Tivoli Endpoint Manager - Guide d'administration

Transcription

1 Tioli Endpoint Manager - Guide d'administration

2 Remarque Certaines illustrations de ce manuel ne sont pas disponibles en français à la date d'édition.

3 Table des matières Ais aux lecteurs canadiens Tioli Endpoint Manager - Guide d'administration Présentation du système Tioli Endpoint Manager.. 2 Utilisation de ce guide Exigences d'exploitation de Tioli Endpoint Manager Installation de base Chiffrement au nieau des messages (MLE) - Présentation Installation classique Installation de plusieurs sereurs Présentation de la réplication Architecture DSA (Distributed Serer Architecture) Automatisation de la reprise en ligne et de la reprise par restauration Rôles d'administration Tâches de l'administrateur de site de Tioli Endpoint Manager Mise en route Obtenir une autorisation Création du générique de site d'action Installation des programmes Exécution des programmes d'installation des composants Présentation des droits de l'opérateur Abonnement aux sites Fixlet Utilisation des analyses Configuration des composants Utilisation des relais Optimisation des sereurs Optimisation des consoles Gestion de la réplication (DSA) Gestion de la bande passante Régulation dynamique Création de tableaux de bord client Localisation géographique des clients Verrouillages des clients Affichage des rapports sur le Web Intégration d'actie Directory dans Web Reports 61 Agrégation de plusieurs sereurs dans un sereur Web Reports Journalisation Web Reports Configuration HTTPS Utilisation de Tioli Endpoint Manager Ajout de noueaux opérateurs et d'opérateurs principaux Attribution des droits de gestion Modification des mots de passe des opérateurs locaux Changement du mot de passe de la base de données Suppression d'un opérateur de console Gestion du chiffrement client Génération d'un nouelle clé de chiffrement.. 67 Création de relais de déchiffrement de nieau supérieur Gestion des téléchargements Edition du générique Modification des numéros de port Modification des options du système global.. 73 Planification de réplication Extension de la licence Tioli Endpoint Manager 74 Recréation des données d'identification du Site 75 Mise à jour de Tioli Endpoint Manager Annonces IBM Changement de l'icône du client Maintenance et traitement des incidents Ressources Scénarios de déploiement Glossaire iii

4 i Tioli Endpoint Manager - Guide d'administration

5 Ais aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont ous deez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-ous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claiers Les lettres sont disposées différemment : le claier français est de type AZERTY, et le claier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : les pages de codes 850 (multilingue) et 863 (français-canadien), le code pays 002, le code claier CF. Nomenclature Les touches présentées dans le tableau d'équialence suiant sont libellées différemment selon qu'il s'agit du claier de la France, du claier du Canada ou du claier des États-Unis. Reportez-ous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de otre claier.

6 Breets Il est possible qu'ibm détienne des breets ou qu'elle ait déposé des demandes de breets portant sur certains sujets abordés dans ce document. Le fait qu'ibm ous fournisse le présent document ne signifie pas qu'elle ous accorde un permis d'utilisation de ces breets. Vous pouez enoyer, par écrit, os demandes de renseignements relaties aux permis d'utilisation au directeur général des relations commerciales d'ibm, 3600 Steeles Aenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si ous aez besoin d'assistance ou si ous oulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au i Tioli Endpoint Manager - Guide d'administration

7 Tioli Endpoint Manager - Guide d'administration Public concerné Tioli Endpoint Manager a pour objectif de résoudre le problème de plus en plus complexe de maintenir os systèmes critiques à jour, compatibles et exsangues de problèmes de sécurité. Il fait appel à la technologie Fixlet breetée pour identifier les ordinateurs ulnérables de otre entreprise. Quelques clics suffisent pour ous permettre de résoudre les éentuels problèmes sur l'ensemble de otre réseau à partir d'une console centrale. Les messages Fixlet sont puissants, souples et facilement personnalisables. La technologie Fixlet ous permet de : Analyser des ulnérabilités (configurations aec correctifs ou non sécurisées) Corriger facilement et automatiquement tous les noeuds finaux de otre réseau Etablir et imposer des politiques de configuration sur l'ensemble de otre réseau Distribuer et mettre à jour des progiciels Afficher, modifier et auditer des propriétés de os ordinateurs client en réseau La technologie Fixlet ous permet d'analyser le statut des configurations, les ulnérabilités et les inentaires dans toute otre entreprise et d'appliquer ensuite des politiques automatiquement en quasi-temps réel. En outre, les administrateurs peuent créer ou personnaliser leurs propres solutions Fixlet et tâches pour répondre aux besoins spécifiques de leur réseau. Tioli Endpoint Manager est facile à installer et dispose d'une technologie de chiffrement par clé publique / priée intégrée garantissant l'authenticité des messages et actions Fixlet. Il ous offre en tant qu'administrateur une puissance maximale, tout en ayant un impact minime sur le trafic réseau et les ressources de l'ordinateur. Tioli Endpoint Manager peut gérer des centaines de milliers d'ordinateurs dans des réseaux interenant dans le monde entier. Après son installation, ous maintenez facilement os ordinateurs en réseau correctement configurés, à jour et réparés ia des correctifs, le tout à partir d'une console centrale. Vous pouez suire la progression de chaque ordinateur à mesure de l'application des mises à jour ou les politiques de configuration, ce qui facilite la isibilité du nieau de conformité au sein de toute otre entreprise. Outre les téléchargements et correctifs de sécurité, ous aez aussi la possibilité d'examiner os ordinateurs gérés par la biais d'attributs spécifiques, ce qui ous permet de les regrouper pour des déploiements d'action, des politiques en cours ou la gestion des actifs. Vous pouez consigner les résultats pour conserer une trace d'audit et faire un graphique de otre actiité globale aec un programme approprié de génération de rapports basés sur le Web. Ce guide s'adresse aux administrateurs et responsables informatiques qui souhaitent installer et administrer Tioli Endpoint Manager. Il détaille la configuration système requise pour chacun des composants et fournit des instructions de licence et d'installation qui ous permettent de déployer le programme dans otre enironnement. Il inclut également des informations sur la configuration et la maintenance de Tioli Endpoint Manager. Voir Tioli Endpoint Manager - Guide d'utilisation de la console pour obtenir des instructions d'exploitation et des informations supplémentaires sur les performances des diers composants du produit, notamment les sereurs, relais et clients Tioli Endpoint Manager. 1

8 Versions Termes utilisés dans ce guide Le guide inclut les fonctions de Tioli Endpoint Manager, Version 8.2. Les termes suiants sont tous des termes Tioli Endpoint Manager, mais sont utilisés tout au long du guide sans être énoncés chaque fois aec Tioli Endpoint Manager : Console signifie toujours Console Tioli Endpoint Manager Client signifie toujours Client Tioli Endpoint Manager Sereur signifie toujours Sereur Tioli Endpoint Manager Relais signifie toujours Relais Tioli Endpoint Manager En outre, ous pouez oir ces composants énoncés aec "BigFix" ou "BigFix Enterprise Suite" (BES), qui est la terminologie héritée, maintenant remplacée par "Tioli Endpoint Manager". Présentation du système Tioli Endpoint Manager Les composants principaux du système Tioli Endpoint Manager sont les suiants : Les clients Tioli Endpoint Manager, également appelés agents, sont installés sur tous les ordinateurs que ous souhaitez gérer sous Tioli Endpoint Manager. Ils ont accès à un ensemble de messages Fixlet qui détecte les failles de sécurité, les configurations incorrectes et autres ulnérabilités. Le client peut alors mettre en oeure des actions correcties reçues de la console ia le sereur. Le client Tioli Endpoint Manager s'exécute sans être détecté par les utilisateurs, en utilisant un minimum de ressources système. Cependant, Tioli Endpoint Manager permet également à l'administrateur de fournir des inites d'écran pour les actions qui requièrent une entrée utilisateur. Les clients Tioli Endpoint Manager peuent chiffrer leurs communications amont, pour protéger ainsi des informations sensibles. Le logiciel client Tioli Endpoint Manager peut s'exécuter sous les systèmes d'exploitation Windows, Linux, Solaris, HP-UX, AIX et Macintosh. Les sereurs Tioli Endpoint Manager offrent un ensemble de serices qui interagissent, notamment des serices d'applications, un sereur Web et un sereur de base de données qui constituent le coeur du système Tioli Endpoint Manager. Ils coordonnent le flux des informations entre les ordinateurs indiiduels et stockent les résultats dans la base de données Tioli Endpoint Manager. Les composants du sereur Tioli Endpoint Manager fonctionnent en toute transparence en arrière-plan, sans aucune interention directe de l'administrateur. Les sereurs Tioli Endpoint Manager incluent également un module intégré Web Reporting afin de permettre à des utilisateurs autorisés de se connecter ia un naigateur Web pour afficher toutes les informations sur les ordinateurs, ulnérabilités, actions et bien plus encore. Tioli Endpoint Manager prend en charge plusieurs sereurs, ce qui accroît la robustesse de la redondance pour le système. Les relais Tioli Endpoint Manager augmentent l'efficience du système. Au lieu de forcer chaque ordinateur du réseau à accéder directement au sereur Tioli Endpoint Manager, les relais répartissent la charge. Des centaines de milliers de clients Tioli Endpoint Manager peuent pointer sur un même relais Tioli 2 Tioli Endpoint Manager - Guide d'administration

9 Endpoint Manager pour des téléchargements, qui à son tour n'émet qu'une seule demande au sereur. Les relais Tioli Endpoint Manager peuent également se connecter à d'autres relais, ce qui accroît l'efficacité. Il n'est pas nécessaire de dédier un ordinateur à un relais Tioli Endpoint Manager ; ous pouez installer le logiciel sur un ordinateur Windows 2000, Windows XP, Windows Serer 2003, Windows Vista, Windows Serer 2008, Windows 7, Windows Serer 2008 R2, Red Hat Enterprise Linux 4/5/6 ou Solaris 10 ayant un client Tioli Endpoint Manager installé. Dès que ous aez installé un relais Tioli Endpoint Manager, les clients de otre réseau sont en mesure de le reconnaître et de s'y connecter automatiquement. Les consoles Tioli Endpoint Manager font la jonction de tous ces composants afin d'offrir une ue à l'échelle du système de tous les ordinateurs de otre réseaux, aec leurs ulnérabilités et les remèdes suggérés. La console Tioli Endpoint Manager permet à un utilisateur autorisé de pouoir distribuer rapidement et simplement des correctifs pour chaque ordinateur qui en a besoin, sans que cela ait un impact sur les autres ordinateurs du réseau. La console Tioli Endpoint Manager peut être exécutée sur tout ordinateur Windows XP, Windows Serer 2003, Windows Vista, Windows Serer 2008, Windows 7 ou Windows Serer 2008 R2 disposant d'un accès réseau au sereur Tioli Endpoint Manager. Les consoles dédiées aux déploiements de grande taille sont souent hébergées dans des sereurs Terminal Serer ou Citrix. Utilisation de ce guide Le processus permettant d'aoir Tioli Endpoint Manager installé et en fonctionnement arie selon otre enironnement réseau et os règles de sécurité. Ce guide s'appuie sur un déploiement standard qui s'applique à des groupes de traail et à des entreprises au sein d'un même domaine d'administration. Pour des raisons de lisibilité et de généralité, il prend en compte les restrictions suiantes : Les sereurs Tioli Endpoint Manager sont en mesure d'établir des connexions à Internet ia le port 80. Le sereur Tioli Endpoint Manager peut être configuré pour utiliser un proxy, ce qui est une configuration commune. Il est également possible d'utiliser un isolement pour séparer physiquement le sereur Tioli Endpoint Manager du sereur Fixlet Internet (pour plus d'informations, oir l'article sur les isolements air-gaps sur le site de support de Tioli Endpoint Manager). Chaque sereur Tioli Endpoint Manager doit aoir accès à SQL Serer, situé localement sur la machine du sereur ou à distance sur un sereur SQL Serer distinct. Chaque opérateur de console peut établir une connexion HTTP ers le sereur Tioli Endpoint Manager. Chaque ordinateur client Tioli Endpoint Manager du réseau doit être en mesure d'établir une connexion HTTP ers un sereur ou un relais sur le port indiqué (le port par défaut est 52311, mais tout port disponible est utilisable). Certaines entreprises tenteront de passer outre l'une ou plusieurs de ces conditions, mais Tioli Endpoint Manager peut toujours être déployé dans ces enironnements ; pour plus d'informations, oir Scénarios de déploiement (à la page «Scénarios de déploiement», à la page 77). Si otre configuration réseau ne correspond à aucun des scénarios figurant dans ce chapitre, contactez un technicien de support pour obtenir plus d'options. Le déploiement initial d'un système minimal Tioli Endpoint Manager (sereur, console et quelques clients) derait prendre eniron une heure. Tioli Endpoint Manager - Guide d'administration 3

10 Si ous installez la ersion d'éaluation de Tioli Endpoint Manager, eillez à lire le guide Tioli Endpoint Manager Ealuation Guide. Lorsque ous êtes prêt à installer le système complet, portez une attention particulière aux sections de ce document relaties au déploiement des clients et des relais, afin de garantir un déploiement efficace. Plusieurs étapes de l'installation de Tioli Endpoint Manager dépendent de l'achèement de la procédure précédente. Pour cette raison, il est recommandé de suire ce guide dans l'ordre présenté. Exigences d'exploitation de Tioli Endpoint Manager Tioli Endpoint Manager s'exécute efficacement en utilisant un minimum de ressources du sereur, du réseau et des clients. Les configurations requises pour les programmes client ne sont pas contraignantes. Le matériel requis par le sereur et la console dépend du nombre d'ordinateurs administrés et du nombre total de consoles. L'architecture répartie de Tioli Endpoint Manager permet à un même sereur de prendre en charge des centaines de milliers d'ordinateurs. Configuration requise pour le sereur Tioli Endpoint Manager Pour obtenir les dernières informations relaties à la configuration requise pour le sereur, oir Tioli Endpoint Manager Serer Requirements. La configuration réseau suiante est recommandée pour des raisons de sécurité et de performances : Toutes les communications réseau interne s'effectuent sur un port spécifié (52311 est la aleur par défaut) pour permettre la simplicité et la flexibilité du déploiement. TCP/IP et UDP sur ce port doient être totalement débloqués au nieau de tous les routeurs et pare-feux internes (ous pouez éentuellement désactier UDP mais cela peut aoir une incidence négatie sur les performances). Le sereur Tioli Endpoint Manager doit se connecter au réseau à 100 Mbit/s ou plus. Les consoles doient disposer de connexions à haut débit ers le sereur Tioli Endpoint Manager (100 MMits/s ou plus) Le pare-feu Windows doit être désactié sur la machine contenant le sereur Tioli Endpoint Manager. Le client Tioli Endpoint Manager doit être installé sur la machine contenant le sereur Tioli Endpoint Manager Serer machine. Ces recommandations de réseaux sont en général faciles à satisfaire pour la plupart des organisations gérant un nieau de sécurité modéré. Si ces exigences ne peuent pas être satisfaites au sein de otre organisation, oir Configuration des composants de Tioli Endpoint Manager (page «Configuration des composants», à la page 45). Pour plus d'informations sur les installations plus étendues, oir Scénarios de déploiement (page «Scénarios de déploiement», à la page 77). D'autres facteurs comme le nombre de clients peuent également influer sur la configuration requise et les performances du sereur Tioli Endpoint Manager. Parmi ces facteurs, on troue : Le nombre d'opérateurs de console. Plusieurs opérateurs de console peuent se connecter aux sereurs en même temps pour gérer des sous-ensembles d'ordinateurs en réseau. Certains déploiements peuent compter des centaines 4 Tioli Endpoint Manager - Guide d'administration

11 d'opérateurs. Si ous enisagez d'aoir plus de 30 opérateurs, un sereur plus puissant serait peut-être utile pour supporter la charge supplémentaire. Relais. Les relais doient être utilisés pour alléger la charge sur les sereurs en acceptant les connexions des clients et en transférant ensuite les données à un sereur. Dans la plupart des déploiements, les clients ont très peu de rapports directs aec le sereur principal. Le nombre et le type de propriétés et analyses extraites. Les propriétés et analyses personnalisées extraites peuent fournir des données extrêmement utiles, sauf que si des propriétés personnalisées sont mal implémentées ou sur-utilisées, celles-ci peuent également créer une charge excessie sur le système en exigeant trop de bande passante ou un trop grand nombre de ressources client. Par exemple, il serait mal aisé de créer une propriété personnalisée extraite qui retourne les noms de tous les fichiers de tous les ordinateurs, en raison de la charge sur les ordinateurs client et le réseau. Pour plus d'informations sur ces questions de performances, oir le site de support de Tioli Endpoint Manager. Configuration requise pour la console Pour obtenir des dernières informations relaties à la configuration requise pour la console, oir Tioli Endpoint Manager Console Requirements. Vous pouez installer la console Tioli Endpoint Manager sur un ordinateur portable ou un ordinateur moyennement puissant. Toutefois, à mesure que le nombre d'ordinateurs que ous gérez aec la console augmente, la nécessité d'un ordinateur plus puissant peut apparaître. La console Tioli Endpoint Manager nécessite également une connexion à bande passante éleée (des itesses de LAN fonctionnent mieux) sur le sereur en raison du olume de données qui doit être transféré ers la console. Si ous aez besoin de ous connecter à distance au sereur ia une connexion de bande passante lente, nous recommandons d'utiliser une connexion à un ordinateur aec contrôle à distance (comme un sereur Citrix ou un ordinateur Terminal Serices) aec une connexion à haut débit ers le sereur. Pour plus d'informations sur la configuration requise d'échelle de la console, contactez otre technicien de support. Remarque : La console est l'interface principale de Tioli Endpoint Manager et gère un grand nombre d'informations concernant les clients. Si la puissance des ordinateurs de console est insuffisante, cela peut aoir un impact négatif sur les performances. Configuration requise pour le client Pour connaître les dernières informations relaties à la configuration requise pour le client, oir Windows Client Requirements (Configuration requise pour les clients Windows) et UNIX, Linux, and Mac Client Requirements (Configuration requise pour les clients UNIX, Linux et Mac). Configuration requise pour la base de données Tioli Endpoint Manager nécessite SQL Serer 2005, 2008 ou 2008 R2, pour le stockage de toutes les données récupérées auprès des clients. Tioli Endpoint Manager - Guide d'administration 5

12 Exigences relaties à la sécurité Le système authentifie tous les messages et actions Fixlet au moyen de signatures sécurisées de l'infrastructure à clés publiques (PKI). L'infrastructure PKI utilise des paires de clés publique/priée pour garantir l'authenticité. Aant de pouoir installer Tioli Endpoint Manager, ous deez utiliser le programme d'installation pour générer otre propre clé priée et la soumettre ensuite à IBM pour obtenir un certificat signé contenant otre clé publique. Votre clé priée (qui n'existe que sur otre ordinateur et inconnue de toute autre personne, y compris IBM) est chiffrée par un mot de passe de otre choix, et donc si quelqu'un s'en empare indûment, cette personne doit encore connaître otre mot de passe pour être en mesure de l'utiliser. De toutes les manières, conserez-la précieusement. Quiconque possède la clé priée et le mot de passe pour otre site, accède à otre sereur, et une connexion à la base de données sera en mesure d'appliquer n'importe quelle action à os ordinateurs client. Traitez otre clé priée de la même manière que la clé physique de la porte d'entrée de otre entreprise. Ne la laissez pas traîner sur un disque partagé. En reanche, stockez-la sur un disque amoible ou un emplacement sécurisé, et ne la perdez pas. Dans le monde physique, si ous perdez otre clé principale, ous deez remplacer toutes les serrures du bâtiment. De la même manière, si ous perdez otre clé numérique, ous derez effectuer une migration ers une nouelle clé d'autorisation ou procéder à une nouelle installation du système complet (y compris tous les clients). Il serait prudent de stocker une copie de sauegarde des fichiers de clés au nieau du site dans un coffre-fort sécurisé. Durant le processus d'installation, une clé de signature de sereur est créée et stockée sous la forme d'un fichier chiffré sur la machine du sereur. Toutes les fois que des opérateurs exécutent une action, celle-ci est signée numériquement par la clé de signature du sereur, et le client ne fera confiance qu'à des actions signées au moyen de cette clé. Comme les clients ne font confiance qu'à des actions signées par la clé de signature du sereur, il est important de protéger le fichier de la clé de signature du sereur. Pour protéger ce fichier, l'accès administrateur à la machine sereur doit être limité. Les messages Fixlet sont également signés numériquement. L'auteur du site Fixlet signe chaque message aec une clé qui peut être retracée dans la racine de Tioli Endpoint Manager pour authentification. Cette signature doit correspondre au générique du site Fixlet, qui est placé dans le dossier d'installation du client lors de l'abonnement au site. Cette procédure permet d'éiter une usurpation et des attaques de l'homme du milieu, et garantit que les messages Fixlet que ous receez sont certifiés de l'auteur d'origine. Certaines questions relaties à la sécurité sont à prendre en considération aant d'installer Tioli Endpoint Manager dans otre organisation: Assurez-ous que le sereur est un ordinateur qui exécute Windows Serer aec le dernier module de mise à jour disponible issu de Microsoft. Vérifiez que le sereur SQL est sécurisé et contient les derniers correctifs de sécurité. Assurez-ous que TCP/IP et UDP sur le port indiqué (par défaut 52311) sont totalement débloqués pour tous les routeurs et pare-feux internes. Vérifiez que otre routeur externe interdit le trafic entrant et sortant sur le port indiqué (par défaut 52311) de sorte que le trafic lié à Tioli Endpoint Manager ne soit pas en mesure de circuler dans et hors de otre réseau. 6 Tioli Endpoint Manager - Guide d'administration

13 Il est possible de gérer des ordinateurs portables itinérants en ourant ce port dans otre pare-feu. Il existe cependant une meilleure technique qui consiste à utiliser un chiffrage au nieau du message pour acheminer le relais par le biais d'un port qui n'est pas celui par défaut et éiter l'ouerture de ce port complètement. Vérifiez auprès de otre administrateur réseau que ous pouez autoriser le sereur à accéder à Internet ia le port 80. Le serice de collecte de Tioli Endpoint Manager est le seul composant du sereur qui accède à Internet et par défaut, il s'exécute en tant que compte Windows SYSTEM. Si le compte SYSTEM ne peut pas accéder à Internet à cause de restrictions de proxy ou de pare-feu, ous deez alors définir le serice de collecte de Tioli Endpoint Manager afin de ous connecter en tant qu'utilisateur bénéficiant des droits d'accès à Internet et d'administrateur sur l'ordinateur sereur. Des instructions détaillées sur la manière de configurer le sereur sont disponibles dans la base de connaissances du site de support Tioli Endpoint Manager. Il est également possible de gérer un déconnexion physique depuis Internet par une mise en oeure d'isolement d'un système, comme décrit dans l'article de la base de connaissance du site de support de Tioli Endpoint Manager. Sécurisez les ordinateurs sereur et la base de données SQL ou SQLite à l'aide des normes de l'entreprise ou de l'industrie. Pour plus d'informations, contactez otre administrateur réseau ou l'administrateur de base de données. Remarque : Certaines procédures rares de errouillage peuent prooquer un fonctionnement incorrect des sereurs. Contactez le serice de support logiciel IBM pour toutes questions spécifiques sur les procédures de errouillage. Installation de base Un déploiement simplifié de Tioli Endpoint Manager est similaire au diagramme ci-dessous. Il existe au moins un sereur qui collecte les messages Fixlet depuis Internet et qui permet à l'opérateur de la console de les afficher et de les distribuer aux relais. Chaque client inspecte son enironnement local d'ordinateurs et signale en retour au relais tous les messages Fixlet pertinents ; le relais compresse alors les données et les renoie aux sereurs. Tioli Endpoint Manager - Guide d'administration 7

14 La console Tioli Endpoint Manager contrôle l'ensemble cette actiité. Elle se connecte aux sereurs et rafraîchit périodiquement ses écrans afin de prendre en compte les modifications ou les informations nouelles concernant otre réseau. L'opérateur de la console Tioli Endpoint Manager peut ensuite cibler des actions sur des ordinateurs appropriés pour corriger des ulnérabilités, appliquer des politiques de configuration, déployer des logiciels, etc. La progression des actions peut être suiie quasiment en temps réel, puisqu'elles s'étendent à tous les ordinateurs concernés et qu'elles traitent une par une ces anomalies critiques. Ce diagramme étiquette tous les ports par défaut utilisés par Tioli Endpoint Manager, ce qui ous permet de oir les ports qui doient être ouerts et où. Ces ports ont été sélectionnés pour éiter un conflit, mais si ous utilisez actuellement l'un de ces ports, il est possible de les personnaliser lors de l'installation. 8 Tioli Endpoint Manager - Guide d'administration

15 Remarque : Les flèches qui figurent sur le diagramme illustrent le flux des informations au sein de l'entreprise. Les flèches allant du sereur Fixlet aux sereurs représentent le flux de messages Fixlet dans otre réseau. Les clients collectent les messages Fixlet et informations d'action à partir des relais. Ils renoient ensuite de petites d'informations aux sereurs par le biais des relais. Les paquets UDP allant des clients aux relais sont des petits paquets enoyés à chaque client pour les informer que de nouelles informations sont à collecter. Les messages UDP ne sont pas strictement nécessaires à Tioli Endpoint Manager pour fonctionner correctement. Pour plus d'informations, reportez-ous à l'article traitant du trafic réseau sur le site de support de Tioli Endpoint Manager ou contactez otre technicien de support. Chiffrement au nieau des messages (MLE) - Présentation Le chiffrement au nieau des messages (MLE) permet à os clients de chiffrer des données en amont en utilisant une combinaison de paire de clés publique / priée RSA et une clé de session AES. La paire de clés RSA peut être de 2048 ou 4096 bits, les clés plus longues offrent une sécurité supplémentaire, mais nécessitent daantage de puissance de traitement pour le déchiffrement au nieau du sereur. La clé de session AES utilise la longueur FIPS maximale recommandée de 256 bits. Vous pouez configurer os relais pour réduire la charge sur le sereur en déchiffrant et en refaisant le package des données des clients aant de les retransmettre. La clé publique RSA chiffre la clé de session et l'ajoute au rapport chiffré par AES. Sur le sereur Tioli Endpoint Manager (ou un relais de déchiffrement) la clé priée RSA correspondante est utilisée pour déchiffrer la clé de session AES, qui est ensuite utilisée pour déchiffrer le rapport client. Il existe trois nieaux de chiffrement des rapports : Obligatoire : les clients nécessitent le chiffrement des rapports et des téléchargements. Le client n'accepte de rapport ni télécharge de fichiers s'il ne parient pas à trouer un certificat de chiffrement ou si son relais parent ne prend pas en charge la réception des documents chiffrés. Facultatif : les clients préfèrent, mais ne nécessitent pas de chiffrement des rapports et des téléchargements. Si le chiffrement ne peut pas être effectué, les rapports et téléchargements sont effectués en texte clair. Aucun : les clients ne chiffrent pas, même si un certificat de chiffrement est présent. Installation classique Bien que l'installation de base décrite ci-dessus montre qu'un grand nombre de ports spécifiques est nécessaire pour établir le réseau Tioli Endpoint Manager, deux aspects importants de nombreux déploiements n'y sont pas illustrés : une zone démilitarisée et les connexions directes. Dans l'exemple DMZ (zone démilitarisée), un bureau connecté par un réseau prié irtuel peut partager le contenu à partir d'un sereur ou d'un relais. Dans le cas de la connexion directe, des PC ou des ordinateurs portables situés à domicile peuent se connecter directement à Internet pour le contenu proenant de sereurs Fixlet en passant par leurs propres pare-feux priés. Pour des besoins de clarté, ces connexions supplémentaires peuent ne pas apparaître dans tous les diagrammes, elles sont toutefois présentes dans la plupart des déploiements. Tioli Endpoint Manager - Guide d'administration 9

16 Installation de plusieurs sereurs Tioli Endpoint Manager offre la possibilité d'ajouter plusieurs sereurs entièrement redondants ; il s'agit de la fonction DSA (Distributed Serer Architecture). Chaque sereur gère une réplique de la base de données Tioli Endpoint Manager et peut être positionné n'importe où dans le monde. En cas de rupture dans le réseau, ces sereurs continuent à fournir un serice ininterrompu au sereur local. Une fois la connexion rétablie, les sereurs se reconnectent automatiquement et se synchronisent. Les relais et clients de Tioli Endpoint Manager sont également en mesure d'effectuer une restauration complète après une telle déconnexion. DSA offre les fonctionnalités suiantes : Continuité de la disponibilité du serice sur les deux côtés d'une diision du réseau (reprise automatique). Continuité de la disponibilité en cas de panne du sereur. Répartition de la charge de la base de données de console en mode de fonctionnement normal. Reprise par restauration automatique lors de la reconnexion. Pour bénéficier de cette fonction, un ou plusieurs sereurs supplémentaires ayant une capacité au moins égale à otre sereur principal sont nécessaires. Tous les sereurs Tioli Endpoint Manager de otre déploiement doient exécuter la même ersion de SQL Serer. Si otre sereur actuel exécute SQL 2005, os noueaux sereurs doient également exécuter SQL Présentation de la réplication Des sereurs supplémentaires permettent de répartir la charge de traail et de créer un système redondant qui sert de sauegarde en cas d'indisponibilités. Connaître son mode de fonctionnement peut ous aider à créer le déploiement le plus efficace pour otre réseau particulier. Voici quelques-uns des éléments importants relatifs à des installations sur plusieurs sereurs : Les sereurs communiquent selon un planning régulier pour répliquer leurs données. Vous pouez consulter le statut actuel et ajuster l'interalle de réplication ia Tioli Endpoint Manager Administration Tool > Replication. Lorsque chaque sereur est prêt à répliquer à partir des autres sereurs du déploiement, il calcule le chemin le plus court pour tous les autres sereurs du déploiement. Les liens principaux sont affectés d'une longueur de 1, les liens secondaires 100 et les liens tertiaires Les liens qui se sont traduits par un échec de connexion lors de leur dernière utilisation sont considérés comme non-connectés. Lorsqu'une indisponibilité ou tout autre incident se traduit par un partage réseau, il est possible qu'un Fixlet personnalisé ou qu'une propriété récupérée soit modifiée indépendamment sur les deux côtés de la diision. Lorsque le réseau est reconnecté, la priorité est donnée à la ersion sur le sereur ayant le plus petit ID de sereur. Si plusieurs copies de Web Reports sont installées, celles-ci fonctionnent de manière indépendante. Chaque sereur Web Report peut se connecter au sereur qui est plus pratique, car ils contiennent tous des ues équialentes de la base de données. Par défaut, le sereur 0 (zéro) est le sereur principal. L'outil d'administration de Tioli Endpoint Manager proprement dit ous permet d'effectuer certaines tâches d'administration (comme la création et la suppression d'utilisateurs) lorsque ous êtes connecté au sereur principal. 10 Tioli Endpoint Manager - Guide d'administration

17 Pour changer de sereur principal pour un autre sereur, ous pouez le faire aec un paramètre. Pour plus d'informations, oir la section Gestion de la réplication (à la page «Gestion de la réplication (DSA)», à la page 55). Architecture DSA (Distributed Serer Architecture) Le schéma ci-dessous représente une configuration caractéristique de l'architecture DSA composée de deux sereurs. Chaque sereur se situe derrière un pare-feu, par exemple dans un bureau distinct, même s'il est facile de configurer plusieurs sereurs dans un même bureau également. Il est important que les sereurs bénéficient de connexions à grande itesse pour répliquer les données de Tioli Endpoint Manager (en général, des itesses LAN de 10 à 100 MBPS sont requises). Les sereurs Tioli Endpoint Manager communiquent ia ODBC et des protocoles HTTP. Cette architecture DSA fournit des serices de reprise en ligne et de reprise par restauration, en minimisant la perte de données. Tioli Endpoint Manager - Guide d'administration 11

18 Automatisation de la reprise en ligne et de la reprise par restauration Si un sereur tombe en panne, qu'il s'agisse d'incident ou d'une maintenance planifiée, le déploiement DSA effectue lui-même une reconfiguration (reprise en ligne automatique) dès que les relais orphelins trouent une connexion à un noueau sereur. Lorsque le sereur désactié reient en ligne, ses données sont automatiquement fusionnées aec celles du sereur sain. Rôles d'administration Les opérations d'installation et de gestion de Tioli Endpoint Manager requièrent généralement la coopération de plusieurs administrateurs et opérateurs : Administrateur de réseau. Cette personne doit autoriser le sereur à se connecter à Internet ia le sereur proxy existant (le cas échéant) et aussi résoudre tous les problèmes spécifiques du réseau pouant empêcher le bon fonctionnement de Tioli Endpoint Manager. L'administrateur de réseau fournit également des informations sur les itesses de connexion des liaisons WAN et sur les adresses de sous-réseau, si nécessaire. Lors du démarrage d'un 12 Tioli Endpoint Manager - Guide d'administration

19 déploiement Tioli Endpoint Manager, il est préférable d'aertir l'administrateur de réseau sur la façon dont Tioli Endpoint Manager utilise le réseau en examinant la page sous trafic réseau sur le site de support de Tioli Endpoint Manager. Administrateur de base de données. Cette personne a en charge la configuration et la maintenance de la base de données SQL Serer pour le sereur. Administrateur de site. Cette personne installe et gère les logiciels, notamment le sereur Tioli Endpoint Manager, la console et les programmes client. L'administrateur de site a également en charge la création, la distribution et la réocation des clés de publication et des droits de gestion qui permettent aux opérateurs de la console de déployer des actions. L'administrateur de site peut autoriser de noueaux opérateurs de console. Un administrateur de site détient cette position car il bénéficie d'un accès d'administrateur à l'ordinateur du sereur et aussi d'un accès et d'un mot de passe pour les clés de signature au nieau du site. Opérateurs principaux de la console. Ces personnes sont des opérateurs bénéficiant d'un accès à tous les ordinateurs Tioli Endpoint Manager aec les droits de créer et de gérer les autres opérateurs de console. Les opérateurs principaux peuent mener la plupart des opérations que ous pouez faire en tant qu'administrateur de site. En pratique, les opérateurs principaux sont souent considérés comme des administrateurs. Opérateurs de console. Ces personnes gèrent le fonctionnement au quotidien de Tioli Endpoint Manager, y compris la gestion de Fixlet et l'action de déploiement, généralement sur un sous-ensemble d'ordinateurs sous résere des droits de gestion attribués par l'administrateur de site ou un opérateur principal. Souent, ces rôles d'administration se cheauchent et une personne peut être affectée à plusieurs tâches. Les tâches relaties au réseau et aux bases de données sont limitées à des procédures de configuration minimale, qui sont décrites dans ce document. Les opérateurs de console Tioli Endpoint Manager (y compris les opérateurs principaux) doient lire la documentation distincte intitulée Tioli Endpoint Manager - Guide d'utilisation de la console. Tâches de l'administrateur de site de Tioli Endpoint Manager Les principales responsabilités de l'administrateur de site sont les suiantes : Obtention et sécurisation des données d'identification du site d'action. Pour installer Tioli Endpoint Manager, l'administrateur doit générer une clé priée, receoir un certificat de licence d'ibm et créer un générique aec la signature numérique et des informations de configuration. Certification des utilisateurs. L'administrateur de site doit créer un compte et des fichiers de clé priée pour chaque opérateur. Eitez d'utiliser les mêmes informations de connexion pour des comptes au nieau du site et au nieau de l'utilisateur. Cette pratique accroît la confusion sur le contexte et peut conduire à des erreurs. Préparation du sereur. Le sereur Tioli Endpoint Manager doit être correctement configuré pour communiquer en externe aec Internet et en interne aec les clients. Le sereur Tioli Endpoint Manager doit également être configuré pour héberger la base de données de Tioli Endpoint Manager (il est aussi possible d'utiliser un autre ordinateur pour la base de données SQL Serer). Installation des diers composants. L'administrateur de site installe les modules client, sereur, relais et console de Tioli Endpoint Manager. Tioli Endpoint Manager - Guide d'administration 13

20 Attribution de droits de gestion. Les opérateurs principaux peuent accorder des droits de gestion aux opérateurs de console. Ces droits associent des opérateurs à des ordinateurs spécifiques. Vous pouez également octroyer ou réoquer des droits pour rendre un contenu personnalisé ou pour afficher des actifs non gérés. Gestion du sereur. Le sereur Tioli Endpoint Manager exécute une base de données SQL Serer et plusieurs serices spécifiques. Des tâches de maintenance standard, comme des mises à nieau ou des correctifs sont gérées à l'aide de la technologie Fixlet ou l'administrateur du site Tioli Endpoint Manager peut les exécuter manuellement. Gestion de la sécurité. Le système Tioli Endpoint Manager est protégé par clé priée aec chiffrement de mot de passe. L'administrateur du site en contrôle l'accès et peut créer des clés d'éditeur priées ou les réoquer quand le besoin s'en ressent. Une authentification utilise une technologie d'infrastructure à clés publiques (PKI) aec des longueurs de clé pouant atteindre 4096 bits. Chacune de ces tâches d'administration est décrite en détail dans les sections suiantes de ce guide. Mise en route Maintenant que ous aez pris connaissance des termes et des rôles d'administration, ous êtes prêt à être effectiement autorisé et à installer les programmes. Ce guide décrit chaque étape en détail, cependant le processus est généralement simple et rapide. Obtenir une autorisation Parce que Tioli Endpoint Manager est puissant, ous souhaitez certainement en limiter l'accès à des personnes de confiance et autorisées uniquement. Le programme dépend d'un référentiel central des actions Fixlet appelé Action site (Site d'action), qui utilise une clé de chiffrement publique/priée pour se protéger contre toute usurpation ou autre usage non autorisé. Pour commencer, ous deez disposer d'une autorisation d'ibm. Si ous n'aez pas encore acheté une licence, contactez ou accédez au site Web de Tioli Endpoint Manager à l'adresse L'agent commercial oudra connaître le nombre de clients que ous aez l'intention d'installer. Sur la base de cette information, l'agent commercial a créer, signer et ous enoyer par messagerie un fichier License Authorization (Autorisation de licence) dont le nom est du type "Nom_entreprise.BESLicenseAuthorization". Le programme d'installation collecte d'autres informations concernant otre déploiement, puis crée un fichier appelé action site masthead (générique du site d'action). Ce fichier établit une chaîne d'autorité complète de la racine Tioli Endpoint Manager jusqu'aux opérateurs Console de otre organisation. Le générique combine les informations de configuration (adresses IP, ports, etc.) et les informations de licence (nombre de clients autorisés et pour combien de temps) aec une clé publique utilisée pour érifier les signatures numériques. Pour créer 14 Tioli Endpoint Manager - Guide d'administration

21 et gérer les clés de signature numérique et le générique, ous pouez utiliser le programme d'installation de Tioli Endpoint Manager, disponible en téléchargement chez IBM. Remarque : Si ous utilisez une ersion d'éaluation de Tioli Endpoint Manager, ous pouez ignorer la section suiante. Lors de l'installation, le générateur d'éaluation de Tioli Endpoint Manager crée os clés de signature au moyen d'une procédure accélérée, et la génération de clés d'éditeur distinctes n'est pas nécessaire. Création du générique de site d'action Aant d'exécuter les étapes ci-dessous, ous deez aoir acheté une licence et reçu un fichier d'autorisation de licence Tioli Endpoint Manager (oir la section précédente). Lorsque ous êtes en possession de otre fichier d'autorisation de licence, ous êtes en mesure de créer un générique de site d'action (action site masthead) personnalisé qui, à son tour, ous permet d'installer et d'utiliser Tioli Endpoint Manager. Le générique comprend des adresses URL pour les programmes CGI du sereur et des informations d'autres sites dans un fichier MIME signé. Le générique est essentiel pour l'accès et l'authentification de otre site d'action. Pour créer le générique et actier otre site, procédez comme suit : 1. Exécutez le programme d'installation de Tioli Endpoint Manager que ous aez téléchargé depuis le site de Tioli Endpoint Manager ( Sur l'écran d'accueil, cliquez sur Suiant. 2. Dans la boîte de dialogue proposant d'installer la ersion d'éaluation ou de production de Tioli Endpoint Manager, sélectionnez Production, puis cliquez sur Suiant. 3. Après aoir lu le contrat de licence, cliquez sur Oui pour l'accepter et continuer. La boîte de dialogue Setup Type (Type de configuration) s'oure. Sélectionnez l'option permettant une installation à l'aide du fichier d'autorisation de licence d'ibm, puis cliquez sur Suiant. Tioli Endpoint Manager - Guide d'administration 15

22 4. L'assistant de création du générique de site d'action est lancé. Il ous demande d'indiquer l'emplacement de otre fichier d'autorisation de licence. Cliquez sur le bouton Parcourir pour ourir une boîte de dialogue d'ouerture de fichier standard de Windows. Accédez à otre fichier d'autorisation de licence dont le nom doit ressembler à Nom_entreprise.BESLicenseAuthorization. Sélectionnez le fichier, puis cliquez sur Ourir. 5. La boîte de dialogue qui s'oure affiche le contenu actuel de otre autorisation de licence. Cliquez sur Suiant. 6. Le panneau suiant de l'assistant ous inite à indiquer le nom DNS ou l'adresse IP de otre sereur. Entrez cette information, puis cliquez sur Suiant. 7. Remarque : l'adresse DNS/IP que ous sélectionnez deient ensuite un élément permanent de otre déploiement et ne doit jamais changer. Pour des raisons de flexibilité, nous recommandons iement d'utiliser un nom DNS au lieu d'une adresse IP statique. 8. Le panneau suiant de l'assistant ous inite à indiquer un mot de passe au nieau du site afin de ous permettre de créer une clé d'administrateur de site pour otre déploiement. Entrez otre mot de passe deux fois (pour érification), et indiquez une taille de clé (de 2à4Kbits) de la paire de clés publique/priée. Cliquez sur Créer. 9. Dans la boîte de dialogue Browse for Folder (Accéder au dossier), recherchez un dossier pour enregistrer otre fichier de clés priées (license.pk) sur un emplacement sécurisé, comme PGPDisk sur une clé USB. Cliquez sur OK. 10. Le panneau suiant de l'assistant ous inite à soumettre otre demande de générique à IBM. Cette requête est composée de otre autorisation d'origine, du nom DSN de otre sereur et de otre clé publique, toutes ces informations étant regroupées dans un même fichier. D'une manière générale, sélectionnez la première option submit request (soumettre la demande) pour enoyer la demande ia Internet. Cliquez sur Request (Demande). L'assistant extrait otre certificat (license.crt) à partir du sereur de licences de Tioli Endpoint Manager. Sinon, l'assistant permet de sauegarder la demande sous la forme d'un fichier nommé request.beslicenserequest. Vous pouez ensuite accéder au site Web de Tioli Endpoint Manager, enoyez otre demande, et télécharger otre certificat. 11. Dans la boîte de dialogue Request License (Demande de licence), cliquez sur Créer pour créer le fichier générique, puis entrez les paramètres génériques. Ce fichier contient les informations de configuration et de licence aec une clé publique permettant de érifier des signatures numériques. Il est enregistré dans otre dossier des données d'identification. 16 Tioli Endpoint Manager - Guide d'administration

23 Il s'agit du numéro de port recommandé, mais ous pouez choisir un port différent si c'est ce qui conient le mieux aux particularités de otre réseau. D'une manière générale, choisissez un port dans la plage IANA des ports priés (49152 à 65535). Vous pouez utiliser un numéro de port réseré (ports ), mais nous ne recommandons pas ce choix car cela a empêcher toute possibilité de sureiller ou restreindre le trafic correctement et exclure l'usage de ces numéros de port pour des applications spécifiques. Il n'est pas nécessaire de modifier les options de errouillage dans cette boîte de dialogue sauf si ous souhaitez qu'un ordinateur soit automatiquement errouillé après l'installation. Il existe également une case à cocher permettant d'appliquer une cryptographie FIPS Lorsque ous aez terminé, cliquez sur OK. Acceptez les paramètres par défaut de cette page à moins d'aoir une raison particulière de les modifier. Des paramètres incorrects peuent empêcher Tioli Endpoint Manager de fonctionner de manière optimale. Pour plus d'informations, contactez otre support technique. 12. N'oubliez pas que la clé priée (license.pk) de otre site d'action ous autorise, en tant qu'administrateur de site de Tioli Endpoint Manager, à créer des opérateurs de console ayant les données d'identification d'un éditeur. Cette clé n'est pas enoyée à IBM au cours du processus de création, et doit être soigneusement protégée. Pour le nieau de sécurité le plus éleé, nous recommandons d'enregistrer les données d'identification Tioli Endpoint Manager sur un disque chiffré, comme un PGPDisk sur une clé USB ou un autre support amoible. Remarque : Si ous perdez otre fichier des données d'identification du site d'identification ou le mot de passe, aucune personne, pas même IBM, ne sera en mesure de récupérer os clés ou otre mot de passe. Vous derez alors réinstaller le système complet, y compris tous les clients aec une clé fraîchement générée. Tioli Endpoint Manager - Guide d'administration 17

24 Remarque : Si le sereur principal est perdu, ous risquez également de perdre otre fichier de clés de chiffrement. Pour la reprise après incident, ous aez deux options : ous sauegardez otre clé de chiffrement maintenant afin de pouoir la restaurer une fois le sereur recréé, ou ous générez une nouelle clé de chiffrement après aoir recréé le sereur. Installation des programmes Dès que ous aez otre licence ou otre générique de site d'action, ous êtes prêt à installer les programmes. Procédez comme suit : 1. Installez les composants d'installation de Tioli Endpoint Manager en sélectionnant le répertoire par défaut ou en cliquant sur Parcourir pour choisir un autre dossier. 2. Cliquez sur Suiant. L'assistant d'installation génère et sauegarde ensuite les différents composants d'installation. 3. Après aoir enregistré les fichiers, une boîte de dialogue s'oure pour confirmer l'installation et ous rappeler de leur emplacement. Cliquez sur Terminer pour quitter et lancer le Tioli Endpoint Manager Installation Guide (Guide d'installation de Tioli Endpoint Manager). Exécution des programmes d'installation des composants Vous aez maintenant créé une clé priée, demandé et reçu un certificat, utilisé le certificat pour créer un générique, puis généré les diers composants d'installation, y compris le guide d'installation de Tioli Endpoint Manager. Une fois les composants enregistrés, le guide d'installation de Tioli Endpoint Manager se lance automatiquement. Vous pouez aussi l'exécuter à tout moment en le sélectionnant dans le menu Démarrer. Pour installer les trois principaux composants de Tioli Endpoint Manager (sereur, console et client), procédez comme suit : 1. S'il n'est pas encore en exécution, lancez le guide d'installation (Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Installation Guide). 2. Sélectionnez le bouton marqué Install Components (Installer les composants). 3. La boîte de dialogue qui s'oure ous inite à sélectionner un composant à installer. Cliquez sur les boutons situés à gauche, dans l'ordre du haut ers le bas, pour installer les composants de Tioli Endpoint Manager. Les programmes d'installation des composants incluent : Installation du sereur Tioli Endpoint Manager Installation de la console Tioli Endpoint Manager Installation des clients Tioli Endpoint Manager Accès aux dossiers d'installation 4. Le sereur, la console et les clients Tioli Endpoint Manager ont tous leurs propres programmes d'installation. Suiez les instructions pour chacun, comme indiqué dans les sections suiantes. Installation du sereur principal Le sereur Tioli Endpoint Manager est le coeur du système. Il s'exécute sur un ordinateur de classe sereur de otre réseau, qui doit bénéficier d'un accès direct à Internet ainsi que d'un accès direct à tous les ordinateurs clients de otre réseau. Vérifiez que otre sereur satisfait les exigences énoncées dans la section 18 Tioli Endpoint Manager - Guide d'administration

25 Configuration requise du sereur (page «Configuration requise pour le sereur Tioli Endpoint Manager», à la page 4). En outre, ous pouez consulter l'article de la base de connaissances sur configuration requise du sereur sur le site de support de Tioli Endpoint Manager. Pour installer le sereur, procédez comme suit : 1. Si ous ne l'aez pas encore fait, exécutez le guide d'installation (Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Installation Guide). Cliquez sur le bouton intitulé Install Components (Installer des composants). 2. Un noueau panneau s'oure. Cliquez sur le bouton du haut intitulé Install Serer (Installer le sereur). L'assistant d'installation du sereur Tioli Endpoint Manager Serer présente une page d'accueil. Cliquez sur Suiant pour continuer. 3. Après aoir lu le Contrat de licence, cliquez sur Oui pour l'accepter et continuer. 4. La boîte de dialogue qui s'affiche dresse la liste des composants du sereur sur le point d'être installés. En général, ous deez accepter les composants par défaut, cliquez ensuite sur Suiant. 5. Une boîte de dialogue ous inite à choisir une base de données Master (principale) ou Replicated (répliquée). Cliquez sur le premier bouton pour créer une base de données principale pour une réplication ultérieure ou si ous n'aez besoin que d'une base de données unique dans otre déploiement. Cliquez sur le deuxième bouton pour créer une réplique de la base de données principale existante. S'il s'agit de otre première installation, cliquez sur le bouton situé en haut. 6. Une boîte de dialogue ous inite à sélectionner une base de données locale ou distante. Si ous souhaitez utiliser un autre ordinateur pour héberger la base de données Tioli Endpoint Manager, il doit aoir SQL Serer déjà installé. Le choix le plus courant consiste à utiliser la base de données locale. Tioli Endpoint Manager - Guide d'administration 19

26 7. Le programme d'installation ous inite à indiquer la destination souhaitée des composants sereur. L'emplacement par défaut est C:\Program Files\BigFix Enterprise\BES Serer, mais ous pouez indiquer un emplacement différent en cliquant sur le bouton Parcourir. Une fois la destination définie, cliquez sur Suiant. 8. La boîte de dialogue Propriétés du sereur ous inite à entrer un emplacement pour le dossier de la racine Web du sereur (s'il est différent de celui par défaut). Il s'agit de l'emplacement pour le stockage des fichiers téléchargés. Vous pouez également éditer l'adresse URL par défaut, si ous souhaitez la modifier. Remarque : Aucune autre application ne peut être en mode écoute sur le port de Tioli Endpoint Manager ou sinon des erreurs ont apparaître. 9. Une boîte de dialogue ous inite à indiquer un emplacement et un numéro de port pour Web Reports. Par défaut, il utilise le port 80. Si IIS est installé, il choisit alors le port Le programme d'installation du sereur Tioli Endpoint Manager présente ensuite une fenêtre affichant l'inentaire sélectionné des composants sereur à installer, ainsi que certains autres programmes d'installation à exécuter. Cliquez sur Suiant pour poursuire l'installation. 11. Une fois les fichiers correctement installés, le programme ous demande des informations spécifiques, en fonction de os paramètres d'installation. Le programme ous inite à définir un mot de passe par défaut de l'administrateur système si le mot de passe de l'administrateur système pour la base de données SQL Serer n'est pas actuellement défini (cette opération est réalisée pour des raisons de sécurité). 12. Le programme ous inite ensuite à rechercher otre fichier license.pk. Acceptez le chemin d'accès par défaut (s'il est spécifié) ou cliquez sur le bouton Parcourir pour rechercher un emplacement différent. Finalement, entrez otre mot de passe pour initialiser la base de données. Cliquez alors sur OK pour continuer. Remarque : Pour installer la base de données sur un ordinateur différent du sereur, procédez comme suit : a. Sélectionnez l'option de base de données distante. b. Entrez les informations suiantes : Nom_sereur /Nom_utilisateur. Vérifiez que l'utilisateur qui exécute le programme d'installation du sereur dispose des priilèges sa (administrateur système) pour créer des bases de données, des tables dans les nouelles bases de données, des rôles d'utilisateur de base de données et des utilisateurs SQL Serer. c. Vérifiez que le serice SQL Serer Browser est installé et en cours d'exécution sur le sereur SQL. d. Si c'est le cas, ous pouez naiguer dans la configuration de Tioli Endpoint Manager pour identifier l'instance de base de données. Vous pouez également définir l'instance de la base de données, en spécifiant ce qui suit: mysqlserer:<port>\<nom_instance> 13. Entrez otre mot de passe pour initialiser la base de données. 14. Entrez os nom d'utilisateur et mot de passe initiaux pour la console. Il s'agit du compte utilisé pour se connecter la première fois à la console. C'est un compte opérateur principal bénéficiant de tous les priilèges. 20 Tioli Endpoint Manager - Guide d'administration

27 15. L'installation du sereur Tioli Endpoint Manager est maintenant terminée. Lorsque le programme se ferme, celui ous permet d'éaluer l'installation. Vérifiez que la case à cocher intitulée Run the Tioli Endpoint Manager Diagnostic Tool (Exécuter l'outil de diagnostic de Tioli Endpoint Manager) est actiée, puis cliquez sur Terminer. Cliquez sur le bouton Full Interface (Interface complète) pour exécuter les diagnostics afin de ous assurer du bon fonctionnement de l'installation et pour présenter une analyse complète pour otre inspection. Pour plus d'informations sur cet outil, reportez-ous à la section intitulée Exécution de l'outil de diagnostic de Tioli Endpoint Manager plus loin dans ce guide. Authentification de sereurs supplémentaires (DSA) Plusieurs sereurs peuent offrir un nieau de serice supérieur à otre installation Tioli Endpoint Manager. Si ous choisissez d'ajouter la fonction DSA (Architecture Serer Distributed) à otre installation, ous serez en mesure de restaurer automatiquement après des défaillances réseau et systèmes, tout en continuant à fournir un serice localemant. Pour bénéficier de cette fonction, un ou plusieurs sereurs supplémentaires ayant une capacité au moins égale à otre sereur principal sont nécessaires. Du fait des dépenses supplémentaires et de l'installation que cela implique, ous deez soigneusement réfléchir à os besoins aant de ous engager dans DSA. Tout d'abord, ous deez déterminer de quelle manière os sereurs ont communiquer entre eux. Il existe trois options d'authentification inter-sereurs : les deux premières sont à l'image de NT et la troisième est SQL. Comme elle est plus sécurisée, l'authentification NT est recommandée. Vous ne pouez pas faire de choix de combinaisons, tous les sereurs doient utiliser la même autorisation. Utilisation d'une authentification NT aec des utilisateurs de domaine et des groupes d'utilisateurs : Cette technique permet à chaque sereur d'utiliser l'utilisateur de domaine indiqué ou un membre du groupe d'utilisateurs indiqué pour accéder à tous les autres sereurs du déploiement. Pour authentifier os sereurs à l'aide des utilisateurs ou des groupes d'utilisateurs de domaine, procédez comme suit : 1. Créez un utilisateur ou un groupe d'utilisateurs de compte de serice dans otre domaine. Pour un groupe d'utilisateurs, ajoutez les utilisateurs de domaine autorisés à os sereurs. Les droits d'administration du domaine sont peut-être nécessaires pour mener cette opération. 2. Sur le sereur principal, utilisez SQL Serer Management Studio pour créer une connexion pour l'utilisateur ou le groupe d'utilisateurs du compte de serice de domaine, aec une base de données par défaut BFEnterprise, puis attribuez à cette connexion l'autorité de l'administrateur système (sa) ou le rôle de DBO (propriétaire de la base de données) pour les bases de données BFEnterprise et principales. 3. Sur le sereur principal, modifier les paramètres LogOn du serice FillDB pour l'utilisateur ou un membre du groupe d'utilisateurs du domaine créé ci-dessus, puis redémarrez le serice. Tioli Endpoint Manager - Guide d'administration 21

28 Utilisation d'une authentification aec des groupes d'ordinateurs du domaine : Cette technique permet d'ajouter chaque sereur à un groupe d'ordinateurs du domaine spécifié et chaque sereur accepte les connexions des membres de ce groupe de domaines. Pour authentifier os sereurs à l'aide des groupes d'ordinateurs du domaine, procédez comme suit : 1. Dans otre domaine, créez un groupe de sécurité globale contenant chaque sereur souhaité. Les droits d'administration du domaine sont peut-être nécessaires pour mener cette opération. 2. Après aoir créé le groupe, chaque sereur doit être réamorcé pour mettre à jour ses données d'identification du domaine. 3. Sur le sereur principal, utilisez SQL Serer Management Studio pour créer une connexion pour le groupe de domaine, aec une base de données par défaut BFEnterprise, puis attribuez à cette connexion l'autorité de l'administrateur système (sa) ou le rôle de DBO (propriétaire de la base de données) pour les bases de données BFEnterprise et principales. Utilisation d'une authentification SQL : Cette technique permet d'attribuer à chaque sereur un nom de connexion et un mot de passe, et d'être configuré pour accepter les noms de connexion et mots de passe de tous les autres sereurs du déploiement. N'oubliez pas que le mot de passe de ce compte est enregistré en texte clair sous la branche HKLM du registre sur chaque sereur. Pour authentifier otre sereur à l'aide d'une authentification SQL, procédez comme suit : 1. Choisissez un nom de connexion unique (par exemple, 'bessererlogin'), et un mot de passe unique à utiliser par tous les sereurs de otre déploiement dans une authentification inter-sereurs. 2. Sur le sereur principal, utilisez SQL Serer Management Studio pour créer une connexion SQL Serer aec ce nom. Choisissez une authentification de sereur SQL Serer comme option d'authentification et indiquez le mot de passe. Changez la base de données par défaut pour BFEnterprise, et accordez-lui l'autorité de l'administrateur système (sa) ou le rôle de propriétaire de base de données pour les bases de données BFEnterprise et principales. 3. Sur le sereur principal, ajoutez les aleurs de chaîne suiantes sous la clé : HKLM\Software\BigFix\Enterprise Serer\FillDB: ReplicationUser = <nom_de_connexion> ReplicationPassword = <mot_de_passe> 4. Redémarrez le serice FillDB. Remarque : Ce choix doit être effectué en se basant sur l'étendue du déploiement ; ous ne pouez pas mélanger des sereurs aec authentification de domaine à des sereurs aec authentification SQL. En outre, tous les sereurs Tioli Endpoint Manager de otre déploiement doient exécuter la même ersion de SQL Serer. Installation de sereurs supplémentaires (DSA) Aant de poursuire aec cette section, déterminez otre méthode d'authentification et exécutez les opérations appropriées de la section Authentification de sereurs supplémentaires (DSA) abordée précédemment. 22 Tioli Endpoint Manager - Guide d'administration

29 Pour chaque sereur supplémentaire que ous souhaitez ajouter à otre déploiement, érifiez qu'ils communiquent entre eux, puis procédez comme suit : 1. Installez la même ersion de SQL Serer que celle utilisée par le sereur principal. 2. Exécutez le programme d'installation du sereur sur chaque machine que ous oulez configurer comme sereur supplémentaire. Utilisez la même administration de domaine que celle utilisée pour installer SQL Serer localement (afin de disposer des droits de l'administrateur système). 3. Si ous extrayez le programme d'installation du sereur du générateur d'installation, sélectionnez Production Deployment (Déploiement de production) et I want to install with an existing masthead (Je eux installer aec un générique existant). Indiquez le fichier masthead.afxm du sereur principal. Sinon, utilisez le module d'installation sur le sereur du dossier BESInstallers du sereur principal. 4. Sur la page Select Database Replication (Séléctionner une base de données de réplication) du programme d'installation du sereur, sélectionnez Replicated Database (Base de données répliquée). 5. Sur la page Select Database (Sélectionner une base de données), sélectionnez Local Database (Base de données locale) pour héberger la base de données sur le sereur (en standard pour la plupart des applications). 6. Parcourez les écrans du programme d'installation comme à otre habitude jusqu'à ce que le programme d'installation arrie à Configuring your new installation (Configuration de otre nouelle installation) et ous inite à poursuire l'aide de la boîte de dialogue Database Connection (Connexion de données). Entrez le nom d'hôte de otre sereur principal, et les données d'identification pour un compte qui peut se connecter au sereur principal aec les droits DBO sur la base de données BFEnterprise. 7. La fenêtre des sereurs de réplication affiche la configuration du sereur pour otre déploiement actuel. Par défaut, otre sereur nouellement installé doit être configuré pour répliquer directement à partir du sereur principal toutes les 5 minutes. Vous pouez régler cela si nécessaire. 8. Pour les installations de grande taille, la réplication de base de données initiale peut prendre plusieurs minutes et pourrait être interrompue. Si c'est le cas, ous pouez en parler à otre support logiciel IBM. 9. Utilisez SQL Serer Management Studio pour créer la même connexion à SQL Serer que ous aez créée précédemment sur le sereur principal aec BFEnterprise comme base de données par défaut et l'autorité de l'administrateur système (sa) ou le rôle DBO sur les bases de données BFEnterprise et principales. 10. Pour l'authentification NT ia l'utilisateur de domaine et le groupe d'utilisateurs, modifiez les paramètres de connexion pour le serice FillDB pour l'utilisateur de domaine ou le membre du groupe d'utilisateurs créé ci-dessus, puis redémarrez le serice. 11. Pour l'authentification SQL, ajoutez les aleurs de chaîne suiantes aux clés de registre FillDB, puis redémarrez le serice FillDB. 12. HKLM\Software\BigFix\Enterprise Serer\FillDB: ReplicationUser = <login name> ReplicationPassword = <password> Tioli Endpoint Manager - Guide d'administration 23

30 13. Sur le sereur nouellement installé, exécutez l'outil d'administration de Tioli Endpoint Manager et sélectionnez l'onglet Réplication pour isualiser la liste actuelle des sereurs et leurs périodes de réplication. Sélectionnez le sereur nouellement installé dans le menu déroulant, puis érifiez dans la liste ci-dessous que sa connexion au sereur principal est correcte. Sélectionnez ensuite le sereur principal dans la liste déroulante du sereur, puis érifiez que sa connexion au noueau sereur est correcte. Vous derez peut-être attendre la prochaine période de réplication pour que les deux sereurs indiquent une connexion réussie. Remarque : La réplication initiale peut durer plusieurs heures en fonction de la taille de otre base de données. Attendez que la réplication se termine aant d'entreprendre une action quelconque à partir d'une console connectée au sereur réplique. 14. Vous pouez afficher un graphique des sereurs et leurs connexions en cliquant sur le bouton Edit Replication Graph (Editer le graphique de réplication). Vous pouez changer les connexions entre des sereurs par un simple déplacement de souris des flèches de connexion situées autour. Exécution de l'outil de diagnostic de Tioli Endpoint Manager L'outil de diagnostic de Tioli Endpoint Manager érifie le bon fonctionnement des composants du sereur. Il identifie ceux qui ne sont pas correctement configurés ou non fonctionnels et affiche les résultats. Pour exécuter les diagnostics, procédez comme suit : 1. Si ous enez d'installer le sereur, l'outil de diagnostic doit déjà être en cours d'exécution. Sinon, connectez-ous au sereur en tant qu'administrateur, puis lancez le programme (Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Diagnostics Tool). Le programme analyse les composants du sereur et crée un rapport. 2. Pour obtenir des informations plus détaillées, cliquez sur le bouton Full Interface (Interface complète). Le panneau de commande de diagnostic de Tioli Endpoint Manager s'affiche. Cette fenêtre comporte des onglets correspondant aux catégories de diagnostics du sereur, notamment Serices et Web Reports. 24 Tioli Endpoint Manager - Guide d'administration

31 Notez que si ous n'aez pas encore installé le client, un oyant d'aertissement s'affiche. Il deient ert dès que ous installez le client. 3. L'onglet Serices ous indique si la base de données et les serices de collecte sont bien installés et fonctionnent correctement. Tioli Endpoint Manager - Guide d'administration 25

32 Si un oyant rouge est allumé en regard d'un élément, cela signale une panne de ce composant. Vous deez résoudre le problème indiqué aant de pouoir être sûr que le sereur fonctionne correctement. De même, il existe un onglet pour diagnostiquer le sereur Web Reports. 4. Pour obtenir plus d'informations, cliquez sur le bouton "point d'interrogation" situé à droite d'un élément. Ces boutons font le lien ers des articles de la base de connaissances sur le site de support Tioli Endpoint Manager. 5. Si tous les boutons sont allumés en ert, cliquez sur Fermer pour quitter le diagnostic. Remarque : Si l'ordinateur sereur est membre d'un domaine, mais si ous aez ouert otre session en tant qu'utilisateur local, l'outil de diagnostic peut parfois indiquer à tort que les droits sont incorrects. Si ous constatez que os tests d'accès échouent anormalement, ous pouez sans aucun souci ignorer les aertissements de diagnostic. Présentation des composants sereur Le sereur Tioli Endpoint Manager est maintenant correctement installé. Il a répondre aux messages et aux demandes des ordinateurs relais, client et de la console en se serant d'un grand nombre de composants. Pour mieux comprendre ce que le sereur fait, la liste ci-dessous présente certains de ces composants complétés d'une brèe description : Composant Client Registration. Après son installation sur un nouel ordinateur, le client s'enregistre auprès du composant sereur Client Registration (enregistrement client) et reçoit un ID unique. En cas de changement de l'adresse IP de l'ordinateur, le client enregistre automatiquement la nouelle adresse IP aec le composant d'enregistrement du client. 26 Tioli Endpoint Manager - Guide d'administration

33 Composant sereur Post Results. Lorsqu'un client détecte qu'un Fixlet est deenu pertinent, il l'indique au composant sereur Post Results ia une une opération HTTP POST. Il identifie le Fixlet correspondant aec l'id enregistré de l'ordinateur client. Cette information est transmise à la base de données Tioli Endpoint Manager ia le serice FillDB et deient alors isible sur la console. En outre, d'autres changements d'état sont régulièrement signalés par les clients au sereur directement ou ia des relais. Composant sereur Gather. Ce composant guette des changements dans le contenu des Fixlet pour tous les sites de Fixlets auxquels ous êtes abonné. Il télécharge ces changements sur le sereur et les met à disposition du composant GatherDB. Composant FillDB. Ce composant enregistre des résultats de client dans la base de données. Composant GatherDB. Ce composant collecte et stocke des téléchargements Fixlet issus d'internet dans la base de données. Composant sereur Download Mirror. Le composant sereur Download Mirror héberge les données de site Fixlet pour les relais et clients. Il fonctionne comme un sereur de téléchargement simplifié pour le trafic de Tioli Endpoint Manager. Installation de la console La console Tioli Endpoint Manager permet à l'opérateur de sureiller et de résoudre des problèmes sur tous les ordinateurs gérés sur le réseau. A l'exception des enironnements de test ou d'éaluation, il n'est pas recommandé d'exécuter la console sur l'ordinateur sereur proprement dit en raison de l'impact sur les performances et la sécurité, en ayant la clé des données d'identification de l'éditeur sur un ordinateur qui exécute un sereur Web ou une base de données. Pour installer la console, procédez comme suit : 1. Exécutez le guide d'installation (Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Installation Guide). Cliquez sur le bouton intitulé Install Tioli Endpoint Manager Components (Installer des composants Tioli Endpoint Manager). 2. Sur le panneau suiant, cliquez sur Install Console (Installer la console). 3. A l'inite, entrez l'emplacement d'installation pour la console. L'emplacement par défaut est C:\Program Files\BigFix Enterprise\BES Console. Pour choisir une autre destination, cliquez sur Parcourir et accédez à l'emplacement souhaité. Cliquez sur Suiant pour continuer. 4. Une fois les fichiers installés, cliquez sur Terminer pour terminer l'installation. Vous pouez maintenant choisir de lancer la console ou de continuer par l'action suiante consistant à installer les clients. Pour plus d'informations sur l'utilisation du programme Console, oir le document Tioli Endpoint Manager Console Users Guide. Installation de clients Installez le client Tioli Endpoint Manager sur tous les ordinateurs que ous oulez administrer sur otre réseau, y compris les ordinateurs où sont exécutés le sereur et la console. Cela permet à ces ordinateurs de receoir des messages Fixlet importants (comme des correctifs de sécurité, des fichiers de configuration ou des mises à jour). Tioli Endpoint Manager - Guide d'administration 27

34 Si ous exécutez le programme d'installation, sélectionnez Install Tioli Endpoint Manager Components (Installer des composants Tioli Endpoint Manager) > Install Clients (Installer des clients) > Install Locally (Installer localement) pour installer le client sur otre machine locale dans le répertoire que ous indiquez. Il existe plusieurs méthodes différentes d'installation du client sur des ordinateurs distants, notamment l'outil de déploiement des clients, les scripts de connexion, des utilitaires non-ibm et l'installation manuelle. Une fois les clients installés, il est possible d'automatiser des mises à nieau et d'autres tâches de maintenance au moyen de messages Fixlet. Utilisation de l'outil de déploiement des clients : Sur des réseaux plus petits (comptant moins de ordinateurs eniron) connectés à des domaines Actie Directory ou NT Directory, ous pouez utiliser l'outil de déploiement des clients pour installer les clients Windows. S'il s'agit de réseaux plus importants, ous pouez juger qu'il est plus facile d'utiliser d'autres méthodes de déploiement. L'outil de déploiement des clients autorise un déploiement de clients par un moyen facile, mais quelques exigences et conditions sont toutefois à respecter : Vous deez disposer d'un domaine Actie Directory ou NT Directory (il existe également une option pour déployer sur une liste d'ordinateurs si ous disposez d'un compte d'administrateur sur l'ordinateur). L'outil de déploiement des clients Tioli Endpoint Manager peut uniquement cibler des ordinateurs qui exécutent Windows 2000, Windows XP, Windows Serer 2003, Windows Vista, Windows Serer 2008, Windows 7 ou Windows Serer 2008 R2. L'ordinateur qui exécute l'outil de déploiement des clients doit être connecté au domaine, mais ne doit pas être lui-même le contrôleur de domaine. Les serices SCM (Serice Control Manager) et RPC (Remote Procedural Call) doient être exécutés sur les machines cible. Il ne doit y aoir aucune stratégie de sécurité sur l'ordinateur qui soit susceptible d'empêcher une connexion distante au serice SCM ou un appel de procédure à distance (RPC). La propriété dnsname de tous les ordinateurs cible figurant sous Actie Directory doit être correctement définie. L'outil de déploiement des clients rend plus facile l'enoi du client ers des ordinateurs, mais il ne s'agit pas d'une distribution complète de logiciels de classe entreprise. Si ous disposez déjà d'un outil de distribution de logiciel, nous recommandons d'utiliser de préférence l'outil de déploiement de logiciels existant. L'outil de déploiement de clients Tioli Endpoint Manager commence par l'obtention d'une liste d'ordinateurs du sereur Actie Directory et une connexion à distance aux ordinateurs (un accès à 100 ordinateurs à la fois) pour oir si le serice Client est déjà installé sur chaque ordinateur. Si c'est le cas, il indique Installed (Installé) aec le statut du serice client Running (En cours d'exécution), Stopped (Arrêté), etc. S'il est impossible de déterminer le statut en raison d'un problème d'autorisation ou pour toute autre motif, Status Unknown (Etat inconnu) est alors indiqué. Sinon, il indique Not Installed (Non Installé), sauf s'il ne peut pas du tout communiquer aec l'ordinateur, auquel cas, il signale Not Responding (Pas de réponse). 28 Tioli Endpoint Manager - Guide d'administration

35 Si le client n'est pas encore installé, l'outil fournit des interfaces qui ous permettent d'émettre un appel de procédure à distance (RPC) qui accède au programme d'installation partagé et, aec les données d'identifications appropriées d'administration du domaine, il s'exécute en mode silencieux, sans aucune interaction de l'utilisateur. Utilisez l'outil en procédant comme suit : 1. L'outil de déploiement des clients Tioli Endpoint Manager est créé par le générateur d'installation. Vous pouez lancer l'outil à partir du guide d'installation (cliquez sur le bouton Install Tioli Endpoint Manager Components > Install Tioli Endpoint Manager Clients > Install Remotely) ou lancez-le directement à partir de Démarrer > Programmes >Tioli Endpoint Manager > Tioli Endpoint Manager Client Deploy. 2. La boîte de dialogue qui en résulte propose trois méthodes de déploiement des clients : Recherche des ordinateurs à l'aide d'actie Directory. L'outil de déploiement des clients Tioli Endpoint Manager contacte le sereur Actie Directory pour obtenir la liste de tous les ordinateurs du domaine. Il érifie chacun des ordinateurs pour oir si le client est déjà installé et affiche ces informations dans une liste. Recherche des ordinateurs à l'aide de domaines NT 4.0. Tous les ordinateurs du domaine sont répertoriés aec un indicateur de statut signalant si le client a été installé ou non. Recherche des ordinateurs indiqués dans une liste. Selon le mode de résolution des adresses des ordinateurs dans otre réseau, ous deez fournir une liste de noms d'ordinateur, de plages d'adresses IP ou de noms d'hôte. La liste doit comporter un nom / une plage d'adresses IP / un nom d'hôte par ligne. Cette option permet à l'outil de déploiement des clients de ne pas tenter de reconnaître des ordinateurs, mais de tenter à la place une installation directement sur tous les ordinateurs répertoriés. 3. Entrez un nom d'utilisateur et mot de passe qui autorisent un accès administrateur aux ordinateurs. Dans la plupart des cas, il s'agit d'un compte d'administrateur de domaine. Si ous utilisez l'option de liste d'ordinateurs, ous pouez indiquer un compte local sur les ordinateurs distants (comme le compte administrateur local) qui dispose des priilèges d'administration. Le reste du processus de déploiement des clients utilise ce nom d'utilisateur/mot de passe, et donc si le compte ne dispose pas des droits d'accès appropriés sur les ordinateurs distants, ous receez des erreurs de refus d'accès. 4. Lorsque la liste des ordinateurs s'affiche, sélectionnez les ordinateurs que ous oulez gérer aec Tioli Endpoint Manager à l'aide des touches Maj et Ctrl du claier et des clics de souris. Cliquez sur Suiant. 5. Vous pouez afficher la liste des ordinateurs que ous aez sélectionnés. Les options par défaut sont généralement suffisantes, mais ous pouez aussi sélectionner Adanced Options (Options aancées) pour configurer les paramètres d'installation suiants : File Transfer (Transfert de fichier) : ous pouez choisir de pousser (push) les fichiers hors du sereur distant pour l'installation ou d'extraire (pull) les fichiers de l'ordinateur local. Sauf si des règles de sécurité sont en place pour l'empêcher, dans la plupart des cas, l'opération consistant à pousser les fichiers ers l'ordinateur distant fonctionne le mieux. Connection Method (Méthode de connexion) : il existe deux façons de se connecter à des ordinateurs distants. L'utilisation de SCM (Serice Control Manager) est recommandée, mais ous pouez également utiliser le planificateur de tâches si SCM ne fonctionne pas. Tioli Endpoint Manager - Guide d'administration 29

36 Chemin d'installation (Installation Path) : indiquez un chemin pour le client ou acceptez la aleur par défaut (recommandé). Verification (Vérification) : actiez cette case à cocher pour érifier que le serice Client est en cours d'exécution après aoir attendu la fin de l'installation, ceci pour s'assurer que l'installation s'est correctement effectuée. Configuration personnalisée (Custom Setting) : Ajoutez un paramètre personnalisé pour chaque client déployé, sous la forme d'une paire Nom / Valeur. 6. Pour débuter l'installation, cliquez sur Démarrer. 7. Une fois l'installation terminée, un journal des réussites et échecs s'affiche. Pour certains incidents, refaire une nouelle tentatie peut suffire, sinon utilisez les options aancées si cela ne fonctionne pas. Pour plus d'informations, oir l'article Client deployment sur le site de support de Tioli Endpoint Manager. Installation manuelle des clients : Vous pouez toujours installer le client Tioli Endpoint Manager en exécutant le programme d'installation du client manuellement sur chaque ordinateur. Il s'agit d'un mécanisme rapide et efficace pour l'installation du client sur un petit nombre d'ordinateurs. 1. Il existe au moins deux façons d'installer le client : Connectez-ous à l'ordinateur aec les priilèges de l'administrateur et copiez le dossier BES Installers\Client de l'ordinateur d'installation sur le disque dur local. Vous pouez aussi exécuter le guide d'installation (accessible à Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Installation Guide) et cliquez ensuite sur le bouton marqué Browse Install Folders. Cela oure le dossier Tioli Endpoint Manager Installers et affiche le dossier Client. 2. Après aoir copié le dossier Client sur l'ordinateur cible, dans ce dossier, cliquez deux fois sur setup.exe pour lancer le programme d'installation. 3. Après l'affichage du panneau de bienenue, ous êtes inité à indiquer un emplacement pour l'installation du logiciel. Vous pouez accepter la aleur par défaut, ou cliquer sur Parcourir pour sélectionner un emplacement différent. 4. Une fois que les fichiers ont été déplacés, cliquez sur Terminé pour quitter le programme d'installation. L'application Tioli Endpoint Manager Client est maintenant installée et a automatiquement commencer à fonctionner en arrière-plan. 5. Répétez cette opération sur tous les ordinateurs de otre réseau que ous oulez placer sous l'administration de Tioli Endpoint Manager. Installation du client aec MSI : Vous pouez utiliser la ersion Microsoft Installer (MSI) du client pour interpréter le module et exécuter l'installation automatiquement. Cette ersion MSI du client (BESClientMSI.msi) est stockée dans le dossier BESInstallers\ClientMSI. Vous pouez exécuter ce programme directement pour installer le client ou l'appeler aec des arguments. Voici quelques exemples de commandes, en supposant que la ersion MSI du client se troue dans le dossier c:\besinstallers\clientmsi : msiexec.exe /i c:\besinstallers\clientmsi\besclientmsi.msi /qn la commande \qn exécute une installation en mode silencieux. 30 Tioli Endpoint Manager - Guide d'administration msiexec.exe /i c:\besinstallers\clientmsi\besclientmsi.msi INSTALLDIR="c:\myclient"

37 Cette commande installe le programme dans le répertoire donné. Vous trouerez la liste complète des options d'installation sur le site de Microsoft : command_line_options.asp. La ersion MSI du programme d'installation du client ous permet de créer un objet stratégie de groupe (GPO) pour des déploiements BESClientMSI. Pour plus d'informations sur les stratégies de groupe, oir l'article de la base de connaissances Microsoft : Utilisation de l'outil de distribution de logiciel : Si ous aez accès à un outil de distribution de logiciel comme Microsoft SMS, IBM Tioli, CA Unicenter ou Noell ZENworks, et si tous les ordinateurs concernés ont l'outil actié, ous pouez utiliser l'outil pour déployer un package d'installation pour le client. Il s'agit du moyen de déploiement le plus efficace dans une entreprise car la procédure d'infrastructure et de déploiement est déjà en place. Utilisation des règles de groupe : Actie Directory Group Policy Objects (GPO) permet de définir une règle imposant que le client soit installé sur chaque machine d'un groupe particulier (unité organisationnelle, domaine, etc.). Cette règle s'applique toutes les fois qu'un utilisateur se connecte au domaine spécifié, ce qui en fait est un moyen très efficace de déployer le client si GPO est actié. Pour plus d'informations, consultez otre administrateur Actie Directory. Utilisation des scripts de connexion : Dans un domaine NT ou AD, il est possible d'écrire des scripts de connexion destinés à érifier la présence du client. Lorsque l'ordinateur se connecte et troue que le client est manquant, il peut accéder automatiquement à l'utilitaire d'installation du client à partir d'un emplacement spécifié sur un partage de fichiers global. Le site de support dispose d'un article de base de connaissances contenant un exemple de script de connexion (mots clés : example login script (exemple script connexion)) ainsi que des instructions sur comment utiliser les scripts de connexion pour installer le client. Si otre réseau doit ajouter de temps en temps de noueaux ordinateurs, cette approche peut s'aérer très pratique, en eillant à ce que le sereur reconnaisse et gère les nouelles machines automatiquement. Toutefois, sur certains réseaux utilisant Windows 2000 ou XP, les utilisateurs doient se connecter en bénéficiant des droits de l'administrateur pour cette technique fonctionne. Ces scripts transmettent des arguments à la configuration basée sur le programme d'installation de Windows. Pour plus d'informations sur les options de ligne de commande pour setup.exe, reportez-ous au site Web de support d'installshield à l'adresse IHelpSetup_EXECmdLine.htm. Tioli Endpoint Manager - Guide d'administration 31

38 Voici quelques exemples de commutateurs de ligne de commande pour le programme d'installation du client qui peuent être utilisés dans un script de connexion : Pour installer le client en mode silencieux tout en écriant une connexion à C:\, exécutez une commande DOS de la forme suiante : setup.exe /s //l*oicewarmup \"C:\besclientinstall.log\" SETUPEXE=1 /qn Pour modifier l'emplacement par défaut d'installation, le formulaire approprié de la commande est le suiant : setup.exe /s //l*oicewarmup \"C:\besclientinstall.log\" INSTALLDIR=\ <Chemin_installation\ SETUPEXE=1 /qn où <Chemin_installation> est le chemin d'accès complet Windows au dossier dans lequel le client est installé. Remarque : L'utilisateur Windows exécutant setup.exe doit disposer des droits de l'administrateur sur l'ordinateur et doit être en mesure d'écrire un fichier journal dans le même dossier qui contient le fichier "setup.exe", sinon l'installation échoue et aucun fichier journal n'est créé. Intégration d'une génération commune : Si otre entreprise utilise une image de génération spécifique ou un enironnement d'exploitation commun (COE) sur un CD ou une image qui est utilisée pour préparer de noueaux ordinateurs, ous pouez inclure le client dans cette génération. Pour créer l'image, suiez ces instructions : Pour Windows : 1. Installez le client sur l'ordinateur pour l'image. 2. Le client Tioli Endpoint Manager tente immédiatement de se connecter au sereur. S'il y parient, il se oir affecté un ComputerID. Ce ComputerID est unique pour cet ordinateur particulier, et donc il ne doit pas faire partie d'une image de génération commune. Les étapes suiantes suppriment cet ID. 3. Arrêtez le client en ourant la boîte de dialogue Serices de Windows et en arrêtant le serice client BES. 4. Supprimez l'identificateur spécifique de l'ordinateur en ourant le registre à HKLM\Software\BigFix\EnterpriseClient\GlobalOptions et en supprimant les aleurs ComputerID, RegCount et ReportSequenceNumber. 5. Le client Tioli Endpoint Manager est maintenant prêt pour l'image. Remarque : Si ous redémarré le client pour une raison quelconque (notamment un redémarrage du système), il se ré-enregistre auprès du sereur et ous derez réexécuter les étapes 3 à 4. Le sereur possède un dispositif intégré de détection et de résolution de conflits, de telle sorte que si, pour une raison quelconque, ous ne parenez pas à supprimer l'id, le sereur signale qu'il existe plusieurs clients dont le CompterID est le même et force le client à se ré-enregistrer pour que tout fonctionne correctement. Cependant, nous recommandons d'exécuter les étapes ci-après pour éiter d'aoir un client en grisé (la première image d'ordinateur) dans la liste des ordinateurs de la console. Pour Linux : 1. Installez le client sur l'ordinateur pour l'image 2. Arrêtez le client en exécutant /etc/init/besclient stop 32 Tioli Endpoint Manager - Guide d'administration

39 3. Supprimez l'identificateur spécifique de l'ordinateur du fichier.config pour éiter que toutes les copies de la machine s'enregistrent aec le même ID client sur le sereur. 4. Le client Tioli Endpoint Manager est maintenant prêt pour l'image. Pour Macintosh : 1. Installez le client sur l'ordinateur pour l'image. 2. Arrêtez le client à l'aide de sudo systemstarter stop BESClient. 3. Supprimez l'identificateur spécifique de l'ordinateur pour éiter que toutes les copies de la machine s'enregistrent aec le même ID client sur le sereur. Si elles existent, supprimez RegCount, ReportSequenceNumber et ComputerID dans le dossier des préférences du client : /Library/ Preferences/com.bigfix.besagent.plist. Supprimez le dossier BESData. L'emplacement par défaut est \Library\Application Support\BigFix\BES Agent. 4. Le client Tioli Endpoint Manager est maintenant prêt pour l'image. Utilisation de la messagerie électronique : Vous pouez enoyer aux utilisateurs un courrier électronique contenant une adresse URL et leur demander de l'utiliser pour installer le client lorsqu'ils se connectent au réseau. Il s'agit d'une technique efficace pour les ordinateurs Win9x car il n'y a aucune limitation des droits utilisateur sur ces plateformes. Toutefois, si l'application de droits d'administration est requise, cette méthode nécessite que les utilisateurs se connectent munis des droits de l'administrateur. Actiation du chiffrement sur des clients : Après l'installation, ous pouez configurer os clients pour chiffrer tous les rapports sortants afin de protéger des données comme les numéros de carte bancaire, des mots de passe et d'autres informations sensibles. Remarque : Vous deez aoir actié le chiffrement pour otre déploiement aant de l'actier pour os clients. En particulier, pour l'option requise, os clients ont passer en mode silencieux si ous les actiez sans aoir préalablement configuré otre déploiement. Pour actier le chiffrement, procédez comme suit : 1. Dans le domaine BigFix Management, ourez le dossier Computer Management (Gestion ordinateur), puis cliquez sur le noeud Computers (Ordinateurs). 2. Sélectionnez l'ordinateur ou un ensemble d'ordinateurs requis pour utiliser le chiffrement. 3. Dans le menu contextuel, sélectionnez Edit Computer Setting (Editer les paramètres de l'ordinateur). 4. Dans la boîte de dialogue Edit Settings (Editer les paramètres), cliquez sur Ajouter. Tioli Endpoint Manager - Guide d'administration 33

40 5. Dans la boîte de dialogue Add Custom Setting (Ajouter un paramètre personnalisé), entrez le nom du paramètre en tant que _BESClient_Report_Encryption (notez le caractère souligné en tête du nom). Il existe trois aleurs possibles pour ce paramètre : obligatoire : le client doit toujours utiliser le chiffrement. Sans certificat de chiffrement disponible dans le générique ou si l'ordinateur cible (relais ou sereur) ne peut pas accepter de chiffrement, le client ne peut pas enoyer des rapports. facultatif : le client chiffre s'il le peut, sinon il enoie son rapport en texte clair. aucun : aucun chiffrement n'est effectué, même si un certificat de chiffrement est présent. Ceci ous permet de désactier le chiffrement après l'aoir actié. 6. Cliquez sur OK pour accepter la aleur et sur OK encore pour terminer la configuration. Vous deez entrer le mot de passe de otre clé priée pour déployer l'action de paramétrage. Exécution de l'outil d'administration de Tioli Endpoint Manager Le programme d'installation crée automatiquement l'outil d'administration de Tioli Endpoint Manager lorsqu'il installe les autres composants du programme de la console. Ce programme fonctionne indépendamment de la console et est destiné aux opérateurs administrateur uniquement. Vous le trouerez dans le menu démarrer : Démarrer > Tous les programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. Pour exécuter le programme, ous deez d'abord accéder à la clé de signature (license.pk). Cette interface ous permet également de changer otre mot de passe d'administrateur. Après aoir sélectionné la licence de signature, cliquez sur OK pour continuer. Vous deez fournir otre mot de passe de clé priée pour continuer. Remarque : Pour effectuer les tâches de gestion des utilisateurs, ous deez passer par la console. Gestion des génériques : Cliquez sur le deuxième onglet pour afficher la boîte de dialogue Masthead Management (Gestion des génériques). 34 Tioli Endpoint Manager - Guide d'administration

41 Si ous ne disposez pas encore d'un générique, qui est obligatoire pour exécuter la console, cette boîte de dialogue fournit une interface permettant de Demander et d'actier ensuite un noueau générique. Si ous disposez déjà d'un générique, ous pouez l'éditer pour modifier les interalles de collecte et le errouillage. Pour plus d'informations sur la gestion de otre générique, oir la section intitulée Edition du générique (à la page «Edition du générique», à la page 71). Vous pouez également exporter otre générique, ce qui peut être utile si ous souhaitez étendre otre réseau Tioli Endpoint Manager à d'autres sereurs. Options système : Le troisième onglet oure la boîte de dialogue Options système. La première option définit une ligne de base minimale pour les interalles de régénération. Il s'agit de la période de régénération de la liste Fixlet spécifiée dans la boîte de dialogue Préférences de la console. La période par défaut est définie à 15 secondes, mais si otre réseau peut gérer la bande passante, ous pouez réduire cette aleur pour rendre la console plus réactie. A l'inerse, si otre réseau est mené à rude épreue, ous pouez choisir d'augmenter cette aleur minimale. Tioli Endpoint Manager - Guide d'administration 35

42 Cette boîte de dialogue ous permet également de définir la isibilité par défaut des sites externes. Il s'agit, par défaut, d'une isibilité globale de tous les opérateurs de console. Pour ous donner un contrôle supplémentaire, ous pouez définir la isibilité à "masqué", puis les ajuster indiiduellement ia la console. Pour rendre ces sites masqués isibles, ous deez être un administrateur ou un opérateur principal. Cette boîte de dialogue ous permet également d'ajouter otre propre logo à un contenu qui est présenté à l'utilisateur par le biais du client. La alorisation de la marque peut être importante pour rassurer os utilisateurs que les informations ont l'approbation de l'entreprise. Options aancées : Le quatrième onglet oure la boîte de dialogue Options aancées. Cette boîte de dialogue répertorie tous les paramètres globaux qui s'appliquent à otre installation particulière. 36 Tioli Endpoint Manager - Guide d'administration

43 Ces options sont des paires nom/aleur et sont généralement fournies par otre serice de support logiciel IBM. A titre d'exemple, si ous êtes abonné au site Power Management, l'une de ces options ous permet d'actier la fonction WakeOnLAN. Réplication : Le cinquième onglet oure la boîte de dialogue Réplication. Elle permet de isualiser os sereurs de réplication. Pour plus d'informations, oir la section intitulée Gestion de la réplication (page «Gestion de la réplication (DSA)», à la page 55). Chiffrement : Le dernier onglet oure la boîte de dialogue Chiffrement. Elle ous permet de générer une nouelle clé de chiffrement ou de désactier le chiffrement complètement. Pour plus d'informations, oir la section intitulée Gestion du chiffrement des clients (page «Gestion du chiffrement client», à la page 66). Présentation des droits de l'opérateur Les utilisateurs de la console, également appelés éditeurs ou opérateurs, peuent être en charge de groupes d'ordinateurs définis de manière flexible aec diers degrés de liberté. En tant qu'administrateur de site, ous êtes responsable de chaque domaine d'opérateur et des droits spécifiques qu'ils ont sur ce domaine. Vous pouez gérer otre équipe d'opérateurs et d'administrateurs à l'aide de la console Tioli Endpoint Manager. Vous trouerez généralement ce programme dans le menu Démarrer, sous Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Console. Il existe trois classes de base d'utilisateurs : les administrateurs de site, les opérateurs principaux et les opérateurs ordinaires (non-principaux). Ils ont chacun différentes responsabilités et restrictions, comme décrit dans la section suiante. Remarque : Lorsque ous définissez un utilisateur de la console érifiez que le nom d'utilisateur ne contient aucun des caractères suiants : et \? Tioli Endpoint Manager - Guide d'administration 37

44 Administrateurs de site En tant qu'administrateur de site, ous êtes le gardien de la clé au nieau du site. Il s'agit d'une clé spéciale à n'utiliser que pour des tâches au nieau du site, et non pour les opérations de console. Pour les opérations quotidiennes, ous deez créer une clé d'opérateur principal. N'utilisez otre clé d'administrateur de site que lors de l'exécution de tâches de gestion de nieau supérieur, notamment pour les éléments suiants : Configuration des options système globales, y compris l'interalle d'actualisation minimal, la isibilité Fixlet par défaut et l'icône de l'interface utilisateur client aec l'outil d'administration de Tioli Endpoint Manager. Edition des génériques. Gestion de l'architecture DSA (Distributed Serer Architecture) - configurations. Ceci inclut la fréquence de réplication et le lien entre les sereurs de réplication. Opérateurs principaux Les opérateurs principaux ont la possibilité d'exécuter toutes les fonctions des opérateurs ordinaires. En outre, ils peuent également : Créer, modifier, supprimer des utilisateurs ia la console Tioli Endpoint Manager Editer les paramètres des droits de gestion pour d'autres opérateurs. Vous pouez ainsi répartir les ordinateurs de otre réseau auprès de diers opérateurs pour qu'ils aient chacun un petit sous-ensemble des ordinateurs client à gérer. Créer des paramètres d'ordinateur qui sureillent et contrôlent le comportement des clients et conserer dierses aleurs de libellé pour le filtrage. Pour plus d'informations, oir l'article sur les paramètres de configuration sur le site de support. Créer ou éditer les propriétés globales récupérées permettant de filtrer et de trier les ordinateurs et qui peuent être utilisées pour créer des rapports. Afficher tous les actifs gérés. Modifier le signal de présence du client, pour optimiser les performances. S'abonner ou se désabonner des sites Fixlet. Créer des sites Fixlet personnalisés. Désigner des opérateurs pour qu'ils soient propriétaires, éditeurs ou lecteurs de sites personnalisés. Masquer ou afficher globalement des messages Fixlet. Auditer toutes actions prises dans la console. Gérer des abonnements de sites Fixlet externes. Opérateurs Les opérateurs peuent exécuter dierses fonctions de gestion sur les ordinateurs sous leur contrôle en fonction des droits de gestion délégués par les opérateurs principaux. Ils peuent : Déployer des actions. Créer un contenu personnalisé, notamment des messages Fixlet, des tâches, des lignes de base et des analyses. L'administrateur de site peut accorder ou réoquer des droits à partir de l'outil d'administration de Tioli Endpoint Manager. 38 Tioli Endpoint Manager - Guide d'administration

45 Changer ou supprimer des paramètres d'ordinateur, qui sureillent et contrôlent le comportement du client et conserent dierses aleurs de libellé utilisables pour des tris ou des filtrages. Afficher des ressources non gérées selon la portée de chaque opérateur (comme défini par des points d'analyse). L'administrateur de site peut accorder ou réoquer des droits à partir de l'outil d'administration de Tioli Endpoint Manager. Être propriétaires, éditeurs et lecteurs de sites personnalisés, si les opérateurs principaux en ont accordé les priilèges. Opérateurs et analyses Les opérateurs disposent de diers droits et restrictions lors de l'actiation ou de la désactiation des analyses : Les opérateurs ordinaires ne peuent pas désactier une analyse actiée par d'autres opérateurs sur des ordinateurs qu'ils administrent. Les opérateurs principaux ne peuent pas actier directement des analyses personnalisées créées par des opérateurs ordinaires. Ils peuent, en reanche, faire une copie d'une analyse et actier la copie. Ce tableau récapitule les priilèges et les capacités des deux types d'opérateur de console : Tableau 1. Priilèges des opérateurs principaux et des opérateurs Droits utilisateur Opérateur principal Opérateur Initialisation d'un site d'action Oui Non Gestion de sites Fixlet Oui Non Changement des signaux de présence client Oui Non Création de Fixlets Création de tâches Création d'analyses Création de lignes de base Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Nécessite une création personnalisée Création de groupes Oui Groupes manuels uniquement Actiation/désactiation Tous Géré d'analyses Prise d'action de Fixlet/tâche/baseline Tous Géré Prise d'action personnalisée Nécessite une création personnalisée Arrêt/Démarrage d'actions Tous Géré Gestion des droits Oui Non d'administration Gestion des propriétés d'extraction globales Oui Non Nécessite une création personnalisée Tioli Endpoint Manager - Guide d'administration 39

46 Tableau 1. Priilèges des opérateurs principaux et des opérateurs (suite) Droits utilisateur Opérateur principal Opérateur Affichage des Fixlets Tous Géré Affichage des tâches Tous Géré Affichage des analyses Tous Géré Affichage des ordinateurs Tous Géré Affichage des lignes de base Tous Géré Afficher des groupes d'ordinateurs Tous Géré Affichage des actifs non gérés Géré par l'outil d'administration Géré par l'outil d'administration Afficher des actions Tous Géré Effectuer des commentaires Tous Géré Affichage des commentaires Tous Géré Masquer/Afficher Oui Non globalement Masquer/Afficher Oui Oui localement Utilisation d'assistants Nécessite une création personnalisée Nécessite une création personnalisée Suppression d'un ordinateur Tous Géré de la base de données Création de groupes Oui Oui d'ordinateurs manuels Suppression de groupes d'ordinateurs manuels Oui Non Création de groupes d'ordinateurs automatiques Suppression de groupes d'ordinateurs automatiques Création d'un site personnalisé Modification des propriétaires de site personnalisée Modification de lecteurs/éditeurs de site personnalisé Oui Oui Oui Oui Oui Nécessite une création personnalisée Nécessite une création personnalisée et gérée Non Non Propriétaires des sites Géré : l'opérateur doit détenir ou aoir des droits Nécessite une création personnalisée : accordé par l'administrateur de site par le biais de l'outil d'administration Géré par l'outil d'administration : accordé par l'administrateur de site par le biais de l'outil d'administration 40 Tioli Endpoint Manager - Guide d'administration

47 Ajout d'opérateurs de console En tant qu'administrateur de site, ous deez créer des comptes pour chaque nouel opérateur de console pour leur permettre d'afficher la base de données à l'aide de la console. Pour des raisons de sécurité, une clé publique/priée protégée par mot de passe est également générée pour permettre au nouel opérateur de créer et signer correctement des actions. Pour ajouter un nouel opérateur, utilisez la console. 1. Vous pouez ajouter des opérateurs à tout moment en lançant Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Console. 2. Vous pouez ajouter l'un des utilisateurs suiants : Opérateur local (compte local Tioli Endpoint Manager) Opérateur LDAP (opérateur dont les données d'identification sont authentifiées ia Actie Directory ou LDAP) Groupe LDAP pour un rôle Remarque : Pour un opérateur LDAP et un groupe LDAP, il conient tout d'abord d'ajouter un domaine Actie Directory ou LDAP à Tioli Endpoint Manager. Remarques à propos des opérateurs : : Il faut propager le site d'action toutes les fois que ous modifiez des informations opérateur, notamment lorsque ous réoquez des opérateurs. Si préalablement à la ersion 7.0, ous aez créé deux opérateurs aec la même adresse électronique, leurs certificats signataires peuent être en conflit et ils ne sont donc pas en mesure d'utiliser les fonctions personnalisées du site tant que l'un d'eux n'a pas été supprimé ni réédité. De tels utilisateurs sont mis en éidence en rouge dans l'outil d'administration de Tioli Endpoint Manager. Cliquez sur repair (réparer) pour oir s'afficher une fenêtre contextuelle aec une boîte de message expliquant le problème. Le statut d'un utilisateur en tant qu'opérateur ou opérateur principal est définitiement associé au nom d'utilisateur et n'est pas modifiable. Par sécurité, les administrateurs de site doient impératiement créer des utilisateurs aec des mots de passe par défaut et stocker une copie de sauegarde des fichiers de clés de console aec ces mots de passe par défaut. La copie sauegardée peut être fournie aux opérateurs de console qui oublient leur mot de passe. Création d'opérateurs locaux : A partir de la console, ous pouez créer des comptes pour des opérateurs qui accèdent à celle-ci ia le compte local Tioli Endpoint Manager. Pour des raisons de sécurité, une clé publique/priée protégée par mot de passe est également générée pour permettre au nouel opérateur de créer et signer correctement des actions. Pour ajouter un opérateur local, procédez comme suit : 1. Cliquez sur l'élément de menu Outils > Créer un opérateur ou utilisez le menu contextuel Create Local Operator (Créer un opérateur local) sur une liste d'opérateurs. 2. Entrez le Nom d'utilisateur de la personne que ous oulez désigner comme éditeur ou opérateur. Commencez par ous-même, afin de ous assurez que ous ous accordez bien à ous-même les droits de gestion. Tioli Endpoint Manager - Guide d'administration 41

48 Remarque : Vérifiez que le nom d'utilisateur que ous indiquez ne contient aucun des caractères suiants : et \. 3. Créez un Mot de passe et entrez-le à noueau pour le confirmer. Lorsque ous donnez les clés à os opérateurs, ceux-ci peuent modifier leurs mots de passe s'ils le désirent. 4. Sous l'onglet Détails, affectez les droits de l'opérateur. 5. Sous l'onglet Sites, affectez les sites. 6. Pour sauegarder les changements, cliquez sur Enregistrer les modifications. Ajout d'opérateurs LDAP : Dans la console, ous pouez ajouter des opérateurs qui accèdent à celle-ci ia leur compte Actie Directory ou LDAP. Remarque : Aant de définir un opérateur LDAP, érifiez que ous aez bien ajouté un domaine Actie Directory ou LDAP à Tioli Endpoint Manager. Pour ajouter un opérateur LDAP, procédez comme suit : 1. Cliquez sur l'élément de menu Outils > Add LDAP Operator (Ajouter un opérateur LDAP) ou utilisez le menu contextuel dans une liste d'opérateurs. 2. Entrez un compte d'opérateur LDAP ou cliquez sur Rechercher pour dresser la liste de tous les opérateurs LDAP. 3. Sélectionnez un compte, puis cliquez sur Ajouter. 4. Pour sauegarder les changements, cliquez sur Enregistrer les modifications. Association d'un groupe LDAP à un rôle : Vous pouez affecter un groupe LDAP d'opérateurs à un rôle à partir de la console. Remarque : Aant d'associer un groupe LDAP, érifiez que ous aez bien ajouté un domaine Actie Directory ou LDAP à Tioli Endpoint Manager. Pour associer un groupe LDAP à un rôle, procédez comme suit : 1. Dans l'arborescence de naigation du panneau de domaine, sélectionnez l'icône Rôles. 2. Dans la fenêtre Rôles, sélectionnez un rôle, puis l'onglet Groupes LDAP. 3. Cliquez sur Assign LDAP Group (Attribuer un groupe LDAP). 4. Sélectionnez le groupe LDAP que ous oulez associer à un rôle spécifique. 5. Pour sauegarder les changements, cliquez sur Enregistrer les modifications. Si ous associez un groupe LDAP à un rôle, tout utilisateur de ce groupe peut se connecter à la console. Les utilisateurs peuent obtenir les droits associés à tous les rôles auxquels le groupe est associé. Notez que les comptes Tioli Endpoint Manager sont approisionnés lorsque l'utilisateur se connecte et non au moment de l'association du groupe au rôle. Comme partout ailleurs, les opérateurs obtiennent le plus haut priilège à partir de n'importe quelle source (par exemple, des autorisations explicitement attribuées, des autorisations attribuées ia plusieurs groupes, etc.). Si un utilisateur peut accéder à un ensemble d'ordinateurs A et à des sites X à partir du rôle 1, et à un ensemble d'ordinateurs B et à des sites Y à partir du rôle 2, il bénéficie des droits pour des sites X et Y sur les ensembles d'ordinateurs A et B. 42 Tioli Endpoint Manager - Guide d'administration

49 Abonnement aux sites Fixlet Les sites regroupent des messages Fixlet qui ont été créés en interne par ous-même, par IBM ou par d'autres fournisseurs. Vous pouez ous abonner à un site et conenir d'un calendrier de téléchargement du dernier lot de messages Fixlet. Vous pouez ajouter un nouel abonnement à un site par l'acquisition d'un fichier de générique auprès d'un fournisseur ou d'ibm. Vous pouez également ous abonner à un site à l'aide du tableau de bord d'octroi de licence. Les sites sont généralement dédiés à un même sujet, comme la sécurité ou la maintenance d'un élément particulier d'un logiciel ou matériel. Toutefois, plusieurs sites peuent partager des caractéristiques et sont ensuite regroupés en domaines conçus pour être en conformité aec les tâches de traail typiques de os diers gestionnaires de console. Par exemple, la personne responsable des correctifs et de la gestion d'un enironnement d'exploitation commun peut trouer des sites de support et de correctifs pour diers systèmes d'exploitation, tous regroupés dans le domaine de gestion de correctifs. Vous pouez également configurer otre propre site personnalisé et le remplir aec des Fixlets que ous aez déeloppés spécifiquement pour otre propre réseau. Vous et d'autres opérateurs pouez ensuite enoyer et receoir les derniers correctifs internes et les déployer rapidement sur les emplacements et serices appropriés. Lors de l'installation, le programme est automatiquement configuré pour s'abonner à certains sites de gestion et de maintenance. Selon les termes de otre licence, ous pouez bénéficier d'abonnements à d'autres sites également. En d'autres termes, le contenu de ces sites passe automatiquement dans otre entreprise et sa pertinence est éaluée sur tous les ordinateurs qui exécutent le client Tioli Endpoint Manager. Ces sites, à leur tour s'enregistrent automatiquement auprès d'un domaine approprié, en offrant un moyen simple de répartir le contenu en sections fonctionnelles. Abonnement aec un générique Pour ous abonner à un site à l'aide d'un fichier de générique, procédez comme suit : 1. Recherchez un site approprié. Rechercher un site est équialent à rechercher un fichier de générique de site, dont l'extension est.efxm. Pour cela, il existe plusieurs méthodes : Sites Fixlet : IBM peut poster une liste des liens ers des noueaux sites dès qu'ils deiennent disponibles. Abonnements à un Fixlet : Parfois, un message Fixlet peut offrir un abonnement. Cliquez sur l'action du Fixlet pour initier l'abonnement. Téléchargement de génériques : Vous pouez également ous abonner à un site en téléchargeant un fichier de générique à partir du site Web d'un fournisseur. Une fois le générique sauegardé sur otre ordinateur, ous pouez l'actier de l'une de ces manières Tioli Endpoint Manager - Guide d'administration 43

50 Cliquez deux fois sur le générique, ou Sélectionnez Add External Site Masthead (Ajouter un générique de site externe) dans le menu Outils, puis accédez au dossier contenant le générique, et enfin cliquez sur Ourir. 2. Vous êtes inité à fournir le mot de passe de clé priée. Après l'aoir entré, cliquez sur OK. Le générique est propagé à tous les clients, qui commencent immédiatement à éaluer les messages Fixlet du noueau site. Abonnement aec le tableau de bord d'octroi de licence Vous pouez également ous abonner à un site Fixlet à l'aide du tableau de bord d'octroi de licence dans BigFix Management, qui se troue dans le panneau Domaine : 1. Ourez le domaine BigFix Management, puis faites défiler ers le haut pour afficher les tableaux de bord associés. 2. Dans Licensing Dashboard (Tableau de bord des licences), sélectionnez les sites auxquels ous oulez ous abonner. Utilisation des analyses Une analyse est un ensemble d'expressions de propriétés permettant à un opérateur d'afficher et de récapituler les différentes propriétés des ordinateurs client Tioli Endpoint Manager d'un réseau. L'ensemble est regroupé pour être étiqueté, modifié et actié sur des groupes d'ordinateurs et les résultats sont affichés ensemble. Par exemple, supposons qu'une application personnalisée soit déployée sur otre réseau et que ous souhaitiez élaborer une analyse pour obtenir des informations importantes sur l'état de os machines relatiement à cette application personnalisée. Il existe plusieurs analyses prédéfinies qui examinent les aspects importants de os ordinateurs en réseau, notamment pour ce qui concerne le matériel, les applications et les relations sereur/relais/client. L'étude de ces analyses par défaut peut être instructie pour réaliser os propres analyses ou en personnaliser certaines. Les analyses personnalisées ous permettent de sureiller des aspects de otre réseau qui sont indispensables pour le bon fonctionnement de otre entreprise. Les propriétés extraites (Retrieed Properties) sous-jacentes de chaque analyse sont créées à l'aide d'expressions de pertinence. Par exemple, pour ous assurer que ous aez déployé complètement la ersion la plus récente du logiciel client Tioli Endpoint Manager, ous pouez utiliser une expression comme ersion of client (ersion de client). Cette expression simple est éaluée sur tous les ordinateurs sur lesquels l'analyse est ciblée, ce qui permet de oir explicitement quelle ersion du client Tioli Endpoint Manager est exécutée actuellement sur chaque ordinateur, ou pour afficher un récapitulatif du nombre de machines qui exécutent chaque ersion actuellement. 44 Tioli Endpoint Manager - Guide d'administration

51 Vous pouez cibler des analyses aec encore une autre instruction de pertinence (Releance), qui peut être aussi simple que TRUE, qui derait inclure tous les clients connectés. D'une manière générale, il est préférable de limiter la portée à l'aide d'une instruction de pertinence comme le nom du système d'exploitation aec le début inscrit en minuscule comme "win", ce qui a pour effet de limiter l'analyse aux ordinateurs Windows uniquement. Pour afficher une analyse, procédez comme suit : 1. Dans l'arborescence de naigation du panneau Domaine, cliquez sur l'icône Analyses (le panneau est situé à gauche de l'interface). 2. Cliquez sur une entrée du panneau de la liste d'analyse (Analysis List Panel) résultante. Le corps de l'analyse est affiché dans la zone de traail sous la liste. La région d'affichage de l'analyse contient plusieurs onglets : Description : il s'agit d'une page HTML en offrant une description de l'analyse. Configuration des composants Details (Détails) : ce panneau fournit la liste propriété par propriété de l'analyse choisie, ainsi que la déclaration de pertinence (Releance) qui est utilisée pour cibler les ordinateurs sélectionnés. Dans la partie inférieure se troue une zone de texte permettant d'entrer un commentaire à attacher à cette analyse. Results (Résultats) : cette boîte de dialogue répertorie les résultats réels de l'analyse, qui peuent être filtrés et triés par propriétés prédéfinies (cet onglet n'est accessible que si l'analyse est actiée). Applicable Computers (Ordinateurs applicables) : il s'agit de la liste de tous les ordinateurs sur lesquels l'analyse sélectionnée est applicable. Vous pouez filtrer la liste en sélectionnant des éléments dans les dossiers situés à gauche, et trier la liste en cliquant sur les en-têtes de colonne. Maintenant que les composants sont installés, ous pouez configurer otre système pour obtenir daantage d'efficacité ou prendre en charge des déploiements plus étendus ou non-standard. L'image ci-dessous représente un déploiement étendu et assez complexe. Etudiez l'image pour comprendre de quelle manière le système communique. En particulier, notez que toutes les informations circulent dans le sereur du centre de données HQ, qu'il existe plusieurs nieaux de relais et que toutes les communications retournent ers le sereur par le biais de la chaîne de relais. Tioli Endpoint Manager - Guide d'administration 45

52 Utilisation des relais Les relais peuent améliorer de manière significatie les performances de otre installation. Ils allègent les charges en amont et en aal du sereur. Plutôt que de communiquer directement aec un sereur, les clients peuent très bien être inités à communiquer aec des relais désignés, ce qui réduit considérablement la charge sur le sereur et sur le trafic réseau client/sereur. Les aantages offerts par les relais sont les suiants : Soulagement du trafic en aal. Le sereur Tioli Endpoint Manager exécute de nombreuses tâches, l'une des plus pénalisantes est la distribution de fichiers, comme des correctifs ou des modules logiciels, ainsi que des messages Fixlet aux clients. Vous pouez configurer des relais pour alléger cette charge et éiter ainsi au sereur d'aoir à distribuer le même fichier à chaque client. Par ce moyen, le 46 Tioli Endpoint Manager - Guide d'administration

53 fichier est enoyé une fois au relais, qui à son tour le distribue aux clients. Dans ce modèle, le client se connecte directement au relais et n'a pas besoin de se connecter au sereur. Diminution du trafic amont. Dans le sens amont, les relais peuent compresser et packager des données (notamment la pertinence Fixlet, le statut de l'action et les propriétés extraites) des clients pour une efficacité encore plus grande. Diminution de la congestion sur des connexions à bande passante lente. Si ous disposez d'un sereur qui communique au moyen d'une connexion lente aec des ordinateurs situés dans un bureau distant, désignez l'un de ces ordinateurs comme relais. Ensuite, au lieu d'enoyer des correctifs ia la connexion lente à tous les clients indépendamment, le sereur n'enoie qu'une seule copie au relais (s'il en a besoin). A son tour, ce relais distribue le fichier aux autres ordinateurs du bureau distant, en utilisant son propre réseau local rapide. Par ce procédé, ous supprimez efficacement le goulot d'étranglement de la connexion lente pour les groupes distants de otre réseau. Diminution de la charge sur le sereur. Le sereur Tioli Endpoint Manager exécute de nombreuses tâches, notamment la gestion des connexions à partir des clients et des relais. A un moment donné, le sereur est limité dans le nombre de connexions qu'il peut effectiement serir. En reanche, les relais peuent mettre en mémoire tampon plusieurs clients et télécharger les résultats compressés ers le sereur. Les relais distribuent également les téléchargements aux clients indiiduels, ce qui réduit daantage la charge de traail du sereur et permet au programme de fonctionner plus rapidement et plus efficacement. Les relais sont une nécessité absolue pour tout réseau disposant de liaisons lentes ou ayant plus que quelques milliers de clients. Même aec seulement quelques centaines de clients, l'utilisation de relais est recommandée : ils effectuent les téléchargements plus rapidement en répartissant la charge sur plusieurs ordinateurs au lieu d'être limités par la bande passante physique du sereur. Tioli Endpoint Manager est un outil plutôt puissant ; il est facile de déployer une action prooquant le téléchargement de fichiers très olumineux auprès de centaines de milliers de clients en une fois. Windows XP SP2 représente à lui seul plus de 200 Mo et il n'est pas rare de distribuer des progiciels dont la taille s'exprime en gigaoctets. Sans relais, même aec des canaux réseau aussi rapides que T1 (oire encore plus rapides), des lignes peuent être submergées par de nombreux grands clients demandant simultanément les téléchargements de fichiers olumineux. L'établissement d'une structure de relais appropriée est l'un des aspects les plus importants du déploiement de Tioli Endpoint Manager sur un réseau de grande taille. Lorsque des relais sont entièrement déployés, une action conduisant à un téléchargement olumineux peut être rapidement et facilement enoyée à des dizaines de milliers d'ordinateurs aec une utilisation minimale des ressources du réseau étendu. Dans un effort consistant à alléger les charges de déploiement et à réduire le coût total de possession, les relais fonctionnent sur des sereurs partagés comme des sereurs de fichiers/d'impression, des contrôleurs de domaine, des sereurs SMS, des sereurs de distribution AV, etc. En conséquence, une installation typique comprend moins de 1 % de ses relais qui s'exécutent sur des ordinateurs dédiés. D'une manière générale, le relais utilise un minimum de ressources et n'a pas d'impact isible sur les performances de l'ordinateur qui l'exécute (oir la section suiante sur les exigences des relais). Les clients Tioli Endpoint Manager peuent Tioli Endpoint Manager - Guide d'administration 47

54 être définis automatiquement pour trouer leur relais le plus proche. Ces fonctions permettent des économies significaties tant au nieau du matériel que des frais administratifs. Remarque : Si la connexion entre un relais et le sereur est inhabituellement lente, il peut être aantageux de relier le relais directement à Internet pour les téléchargements. Pour plus d'informations sur les relais, isitez le site de support de Tioli Endpoint Manager ou contactez otre support logiciel IBM. Configuration requise pour les relais Un relais reprend la plupart des tâches de téléchargement du sereur. Si plusieurs clients demandent simultanément des fichiers, le relais peuent consommer une quantité de bande passante juste le temps de les serir. D'une manière générale, les tâches du relais ne sont cependant pas trop exigeantes. Lorsque de nombreuses actions sont en cours de déploiement en même temps, l'utilisation de l'unité centrale et du disque dur peuent présenter un pic, mais généralement seulement pour une courte durée. La principale contrainte de ressource relatie au relais est l'espace disque. La configuration requise pour un ordinateur relais arie considérablement en fonction d'un certain nombre de facteurs. Voici quelques exigences concernant les relais : Le relais Tioli Endpoint Manager doit disposer d'une connexion TCP bidirectionnelle aec son parent (qui peut être un sereur ou un autre relais). Le relais Tioli Endpoint Manager peut être installé sur un poste de traail ordinaire, mais si plusieurs clients téléchargent simultanément des fichiers, cela peut ralentir l'ordinateur. En outre, pour que le relais fonctionne correctement, l'ordinateur qui l'héberge doit être sous tension en permanence, ce qui élimine les postes de traail qui sont généralement mis hors tension. Les ordinateurs utilisés comme sereurs de fichiers de groupe traail, sereurs d'impression, sereurs SMS, sereurs antiirus, contrôleurs de domaine, sereurs de test et autres ordinateurs de qualité sereur qui sont toujours sous tension sont de bons candidats pour l'installation d'un relais. Installez des relais sur un sereur existant partagé pour réduire le coût matériel total d'un déploiement de Tioli Endpoint Manager. La plupart des entreprises sont souent déjà équipées de sereurs partiellement utilisés situés à des endroits appropriés sur l'ensemble de leurs réseaux. Si ous deez acheter un nouel ordinateur pour la tâche, les exigences concernant le relais sont réduites. Un ordinateur de classe de poste de traail peu onéreux ou un sereur d'entrée de gamme derait suffire. Les relais doient être installés sur des ordinateurs fonctionnant sous Windows 2000, Windows XP, Windows Serer 2003, Windows Vista, Windows Serer 2008, Windows 7, Windows Serer 2008 R2, Red Hat Enterprise Linux 4/5/6 ou Solaris 10. Comme les ersions antérieures d'internet Explorer utilisent des bibliothèques réseau obsolètes, les ordinateurs exécutant le relais doient aoir au moins Internet Explorer 4.0 ou une ersion ultérieure pour fonctionner correctement. Pour plus d'informations sur les relais, oir le site de support Tioli Endpoint Manager. La taille de la mémoire cache du relais Tioli Endpoint Manager est configurable ; elle est cependant définie à 1 Go par défaut. Nous recommandons d'aoir au moins 2 Go disponibles pour la mémoire cache du relais pour éiter les goulots d'étranglement de l'unité de disque dur. 48 Tioli Endpoint Manager - Guide d'administration

55 Désignation d'un relais Pour configurer un relais, ous deez désigner un ordinateur Windows 2000, XP, Serer 2003, Vista, Serer 2008, 7, Serer 2008 R2, Red Hat Enterprise Linux 4/5/6 ou Solaris 10 qui exécute un client agissant en tant que relais. Les clients Tioli Endpoint Manager de otre réseau détectent les noueaux relais et s'y connectent automatiquement. Pour créer un relais, procédez comme suit à l'aide de la console : 1. Dans la console, ourez l'icône Fixlets et Tâches du panneau de domaine, puis cliquez sur Task only (Tâches uniquement) pour afficher la liste de toutes les tâches. 2. Recherchez la tâche intitulée Installez Tioli Endpoint Manager relais (Install Tioli Endpoint Manager Relay) ; un numéro de ersion peut être inclus à la suite de cet intitulé. Cette tâche est pertinente s'il existe au moins un client qui respecte la configuration requise pour le relais. 3. Choisissez otre option de déploiement en sélectionnant l'une des actions de la tâche. Cette action ous permet de cibler un ou plusieurs ordinateurs. Reconnaissance automatique des relais Lorsque ous aez configuré os relais, ous aez presque terminé. S'ils sont configurés pour effectuer une sélection automatique de relais, les clients peuent trouer automatiquement le relais le plus proche et pointer sur cet ordinateur à la place du sereur. Il s'agit de la méthode recommandée, car elle équilibre dynamiquement otre système aec un minimum de surcharge administratie. Pour ous assurer que os clients sont configurés pour reconnaître automatiquement des relais, procédez comme suit : 1. Démarrez la console et sélectionnez le domaine BigFix Management. Dans le dossier Gestion de l'ordinateur, cliquez sur le noeud Ordinateurs pour afficher la liste des clients dans le panneau d'options. Tioli Endpoint Manager - Guide d'administration 49

56 2. Simultanément, appuyez sur les touches Maj et Ctrl et cliquez pour sélectionnez l'ensemble d'ordinateurs qui doient détecter automatiquement des relais. Appuyez sur Ctrl-A pour sélectionner l'ensemble des clients. 3. Cliquez aec le bouton droit de la souris sur l'ensemble mis ainsi en éidence, puis dans le menu contextuel, sélectionnez Edit Computer Settings (Editer des paramètres d'ordinateurs). Les boîtes de dialogues diffèrent légèrement selon que ous aez sélectionné un ou plusieurs ordinateurs. Généralement, ous sélectionnez tous les clients de otre réseau pour afficher la boîte de dialogue de sélection multiple. 4. Actiez la case à cocher intitulée Relay Selection Method (Méthode de sélection des relais). 5. Cliquez sur le bouton marqué Automatically Locate Best Relay (Localiser automatiquement le meilleur relais). 6. Cliquez sur OK. Utilisation par défaut de la reconnaissance automatique des relais A mesure que ous installez des clients, ous pourriez souhaiter qu'ils reconnaissent automatiquement le relais le plus proche par défaut. Voici comment procéder : 1. Comme décrit dans la section précédente, ourez la boîte de dialogue Edit Computer Settings (Editer les paramètres de l'ordinateur). 2. Sélectionnez l'onglet Cible. 3. Cliquez sur le bouton marqué All computers with the property (Tous les ordinateurs aec la propriété). 4. Dans la fenêtre ci-dessous, sélectionnez All Computers (Tous les ordinateurs). 5. Sélectionnez l'onglet Constraints (Contraintes). 6. Désactiez la case à cocher Expires On (Expire le). 7. Cliquez sur OK. Maintenant dès que de noueaux clients sont installés, ceux-ci trouent et se connectent automatiquement au relais le plus proche sans aucune autre action supplémentaire. Notes relaties à la reconnaissance automatique des relais Les clients Tioli Endpoint Manager se basent sur un algorithme sophistiqué pour calculer quel relais est le plus proche sur le réseau. L'algorithme utilise de petits paquets ICMP aec des TTL qui arient pour détecter et affecter le relais plus optimum. Si plusieurs relais optimaux sont troués, l'algorithme équilibre automatiquement la charge. Si un relais tombe en panne, les clients exécutent une reprise par restauration automatique. Cela représente une aancée majeure sur la spécification et l'optimisation manuelles des relais. Il existe cependant quelques remarques importantes concernant la sélection automatique de relais : Le protocole de message de gestion interréseau (ICMP) doit être ouert entre le client et le relais. Si le Client ne peut pas enoyer de messages ICMP à un relais, il est n'est pas en mesure de trouer le relais optimal (dans ce cas, il utilise le relais de reprise s'il est spécifié ou récupère un relais de façon aléatoire). Parfois, un nombre réduit de tronçons réseau n'est pas une bonne indication de bande passante éleée. Dans ces cas, la sélection automatique de relais risque de ne pas fonctionner correctement. Par exemple, un centre de données peut disposer d'un relais sur le même réseau local à grande itesse à l'instar des 50 Tioli Endpoint Manager - Guide d'administration

57 clients, mais un relais situé dans un bureau distant aec une liaison WAN lente est éloigné aec moins de tronçons. Dans un tel cas, affectez manuellement les clients aux relais optimaux appropriés. Les relais utilisent le nom DNS indiqué par le système d'exploitation. Ce nom doit être lisible par tous les clients, sinon ils ne troueront pas le relais. Vous pouez remplacer ce nom DNS par une adresse IP ou un nom différent à l'aide d'une tâche dans le site de support. Des clients peuent indiquer la distance à leurs relais correspondants. Ces informations sont précieuses et doient être sureillées pour des modifications. Les ordinateurs qui passent brusquement d'un seul tronçon à cinq, par exemple, peuent indiquer un problème aec leurs relais. Pour plus d'informations sur les relais, la sélection automatique des relais et le traitement des incidents aec les relais, oir le site de support de Tioli Endpoint Manager. Utilisation de l'affiliation de relais Une affiliation de relais offre un système de contrôle plus sophistiqué pour la sélection automatique de relais. Outre la grande flexibilité de cette fonction, il existe plusieurs façons différentes de l'utiliser ; le principal cas d'utilisation consiste à permettre à l'infrastructure de Tioli Endpoint Manager d'être segmentée en groupes logiques distincts. Un ensemble de clients et de relais peut être placé dans le même groupe d'affiliation de sorte que les clients ne tentent de sélectionner que les relais de leur groupe d'affiliation. Cette fonction est générée en haut de la sélection automatique des relais et ous deez aoir bien acquis ce processus (oir la section précédente) aant de mettre en oeure une affiliation de relais. Une affiliation de relais ne s'applique qu'au processus de sélection automatique des relais. Le processus de sélection manuel des relais (oir la section suiante) n'est pas affecté, même si des ordinateurs sont placés dans des groupes d'affiliation de relais. Création de groupes d'affiliation client : Les clients sont affectés à un ou plusieurs groupes d'affiliation de relais ia le paramètre client : _BESClient_Register_Affiliation_SeekList. Ce paramètre client doit être défini comme une liste de groupes d'affiliation de relais délimités par des points-irgules (;), par exemple : Asie_du_Pacifique;Amériques;Zone démilitarisée Création de groupes d'affiliation de relais et de sereurs : Il est possible d'affecter des relais et des sereurs à un ou plusieurs groupes d'affiliation par le biais du paramètre client : _BESRelay_Register_Affiliation_AdertisementList Ce paramètre client doit également être défini comme une liste de groupes d'affiliation de relais délimités par des points-irgules (;), par exemple : Asie-Pacifique;Zone démilitarisée;* Tioli Endpoint Manager - Guide d'administration 51

58 Remarque : Il n'est pas nécessaire que les relais et sereurs disposent d'un paramètre SeekList. Seul le client utilise ce paramètre SeekList. Informations sur la liste d'affiliation des relais : Aucun nom de groupe d'affiliation de relais n'est prédéfini ; ous pouez choisir n'importe quel nom de groupe qui ous semble logique pour otre déploiement de Tioli Endpoint Manager. Il existe cependant certaines règles de nommage que ous deez obserer : N'utilisez pas caractères spéciaux (y compris ".") lors du choix des noms Les noms de groupe ne sont pas sensibles à la casse Les espaces situés en tête et en fin des noms sont ignorés dans des comparaisons Le classement des groupes d'affiliation de relais est important pour le client. L'astérisque (*) a une signification spéciale dans une liste d'affiliation de relais ; il représente l'ensemble des ordinateurs non affiliés. Les ordinateurs non affiliés sont des clients ou des relais qui n'ont aucune affectation de groupe d'affiliation de relais ou ont comme liste de groupe astérisque. Pour plus d'information sur l'affiliation des relais, oir l'article sur le site de support de Tioli Endpoint Manager. Sélection manuelle des relais Vous pourriez souhaiter spécifier manuellement et de manière précise les clients qui doient se connecter à tel ou tel relais. Pour cela, procédez comme suit : 1. Démarrez la console et sélectionnez le domaine BigFix Management. Dans le dossier Computer Management (Gestion de l'ordinateur), cliquez sur le noeud Computers (Ordinateurs) pour afficher la liste des clients dans le panneau d'options. 2. Simultanément, appuyez sur les touches Maj et Ctrl et cliquez pour sélectionnez l'ensemble d'ordinateurs que ous souhaitez attacher à un relais spécifique. 3. Cliquez aec le bouton droit de la souris sur l'ensemble mis ainsi en éidence, puis dans le menu contextuel, sélectionnez Edit Computer Settings (Editer des paramètres d'ordinateurs). A l'instar de la création de relais (ci-dessus), les boîtes de dialogue sont légèrement différentes si ous aez sélectionné un ou plusieurs ordinateurs. 4. Actiez la case à cocher Primary Relay (Relais principal), puis dans la liste déroulante des sereurs relais disponibles, sélectionnez un nom d'ordinateur. 5. De la même manière, ous pouez affecter un Secondary Relay (Relais secondaire), qui serira de secours toutes les fois que le sereur principal est indisponible pour une raison quelconque. 6. Cliquez sur le bouton OK. Affichage des sélections de relais Pour afficher quel client est sélectionné aec quel relais, procédez comme suit : 1. Démarrez la console et sélectionnez le domaine BigFix Management. 2. Dans le dossier Computer Management (Gestion de l'ordinateur), cliquez sur le noeud Computers (Ordinateurs) pour afficher la liste de clients. 3. Regardez sous la colonne Relay (Relais) du panneau d'options (cette colonne peut être masquée ; auquel cas, cliquez aec le bouton droit de la souris sur les en-têtes de colonnes pour érifier que la colonne Relay est bien cochée). Les 52 Tioli Endpoint Manager - Guide d'administration

59 colonnes Relay de Tioli Endpoint Manager affichent des informations, y compris la méthode, le serice et l'ordinateur du relais. Par défaut, les clients tentent toutes les six heures de trouer le relais plus proche (en fonction du plus petit nombre de tronçons réseau). Pour plus d'informations sur les relais, oir le site de support de Tioli Endpoint Manager. Sureillance de la santé des relais Tioli Endpoint Manager ous permet de sureiller os configurations client/relais pour ous assurer que leur fonctionnement est optimal. Aant de déployer un module de grande taille, ous pouez souhaiter érifier le statut de os relais pour garantir un déploiement sans à-coups. Voici quelques suggestions pour la sureillance de otre déploiement de relais : Cliquez sur le domaine BigFix Management (Gestion des BigFix) et sur le noeud Analyses, puis actiez l'analyse des statuts de relais. Cette analyse contient un certain nombre de propriétés qui ous donne une ue détaillée de la santé des relais. Cliquez sur l'onglet Results (Résultats) pour l'analyse afin de sureiller la propriété Distance to Relay (distance au relais) pour oir ce qui est normal dans otre réseau. Si otre topologie change soudainement ou si ous remarquez que certains de os clients utilisent des tronçons supplémentaires pour atteindre le sereur, cela peut indiquer la défaillance d'un relais. Essayez de limiter le nombre de clients rapportant directement au sereur car cela est généralement moins efficace que l'utilisation de relais. Vous pouez oir les ordinateurs en rapport aec tel ou tel relais par le biais de cette analyse. Optimisation des sereurs Tioli Endpoint Manager fonctionne efficacement, aec un impact minimal sur les ressources du réseau. Toutefois, il peut exister des installations qui étendent les configurations recommandées, où le nombre de clients est trop grand pour la puissance du sereur assigné. La meilleure solution consiste à choisir un sereur dont les caractéristiques sont requises pour otre enironnement ; ous pourrez peut-être modifier certaines préférences pour obtenir de meilleures performances. La plupart de ces optimisations impliquent un compromis entre le débit et la réactiité, il conient donc d'être igilant. Votre support logiciel IBM disposent de daantage d'informations sur les modifications qui peuent semblerles plus appropriées pour otre déploiement spécifique. Voici quelques techniques d'optimisation possibles : Déploiement de relais pour réduire la charge sur le sereur. Il s'agit du moyen le plus efficace d'accroître les performances et la réactiité de Tioli Endpoint Manager. D'une manière générale, plus il yaderelais, meilleures sont les performances (en prenant comme règle empirique qu'un relais pour 500 à 1000 clients est un bon choix, bien que cela puisse être bien supérieur pour un ordinateur dédié). Ralentissement du signal de fréquence du client à partir de Fichier > Préférences. Cette opération permet de réduire la fréquence des messages que les clients enoient régulièrement pour mettre à jour leurs propriétés récupérées. La diminution de cette fréquence réduit le olume du trafic réseau généré, et réduit également l'opportunité de récupération des propriétés. Cependant, quels que soient les paramètres de signaux de fréquence, les clients enoient toujours Tioli Endpoint Manager - Guide d'administration 53

60 leurs informations les plus récentes toutes les fois qu'ils reçoient un ping d'actualisation du sereur ou lorsqu'ils remarquent qu'un Fixlet est pertinent. Ralentissement de la fréquence de régénération de liste Fixlet à partir de Fichier > Préférences. Cette opération permet de réduire la fréquence de mise à jour pour les informations affichées dans la console. S'il existe plusieurs clients ou consoles connectés simultanément ou si la base de données est très olumineuse, la diminution de cette fréquence permet de réduire considérablement la charge sur le sereur. Si plusieurs opérateurs de console ont utiliser simultanément la console, définissez la fréquence de régénération pour qu'elle soit légèrement supérieure à la aleur par défaut (15 secondes), ceci afin de réduire la charge sur la base de données Tioli Endpoint Manager. Pensez à la changer de 60 à 120 secondes ou plus s'il existe des opérateurs de console en nombre. L'outil d'administration de Tioli Endpoint Manager sur le sereur ous permet de définir une fréquence de régénération globale minimale. Votre administrateur de base de données peut être en mesure de ous aider aec les optimisations suiantes : Changez le modèle de récupération de SQL Serer pour la base de données BFEnterprise de Simple à Full (Complet) qui est la aleur par défaut. Réduisez le pourcentage de mémoire allouée à SQL Serer de 100 % à 85 %, pour ous assurer que le sereur Web et le système d'exploitation ne sont pas à court de mémoire. Pour plus d'informations sur les recommandations sur les performances, oir le site de support de Tioli Endpoint Manager. Optimisation des consoles Pour être réactie, la console nécessite une puissance d'unité centrale, une mémoire et un espace de mémoire cache raisonnables. Si otre console demande trop de temps pour charger ou fonctionne lentement, il existe plusieurs techniques qui ous permettent d'accélérer ses performances. Vérifiez que la mémoire disponible est suffisante. La console Tioli Endpoint Manager bénéficie grandement d'une mémoire étendue pour accélérer les opérations d'affichage, de filtrage et de tri des contenus (messages Fixlet, tâches, actions, etc.). Si la mémoire physique de otre ordinateur est insuffisante, le fonctionnement de la console sera sensiblement plus lent. Vous pouez érifier l'utilisation de la mémoire dans le gestionnaire des tâches (Ctrl-Maj-Echap). Sélectionnez l'onglet Performances et reportez-ous à la section Mémoire physique. Si la mémoire disponible est inférieure à 10 % de la mémoire totale, otre mémoire RAM est insuffisante et il serait aantageux d'en ajouter. Utilisez des connexions réseau à haut débit entre os consoles et sereurs, de préférence aec des connexions de réseau local (LAN) d'au moins 100 Mbit/s. Vous pouez redimensionner la taille de la base de données de Tioli Endpoint Manager pour un réseau étendu, et le fonctionnement de la console aec une connexion lente se traduira souent par des temps de chargement très prolongés. Utilisez un logiciel de contrôle à distance Aec un tel olume de données à charger et à afficher, l'exploitation de la console dans un bureau distant ia une liaison lente peuent être fastidieux. Dans de telles situations, ous pourriez être en mesure de bénéficier de solutions comme Citrix, Terminal Serices ou d'autres logiciels de contrôle à distance. Configurez le sereur de contrôle à distance sur un ordinateur disposant d'un accès rapide au sereur. Autorisez cette machine à présenter des instances de console et laissez la succursale exécuter ces consoles à distance. La base de données reste dans le bureau 54 Tioli Endpoint Manager - Guide d'administration

61 principal et les performances du bureau à distance sont optimales. Pour plus d'informations, oir la section Configuration Citrix / Terminal Serices distant (page «Configuration Citrix / Terminal Serices distant», à la page 86). Supprimez les anciennes actions. La base de données de Tioli Endpoint Manager stocke des informations sur des anciennes actions que la console charge lors du démarrage et enregistre à la fermeture. Si ous n'aez pas besoin de suire ces actions anciennes, ous pouez les supprimer, ce qui permet à la console de charger et de fermer plus rapidement. Notez que les actions supprimées continuent d'exister dans la base de données, mais elles ne sont pas chargées dans la console ou Web Reports et peuent être annulées si nécessaire. Pour plus d'informations sur l'amélioration des performances oir le site de support Tioli Endpoint Manager. Gestion de la réplication (DSA) Les sereurs de réplication sont simples à configurer et nécessitent un minimum de maintenance. Vous pouez être amené à modifier l'interalle ou à allouer os sereurs différemment. La plupart de ces changements sont effectuées ia l'outil d'administration de Tioli Endpoint Manager. Ici, ous pouez oir les paramètres en cours pour os sereurs et apportez les modifications appropriées. Changement de l'interalle de réplication 1. Démarrez l'outil d'administration de Tioli Endpoint Manager. 2. Sélectionnez l'onglet Réplication. 3. Dans le menu déroulant, sélectionnez le sereur de otre choix. L'utilisation d'interalles de réplication plus long signifie que les sereurs répliquent les données moins souent, mais transfèrent daantage de données à chaque fois. Notez que des interalles de réplication peuent être différents des interalles "réplication de" et "réplication à" pour un sereur. 4. Sélectionnez l'interalle de réplication dans le menu situé à droite. 5. Cliquez sur OK. Commutation du sereur principal Par défaut, le sereur 0 (zéro) est le sereur principal. L'outil d'administration proprement dit ous permet d'effectuer certaines tâches d'administration (comme la création et la suppression d'utilisateurs) lorsque ous êtes connecté au sereur principal. Pour changer de sereur principal pour un autre sereur, ous deez définir l'option de déploiement masterdatabasesererid pour l'id de l'autre sereur. Voici comment procéder : 1. Démarrez l'outil d'administration de Tioli Endpoint Manager. 2. Sélectionnez l'onglet Adanced Options (Options aancées), puis cliquez sur le bouton Ajouter. 3. Entrez masterdatabasesererid comme nom, puis entrez l'id de l'autre sereur comme aleur. 4. Cliquez sur OK. Une fois la aleur correctement répliquée sur le noueau sereur, celui-ci deient le sereur principal. En cas de défaillance d'un sereur alors qu'il agit en tant que sereur principal, un autre sereur doit être constitué comme sereur principal au moyen d'une manipulation directe de la table ADMINFIELDS de la base de données. Les détails de cette opération ont au-delà du cadre de ce guide, mais en résumé, ous pouez utiliser un outil comme SQL Enterprise Manager pour Tioli Endpoint Manager - Guide d'administration 55

62 afficher et modifier la table ADMINFIELDS. Définissez le nom de ariable masterdatabasesererid à la aleur de otre choix. Désinstallation d'un sereur de réplication Pour désinstaller un sereur de réplication, appelez la procédure stockée dans la base de données delete_replication_serer, qui supprime l'id spécifié de l'ensemble de réplication. Veillez à ne pas supprimer par erreur un autre sereur, ou ous risqueriez de ous errouiller ous-même. Les détails de cette procédure sortent du cadre de ce guide, mais en résumé, ous deez ous connecter à la base de données aec SQL Serer Management Studio. Vous pouez appeler la procédure aec quelque chose comme : dbo.delete_replication_serer( 1 ) Ceci supprime le sereur dont l'id=1. Les étapes impliquées dans supprimer complètement le sereur sortent du cadre de ce guide, mais ous pouez retrouer la procédure complète dans un article de la base de connaissance (KB) sur le site de support de Tioli Endpoint Manager. Gestion de la bande passante Les téléchargements de fichiers utilisent le gros de la bande passante dans une installation classique. Vous pouez contrôler cela par la régulation de la bande passante, ce qui limite le nombre d'octets par seconde. Vous pouez spécifier la régulation de la bande passante, sur le sereur ou le client ou sur les deux (dans ce cas, la plus faible des deux aleurs est alors utilisée). Ceci peut être important toutes les fois que ous rencontrez des problèmes de bande passante, à l'instar des situations suiantes : Un bureau distant aec un canal de communication lent Des utilisateurs distants en réseau commuté ou sur une connexion lente Un canal partagé aec des applications de priorité supérieure Un WAN (réseau longue distance) ou un LAN (réseau local) est déjà saturé ou a des exigences de charge rigoureuses. Les paramètres de régulation de la bande passante (et autres paramètres de relais, sereur et clients) peuent être définis ia des tâches du site de support. Sélectionnez le domaine BigFix Management et sélectionnez le noeud BES Component Management dans l'arborescence de naigation pour afficher la liste de tâches complète. Pour plus d'informations sur les relais, isitez le site de support de Tioli Endpoint Manager. Régulation dynamique Lorsqu'un téléchargement olumineux deient disponible, chaque liaison de otre déploiement peut aoir en soi des problèmes de bande passante. Des liaisons sereur-à-client, sereur-à-relais, relais-à-client sont à prendre en compte et chacune d'elles peut nécessiter un ajustement particulier. Comme décrit dans la section précédente, il est possible de définir une aleur maximale (régulateur) pour les débits, et pour cela, il existe des règles élargies que ous pouez suire. Par exemple, ous pourriez réguler un client à 2 ko/s s'il existe plus de trois tronçons 56 Tioli Endpoint Manager - Guide d'administration

63 à partir d'un relais. Cependant, les débits optimaux peuent arier de façon significatie, selon la hiérarchie actuelle et l'enironnement réseau. Une technique plus appropriée consisterait à utiliser une régulation de la bande passante dynamique qui sureille et analyse la capacité globale du réseau. Alors qu'une régulation normale indique simplement un débit maximum, la régulation dynamique ajoute un pourcentage de "temps d'occupation". Il s'agit de la fraction de la bande passante que ous souhaitez allouer lorsque le réseau est occupé. Par exemple, ous pouez indiquer que des téléchargements ne doient pas utiliser plus de 10 % de la bande passante disponible toutes les fois que Tioli Endpoint Manager détecte un trafic existant sur le réseau. Une régulation dynamique préoit également un débit minimum, dans le cas où le pourcentage d'occupation serait trop faible pour être pratique. Lorsque ous actiez la régulation dynamique pour une liaison donnée, Tioli Endpoint Manager sureille et analyse les données de débit existant des données afin d'établir un débit approprié. Sans trafic concurrent, le débit est défini sur le taux maximum. Dans le cas de trafic existant, cela régule le débit à un pourcentage spécifié ou au débit minimum, le plus éleé des deux étant retenu. Le contrôle de régulation dynamique de la bande passante s'effectue ia les paramètres de l'ordinateur. Il existe quatre paramètres de base pour chaque liaison : DynamicThrottleEnabled : Ce paramètre est par défaut à zéro (désactié). Toute autre aleur actie une régulation dynamique pour la liaison donnée. DynamicThrottleMax : Ce paramètre prend généralement par défaut la aleur entière maximale non signée qui indique une régulation complète. Selon la liaison, cette aleur définit le débit maximal en bits ou en kilobits par seconde. DynamicThrottleMin : Ce paramètre est par défaut à zéro. Selon la liaison, cette aleur définit le débit minimal en bits ou en kilobits par seconde. Cette aleur impose une limite inférieure au pourcentage de débit indiqué ci-dessous. DynamicThrottlePercentage : Ce paramètre est par défaut à 100 %, ce qui a le même effet qu'une régulation normale (non dynamique). Cela représente la fraction de la bande passante maximale que ous souhaitez utiliser lorsque le réseau est occupé. Sa aleur est généralement comprise entre cinq et dix pour cent, pour l'empêcher de dominer le trafic réseau existant. (Une aleur zéro pour ce paramètre est équialente à 100 %.) A l'instar tout autre paramètre, ous pouez créer ou éditer les paramètres de bande passante dynamique en cliquant aec le bouton droit sur un élément (ou un groupe d'éléments) d'une liste d'ordinateurs et en sélectionnant Editer Computer Settings (Editer les paramètres d'ordinateur) dans le menu contextuel. Les noms de ariables spécifiques incluent les paramètres sereur/relais : _BESRelay_HTTPSerer_DynamicThrottleEnabled _BESRelay_HTTPSerer_DynamicThrottleMaxKBPS _BESRelay_HTTPSerer_DynamicThrottleMinKBPS _BESRelay_HTTPSerer_DynamicThrottlePercentage Les paramètres client de Tioli Endpoint Manager : _BESClient_Download_DynamicThrottleEnabled _BESClient_Download_DynamicThrottleMaxBytesPerSecond _BESClient_Download_DynamicThrottleMinBytesPerSecond _BESClient_Download_DynamicThrottlePercentage Les paramètres de collecte de Tioli Endpoint Manager Tioli Endpoint Manager - Guide d'administration 57

64 _BESGather_Download_DynamicThrottleEnabled _BESGather_Download_DynamicThrottleMaxBytesPerSecond _BESGather_Download_DynamicThrottleMinBytesPerSecond _BESGather_Download_DynamicThrottlePercentage Remarque : Pour que ces paramètres prennent effet, ous deez redémarrer les serices concernés (sereur, relais ou Client). Si ous définissez un sereur et son client connecté à des aleurs maximales ou minimales différentes, la connexion choisit la plus petite aleur des deux. Création de tableaux de bord client Vous pouez créer des tableaux de bord client personnalisés, similaires à ceux de la console. Les tableaux de bord sont des fichiers HTML comportant des clauses de pertinence imbriquées qui peuent analyser l'ordinateur local et imprimer les résultats en cours. Les clients disposant d'un tableau de bord bénéficient d'un onglet supplémentaire pour afficher le rapport résultant. Pour créer un tableau de bord client, ous deez créer un dossier nommé UISupport (notez le souligné à gauche) dans le dossier BESData. Il s'agit d'un sous-dossier du dossier Client, le chemin d'accès final se présente donc comme suit : Program Files/BigFix Enterprise/BES Client/ BESData/ UISupport Placez le fichier du tableau de bord (nommé _dashboard.html) et tous les fichiers graphiques associés dans ce dossier. Au démarrage suiant du client, celui-ci intègre ces fichiers dans son interface, aec ajout à l'onglet Dashboard (Tableau de bord). Lorsque ous cliquez sur cet onglet, le tableau de bord calcule les dernières aleurs de chaque clause pertinence et les affiche. Les instructions pertinentes sont imbriquées dans le code HTML à l'intérieur de balises spécifiques et se présente de la forme suiante : <?releance instruction?> Par exemple, pour rechercher et imprimer l'heure, utilisez la commande suiante : <?releance now?> Lorsque le client affiche la page contenant cette instruction, celui-ci éalue la clause de pertinence "now" et substitue la aleur pour la balise. L'exemple de code HTML suiant imprime le mot "Date:", puis la date et l'heure actuelles : <html> <body> Date: <?releance now?> </body> </html> Pour actualiser l'éaluation de la pertinence, ajoutez cette ligne au fichier : <html> <body> Date: <?releance now?> <A href="cid:load?page=_dashboard.html"> Refresh </A> </body> </html> 58 Tioli Endpoint Manager - Guide d'administration

65 Ce lien intitulé Refresh (actualiser) lance le rechargement de la page. Si c'est le cas, il rééalue les clauses de pertinence. Il est facile de oir la manière dont ous pouez ajouter d'autres expressions de pertinence à cette page. Par exemple, pour imprimer le système d'exploitation et le nom de l'ordinateur, ajoutez ces deux lignes : <html> <body> Date: <?releance now?> Operating System: <?releance name of operating system?> Computer Name: <?releance computer name?> <A href="cid:load?page=_dashboard.html"> Refresh </A> </body> </html> Les feuilles de style sont disponibles pour formater la sortie. Vous pouez utiliser la feuille de style par défaut, offer.css pour certains formatages prédéfinis. Voici un exemple de tableau de bord comportant un titre, un en-tête, un lien d'actualisation et une section de aleurs de propriétés extraites : <html> <head> <link type="text/css" rel="stylesheet" href="offer.css"></link> <title>bigfix Dashboard Example</title> </head> <body> <di class="header"> <di class="headertitle"> <font size="6"><?releance computer name?></font> </di> <di class="headercategory"> <font size="1">(last updated: <?releance now?>)</font><br> <di><font size="1"> <a href="cid:load?page=_dashboard.html">refresh</a></font> </di> </di> </di> <di class="section"> <di class="sectionheader">computer Information</di> <di class="subsection"> <table> <tr> <td align="top">os: </td> <td><?releance operating system?></td> </tr> <tr> <td align="top">ram: </td> <td><?releance (size of ram)/ ?> MB</td> </tr> <tr> <td align="top">dns Name: </td> <td><?releance dns name?></td> </tr> </table> </di> </di> </body> </html> Tioli Endpoint Manager - Guide d'administration 59

66 Pour que la feuille de style offer.css fonctionne correctement, ous deez copier les fichiers de graphiques suiants dans le répertoire UISupport à partir du répertoire Client : bodybg.jpg, bodyheaderbg.jpg bullet.gif sectionheaderbg.gif Lorsqu'il est exécuté à partir du client, ce tableau de bord génère la sortie suiante : Pour plus d'informations sur les expressions de pertinence, oir Pertinence Language Reference. Localisation géographique des clients Parce que les clients sont souent déployés dans des bureaux distants, il est utile de créer une propriété qui permet aux clients d'indiquer leur propre emplacement. Vous pouez créer une propriété d'emplacement à l'aide de Location Property Wizard (assistant propriété d'emplacement). 1. Dans la console, accédez au domaine BigFix Management, cliquez sur le noeud de dossier Computer Management (Gestion de l'ordinateur), puis sur le noeud Location Property Wizard (Assistant Propriété d'emplacement). Un document d'assistant s'oure. 2. L'assistant crée une propriété nommée permettant aux clients de s'identifier en fonction de leur sous-réseau, de la plage d'ip ou d'autres informations. Lisez les instructions contenues dans l'assistant pour créer la propriété. Verrouillages des clients Vous pouez modifier le statut errouillé de n'importe quel client Tioli Endpoint Manager du réseau. Ceci ous permet d'exclure des ordinateurs ou des groupes d'ordinateurs spécifiques des effets des actions Fixlet. Cette fonction peut être utile, par exemple, pour exclure certains ordinateurs dédiés au déeloppement de toutes les modifications ou mises à jour. En outre, cela offre une technique puissante de 60 Tioli Endpoint Manager - Guide d'administration

67 test de nouelles actions Fixlet sur un ensemble limité d'ordinateurs déerrouillés, tout en maintenant le reste du réseau errouillé. Les ordinateurs clients peuent être errouillés pour toujours (jusqu'à ce qu'ils soient explicitement déerrouillés) ou pour une période déterminée. Des modifications sont effectuées sur l'état errouillé d'un client par l'enoi d'une action. En conséquence, l'opérateur de la console doit fournir une authentification appropriée pour errouiller ou déerrouiller n'importe quel ordinateur. Même si un client est errouillé, il existe toujours un sous-ensemble d'actions qui peuent être acceptées par le client. Il s'agit notamment des modifications d'horloge et des actions de déerrouillage ainsi que des actions proenant du site de support. Pour errouiller ou déerrouiller un ordinateur, procédez comme suit : 1. Dans l'arborescence de naigation du panneau de domaine, cliquez sur l'icône Ordinateurs pour afficher le panneau Liste des ordinateurs client Tioli Endpoint Manager en réseau. 2. Sélectionnez les ordinateurs à errouiller. 3. Cliquez aec le bouton droit de la souris, puis dans le menu contextuel, sélectionnez Edit Computer Settings (Editer des paramètres d'ordinateurs). (ou sélectionnez Edit Computer Settings (Editer des paramètres d'ordinateur) dans le menu Edit (Editer)). La boîte de dialogue Edit Setting (Edition de paramètre) s'oure. 4. Cliquez sur la case à cocher pour errouiller ou déerrouiller l'ordinateur. Bien que la console ne fournisse pas d'interface explicite pour la définition d'une date d'expiration du errouillage, ous pouez toujours créer un action pour cela. Pour plus d'informations, oir Action Guide (Guide des actions). Affichage des rapports sur le Web Le composant Web Reports de Tioli Endpoint Manager du sereur peut sureiller, imprimer ou analyser le statut de la base de données locale. Il peut également lire les bases de données d'autres sereurs et inclure leurs données, en permettant à l'administrateur d'aoir une ue de nieau supérieur d'une grande entreprise ou d'une entreprise isolée comptant plusieurs sereurs de base de données et des centaines de milliers d'ordinateurs gérés. Vous pouez afficher Web Reports à tout moment à partir de Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Web Reports ou à partir de la console, sous Outils > View Web Reports (Afficher Web Reports). Intégration d'actie Directory dans Web Reports Vous pouez actier des utilisateurs Actie Directory pour accéder à Tioli Endpoint Manager Web Reports, en procédant comme suit : 1. Actiez le support SSL dans Web Reports afin de protéger les données d'identification de l'utilisateur Actie Directory. 2. Configurez otre serice de sereur Web Reports pour qu'il s'exécute comme un utilisateur de domaine bénéficiant des droits permettant d'interroger Actie Directory. Il n'est pas nécessaire que cet utilisateur soit un administrateur de domaine ni qu'il dispose des droits d'accès permettant d'apporter des modifications à Actie Directory. 3. Connectez-ous à Web Reports en tant qu'administrateur Web Reports Tioli Endpoint Manager - Guide d'administration 61

68 4. Accédez à Administration > User Management (Gestion des utilisateurs). 5. Cliquez sur le lien Actie directory permissions (Droits Actie Directory). 6. Entrez os nom d'utilisateur et mot de passe Actie Directory. Le format du nom d'utilisateur doit être DOMAINE\nom_utilisateur ou 7. Affectez des rôles aux groupes et utilisateurs de domaine. De cette manière, ous accordez un accès à Web Reports conformément à la définition de rôle. Agrégation de plusieurs sereurs dans un sereur Web Reports Tout sereur Web Reports peut être configuré pour inclure des données proenant de tout autre sereur. Pour configurer Web Reports à l'aide d'un compte authentifié SQL Serer, procédez comme suit : 1. Dans la console, ourez la page Web Reports sous Outils > Afficher Web Reports. 2. Connectez-ous à Web Reports en tant qu'administrateur. 3. Cliquez sur le lien Administration > Database Settings (Paramètres de base de données) > Ajouter une nouelle base de données. 4. Entrez un nom de sereur qui identifie cette base de données. S'il s'agit d'une connexion ia un nom de source de données (DSN), entrez le Nom DSN. S'il s'agit d'une connexion ia une adresse IP, sélectionnez Use a default DSN-less connection et entrez l'adresse IP du sereur que ous souhaitez inclure (par exemple, ou besserer1.acme.com). 5. Il existe deux moyens de fournir une authentification pour otre base de données. La première option, une authentification Windows, est pratique si ous aez accès à Microsoft SQL Serer Enterprise Manager et si les sereurs se trouent dans le même domaine. 6. Sinon, ous pouez choisir l'option Utilisez un nom d'utilisateur et le mot de passe pour la connexion. Cette option ous permet d'entrer les Nom d'utilisateur et Mot de passe d'un utilisateur ayant accès à la base de données. Vous pouez utiliser os nom d'utilisateur et mot de passe de la console ou utiliser Microsoft SQL Serer Enterprise Manager pour créer un utilisateur bénéficiant d'un accès total à la table AggregatedBy et d'un accès read à toutes les autres tables de la base de données BFEnterprise. 7. Confirmez ou éditez l'adresse URL du sereur Web Reports qui sera inséré dans cette base de données en tant qu'identificateur. Journalisation Web Reports Vous pouez suire otre utilisation de Web Reports en configurant un fichier journal. Le nom du fichier journal est enregistré dans le registre. Voici comment définir ou accédez au nom : 1. Exécutez Regedit et recherchez la clé HKey Local Machine\Software\BigFix\ Enterprise Serer\BESReports. Vous pouez oir des ariables et certains chemins utilisés par Web Reports. Vous deez ajouter deux aleurs à cette clé ; une pour l'indicateur de consignation et une pour le nom de fichier. 2. Créez une aleur DWORD nommée LogOn et définissez-la à 1 pour actier la journalisation. 62 Tioli Endpoint Manager - Guide d'administration

69 3. Créez une aleur de chaîne nommée LogPath et définissez-la aec le chemin d'accès complet de otre fichier journal, par exemple, "C: \chemin_accès_complet\fichier.txt". Lors du prochain lancement de Web Reports, une journal de la session sera alors enregistré dans le fichier indiqué. Configuration HTTPS Afin d'offrir daantage de sécurité pour les rapports Web, ous pouez utiliser le protocole HTTPS à la place du protocole HTTP pour otre connexion du naigateur. Pour utiliser HTTPS, ous deez disposer d'un certificat SSL approprié. Le certificat SSL doit être au format de fichier standard PKCS7 OpenSSL (.pem). Si le certificat répond à toutes les exigences d'accréditation du naigateur utilisé pour la connexion, celui-ci se connecte sans aucune interention de l'utilisateur. En reanche, si le certificat ne satisfait pas les exigences d'accréditation du naigateur, la boîte de dialogue qui s'affiche alors demande à l'utilisateur s'il est d'accord pour poursuire la connexion, aec fourniture d'un accès aux informations sur le certificat. D'une manière générale, un certificat sécurisé est celui qui est signé par une autorité de confiance (par exemple, Verisign), contient le nom d'hôte correct et n'est pas arrié à expiration. Le fichier.pem est otre certificat SSL que ous deez obtenir ia otre autorité de certification faorite. Si ous ne nécessitez pas d'authentification en retour d'une clé d'authentification, ous pouez également générer un certificat autosigné aec les utilitaires OpenSSL (pour plus d'informations, oir le site de support de Tioli Endpoint Manager). Lorsque ous disposez d'un certificat, placez-le sur l'ordinateur exécutant des rapports Web (généralement le sereur) et suiez ces instructions : 1. Exécutez regedit et recherchez HKEY_LOCAL_MACHINE\Software\BigFix\EnterpriseClient\Settings\Client Vous deez ajouter ou modifier trois sous-clés : une pour l'indicateur HTTPS, une pour l'emplacement du certificat SSL et une pour le numéro de port HTTPS. Pour des systèmes x64, la clé est ici : HKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix\EnterpriseClient\ Settings\Client 2. Créez une sous-clé de Client appelée _WebReports_HTTPSerer_UseSSLFlag (il se peut qu'elle existe déjà). 3. Créez une aleur de chaîne (reg_sz) pour la clé _WebReports_HTTPSerer_UseSSLFlag appelée aleur et définissez-la à 1 pour actier HTTPS. 4. Créez une sous-clé de Client appelée _WebReports_HTTPSerer_SSLCertificateFilePath (il se peut qu'elle existe déjà). 5. Créez une aleur de chaîne (reg_sz) pour la clé _WebReports_HTTPSerer_SSLCertificateFilePath appelée aleur et définissez-la au nom de chemin d'accès complet du certificat SSL (cert.pem). 6. Créez une sous-clé de Client appelée _WebReports_HTTPSerer_PortNumber (il se peut qu'elle existe déjà). 7. Créez une aleur de chaîne (reg_sz) pour la clé _WebReports_HTTPSerer_PortNumber appelée aleur et définissez-la au numéro de port que ous souhaitez utiliser (généralement 443). 8. Mettez à jour l'adresse URL de Web Reports à utiliser au lieu de et le port 443 au lieu du port 80. Vous pouez faire cela en éditant la chaîne URL au sein de Web Reports. Pour ce faire, dans la page Présentation, Tioli Endpoint Manager - Guide d'administration 63

70 sélectionnez le lien Bases de données. Sélectionnez ensuite le lien Edit Database (Editer la base de données) sous la base de données appropriée. Vous pouez ensuite modifier l'entrée pour l'adresse URL de Web Reports. 9. Redémarrez le serice BESWebReports. Utilisation de Tioli Endpoint Manager Maintenant que ous aez installé les composants de Tioli Endpoint Manager et personnalisé la configuration pour l'adapter à os propres besoins, cette section explique comment maintenir et gérer otre installation. Ajout de noueaux opérateurs et d'opérateurs principaux Il existe deux classes d'opérateurs pour la console : les opérateurs ordinaires et les opérateurs principaux. Les opérateurs ordinaires gèrent un sous-ensemble des clients en fonction de leurs droits de gestion et disposent de priilèges restreints pour administrer des fonctions Tioli Endpoint Manager. Les opérateurs principaux ont la possibilité de gérer tous les clients et d'affecter des droits de gestion à d'autres opérateurs. Ils peuent également créer et supprimer les opérateurs ia la console Tioli Endpoint Manager L'administrateur de site dispose de la clé principale (license.pk) la plus importante et peut faire tout ce que fait un opérateur principal. Nous déconseillons cependant d'utiliser otre clé de site pour des opérations ordinaires. Au lieu de cela, créez un compte Opérateur principal et utilisez cette clé (publisher.pk) exclusiement pour des opérations de console. Attribution des droits de gestion Dans un déploiement standard de Tioli Endpoint Manager, ous trouerez n'importe où entre quelques centaines et quelques centaines de milliers d'ordinateurs qui communiquent aec un même sereur. A ces échelles, il est souent important de faire la distinction entre des ordinateurs qui peuent être contrôlés par différents opérateurs de console pour des besoins d'organisation et de sécurité. Tioli Endpoint Manager ous permet de répartir les droits de gestion en sections distinctes selon la géographie, le serice, le type d'ordinateur (sereurs par opposition à postes de traail) ou toute autre propriété. Chaque opérateur de la console peut se oir attribuer des droits de gestion appropriés aux ordinateurs. Tout ceci s'effectue en affectant des ordinateurs à des opérateurs en fonction des propriétés des ordinateurs. Par exemple, ous pouez autoriser à un membre d'une équipe de sereur de contrôler tous les ordinateurs qui ont des systèmes d'exploitation basés sur un sereur dans le centre de données de l'entreprise. Tout d'abord, indiquez quels sous-réseaux figurent dans le centre de données, puis tous les ordinateurs de ces sous-réseaux dont le système d'exploitation est géré par l'opérateur donné. Cette approche permet aux opérateurs d'afficher un sous-ensemble d'ordinateurs, en reanche, ils ne peuent ni afficher des informations ni modifier quoi que ce soit sur des ordinateurs dont ils n'ont pas la gestion. Lorsqu'ils isualisent la console ou Web Reports, il leur semble aoir leur propre sereur sans aucun autre ordinateur. 64 Tioli Endpoint Manager - Guide d'administration

71 Puisque différents opérateurs peuent être affectés à des groupes d'ordinateurs qui se cheauchent, tout type de configuration est possible. Les opérateurs de console reçoient uniquement des informations des ordinateurs qui leur sont affectés, ce qui améliore la gérabilité et la réactiité. Vous pouez également affecter des rôles et des sites aux opérateurs. Voici comment Ajouter ou Supprimer des droits de gestion : 1. Connectez-ous à la console Tioli Endpoint Manager en tant qu'opérateur principal. 2. Cliquez sur le domaine BigFix Management, puis sur l'icône Opérateurs (si cette option n'est pas accessible, ous ne disposez peut-être pas de l'autorisation appropriée pour exécuter cette commande). Vous affichez la liste des opérateurs de console. 3. Cliquez sur un opérateur unique de la liste. 4. Si ous cliquez sur l'onglet Détails, ous pouez oir dans la zone de traail les droits de l'opérateur et, si nécessaire, les modifier. 5. Sous l'onglet Rôles affectés, ous pouez également affecter un rôle à l'opérateur, qui accorde automatiquement les droits en fonction de la définition de ce rôle spécifique. 6. Cliquez sur Attribuer un rôle pour afficher les rôles que ous pouez attribuer à cet opérateur. 7. Sélectionnez le rôle à affecter, puis cliquez sur OK. Remarque : Un opérateur peut se oir affecter plusieurs rôles, aec des droits en conflit. Si c'est le cas, les droits les moins restrictifs sont alors affectés à l'opérateur. 8. Sous l'onglet Sites, ous pouez également redéfinir la liste des sites attribués à un opérateur. 9. Pour sauegarder les changements, cliquez sur Enregistrer les modifications. Modification des mots de passe des opérateurs locaux Tout opérateur principal peut modifier le mot de passe des données d'identification des opérateurs à partir de la console : 1. Dans le menu Editer, sélectionnez Reset Password (Reconfigurer le mot de passe). 2. Entrez le noueau mot de passe et sa confirmation. Changement du mot de passe de la base de données Vous pouez changer le mot de passe de otre base de données à partir de la console. 1. Dans le menu Fichier, sélectionnez Change Database Password (Changer le mot de passe de la base de données), notez que le choix de cet élément dépend des droits dont ous bénéficiez. 2. Entrez l'ancien mot de passe pour ous authentifier, puis entrez le noueau mot de passe et sa confirmation. Notez qu'à leur création le mot de passe d'éditeur et les mots de passe de base de données sont généralement les mêmes, toutefois ils peuent être différents. Tioli Endpoint Manager - Guide d'administration 65

72 Suppression d'un opérateur de console Lorsqu'un employé quitte l'entreprise, ous souhaitez certainement supprimer ses droits d'accès à la base de données. Cette opération s'effectue à l'aide de la console Tioli Endpoint Manager: 1. Lancez le programme en sélectionnant Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Console. 2. Sélectionnez un utilisateur de la liste, puis cliquez sur Supprimer. 3. Lorsque ous aez supprimé l'opérateur, cliquez sur OK. Cela supprime les droits de l'opérateur sur la base de données, arrête toutes les actions en attente de l'utilisateur et informe le client que les clés priées de cet utilisateur ne sont plus alides. 4. Vous êtes inité à propager le générique du site d'action afin de refléter les modifications apportées par l'utilisateur. Cliquez sur Oui pour continuer. 5. Entrez le mot de passe de otre clé priée, puis cliquez sur OK. Gestion du chiffrement client Les communications liées au sereur et relais et proenant des clients peuent être chiffrées pour préenir tout accès non autorisé à des informations confidentielles. Pour actier le chiffrement, ous deez générer une clé et indiquer une aleur de paramètre. Le paramètre est constitué sur la console et est décrit dans la section intitulée Actiation du chiffrement sur des clients (oir page «Actiation du chiffrement sur des clients», à la page 33). La clé est générée à partir de l'onglet Encryption (Chiffrement) de l'outil d'administration de Tioli Endpoint Manager : 1. Lancez l'outil d'administration de Tioli Endpoint Manager en sélectionnant Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. 2. Sélectionnez l'onglet Encryption (Chiffrement). Dans la partie supérieure de la boîte de dialogue on peut lire l'indication de l'état actuel (dans cet exemple : Report encryption is currently DISABLED (Le chiffrement de rapport est actuellement DÉSACTIVÉ). Quatre états désignent le chiffrement du client : Désactié, En attente, Actié et En attente de rotation. 66 Tioli Endpoint Manager - Guide d'administration

73 Disabled (Désactié) : cet état indique qu'aucun certificat de chiffrement n'est inclus dans otre générique de déploiement, ce qui signifie que les clients ne peuent pas chiffrer leurs rapports, même si on leur dit de le faire. Cliquez sur Generate Key (Générer une clé) pour créer un certificat de chiffrement (et la clé priée correspondante, qui peut être utilisée pour déchiffrer les rapports à la fin de la réception). Ceci ous permet de passer à l'état En attente. Pending (En attente) : dans cet état, un certificat de chiffrement a été généré et est prêt pour le déploiement, mais la clé priée n'a pas encore été distribuée à tous les relais et sereurs de déchiffrement nécessaires. Après aoir distribué manuellement la clé priée, cliquez sur le bouton Enable Encryption (Actier le chiffrement) pour incorporer le certificat dans le générique et l'enoyer à tous les clients. Vous passez maintenant à l'état Actié. Vous pouez aussi cliquer sur Annuler pour retourner à l'état Désactié. Enabled (Actié) : dans cet état, un certificat de chiffrement a été troué dans otre générique de déploiement, ce qui signifie que ous aez la possibilité d'actier la fonction de chiffrement (à l'aide du paramètre u précédemment) pour tous les clients de otre déploiement. A tout moment, ous pouez cliquer sur Generate new key (Générer une nouelle clé) pour créer un certificat de chiffrement. Ceci est utile si ous aez une politique de rotation de clés ou si otre clé de chiffrement est toujours compromise (oir la section suiante). La génération d'une nouelle clé ous permet de reenir à l'état Pending (En attente) (sauf si ous choisissez de déployer immédiatement, comme décrit dans la section suiante). Vous pouez également cliquer sur Disable (Désactier) pour retourner à l'état Disabled (Désactié). Pending Rotation (En attente de rotation) : dans cet état, un certificat de chiffrement est inclus dans otre générique de déploiement, et un noueau certificat a été généré et est prêt à remplacer le certificat existant. Génération d'un nouelle clé de chiffrement Si otre clé priée est compromise ou si ous disposez d'une stratégie de clés tournantes, ous pouez facilement générer une clé nouelle à partir de l'outil d'administration de Tioli Endpoint Manager. Voici comment procéder : 1. Lancez l'outil d'administration de Tioli Endpoint Manager en sélectionnant Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. 2. Sélectionnez l'onglet Encryption (Chiffrement). 3. Cliquez sur le bouton Generate key (Générer une clé). La boîte de dialogue Create Encryption Credentials (Créer les données d'identification de chiffrement) s'oure. Tioli Endpoint Manager - Guide d'administration 67

74 4. Dans cette boîte de dialogue, sélectionnez la taille de la clé. La aleur par défaut est 2048 ce qui est suffisant pour la plupart des cas. Actiez la case à cocher pour utiliser cette clé immédiatement. Cependant, si ous aez établi des relais qui utilisent un chiffrement, n'actiez pas cette case à cocher tant que ous ne pouez pas distribuer cette nouelle clé sur ces relais. 5. Cliquez sur OK pour distribuer cette nouelle clé à os clients. Vous deez fournir otre clé priée d'administration du site pour propager l'action. Une boîte de dialogue finale demande une confirmation. Pour plus d'informations sur les tailles de clé de chiffrement et la configuration requise du sereur, oir l'article de la base de connaissances sur la configuration requise du sereur sur le site de support de Tioli Endpoint Manager. Création de relais de déchiffrement de nieau supérieur Lorsqu'une action est déployée, des milliers de clients peuent présenter un rapport dans un court délai, généralement à un relais. Si ous aez opté pour le chiffrement de ces rapports, le relais les regroupe et les transmet au sereur, qui doit ensuite les séparer et les déchiffrer l'un après l'autre. Aec plusieurs milliers de clients, cela peut se traduire par une charge de calcul significatie pour le sereur. Pour améliorer les performances, ous pouez alléger la charge sur otre sereur en permettant à os relais de nieau supérieur d'effectuer la majeure partie du déchiffrement. Si ous aez plus de clients, ous pourriez être en mesure de réduire considérablement la charge sur otre sereur en délégant les opérations de déchiffrement à la chaîne de relais. Si le relais dispose de sa propre clé de déchiffrement, il peut tout d'abord déchiffrer les messages des clients en texte en clair, puis regrouper des milliers d'entre eux dans une archie unique. Cette dernière peut ensuite être compressée, chiffrée et transmise au sereur. A ce stade, le sereur peut effectuer un déchiffrement unique sur la totalité de l'archie, en réduisant de façon significatie le temps système pour cette opération. 68 Tioli Endpoint Manager - Guide d'administration

75 Pour répartir les tâches de déchiffrement, distribuez os clés de chiffrement sur os relais de nieau supérieur. Pour un chiffrement normal au nieau du sereur, IBM crée une clé de chiffrement à otre attention et la place dans le dossier du programme : C:\Program Files\BigFix Enterprise\BES Serer\Encryption Keys Pour affecter la charge à os relais de nieau supérieur, placez la clé de chiffrement dans le répertoire équialent du relais : C:\Program Files\BigFix Enterprise\BES Relay\Encryption Keys Ces relais de nieau supérieur déchiffrent tous les documents reçus, les rassemblent, puis les signent à noueau aec une signature unique. Vous pouez placer autant de clés que ous le souhaitez dans le dossier et le relais tente d'utiliser chacun d'elles lorsqu'il reçoit un rapport de client chiffré. Les clients chiffrent en fonction de la clé trouée dans le fichier générique, qui doit être la dernière clé créée. Toutefois, il est possible qu'un client transmette un rapport aec une ersion ancienne du générique (et donc une clé de chiffrement différente), si pour une raison quelconque, il n'a pas recueilli le dernier site d'action. Certaines considérations sont à prendre en compte : Vous deez transférer manuellement le fichier de clés à partir du sereur ers le relais toutes les fois que ous créez une clé de chiffrement. Durant le processus de transfert, il est important de ne pas exposer otre fichier de clés priées. Cela signifie que ous ne deez pas déplacer la clé ia Internet car toute personne à l'écoute pourrait être en mesure d'en faire une copie. En conséquence, il est préférable de transférer physiquement la clé d'un ordinateur à un autre, par exemple, en utilisant une clé USB. Au cours du processus de création de clés de chiffrement, ous aez la possibilité de créer le fichier de clés priées, mais pas de le propager dans le générique. Cette étape ous permet de transférer la nouelle clé ers les relais aant que les clients ne commencent à enoyer des messages de chiffrement aec cette clé. Gestion des téléchargements Tioli Endpoint Manager fait appel à plusieurs méthodes pour s'assurer de l'efficacité des téléchargements et tirer le meilleur parti de la bande passante disponible. Parmi les autres techniques, la mise en cache est largement utilisée par tous les éléments Tioli Endpoint Manager, y compris les sereurs, relais et clients. Si une action sur un client doit télécharger un fichier, la mémoire cache locale est érifiée en premier. Si le client ne parient pas à le trouer localement, il demande le fichier de son parent, généralement un relais. Lorsque le fichier est demandé, le relais érifie son propre cache. S'il troue le fichier, il l'enoie immédiatement au client ayant fait la demande. Sinon, il transmet la demande à son parent, il peut d'agir d'un autre relais, et le processus se poursuit. Finalement, un sereur extrait le fichier d'un sereur interne ou depuis Internet, le met en cache, puis le renoie dans la chaîne. Après aoir reçu le fichier, chaque relais de la chaîne le met en mémoire cache, et continue à le transmettre jusqu'au client d'origine, qui le met également en mémoire cache. Chaque mémoire cache consere le fichier jusqu'à ce que l'espace disponible ient à manquer. A ce stade, la mémoire cache est purgée des fichiers les moins récemment utilisés (LRU) afin de libérer daantage d'espace. Vous pouez afficher la taille de la mémoire cache des relais ainsi que d'autres informations sur les relais Tioli Endpoint Manager - Guide d'administration 69

76 en actiant l'analyse des informations de la mémoire cache des relais (Relay Cache Information Analysis) disponible sur le site de support Fixlet. La taille de la mémoire cache par défaut est 1 Go, mais ous pouez la modifier à l'aide de la tâche Relay / Serer Setting: Download Cache Size Task, disponible également sur le site de support Fixlet. Il pourrait exister des situations qui nécessitent le téléchargement et la mise en cache manuels de fichiers, généralement parce que certains fichiers ne sont pas accessibles au public, et donc dans de tels cas, ous deez télécharger les fichiers directement depuis la source. Vous pouez préremplir la mémoire cache de téléchargement en copiant les fichiers à l'emplacement de la mémoire cache de téléchargement. Vous pouez également effacer ces fichiers manuellement si ous le souhaitez. Les mémoires cache sont stockées comme des sous-dossiers du dossier programme, qui est créée par défaut à C:\Program Files\BigFix Enterprise. La mémoire cache de téléchargement du sereur est BES Serer\wwwrootbes\bfmirror\downloads\ sha1 et la mémoire cache de téléchargement du client se troue dans BES Client\ BESData\ Global\ Cache\Downloads. Pour des raisons de sécurité, chaque fichier que ous sauegardez doit être nommé aec la aleur hachée sha1 du fichier. Si le nom de fichier ne correspond pas au sha1, le fichier est ignoré. A l'instar de la mémoire cache de téléchargement, les relais conserent une mémoire cache d'action (également 1 Go) contenant tous les fichiers nécessaires pour chaque action, tandis que les clients gèrent une mémoire cache d'utilitaires. Pour plus d'informations sur le traitement des incidents des relais, y compris la bande passante et le téléchargement, consultez l'article de la base de connaissance sur la santé des relais sur le site de support Tioli Endpoint Manager. Téléchargement dynamique des listes blanches Un téléchargement dynamique étend la flexibilité des scripts d'action, en ajoutant la possibilité d'utiliser des clauses de pertinence dans la spécification des adresses URL. A l'instar des téléchargements statiques, les téléchargements dynamiques doient indiquer des fichiers aec la confirmation d'une taille ou sha1. Toutefois, l'adresse URL, la taille et sha1 peuent proenir d'une source extérieure au script d'action. Cette source externe pourrait être un manifeste contenant la liste de modifications des noueaux téléchargements. Cette technique permet d'accéder facilement aux fichiers qui changent rapidement ou selon un calendrier, comme des moniteurs d'antiirus ou de sécurité. Cette flexibilité implique un examen supplémentaire. Puisque tout client peut utiliser un téléchargement dynamique pour demander un fichier, cela offre la possibilité à des personnes d'utiliser otre sereur pour héberger les fichiers sans distinction. Pour préenir cet inconénient, le téléchargement dynamique fait appel à une liste blanche. Toute demande de téléchargement à partir d'une adresse URL (qui n'est pas explicitement autorisée par l'utilisation d'une adresse URL littérale dans le script d'action) doit satisfaire l'un des critères spécifiés dans la liste blanche des adresses URL du sereur, située dans <Chemin d'installation du sereur>\mirror Serer\Config\DownloadWhitelist.txt. 70 Tioli Endpoint Manager - Guide d'administration

77 Ce fichier contient une liste séparée par un nouelle ligne des expressions régulières utilisant un format d'expression régulière en langage Perl (Perl regex), comme ce qui suit : La première ligne est le moins restrictie, ce qui permet le téléchargement de tout fichier du domaine site-a complet. La deuxième ligne nécessite un hôte de domaine spécifique et la troisième est la plus restrictie, en limitant l'adresse URL à un fichier unique nommé "JustThisOneFile.qfx". Si une URL demandée ne correspond pas à une entrée dans la liste blanche, le téléchargement échoue immédiatement aec le statut Indisponible. Une note est consignée dans le journal du relais aec l'adresse URL n'ayant pas pu passer. Une liste blanche ide ou inexistante prooque l'échec de tous les téléchargements dynamiques. Une entrée de liste blanche ".*" (point étoile) permet le téléchargement de n'importe quelle adresse URL. Edition du générique Vous pouez modifier certains paramètres par défaut enregistrés dans le générique à l'aide de l'outil d'administration de Tioli Endpoint Manager. Voici comment procéder : 1. Lancez le programme à partir de Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. 2. Accédez à l'emplacement de la licence de otre site, puis cliquez sur OK. 3. Sélectionnez l'onglet Masthead Management (Gestion du générique), puis cliquez sur le bouton Edit Masthead (Editer le générique). 4. La boîte de dialogue Edit (Editer le générique) s'oure. Tioli Endpoint Manager - Guide d'administration 71

78 Remarque : Nous recommandons de conserer les paramètres par défaut de cette page à moins d'aoir une raison particulière de les modifier. Des paramètres incorrects peuent empêcher Tioli Endpoint Manager de fonctionner de manière optimale. Pour plus d'informations, contacter otre support logiciel IBM. 5. Les paramètres que ous pouez éditer incluent : Numéro de port du sereur : En général, ous ne souhaitez modifier ce numéro. En outre, si ous décidez de le modifier après le déploiement des clients, Tioli Endpoint Manager risque de ne pas fonctionner correctement. Voir la section Modification des numéros de port de la rubrique suiante. Cryptographie : Actiez cette case à cocher pour implémenter la norme FIPS (Federal Information Processing Standard) sur otre réseau. Cette opération modifie le générique pour que tous les composants TIVOLI ENDPOINT MANAGER tentent de passer en mode FIPS. Par défaut, le client continue en mode non-fips s'il ne parient pas à entrer correctement en mode FIPS, ce qui pourrait être un problème aec certains systèmes d'exploitation existants. N'oubliez pas qu'en actiant cette case à cocher, cela peut ajouter 3 à 4 secondes à l'heure de démarrage du client. Interalle de regroupement : Cette option détermine le temps que les clients attendent sans écoute du sereur aant de érifier qu'un noueau contenu est disponible. En règle générale, toutes les fois fois que le sereur rassemble un noueau contenu, il tente d'aertir les clients de la disponibilité du noueau contenu ia une connexion UDP, en neutralisant ce retard. Toutefois, dans des situations où UDP est bloqué par des pare-feux ou lorsque la conersion d'adresses réseau (NAT) recrée la correspondance de l'adresse IP du client à partir de la perspectie du sereur, un interalle plus petit deient alors nécessaire pour obtenir une réponse opportune du client. Des taux de regroupement supérieurs 1 n'affectent que légèrement les performances du sereur car seules les différences sont regroupées ; un client ne regroupe pas des informations qu'il possède déjà. 72 Tioli Endpoint Manager - Guide d'administration

79 Etat de errouillage initial : Vous pouez indiquer l'état de errouillage initial de tous les clients. Les clients errouillés signalent quels messages Fixlet sont pertinents pour eux, mais n'appliquent aucune action. La aleur par défaut est de les laisser déerrouillés et de errouiller des clients spécifiques ultérieurement. Cependant, ous pourriez souhaiter démarrer aec les clients errouillés et les déerrouiller par la suite indiiduellement afin d'aoir daantage de contrôle sur les clients nouellement installés. Vous pouez aussi les définir pour qu'ils soient errouillés durant un certain temps (en minutes). Contrôleur de errouillage de l'action : Ce paramètre détermine qui peut modifier l'état de errouillage de l'action. La aleur par défaut est Console, un opérateur de console disposant de droits de gestion peut ainsi modifier l'état de errouillage de n'importe quel client sur le réseau. Si ous souhaitez déléguer le contrôle de errouillage à un utilisateur final, ous pouez sélectionner Client, mais cela n'est pas recommandé. Dispenses de errouillage de l'action : Dans de rares cas, ous pourriez aoir besoin de dispenser une adresse URL spécifique de toute action de errouillage. Actiez cette case à cocher, puis entrez l'adresse URL dispensée. 6. Cliquez sur OK pour entrer les changements. 7. A l'inite, entrez le mot de passe de otre site. Remarque : Les modifications du générique n'affectent PAS les clients déjà déployés, mais ous pouez exporter le générique à l'aide de l'outil d'administration et remplacer le générique dans le sereur pour que les clients déployés aec le noueau générique utilisent ces modifications. Modification des numéros de port Par défaut, le sereur utilise le port pour communiquer aec les clients, mais ous pouez définir le numéro de port de otre choix, en éitant de prendre les numéros de port réserés qui sont entre 1 et 1024 en raison de conflits potentiels et des difficultés de gestion du trafic réseau. Le choix du numéro de port du sereur est factorisé dans la génération du générique, qui spécifie les adresses URL dédiées à l'action, l'enregistrement, la génération de rapports et aux sereurs miroir. En conséquence, ous deez finaliser otre numéro de port aant l'installation. Modification des options du système global L'outil d'administration de Tioli Endpoint Manager ous permet de modifier quelques aleurs système par défaut de base, comme l'actualisation minimale, la isibilité Fixlet et l'icône de l'interface utilisateur. Voici comment procéder : 1. Lancez l'outil d'administration à partir de Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. 2. Sélectionnez l'onglet System Options (Options système). 3. Dans la partie supérieure, ous pouez définir la aleur Minimum Refresh (actualisation minimale) globale. La aleur par défaut est 15 secondes, ce qui représente un bon compromis entre réactiité et charge réduite du réseau. Si ous constatez que ces communications ont un impact sur otre réseau, ous pouez augmenter la aleur minimale à 60 secondes ou plus. 4. Par défaut, les sites externes sont isibles pour tous les opérateurs de console, mais ous pouez modifier cela dans la section marquée Default Fixlet Tioli Endpoint Manager - Guide d'administration 73

80 Visibility (Visibilité Fixlet par défaut). Cliquez sur le bouton du bas pour rendre le contenu externe inisible à tous les opérateurs sauf aux opérateurs principaux. 5. Il est possible de personnaliser l'interface utilisateur du client aec otre propre logo. Vous pouez utiliser un graphique de otre choix, mais parce qu'il s'agit d'un paramètre global, l'image de marque de l'entreprise est caractéristique. Lorsque ous présentez un message ou une offre à os clients, ceux-ci oient l'icône que ous aez fournie dans la barre de titre, la barre d'état et la barre des tâches. Le fichier d'icônes doit contenir plusieurs images de tailles différentes. La première image du fichier doit être une image de 64 x 64 aec transparence et sera utilisée dans le corps des boîtes de dialogue. Les icônes de la barre de titre et de la barre des tâches sont choisies par taille, en ciblant la taille indiquée par les mesures système SM_CXICON and SM_CYICON. Il s'agit généralement de 16 ou 32. Le fichier d'icônes doit être créé conformément à la procédure Microsoft de création d'une icône Windows XP aec transparence. Cliquez sur le bouton Ajouter l'icône pour rechercher un fichier d'icônes (.ico) approprié. Planification de réplication Si ous disposez de plusieurs sereurs dans otre déploiement, ous pouez planifier à quel le moment chacun réplique. La aleur par défaut est cinq minutes, mais ous pouez raccourcir cet interalle pour obtenir une capacité de reprise supérieure ou l'augmenter pour limiter l'actiité du réseau. Voici comment procéder : 1. Lancez l'outil d'administration à partir de Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool. 2. Sélectionnez l'onglet Réplication. 3. Cliquez sur le bouton Actualiser pour consulter les derniers Graphiques de réplication. 4. Sélectionnez l'adresse IP d'un sereur, puis choisissez le nouel interalle de réplication. Extension de la licence Tioli Endpoint Manager Tout d'abord, lorsque ous demandez otre licence de site d'action, otre requête est archiée chez IBM et une licence est émise à otre attention pour une période donnée. Aant l'expiration de otre licence, Tioli Endpoint Manager ous en aertit et ous laisse suffisamment de temps pour renoueler otre licence. A l'approche de la date d'expiration, Tioli Endpoint Manager ous alerte par un message Fixlet. De même, si ous enez à dépasser le nombre de clients affectés par otre licence, Tioli Endpoint Manager ous le signale. Pour étendre l'expiration de otre licence ou ajouter de nouelles licences client à otre installation, procédez comme suit : 1. Préenez otre représentant IBM (si ous n'aez pas payé pour une extension de licence, ous deez en parler à otre commercial ou reendeur pour acheter une licence étendue). 2. Votre sereur recherche quotidiennement une nouelle ersion de otre licence. Pour forcer otre sereur à effectuer cette recherche immédiatement, à partir de la console, accédez au domaine BigFix Management, cliquez sur le noeud License Présentation (Présentation de licence), puis cliquez sur le bouton Check for license update (Rechercher une mise à jour de licence). 74 Tioli Endpoint Manager - Guide d'administration

81 Recréation des données d'identification du Site Le chiffrement de clé publique / priée crée une chaîne d'autorité de signature de la racine de Tioli Endpoint Manager jusqu'à l'administrateur de site, et notamment chaque opérateur de console. Si ous perdez les données d'identification de otre site ou modifiez l'adresse IP de otre sereur, la chaîne est rompue. Les conséquences sont graes : ous deez redémarrer en adressant une nouelle demande de certificat de site à IBM. Ensuite, ous deez réinstaller le système complet, y compris tous les clients (contactez otre technicien de support pour plus d'informations sur la manière de migrer os clients ers un noueau sereur), puis recréez tous les utilisateurs. Dans cette situation, contactez otre technicien de support. Pour protéger otre certificat de site, suiez ces règles importantes : Ne perdez pas la clé priée pour otre site (enregistrée dans le fichier nommé license.pk). Suiez les procédures standard de sauegarde et de sécurisation des informations confidentielles critiques. Ne changez pas l'adresse IP / le nom d'hôte ou le numéro de port du sereur, car il s'agit de l'identificateur principal pour otre certificat du site. Toute modification de l'adresse IP ou du numéro de port qui a été spécifiée lors de la demande de licence annule la licence et nécessite une nouelle installation du système Tioli Endpoint Manager. Si ous aez l'intention de mettre hors serice un sereur, eillez à appliquer la même adresse IP et le même numéro de port sur le sereur de remplacement. N'oubliez pas otre mot de passe. Suiez os normes d'entreprise pour noter et stocker otre mot de passe. Remarque : L'administrateur de site de Tioli Endpoint Manager peut modifier le mot de passe de la clé au nieau du nieau site, s'il connaît le mot de passe actuel. Mise à jour de Tioli Endpoint Manager A l'instar d'autres installations de logiciels dans otre entreprise, le programme Tioli Endpoint Manager proprement dit doit parfois être maintenu et mis à jour. Cette fonctionnalité est intégrée au système. Pour ous assurer que ous exécutez bien la dernière ersion de Tioli Endpoint Manager, eillez à installer le client sur tous les ordinateurs sereur et de console. Toutes les fois qu'une mise à jour est publiée, ous receez un message Fixlet contenant toutes les informations utiles pour installer la mise à jour. Si, pour une raison quelconque, ous ne souhaitez pas utiliser les messages Fixlet pour mettre à jour automatiquement les composants Tioli Endpoint Manager, ous pouez à la place opter pour une mise à jour manuelle de chaque composant. Les instructions d'installation sont incluses dans le message Fixlet de mise à nieau ou sont disponibles auprès de otre technicien de support. Annonces IBM IBM gère une liste de diffusion pour ses annonces de noueaux produits, de mises à jour, de notices d'information et d'autres informations utiles aux administrateurs Tioli Endpoint Manager. IBM recommande iement à tous les clients de s'abonner à la liste de diffusion d'annonces à l'adresse suiante : Tioli Endpoint Manager - Guide d'administration 75

82 Changement de l'icône du client Par défaut, l'icône située dans le coin supérieur gauche de l'interface utilisateur du client est le logo de Tioli Endpoint Manager. Cette même icône apparaît sur la barre d'état lorsqu'une action est en attente et sur la barre des tâches lorsque le programme est en cours d'exécution. Vous pouez changer cette icône pour ous permettre de préciser à os utilisateurs quelle est la source de l'action, et également pour ous conformer aux réglementations relaties à l'usage des marques de l'entreprise. Pour changer l'icône, procédez comme suit : 1. Exécutez l'outil d'administration de Tioli Endpoint Manager (Démarrer > Programmes > Tioli Endpoint Manager > Tioli Endpoint Manager Administration Tool). 2. Cliquez sur l'onglet System Options (Options système). 3. Cliquez sur le bouton Change Icon (Changer l'icône) et utilisez la boîte de dialogue Open (Ourir) pour rechercher le fichier d'icône (.ico) de otre choix. 4. L'outil d'administration propage immédiatement ce graphique aux clients, mais il ne sera incorporé dans l'interface qu'après un redémarrage du client. Après cela, lorsqu'une interface client s'oure (en réponse à une action, un tableau de bord ou une offre), celle-ci inclut l'icône graphique que ous aez spécifiée. Maintenance et traitement des incidents Si ous êtes abonné au site Patches for Windows (Correctifs pour Windows), ous pouez érifier que ous disposez bien des dernières mises à nieau et des derniers correctifs pour os sereurs de base de données SQL Serer. En d'autres termes, ous deez installer le client sur tous os ordinateurs, y compris les ordinateurs du sereur et de la console. En outre, ous pouez bénéficier de ces autres outils et procédures : Si SQL Serer est installé, ous ous êtes certainement familiarisé aec les outils MS SQL Serer, qui ous aident à maintenir le bon fonctionnement de la base de données. Il s'agit d'une pratique standard de sauegarde de otre base de données selon une planification ordinaire, et la base de données Tioli Endpoint Manager n'est pas une exception. Il est aussi recommandé d'effectuer occasionnellement des recherches d'erreurs pour alider les données. Si ous constatez une dégradation des performances, recherchez une fragmentation. Tioli Endpoint Manager produit de nombreux fichiers temporaires ce qui peuent créer un grand nombre de fragmentations du disque, en conséquence, défragmentez otre disque dur lorsque nécessaire. Une maintenance régulière implique également l'exécution occasionnelle de recherches d'erreurs sur os unités de disque. L'outil de diagnostic de Tioli Endpoint Manager effectue un test complet des composants du sereur et peut être exécuté à tout moment en cas de problème. Voir la section Exécution de l'outil de diagnostic de Tioli Endpoint Manager (page «Exécution de l'outil de diagnostic de Tioli Endpoint Manager», à la page 24). Vérifiez souent le domaine BigFix Management. Il existe plusieurs Fixlets disponibles qui peuent détecter des problèmes aec l'un de os composants Tioli Endpoint Manager. Ceci permet souent de préenir des problèmes aant qu'ils ne iennent affecter otre réseau. Vérifiez la base de connaissances de Tioli Endpoint Manager à l'adresse Ce site est mis à jour en permanence, et si ous ne 76 Tioli Endpoint Manager - Guide d'administration

83 trouez pas un article dans la base de connaissances relatif à otre question, ous pouez toujours trouer des informations sur la manière de soumettre une question au support logiciel IBM. Ajoutez des relais pour améliorer les performances globales du système et portez une attention particulière à ceux-ci. Des relais sains sont importants pour un déploiement sain. Consultez le tableau de bord Deployment Health Checks (Contrôle de santé du déploiement) dans le domaine BigFix Management et recherchez des optimisations et des défaillances. Configurez des actiités de sureillance sur les sereurs afin que ous soyez aerti en cas de défaillance logicielle ou matérielle, notamment : Sereur hors tension ou indisponible Défaillance du disque Erreurs du journal des éénements à propos des applications sereur Etat des serices sereur Situation de sauegarde des données de répertoire en mémoire tampon FillDB Ressources Scénarios de déploiement Les quelques pages suiantes contiennent des scénarios de déploiement qui illustrent certaines configurations de base extraites d'études de cas réels. Votre organisation pourrait se rapprocher de l'un des exemples suiants selon la taille de otre réseau, les dierses restrictions de bande passante entre des clusters et le nombre de relais et de sereurs. La contrainte principale est la bande passante et non la puissance de l'unité centrale. Portez une attention particulière à la répartition des relais dans chacun des scénarios. Les relais offrent une amélioration considérable de la bande passante et doient être déployés judicieusement, notamment dans les situations aec des canaux de communication lents. Les relais sont généralement plus efficaces dans des hiérarchies plutôt aplanies. Un relais de nieau supérieur réduit directement la pression sur le sereur, et offre une couche inférieure qui permet de répartir la charge. Toutefois, des hiérarchies de plus de deux nieaux peuent être contre-producties et doient être déployées soigneusement. Des nieaux multiples ne sont généralement nécessaires que lorsque ous disposez de plus de 50 relais. Si tel est le cas, les relais de nieau supérieur doient être déployés sur des sereurs dédiés pour un serice sur 50 à 200 relais. Les exemples suiants ous aident à déployer l'agencement de réseau le plus efficace. Notez que des sereurs supplémentaires peuent également ajouter de la robustesse à un réseau, en répartissant la charge et en fournissant une redondance. L'utilisation de sereurs redondants permet d'automatiser des opérations de reprise par restauration et de reprise en ligne, aec une perte de données minimale, même dans des circonstances catastrophiques. Grâce au déploiement correct des sereurs et relais, des réseaux de toute taille peuent être accommodés. Outre les exemples présentés ici, otre technicien de support IBM peut ous apporter son aide sur d'autres configurations. Tioli Endpoint Manager - Guide d'administration 77

84 Déploiement de base Il s'agit d'un déploiement considérablement simplifié conçu pour signaler la hiérarchie de base et les ports utilisés pour connecter les composants. 78 Tioli Endpoint Manager - Guide d'administration

85 Notez ce qui suit à propos du diagramme : Le port 80 est utilisé pour collecter des messages Fixlet sur Internet à partir de fournisseurs Fixlet comme IBM. Un port dédié (par défaut 52311) est utilisé pour les communications HTTP entre des sereurs, des consoles, des relais et des clients. Une connexion HTTP est nécessaire pour exécuter la console. Les relais permettent de partager la charge du sereur. Ce diagramme ne présente que deux relais, mais ous pouez utiliser des douzaines oire des centaines de relais dans une structure hiérarchique similaire à plat. D'une manière générale, un relais est déployé pour tous les 500 à 1000 ordinateurs. Les relais Tioli Endpoint Manager nécessitent un port HTTP (par défaut 52311) pour communiquer aec les clients. Les relais Tioli Endpoint Manager peuent également utiliser un port UDP pour alerter les clients sur mises à jour, mais cette opération n'est pas strictement nécessaire. Les clients Tioli Endpoint Manager sont généralement des PC ou des postes de traail, mais cela peut inclure d'autres sereurs, ordinateurs portables ancrables et autres. Tout périphérique pouant bénéficier des correctifs et mises à jour est un candidat à inclure dans le déploiement. La flexibilité et le potentiel de Tioli Endpoint Manager sont bien plus étendus que ce simple cas suggère. Tioli Endpoint Manager est en mesure de sureiller des centaines de milliers d'ordinateurs, même s'ils sont répartis dans le monde entier. Les scénarios suiants sont élaborés sur ce déploiement de base. Bureau principal aec satellites Fast-WAN Il s'agit d'une configuration classique que l'on retroue dans de nombreuses uniersités, nombreux organismes gouernementaux et petites entreprises aec seulement quelques emplacements géographiques. La configuration et l'administration de type de déploiement est relatiement facile car il y n'a aucun (oire très peu) de canaux WAN impliqués. Tioli Endpoint Manager - Guide d'administration 79

86 Notez ce qui suit à propos du diagramme : Dans cette configuration, les relais permettent de soulager le sereur et de distribuer les communications, en optimisant la bande passante. Ce scénario utilise des canaux de communication WAN rapides, ce qui permet aux relais des bureaux de communiquer directement aec le sereur principal. Un WAN aec canaux de communication lents pourrait forcer un changement dans l'agencement des relais (oir les scénarios ci-dessus et ci-dessous). Plus il yaderelais dans l'enironnement, plus les téléchargements et les taux de remontée sont rapides. En raison de la nature de ce réseau, lorsque les clients sont définis à Automatically Locate Best Relays (Rechercher automatiquement le meilleur relais), un grand nombre de relais est éloigné de la même distance. Dans ce scénario, les clients effectuent eux-mêmes un équilibrage de la charge parmi tous les relais qui se trouent à proximité. Pour le réseau local à grande itesse, une hiérarchie relatiement plate est recommandée, aec tous les relais directement en rapport aec le sereur 80 Tioli Endpoint Manager - Guide d'administration

87 principal. Tous nieaux supplémentaires dans la hiérarchie ne feraient qu'introduire des temps d'attente inutiles. Toutefois, s'il y aait plus de 50 à 100 relais dans cet enironnement, il coniendrait d'enisager un autre nieau de relais. Configuration de l'architecture DSA (Distributed Serer Architecture) Les entreprises ayant des besoins sensibles ou de haute disponibilité souhaitent déployer plusieurs systèmes entièrement redondants afin de maintenir la continuité des opérations, même en cas de graes perturbations. La présence de plusieurs sereurs permet également de répartir la charge et de créer un déploiement plus efficace. Voici un diagramme réduit à sa plus simple expression sur la manière de configurer plusieurs sereurs pour fournir de la redondance : Dans le cas d'une reprise en ligne, le relais a automatiquement trouer le sereur de sauegarde et se reconnecter au réseau. Notez ce qui suit à propos du diagramme : Les sereurs Tioli Endpoint Manager sont connectés par un WAN rapide, autorisant une synchronisation plusieurs fois par heure. Tioli Endpoint Manager - Guide d'administration 81

88 Les sereurs nécessitent une connectiité ODBC et un lien HTTP pour un fonctionnement et une réplication corrects. Il existe un sereur principal dont l'id est 0 (zéro). Il s'agit du premier sereur que ous installez, et du sereur par défaut pour l'exécution de l'outil d'administration de Tioli Endpoint Manager. Pour des raisons de clarté, cette configuration est minimale. Un déploiement plus réaliste intégrerait un relais de nieau supérieur et d'autres connexions WAN à des bureaux régionaux. Les sereurs et relais Tioli Endpoint Manager sont configurés pour permettre l'acheminement automatique d'un contrôle lors d'un contournement en cas d'indisponibilité (planifiée ou autre), et lors de connexion aec reprise en ligne, la fusion automatique des bases de données. Les sereurs Tioli Endpoint Manager communiquent selon un planning régulier pour répliquer leurs données. Vous pouez consulter le statut actuel et ajuster l'interalle de réplication ia Tioli Endpoint Manager Administration > Réplication. Pour obtenir les meilleures performances possibles, ces tuyaux doient être gros. Ce diagramme ne présente que deux Sereurs, cependant la même architecture de base s'applique à chaque sereur supplémentaire. Aec plusieurs sereurs, un algorithme du chemin le plus court est utilisé pour conduire la réplication. Lorsqu'une indisponibilité ou tout autre incident se traduit par un partage réseau, il est possible qu'un Fixlet personnalisé ou qu'une propriété récupérée soit modifiée indépendamment sur les deux côtés de la diision. Lorsque le réseau est reconnecté sur la reprise en ligne, la priorité est donnée à la ersion sur le sereur ayant le plus petit ID de sereur. Configuration de relais efficace Pour accroître l'efficacité et réduire le temps d'attente, cette entreprise a configuré une hiérarchie de relais afin d'alléger la charge du sereur. Chaque relais ajouté est un fardeau en mois sur le sereur pour les téléchargements de correctifs et les téléchargements de données. La configuration de relais est une opération simple et les clients peuent être configurés pour rechercher automatiquement le relais le plus proche, ce qui simplifie daantage l'administration. 82 Tioli Endpoint Manager - Guide d'administration

89 Notez ce qui suit à propos du diagramme : Il existe un ordinateur sereur dédié appelé relais de nieau supérieur qui permet d'alléger la charge sur l'ordinateur sereur. Tous les relais sont configurés manuellement pour pointer sur le relais de nieau supérieur ou sur un autre relais se trouant plus près. La règle générale de configuration des relais est qu'il est préférable d'aoir aussi peu de nieaux que possible ers les relais sauf en cas de goulot d'étranglement de la bande passante. Les communications sur des canaux de communication lents doient s'effectuer de relais à relais. Le relais de nieau supérieur doit soulager le sereur, et le relais secondaire peut permettre la distribution d'un même téléchargement sur des centaines de clients. Ilyaunrelais dans la zone démilitarisée qui est configuré aec une relation de confiance particulière aec le sereur. Ce relais doit permettre à Tioli Endpoint Manager de gérer des clients de la zone démilitarisée ou de l'internet public. La zone démilitarisée place un pare-feu de sécurité entre le relais et l'ensemble des ordinateurs personnels et portables s'y rapportant à partir d'internet. Ce diagramme montre un seul relais dans le grand bureau régional. Toutefois, pour des bureaux disposant de plus que quelques centaines de clients, il doit y aoir en général plusieurs relais pour aboutir à une répartition efficace de la charge. En règle générale, ous deez déployer au moins un relais pour 500 à 1000 clients pour optimiser l'efficacité du relais. Pour plus d'informations, oir l'article sur les relais sur le site de support Tioli Endpoint Manager. Tioli Endpoint Manager - Guide d'administration 83

90 Réseau en étoile Ce scénario implique un centre de données principal, un petit nombre de grands bureaux régionaux et un grand nombre de petits bureaux régionaux. Il s'agit d'une configuration commune aux grandes organisations internationales. Les clients Tioli Endpoint Manager sont installés sur des ordinateurs dans des bureaux situés partout dans le monde. La plupart de ces emplacements utilisent des connexions WAN lentes (8 kbit/s à 512 kbit/s-512), mais de nombreux bureaux disposent de connexions WAN rapides (1 mbit/s à 45 mbit/s). Souent, ces emplacements sont configurés dans un arrangement de réseau en étoile. Ce scénario s'appuie sur le précédent, mais la configuration de réseau en étoile autorise plusieurs nieaux dans la hiérarchie des relais. 84 Tioli Endpoint Manager - Guide d'administration

91 Notez ce qui suit à propos du diagramme : Dans ce scénario, les relais sont soigneusement déployés aux jonctions appropriées au sein du WAN pour optimiser la bande passante. Un positionnement mal optimisé des relais peut pénaliser les performances de otre réseau. Il est crucial qu'au moins un relais soit installé dans chaque emplacement aec une connexion WAN lente. Bien souent, une entreprise dispose déjà d'un sereur précisément dans un pareil endroit, agissant comme sereur de fichiers, sereur d'impression, sereur de distribution AV, sereur de distribution SMS ou contrôleur de domaine, ou comme tout autre ordinateur. Le relais Tioli Endpoint Manager est généralement installé sur ces ordinateurs existants. Pour assurer la redondance dans un bureau classique, plusieurs relais doient être installés. En cas de défaillance d'un relais pour une raison quelconque (panne secteur, déconnexion du réseau, etc.), ses clients associés peuent alors basculer automatiquement sur un autre relais. Un relais de secours (de redondance) est moins important dans de très petits bureaux, car la défaillance d'un relais n'affecte que peu d'ordinateurs. Lorsque les clients sont définis à Automatically Locate Best Relays (Rechercher automatiquement le meilleur relais), ceux-ci choisissent le relais le plus proche. Si un relais ient à tomber en panne, le client a automatiquement chercher un autre relais. Vous deez sureiller la configuration du relais après la première configuration automatique (et périodiquement après cela) pour ous assurez que les clients pointent ers les emplacements appropriés. Pour plus d'informations sur la manière de se protéger contre la surcharge des canaux WAN aec les données Tioli Endpoint Manager, contactez otre technicien de support. La régulation de la bande passante au nieau du relais est très utile dans cette configuration. Les relais Tioli Endpoint Manager sont configurés pour télécharger lentement sur les canaux WAN afin de ne pas saturer les liaisons lentes. Pour plus d'informations, oir l'article sur la régulation sur le site de support Tioli Endpoint Manager. Au lieu de pointer sur le sereur principal, les relais sont configurés pour pointer sur le relais de nieau supérieur. Ceci libère le sereur pour s'associer plus étroitement à la console tout en améliorant l'efficacité des rapports. Les relais Tioli Endpoint Manager sont configurés pour créer manuellement la hiérarchie optimale. La hiérarchie se compose de trois nieaux (du haut ers le bas) : 1. Le relais de nieau supérieur qui se connecte directement au sereur. 2. Les relais des bureaux régionaux qui se connectent au relais de nieau supérieur. 3. Plusieurs relais de bureaux-succursales qui se connectent aux relais des bureaux régionaux. Tioli Endpoint Manager - Guide d'administration 85

92 Configuration Citrix / Terminal Serices distant Bien que Tioli Endpoint Manager puisse fournir efficacement du contenu même ia des connexions lentes, la console proprement dite est consommatrice de données et peut surcharger une liaison inférieure à 256 kbits/s. L'ajout de noueaux clients accroît le temps de décalage. Cependant, ous pouez toujours accéder à distance à la console ia un sereur Citrix, Terminal Serices, VNC ou de présentation de style Dameware et aboutir à d'excellentes performances. Voici à quoi ressemble cette configuration : 86 Tioli Endpoint Manager - Guide d'administration