提供伺服器認證以探索軟體清查、相依性、Web 應用程式,以及 SQL Server 執行個體和資料庫
請遵循本文,瞭解如何在設備組態管理員上新增多個伺服器認證,以執行軟體清查(探索已安裝的應用程式)、無代理程式相依性分析,以及探索Web應用程式、SQL Server 實例和資料庫。
Azure Migrate 設備是「Azure Migrate:探索和評量」使用的輕量型設備,用來探索內部部署伺服器,並將伺服器設定和效能中繼資料傳送至 Azure。 設備也可以用來執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 執行個體和資料庫。
注意
目前,ASP.NET Web 應用程式的探索僅在於 VMware 環境中執行的伺服器的探索和評量設備上提供。
如果您想要使用這些功能,您可以執行下列步驟來提供伺服器認證。 對於在 vCenter Server 和 Hyper-V 主機/叢集上執行的伺服器,設備會嘗試自動將認證對應至伺服器以執行探索功能。
新增伺服器認證
支援的伺服器認證類型
您可以在設備組態管理員上新增多個伺服器認證,可以是網域、非網域 (Windows 或 Linux) 或 SQL Server 驗證認證。
下表列出支援的伺服器認證類型:
| 認證類型 | 描述 |
|---|---|
| 網域認證 | 您可以從 [新增認證] 強制回應的下拉式清單中選取選項,以新增網域認證。 若要提供網域認證,您必須指定 必須在完整功能變數名稱 (FQDN) 格式中提供的功能變數名稱 (例如,prod.corp.contoso.com)。 您也必須為認證、使用者名稱和密碼指定易記名稱。 針對實體探索,不支援以下層格式 (domain\username) 和 UPN 格式 (username@domain.com) 指定使用者名稱。 新增的網域認證會自動針對網域的 Active Directory 驗證真確性。 當設備嘗試將網域認證對應至探索到的伺服器時,此驗證是為了防止任何帳戶鎖定。 若要向網域控制站驗證網域認證,設備應該能夠解析網域名稱。 確保您已在新增認證時提供正確的網域名稱,否則驗證將會失敗。 設備不會嘗試將驗證失敗的網域認證對應。 您必須至少有一個成功驗證的網域認證或至少一個非網域認證,才能開始探索。 與 Windows 伺服器自動對應的網域認證將用來執行軟體清查,且可用來探索 Web 應用程式,以及 SQL Server 執行個體和資料庫 (如果您已在 SQL Server 上設定 Windows 驗證模式)。 深入了解 SQL Server 上支援的驗證模式類型。 |
| 非網域認證 (Windows/Linux) | 您可以從 [新增認證] 強制回應的下拉式清單中選取必要選項,以新增 Windows (非網域) 或 Linux (非網域)。 您必須為認證、使用者名稱和密碼指定易記名稱。 |
| SQL Server 驗證認證 | 您可以從 [新增認證] 強制回應的下拉式清單中選取選項,以新增 SQL Server 驗證認證。 您必須為認證、使用者名稱和密碼指定易記名稱。 如果您已在 SQL Server 上設定 SQL Server 驗證模式,則可以新增此類型的認證來探索在 VMware 環境中執行的 SQL Server 執行個體和資料庫。 深入了解 SQL Server 上支援的驗證模式類型。 您必須提供至少一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以完成軟體清查,以探索伺服器上安裝的 SQL,再使用 SQL Server 驗證認證來探索 SQL Server 實例和資料庫。 |
檢查 Windows/Linux 認證所需的權限,以執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 執行個體和資料庫。
所需的權限
下表列出在設備上提供以執行個別功能的伺服器認證所需的權限:
| 功能 | Windows 認證 | Linux 認證 |
|---|---|---|
| 軟體清查 | 來賓使用者帳戶 | 一般/一般用戶帳戶 (非sudo 訪問許可權) |
| 探索 SQL Server 執行個體和資料庫 | 作為系統管理員伺服器角色成員的使用者帳戶,或在每個 SQL Server 執行個體中擁有這些權限的使用者帳戶。 | 目前不支援 |
| 探索 ASP.NET Web 應用程式 | 具有系統管理許可權的網域或非網域帳戶 | 目前不支援 |
| 無代理程式的相依性分析 | 本機或網域來賓用戶帳戶 | 具有執行 ls 和 netstat 命令權限的 sudo 使用者帳戶。 提供 sudo 使用者帳戶時,請確定您已啟用 NOPASSWD ,讓帳戶執行必要的命令,而不需要在每次叫用 sudo 命令時提示輸入密碼。 或者,您也可以建立具有 /bin/netstat 和 /bin/ls 檔案上 CAP_DAC_READ_SEARCH 和 CAP_SYS_PTRACE 權限的使用者帳戶,使用下列命令設定: sudo setcap CAP_DAC_READ_SEARCH,CAP_SYS_PTRACE=ep /bin/ls |
提供認證的建議做法
- 建議您建立具有必要許可權的專用網域用戶帳戶,其範圍設定為執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及所需伺服器上的 SQL Server 實例和資料庫。
- 我們建議您至少提供一個成功驗證的網域認證,或至少一個非網域認證來起始軟體清查。
- 若要探索 SQL Server 執行個體和資料庫,如果您已在 SQL Server 上設定 Windows 驗證模式,您可以提供網域認證。
- 如果您已在 SQL Server 上設定 SQL Server 驗證模式,您也可以提供 SQL Server 驗證認證,但建議您至少提供一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以先完成軟體清查。
設備上的認證處理
- 在設備設定管理員上提供的所有認證都會儲存在設備伺服器的本機,而不會傳送至 Azure。
- 儲存在設備伺服器上的認證會使用資料保護 API (DPAPI) 加密。
- 新增認證之後,設備會嘗試自動對應認證,以在相關伺服器上執行探索。
- 設備會針對所有後續的探索週期,使用伺服器上自動對應的認證,直到認證能夠擷取所需的探索資料為止。 如果認證停止運作,設備會再次嘗試從新增的認證清單中對應,並繼續在伺服器上進行中的探索。
- 新增的網域認證會自動針對網域的 Active Directory 驗證真確性。 這是為了在設備嘗試將網域認證與探索到的伺服器對應時,避免任何帳戶鎖定。 設備不會嘗試將驗證失敗的網域認證對應。
- 如果設備無法將任何網域或非網域認證對應到伺服器,您會看到專案中伺服器的「認證無法使用」狀態。
下一步
- 在 VMware 設備中新增認證的步驟。
- 在 Hyper-V 設備中新增認證的步驟。
- 在實體設備中新增認證的步驟。