die konfigurationsschritte im überblick

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |1
NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten
überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch
nötig, die Überwachung zunächst abhängig von Ihrer Windowsumgebung spezifisch
zu konfigurieren.
NETCRUNCH-SERVER
NetCrunch kann auf Windows Server 2003/2003 R2, Windows Server 2008/2008 R2 oder auf Windows
Server 2012 installiert werden. Wenn Sie die meisten Server durch Active Directory verwalten empfiehlt
es sich, NetCrunch auf einem Gerät mit Active Directory Domain zu installieren. Dies erleichtert die
Konfiguration.
ÜBERWACHTE SYSTEME
SERVER
Die meisten Serversysteme besitzen ab Werk eine aktivierte Firewall, die die Remote-Administration
blockiert. Dies ist das erste Hindernis, das es zu überwinden gilt. Die Einstellungen hierfür sind jedoch
einfach vorzunehmen, speziell wenn Sie Ihre Server durch Active Directory Gruppenrichtlinien
verwalten. Andernfalls muss jeder Server einzeln bzw. durch ein Skript konfiguriert werden (Sie können
ein Skript hier herunterladen: http://www.adremsoft.com/download/SetWinForNC.zip).
ARBEITSPLÄTZE
Wenn Ihre Arbeitsplätze durch Active Directory verwaltet werden ist die Prozedur dieselbe, wie bei den
Servern (Active Directory Gruppenrichtlinien oder ein Skript). Etwas komplizierter ist die Konfiguration
von Arbeitsplätzen welche sich in einer Abreitsgruppe befinden weil ab Windows Vista alle Windows
Systeme UAC (Benutzerkontensteuerung) benutzen. Diese erlaubt keine Vererbung von
Administrationsrechten an Remoteverbindungen von lokalen Administratorgruppen. In diesem Fall
sollten Sie einen lokalen Administrator-Account nutzen oder einen neuen Account erstellen und die
notwendigen Rechte manuell zu diesem hinzufügen.
DIE KONFIGURATIONSSCHRITTE IM ÜBERBLICK
1. Bestimmen von Zugriffsrechten
NetCrunch benötigt zur Überwachung einen Benutzeraccount mit Zugriffsrechten zu DCOM,
WMI (root/cimV2) und Lesezugriff für den Registrierschlüssel
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Perflib. Der einfachste Weg dies
sicherzustellen ist den Benutzer der lokalen Administratorgruppe hinzuzufügen.
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |2
2. Bestimmen von Firewall-Regeln
Die Firewall muss Traffic von RPC, der Leistungsüberwachung, benannten Pipes und WMI
zulassen.
3. Aktivieren der Überwachung von PerfMon
Der Remoteregistrierungs-Dienst muss ausgeführt werden und der Starttyp sollte auf
„Automatisch“ gesetzt werden.
4. Deaktivieren der UAC Remote-Restriktionen
Die Remote-Restriktionen der Benutzerkontensteuerung (UAC) müssen auf den Servern, die
nicht in der Domäne sind, deaktiviert werden. Dazu muss der Wert von folgendem
Registrierschlüssel verändert werden: KEY_LOCAL_MACHINE/ Software/ Microsoft/
CurrentVersion/Policies/System/ LocalAccountTokenFilterPolicy
KONFIGURATION DER ACTIVE DIRECTORY DOMAIN
Es wird ein Grundwissen über die Administrationswerkzeuge „Active Directory Users and Computers“ und „Group Policy
Management“ vorausgesetzt.
Wenn Sie die meisten Server durch Active Directory verwalten ist es am einfachsten, NetCrunch auf
einem der Server in der Active Directory Domäne zu installieren und einen dedizierten Benutzer für die
Überwachung zu erstellen. In diesem Fall sollten Sie die Installation nun abbrechen und zunächst ihr
Active Directory konfigurieren. Nachdem Ihre Konfiguration von allen Servern übernommen wurde,
können Sie mit der Installation fortfahren – dies dauert rund 2 Stunden.
Auf diese Weise wird NetCrunch in der Lage sein alle Server in der Active Directory Domäne zu erfassen
und automatisch mit der Überwachung zu beginnen. Andere Server in öffentlichen Domänen oder
Arbeitsgruppen können separat konfiguriert werden (siehe „Konfiguration von separaten Windows Servern“).
BESTIMMEN VON ZUGRIFFSRECHTEN
SCHRITT 1 - ERSTELLEN EINES BENUTZERS ZUR ÜBERWACHUNG
Erstellen Sie einen Active Directory Benutzeraccount (z.B. nc-mon-user) welcher vom NetCrunch Server
zur Überwachung genutzt wird. Sie werden während der Installation von NetCrunch nach
entsprechenden Zugangsdaten gefragt werden.
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |3
SCHRITT 2 - RECHTE DES NUTZERS DEFINIEREN
Der Benutzeraccount benötigt Administrator-Rechte auf allen zu überwachenden Windows Computern
(einschließlich dem Server, auf welchem NetCrunch installiert ist). Es gibt abhängig von Ihrer Active
Directory Architektur und Ihren Bedürfnissen zwei verschiedene Varianten dies durchzuführen:
BEI EINER EINZELNEN DOMÄNE VON WELCHER ALLE GERÄTE ÜBERWACHT WERDEN SOLLEN
Fügen Sie den erstellen Account zu der vordefinierten Active Directory Gruppe Domänen
Administratoren hinzu.
WENN MEHRERE VERTRAULICHE DOMÄNEN ODER NUR EINE UNTERGRUPPE VON COMPUTERN
ÜBERWACHT WERDEN SOLL
Sie müssen die Gruppenrichtlinien benutzen um die lokalen Administratorgruppen zu bearbeiten (auf jedem
überwachten Windows Computer)
a) Erstellen Sie eine Active Directory Gruppe namens „Überwachungs-Nutzer“ und fügen Sie den
zuvor erstellen Benutzeraccount (nc-mon-user) zu dieser Gruppe hinzu.
In einer Umgebung mit mehreren Domänen sollte der normale Gruppenumfang des Active Directory ausreichend sein für
diese Gruppe weil weitergehende Gruppen.
dafür
werden
um Rechte
zu Ressourcen jeglicher Domänen
b) genutzt
Erstellen
Siekönnen
ein neues
Gruppen-Richtlinien-Objekt
(GPO)einer
undUmgebung
nennen hinzuzufügen..
Sie es z.B. Lokale
Administratoren-Gruppenmitgliedschaft für NetCrunch.
c) Erstellen Sie eine Regel für die Mitglieder der Gruppe der Überwachungsnutzer
Gehen Sie zu:
Computer Configuration  Policies  Windows Settings  Security Settings 
Restricted Groups
Fügen Sie dort die Überwachungsnutzer zu der lokalen Administratorengruppe hinzu durch die
Sektion Diese Gruppe ist Mitglied von...
d)
Verlinken Sie die Lokale Administratoren-Gruppenmitgliedschaft für NetCrunch (GPO) mit den
entsprechenden Oragnisationseinheiten (OU) Ihrer Active Directory Domäne(n).
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |4
BESTIMMEN DER FIREWALLREGELN
1. Erstellen Sie ein neues Gruppen-Richtlinien-Objekt und benennen Sie es zum Beispiel Windows
Firewall Regeln für Netcrunch.
2. Nutzen Sie zwei verschiedene Zweige des GPO um beide in Windows integrierten Firewall-Typen
zu konfigurieren, welche Sie überwachen möchten:
a. Für Windows Server 2003 und Server 2003 R2,
Gehen Sie zu
Computer Configuration  Administrative Templates  Network  Network
Connections  Windows Firewall  Domain Profile
Setzen Sie dort folgende Einstellungen auf „Aktiviert“:
Windows Firewall: Erlaube alle eingehenden Dateien und gemeinsame Druckernutzung
Windows Firewall: Erlaube eingehende administrative Fernzugriffe
b. Für Windows Vista, 7 und 8 sowie Windows Server 2008/2008 R2 und 2012,
Gehen Sie zu:
Computer Configuration  Policies  Windows Settings  Security Settings 
Windows Firewall with Advanced Security
Fügen Sie dort diese Regeln durch Auswahl von Gemeinsame Daten- und
Druckernutzung und Remote Administration aus der vordefinierten Liste zu den
eingehenden Regeln hinzu.
Standardmäßig blockiert die integrierte Windows Firewall keine ausgehenden Verbindungen – Wenn Sie
dies geändert haben sollten, fügen Sie bitte Regeln mit denselben Namen aus der vordefinierten Liste der
ausgehenden Regeln hinzu.
3. Verlinken Sie die Firewall-Regeln für die Überwachung mit NetCrunch GPO mit den
entsprechenden Ogranisationseinheiten (OU) Ihrer Active Directory Domäne (n).
Aus Sicherheitsgründen wird es empfohlen die Remote-Administrationsregeln durch zugelassene
IP-Adressen zu erweitern, welche dann nur die IP-Adresse des NetCrunch Servers umfasst.
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |5
AKTIVIEREN DER ÜBERWACHUNG VON PERFMON
1. Erstellen Sie ein neues Gruppen-Richtlinien-Objekt (GPO) und benennen Sie es zum Beispiel
Windows Dienste zur Überwachung durch NetCrunch.
2. Erstellen Sie einen Remoteregistrierungs-Dienst.
Gehen Sie zu:
Computer Configuration  Policies  Windows Settings  Security Settings  System
Services
Setzen Sie dort den Starttyp des Remoteregistrierungs-Dienst auf Automatisch.
3. Verlinken Sie Windows Dienste zur Überwachung durch NetCrunch (GPO) mit den
entsprechenden Organisationseinheiten in Ihrer Active Direcotry Domäne(n).
Nach Aktualisierung der Richtlinien sollte der Dienst auf jedem Computer sofort gestartet werden.
KONFIGURATION VON SEPARATEN WINDOWS SERVERN
BESTIMMEN VON ZUGRIFFSRECHTEN
Erstellen Sie einen nc-mon-user Account durch Benutzen von Shellbefehlen und fügen Sie diesen der
lokalen Administratorengruppe hinzu.
net user /add nc-mon-user <Password>
net localgroup Administrators /add nc-mon-user
BESTIMMEN DER FIREWALLREGELN
Für Windows Server 2003 und Server 2003 R2:
netsh firewall set service type=fileandprint scope=all profile=all
netsh firewall set service type=remoteadmin scope=all profile=all
Für Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 können Sie eine Regel
erstellen, welche nur die IP-Adresse von NetCrunch Server zulässt.
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |6
netsh advfirewall firewall add rule name="NC-Mon" dir=in action=allow remoteip="%IP%"
netsh advfirewall firewall add rule name="NC-Mon" dir=out action=allow remoteip="%IP%"
AKTIVIEREN DER ÜBERWACHUNG VON PERFMON
Konfigurieren Sie den Starttyp des Registrierungs-Dienst und führen Sie den Dienst aus.
WMIC SERVICE where name=”RemoteRegistry” call ChangeStartMode StartMode=Automatic
WMIC SERVICE where name=”RemoteRegistry” call StartService
Document revision Tuesday, March 26, 2013
WINDOWS ÜBERWACHEN MIT NETCRUNCH 7
SEITE |7
DEAKTIVIEREN VON REMOTE-RESTRIKTIONEN DER UAC
(BENUTZERKONTENSTEUERUNG)
Bearbeiten Sie das UAC-Verhalten von Windows Server 2008/2008 R2 und Windows Server 2012
(http://support.microsoft.com/kb/951016)
WMIC /Namespace: \\Root\Default Class StdRegProv Call SetDWORDValue hDefKey="&H80000002"
sSubKeyName="SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
sValueName="LocalAccountTokenFilterPolicy" uValue=1
DAS KOMPLETTE SKRIPT KANN HIER HERUNTERGELADEN WERDEN:
HTTP://WWW.ADREMSOFT.COM/DOWNLOAD/SETWINFORNC.ZIP
VON NETCRUNCH GENUTZTE WINDOWS TECHNOLOGIEN
Windows Technologien wurden nach und nach aufeinander aufgebaut. RPC basiert zum Beispiel auf
benannten Pipes, die Remoteregistrierung benötigt RPC und WMI nutzt DCOM, was wiederum RPC zur
Kommunikation nutzt. Alles davon benötigt entsprechende Firewall- und Sicherheitseinstellungen. Im
Folgenden finden Sie eine Liste der von NetCrunch genutzten Technologien welche eine spezifische
Konfiguration benötigen.
1. RPC & Named Pipes – (Benötigt Aktivierung des Datenaustausch und Firewalleinstellungen)
2. Remote Registry – (Benötigt Firewalleinstellungen und ausgeführten
Remoteregistrierungsdienst)
3. WMI & DCOM – (Benötigt Firewalleinstellungen sowie DCOM & WMI Sicherheitseinstellungen)
Am einfachsten ist es, wenn der zur Überwachung bestimmte Benutzer Mitglied einer lokalen
Administratorengruppe ist – wie in diesem Dokument beschrieben wird. Auf diese Weise ist die
Konfiguration der Server für die Überwachung am einfachsten, aber nicht am sichersten. Für den Fall,
dass große Sicherheitsbedenken vorliegen ist es möglich spezifische Rechte für den
Überwachungsaccount zu definieren.
Document revision Tuesday, March 26, 2013