *