Technisches Weißbuch
Begriffe
Administratormodul (auch Hauptprogramm, Servermodul) — eine GUI-Anwendung, die vom Netzwerkadministrator betrieben wird, der das Netzwerk überwacht, und auf der Workstation oder auf dem Server installiert ist und ermöglicht, eine entfernte Überwachung der Netzwerkrechner und anderen Geräten durchzuführen, Berichte zu erstellen und die gesammelten Angaben darzustellen.
Agent — eine separate ausführbare Win32-Anwendung, die zum Scannen eines lokalen Rechners (beim manuellen Ausführen) oder zum Scannen eines entfernten Rechners (beim Ausführen durch das entfernte Administratormodul oder durch das Domainlogonscript).
Helper service — eine separate ausführbare Win32-Anwendung, die die Windowsdienste darstellt und dem Administratormodul hilft, den Agenten auf dem entfernten Rechner zu starten.
TNI — eine Abkürzung für "Total Network Inventory", der Name und das Markenzeichen von der beschriebenen Anwendung.
1. Minimale Systemanforderungen für das Administratormodul
CPU: 1000 MHz.
Hauptspeicher: 512 Mb.
Festplattenvolumen: 30 Mb für die Installation und 1-2 Mb für jeden zu scannenden Rechner.
Netzwerk: TCP/IP.
Betriebssystem: Windows 2000 / Windows 2000 Server.
2. Systemanforderungen für zu scannende Rechner
Diese Software unterstützt zwei Verbindungsmethoden an entfernte Rechner. Anforderungen und Spezifikation für sie sind verschieden.
| Agentmethode | Methode ohne Agenten | |
| CPU | 500 MHz | 500 MHz |
| Speicher | 64 Mb | 64 Mb |
| Festplattenvolumen | 2 Mb | 1 Mb |
| TCP-Port | 139, 445 | 135, beliege über 1024 |
| Dienste | Server, Windows Management Instrumentation, Remote Procedure Call, Remote Registry | Windows Management Instrumentation, Remote Procedure Call |
| Ressourcen | ipc$, admin$ | TCP-Port 135 und über 1024 |
| Protokolle | SMB / NetBIOS / TCP/IP | RPC/ TCP/IP |
| Betriebssystem | Windows NT4 / 2000 / XP Pro / Vista / 2000 Server / 2003 Server / 2008 Server | Windows 95 / 98 / NT4 / 2000 / XP Pro / Vista / 2000 Server / 2003 Server / 2008 Server |
3. Technologiebeschreibung
Bei jeder Verbindungsmethode benutzt TNI Windows Management Instrumentation — Implementierung von Microsoft für Web-Based Enterprise Management für Betriebssysteme Microsoft Windows. WBEM ist ein Standard, der durch Distributed Management Task Force (DMTF) beschrieben ist, er stellt einen Satz von Systemverwaltungstechnologien dar, die für Vereinheitlichung der Verwaltung von verteilten Systemumgebungen entwickelt wurde. Mit dieser Technologie erfass TNI Informationen über Hardware, Software und Registry von zu überwachten Rechnern. Zwei Verbindungsmethoden sind frei austauschbar, und das Programm probiert beide standardmäßig aus, wenn eine versagen sollte.
3.1. Agentmethode
Bei der Benutzung dieser Verbindungsmethode lädt TNI zwei ausführbare Dateien: Agent (tniaudit.exe) und Helper Service (tniservice.exe) in die Administratorfreigabe „admin$“ auf den entfernten Rechner, sie zeigt ihrerseits auf das Windowsvezeichnis. Dann verbindet sich TNI mit dem Service Control Manger vom jeweiligen Rechner, installiert den Helper Service und startet ihn. Dieser Dienst startet seinerseits den Agenten. Der Agent scannt den Rechner durch, sammelt die Informationen über den Rechner und speichert sie in eine XML-Datei, die im Weiteren auch komprimiert werden kann, um den Traffic zu minimieren. Dann beenden beides Agent und Dienst ihre Arbeit. Das Hauptmodul entdeckt dieses Ereignis, verschiebt die XML-Datei in eigene Datenbank, deinstalliert den Dienst und entfernt die ausführbaren Dateien, wenn es durch die Programmeinstellungen erlaubt ist.
3.2. Methode ohne Agenten
Mit dieser Methode verbindet sich TNI direkt an den WMI-Dienst über das PRC-Protokoll. Alle Informationen werden entfernt gesammelt, es werden keine Dateien auf entfernte Rechner hochgeladen.
3.3. Manuelle Methode
Der Agent "tniaudit.exe" kann per Hand auf dem separaten Rechner gestartet werden. Er generiert eine XML-Datei, die dann in das Datenbankverzeichnis vom Programm abgelegt werden muss und dann durch den Befehl "Extras – Datenspeicherverzeichnis aktualisieren" im Hauptmenü an die Datenbank hinzugefügt werden kann. Dieser Agent kann auch durch das Domainlogonscript gestartet werden. Der Kommandozeile-Schalter "/scripted" kann auf das Scannen im Hintergrund umschalten.
4. Scannenaufwand
Alle Scannenmethoden benötigen Prozessorzeit, es besteht eine Leistungssenkung, wenn der Rechner gescannt wird, das nimmt aber gewöhnlich nur noch 1-2 Minuten in Anspruch.
On-line Scannen (oder nach Anfrage) benötigt auch etwas an Netzwerkleistung. Hier sind einige Beispielbilder für das Scannen von einem durchschnittlichen XP-Rechner. Upload bedeutet die auf einen gescannten Rechner aufgeladenen Informationen und Download – Informationen, die von einem gescannten Rechner heruntergeladen wurden. Bilder zeigen auch den Netzwerkverbrauch je nach Protokoll:
Agent mit Komprimierung: Upload 0.9 MB, Download 0.21 MB.
Agent ohne Komprimierung: Upload 0.9 MB, Download 1.67 MB.
Anmerkung: beide Dateien nehmen zusammen bei dem Hochladen weniger als 0.5 MB. Man kann sie auch auf dem Zielrechner lassen (optional) und mehrmals bei weiteren Scannenvorgängen benutzen, das vermindert die Netzwerkbelastung um etwa 100 KB.
Volle Inventur ohne Agenten: Upload 140.44 MB, Download 10.97 MB.
Ohne Agenten und installierte Programme: Upload 1.96 MB, Download 6.41 MB.
Anmerkung: eine Inventur von installierten Programmen wird durch eine entfernte Abfrage vom Systemregistry über WMI getan. Das produziert aus unbekannten Gründen regen Netzwerkverkehr, je mehr Programme auf dem Rechner installiert sind, desto größer ist der Traffic. Der Beispielrechner hatte über 300 Programmeinheiten in dem Deinstallieren-Abschnitt vom Registry. Eine Analyse der konkurrierenden Produkte zeigte auf, dass es ein gemeinsames Problem ist.
5. Mögliche Gefahren
Aus mehreren Tausenden von Benutzern und Testern gab es nur zwei oder drei Berichte, dass die Rechner unter Windows XP (wahrscheinlich mit SP2) wurden neu gestartet, wenn die Methode ohne Agenten angewandt wurde (die Agentmethode funktionierte immer einwandfrei). Nur einer dieser Fälle konnte weiter untersucht werden, es stellte sich heraus, dass eine einfache WMI-Anfrage durchs VB-Script einen Neustart verursachen kann, es geht hier offenbar um eine seltene Anfälligkeit des RPC-Protokolls.
Page last modified 19:35, 13 Apr 2009 by Admin_De