国泰君安LANDesk 方案说明.docx

1、国泰君安LANDesk 方案说明国泰君安LANDesk服务器补丁管理系统设计方案20141服务器补丁管理系统简介LANDesk服务器管理关心的内容包括对硬件24*7的监控和报警，操作系统健康，安全和系统资源可用性的监控，操作系统的应用状态和事件，以及远程对服务器进行的配置操作。 一般来说，传统的服务器管理是割裂的：主板和服务器厂商更加着重于硬件层面的管理，系统软件厂商注重于操作系统和底层服务的管理，应用软件厂商更注重应用自身的管理。而LANDesk提出了一揽子管理方案，秉承对I/A硬件架构十几年的研究和最新操作系统/网络平台的深入掌握，LANDesk服务器管理器提供从底层硬件健康监控，操作系统

2、资源和性能监控/安全管理到应用软件安装/卸载跟踪的全部功能。 LANDesk服务器管理器支持企业级服务器、普通服务器以及“刀片”式服务器，能在实现低影响的管理服务的同时允许您选择管理所覆盖的层次，从简单的信息收集到扩展的性能分析、安全及配置控制,并通过B/S架构实现灵活的，无需安装控制台的轻量级管理。LANDesk服务器管理器还拥有完整的配置管理方案，能够远程实现服务器电源操作，远程控制和软件分发等功能。LANDesk作为桌面管理软件的行业先驱，其产品严格主导并遵循业界的规范，包括DMI,WMI,SMBIOS,CIM,WBEM,WOL,AOL,ASF, IPMI等标准。因为其业界主导地位，20

3、04年，Intel选择LANDesk作为其服务器硬件产品的OEM软件提供商。国内的方正也在同期在其服务器中捆绑LANDesk的管理软件。LANDesk服务器管理器以其功能的完备性和界面的易用性获得越来越多用户的肯定，为更多的企业带来成本的节约和效能的增加。 LANDesk服务器管理器解决方案可以为我们提供各种管理器的相关工具，以满足我们平时对服务器的管理需求，比如对服务器进行即时评估、健康性分析以及维持现有服务器始终运行在高性能的水平状态等。 使用代斯克服务器管理，可以帮管理员节省大量的时间，软件会自动帮您建立维护服务器所需的自动化管理模式，即时产生投资回报，保护用户投资，提高用户服务管理的整

4、体水平，并使所管辖的服务器保持高度的性能水平。LANDesk服务器管理器解决方案可使我们：服务器的补丁管理服务器自身安全性分析和性能监测服务器可能发生的预测性故障分析服务器远程问题解决方案服务器软件许可监控服务器软件和操作系统部署服务器的补丁管理 LANDesk补丁管理系统为用户的企业客户端带来最基础的安全保障，LANDesk提供了修补领域的过人之处决定了这一切最全面的,包含第三方的补丁程序包；用户可以在任意时间对任意部门的服务器进行指定的补丁修补；修补过程可以不需要重启，可以不弹出要求重启并倒数的对话框，可以不要求用户参与；此外，若打错了某一个安全应用补丁，LANDesk能够找出并卸载服务器

5、自身安全性分析和性能监测LANDesk服务器提供个性化的仪表视图，让我们可以即时的通过图片或颜色，简单轻松的了解各所管辖服务器的安全以及健康状态。另外，通过各种基于各种基于服务器管理的技术标准，比如IPMI、DRAC、BMC等，我们能轻易的进行基于各种服务器属性的预警分析，修复问题，在这些隐患成为大的系统故障前，提前将他们浇灭在萌芽阶段，以确保最大的服务器可用性。并且在结合了主动式漏洞扫描，补丁修复和程序分发工具的LANDesk服务器管理器，又能让我们为每一个服务器，无论操作系统或硬件配置，进行整体的安全性评估，保持服务器最新的安全更新状态。 服务器可能发生的预测性故障分析LANDesk服务器

6、管理器使管理员积累更多的管理维护经验，让管理变得更有效率，LANDesk服务器管理器会提供，对各种服务器历史的或是实时的数据查询，集中式的服务器日志管理和报警管理系统，并把他们相结合，形成一个完整的服务器管理查询分析平台，可以帮助你预防问题，并保服务器正常健康的运行。 服务器远程问题解决方案LANDesk服务器管理器具有先进的远程桌面解决问题的功能，让你处理和修复各种需要到本地才能处理的问题，再加上各种远程控制的使用报告，以查明每台服务器的管理趋势和针对特定部件故障引发的系统故障。服务器软件许可监控LANDesk服务器管理器的软件许可监测功能，可以帮助我们判断每个服务器所装的各种软件的运行情况

7、，以及软件购买产生的许可协议问题，避免造成由于非法授权软件的安装导致的法律问题。服务器软件和操作系统部署LANDesk服务器管理器，使您用最小的网络可用带宽实现迅速的服务器系统的恢复，我们利用PXE代理实现了目前最新的32位Windows PE恢复技术。通过Provisioning，把操作系统、应用程序、服务器基本配置等恢复阶段进行分块分段式处理，每个服务器可配置不同的恢复进程模式，在基本的系统恢复完之后，紧接着调用特定程序进行部署，或是特殊的服务器应用来做配置。2产品架构和通讯机制2.1 服务器部署设计因为国泰君安网络安全架构，我们设计了2台服务器进行管理，一台位于业务支撑区，作为补丁云更新

8、服务器，代号为“A”，另一台位于运维管理区代号为“B”，其他区域的服务器我们称为“C2.1.1云更新服务器A 端口开放功能描述协议端口起始方向到达标准补丁下载TCP80A-Internet原厂补丁源下载TCP443A-InternetRemote Console LoginTCP139,445B-A服务器同步TCP80B-A服务器同步认证TCP443B-A数据库同步TCP1433B-A2.1.2云更新服务器 B 端口开放功能描述协议端口起始方向到达补丁扫描TCP80C-BHTTPS 管理页TCP443C-BRemote Console LoginTCP139/445C-B资产扫描TCP5007

9、C-B远程桌面TCP9535C-B软件分发TCP9593，9594C-B服务器状态发现UDP/TCP9595CB多址广播UDP/TCP33354C-B2.2管理角色划分基于角色的管理是 LANDesk管理软件中一个强大的功能。管理员（具有 LANDesk 管理员权限的用户）通过单击“工具”菜单或工具栏中的用户即可访问基于角色的管理工具。通过基于角色的管理，可将用户添加到 Management Suite 系统中，然后根据这些用户的权限和范围给他们分配特殊的管理角色。权限决定用户可以看到和利用的 Management Suite 工具和功能范围决定用户可以看到和管理的设备范围您可以根据用户的职责

10、、您希望他们能执行的管理任务以及想让他们看到、访问和管理的设备来为他们创建角色。您可以将用户能访问的设备限定在某个地理位置，例如国家、地区、州（省）、城市甚至一个办公室或部门。也可以将访问限定为特定的客户端平台、处理器类型或某些其他设备硬件或软件属性。通过使用基于角色的管理，您可以全权掌握要创建多少个不同的角色，哪些用户可以充当这些角色，他们的设备访问范围应该有多大或多小。例如，您可以指定一个或多个用户充当软件分发管理员，指定另一个用户负责远程控制操作，再指定一个用户负责运行报告，等等。 要贯彻实施基于角色的管理，只需将当前的 NT 用户指定为 Management Suite用户，或创建新的

11、 NT 用户并将其添加为 Management Suite 用户，然后给他们分配必要的权限（以利用 Management Suite 功能）和范围即可。下表列出了一些您可能要实施的服务器管理器管理角色、用户要执行的常见任务，以及用户要有效行使该角色的职责所需的权限。角色 任务 所需的权限 管理员 配置核心服务器，管理用户，配置警报等功能 LANDesk 管理员（意味着拥有所有权限） 资产管理员 搜寻设备、配置客户端、运行清单扫描器、创建和分发自定义数据表单、启用清单历史记录跟踪等。 “设备搜寻” 和“公共查询管理” 补丁及安全管理员安全漏洞更新、补丁的下载及分发、使用定向多播和对等下载、启用应

12、用程序策略管理等 补丁管理 报告管理员 运行预定义的报告、创建自定义报告、打印报告、导入和导出报告、测试用户报告等 报告（所有报告都必需）以上只是角色示例。基于角色的管理非常灵活，因此，您可以根据自己的需要创建任意多个自定义角色。您可以给不同的用户分配一些相同的权限，但将他们的访问权限限制为范围较窄的一组设备。甚至可以用范围来限制管理员，使他们实质上只是某地理区域或某类受管设备的管理员。如何利用基于角色的管理取决于您的网络、人力资源以及您的具体需要。3产品功能描述3.1系统监控LANDesk服务器管理器可以对硬件进行严密的监控，可以捕获包括SMART硬盘，CPU,内存等硬件发出的失败预警。为了

13、保证对硬件24*7的监控，LANDesk提供包括对“智能平台管理界面 (IPMI)” 1.5 和 2.0 版本的支持。IPMI 是由 Intel、HP、NEC和 Dell开发的一种规范，用来为可管理的硬件定义消息和系统界面。IPMI 包含监视和恢复功能，可以利用IPMI机制在服务器关机状态下对主板电压/风扇转速/机箱温度/入侵检测等属性进行监测，并可以实现远程电源操作。IPMI 监控基于 BMC（Baseboard Management Controller，基板管理控制器）。BMC 依靠备用电源运作，并自动轮询系统健康状态。如果 BMC 检测到任何元件超出范围，可以对 IPMI 可采取的相应

14、措施进行配置，例如登录事件、生成警报或执行自动恢复操作。LANDesk服务器管理器设备监控还可以实现对系统性能，配置更改和系统连接性的监控。性能监控通过对系统设置性能计数器实现，LANDesk服务器管理器的性能监视器中可以设置对众多的监视计数器进行设置。配置更改主要指对系统硬/软件信息的更改进行监控。系统连接性监控主要指对客户端在线与否进行监控。通过以上的功能，LANDesk可以实现对客户端服务器从底层硬件到应用环境细粒度的监控。3.2报警可以针对服务器的多项硬件，软件和资源计数器进行警报设置，包括硬件的失败预警，机箱入侵检测，温度，风扇，电压参数异常，配置变更警报（添加/删除了应用程序或硬件

15、变化），系统资源，服务，进程变化警报，远程控制警报等等。服务器管理器的配置变更警报包括如下事件：安装或卸载应用程序 添加或删除内存 添加或删除硬盘驱动器 添加或删除处理器 报警传递的方式有以下几种：将信息添加到日志。 通过电子邮件发送通知。 在核心服务器或个人服务器上运行程序。 将 SNMP 陷阱发送到网络上的 SNMP 管理控制台。所有的报警都是实时的并且可以设置警报类型。警报类型包括未知 无法确定警报状态，或未在服务器上安装监控代理。 信息 可用来支持配置更改、BSA 事件或制造商在各自的计算机系统中附带的计算机事件。 良好 当问题已经解决且返回到可接受的级别时，向您发出通知。 警告 在问

16、题变得严重之前给予一些预先警告。 严重 可能需要您即时注意。不同级别的警报在控制台上显示的图标不同，借以直观反映警报的严重程度。3.3IPMI标准化支持LANDesk的标准报警能支持的种类包含400多种，以下为采集的部分报警事件：ECC 错误校验EISA 故障恢复超时 （IPMI）vFRB3/处理器启动/初始化故障 （IPMI）FRU 停用中 （IPMI）I/O 通道检查 NMI （IPMI）LAN 检测信号丢失 （IPMI）LAN 检测信号事件 （IPMI）LAN 失控 (IPMI)安全模式（前面板锁定）违规尝试 （IPMI）版本变更 - 软件 （IPMI）版本变更 - 软件不兼容 （IPM

17、I）版本变更 - 无效的硬件 （IPMI）版本变更 - 硬件不兼容 （IPMI）部署任务开始部署作业结束操作系统 / 运行时软件启动冷启动 （IPMI）操作系统 / 运行时软件启动热启动 （IPMI）操作系统超时 （刀片服务器）操作系统加载程序超时 （刀片服务器）操作系统监视程序预超时中断 （IPMI）操作系统监视器断电 （IPMI）操作系统紧急停止 - PEF 启动的软关机 （IPMI）操作系统紧急停止 - 操作系统正常关闭 （IPMI）插槽 / 连接器互锁已断言 （IPMI）插槽关闭电源 （IPMI）处理器 FRB1/BIST 故障 （IPMI）处理器配置错误 （IPMI）处理器热断路装置

18、 （IPMI）单个风扇 （刀片服务器）刀片控制器 （刀片服务器）电池电量低 （IPMI）电缆/互连 （IPMI）电流 （ASF）电压 （IPMI）电压调整模块 （刀片服务器）电源单元240VA 断电 （IPMI）调整开机自检内存的大小 （IPMI）风扇区域入侵 （IPMI）服务器在启动菜单管理子系统健康：FRU 故障 （IPMI）管理子系统健康：管理控制器不可用 （IPMI）监视程序定时器中断 （IPMI）镜像开始镜像结束开始远程控制会话冷却设备 （IPMI）内存错误检测内存配置错误 （IPMI）内存奇偶校验 （IPMI）内存使用情况内存已添加或已移除普通机箱入侵 （IPMI）添加或删除 CP

19、U添加或删除调制解调器添加或删除网卡添加或删除应用程序添加或删除硬盘网络更改 （刀片服务器）温度 （IPMI）物理入侵 （刀片服务器）系统启动/重新启动 （IPMI）休眠按钮 （IPMI）3.4清单扫描和报告LANDesk服务器具有强大的资产管理功能，通过该软件客户端的清单扫描功能，所有的软硬件信息都将及时的被扫描并存放在核心数据库中。LANDesk管理套件能够收集所有的计算机软硬件资源，如：所辖客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本、已安装的软件等。IT资产管理能够帮助公司了解当前所有计算机的资产信息，弥补固定资产报表的不足，并能为软硬件升级计划及充分

20、提高现有设备的利用率提供极为有效的基础信息。比较同类产品，LANDesk资产管理有以下优势：资产的完备性LANDesk秉承深厚的技术底蕴，使用多种技术手段侦测网络资产，通过包括SMBIOS 2.1，DMI(桌面管理接口),CIM（通用信息模型），WMI(微软桌面管理接口)，注册表，总线硬件驱动程序等等方式读取资产信息，从而保证获取的资产是最完整的资产变更的实时性LANDesk资产管理模块能够比较实时反映系统变更的信息。该变更以警报的方式体现。参照上面的第六节。详细的报告LANDesk服务器管理器的报告功能非常强大，预定义多种Web报表。3.5软件分发LANDesk服务器管理器的软件分发功能能够

21、将不同类别的软件发送到服务器客户端，软件类别包括MSI程序包，SWD程序包，可执行文件和批处理文件。LANDesk服务器管理器并提供一个工具：程序包生成器来制作程序包。程序包的分发可以通过3个步骤实现。分别是准备分发包，确定分发方式和进行计划任务设定。使用软件分发，可以高效配置远程服务器的应用环境。3.6远程控制可以对远程需要帮助的计算机进行在服务器端的操作，这样，可以帮助远程的客户端进行异地操作和检查系统问题，充分发挥、共享服务器端的技术优势。LANDesk的远程帮助功能不同于业界同类产品的功能实现。为了保证数据传输的效率，蓝代斯克采用显卡差分技术，在帮助连接的两端建立显卡间的底层数据传输通

22、道，保证高效的数据压缩和传输。而其他产品的功能实现采用在操作系统之上的视频差分技术，其压缩和传输效率比前者有显著的降低。LANDesk的远程帮助可对远程控制性能进行优化，可动态地调整颜色深度、墙纸可见性、远程窗口的外观效果和使用镜像驱动程序等提高远程控制的性能。 LANDesk的远程帮助功能还通过多种认证机制保证安全性。比如，可以通过证书认证，受管理节点的本地超户认证等方式保证受管理节点只接受合法控制台的远程帮助，为防止对远程客户端支持完成后，客户端系统对外开放，还可以实现帮助退出后自动进入客户端登录界面。LANDesk的远程帮助界面集成远程文件传输，远程会话，远程执行，远程启动，画图等功能，

23、能够在单一界面上实现远程帮助所需的全部功能，提高了管理员的支持效率。3.7漏洞扫描和修补LANDesk服务器管理器可以实现补丁管理的功能。补丁管理主要实现对漏洞的主动修补。补丁管理实现的原理是通过服务器的漏洞扫描获得服务器本地的漏洞信息。漏洞信息支持的平台和语言很广泛，包括以下内容：a)支持客户端平台语言：丹麦语、荷兰语、英语、芬兰语、法语、德语、意大利语、日语、挪威语、葡萄牙语、简体中文、西班牙语、瑞典语、繁体中文b)支持的客户端平台： Windows 2000 SP4 / 2003 / XP /VISTA/WIN7/WIN8/WIN2012 Mac OS X Red Hat Linux S

24、USE Linux IBM AIX可以对漏洞进行计划更新是之成为系统维护的任务。LANDesk补丁的应用可以通过计划任务显式执行。在运行完漏洞扫描后，就可以针对某个漏洞进行修补，修补时系统会自动确定受影响的客户端并自动匹配补丁对应的平台。LANDesk漏洞可以进行分组，分组为“已扫描”，“未扫描”，“已检测”和“未分配”等不同的组。将“未分配”组的内容可以放到“已扫描”，“未扫描”之一的组中，由此确定是否需要对此漏洞进行扫描操作。3.8控制板（Dashboard）“控制板”是关于服务器的一个简单、高级、有序的视图。它用一个图标代表每个服务器，图标代表服务器的当前状态。基于范围和角色在“控制板”中查看服务器。“控制板”是可移动和可配置的。“控制板”视图中显示了所有服务器的总体健全性，并按状态列出了服务器的数量（处于“严重”状态的服务器有多少，处于“正常”状态的服务器有多少）。可以查看图形和服务器列表，或分离图形，在工作站或组监视器上只查看该图形。当右键单击服务器图标时，可以在弹出的窗口中查看该服务器的属性或详细状态信息。从此窗口中，可以查看服务器的类型和服务器上所使用重要资源的百分比。还可以选择基本的故障排除项，或双击该图标转至控制台。