共用方式為


提供伺服器認證以探索軟體清查、相依性、Web 應用程式,以及 SQL Server 執行個體和資料庫

請遵循本文,瞭解如何在設備組態管理員上新增多個伺服器認證,以執行軟體清查(探索已安裝的應用程式)、無代理程式相依性分析,以及探索Web應用程式、SQL Server 實例和資料庫。

Azure Migrate 設備是「Azure Migrate:探索和評量」使用的輕量型設備,用來探索內部部署伺服器,並將伺服器設定和效能中繼資料傳送至 Azure。 設備也可以用來執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 執行個體和資料庫。

如果您想要使用這些功能,您可以執行下列步驟來提供伺服器認證。 針對在 vCenter Server 和 Hyper-V 主機/叢集上執行的伺服器,設備會嘗試將認證自動對應至伺服器,以執行探索功能。

新增伺服器認證

支援的伺服器認證類型

您可以在設備組態管理員上新增多個伺服器認證,可以是網域、非網域 (Windows 或 Linux) 或 SQL Server 驗證認證。

下表列出支援的伺服器認證類型:

認證類型 描述
網域認證 您可以從 [新增認證] 強制回應的下拉式清單中選取選項,以新增網域認證

若要提供網域認證,您必須指定 必須在完整功能變數名稱 (FQDN) 格式中提供的功能變數名稱 (例如,prod.corp.contoso.com)。

您也必須為認證、使用者名稱和密碼指定易記名稱。 針對實體探索,不支援以下層格式 (domain\username) 和 UPN 格式 (username@domain.com) 指定使用者名稱。

新增的網域認證會自動針對網域的 Active Directory 驗證真確性。 當設備嘗試將網域認證對應至探索到的伺服器時,此驗證是為了防止任何帳戶鎖定。

若要向網域控制站驗證網域認證,設備應該能夠解析網域名稱。 確保您已在新增認證時提供正確的網域名稱,否則驗證將會失敗。

設備不會嘗試將驗證失敗的網域認證對應。 您必須至少有一個成功驗證的網域認證或至少一個非網域認證,才能開始探索。

與 Windows 伺服器自動對應的網域認證將用來執行軟體清查,且可用來探索 Web 應用程式,以及 SQL Server 執行個體和資料庫 (如果您已在 SQL Server 上設定 Windows 驗證模式)
深入了解 SQL Server 上支援的驗證模式類型。
非網域認證 (Windows/Linux) 您可以從 [新增認證] 強制回應的下拉式清單中選取必要選項,以新增 Windows (非網域)Linux (非網域)

您必須為認證、使用者名稱和密碼指定易記名稱。
SQL Server 驗證認證 您可以從 [新增認證] 強制回應的下拉式清單中選取選項,以新增 SQL Server 驗證認證

您必須為認證、使用者名稱和密碼指定易記名稱。

如果您已在 SQL Server 上設定 SQL Server 驗證模式,則可以新增此類型的認證來探索在 VMware 環境中執行的 SQL Server 執行個體和資料庫。
深入了解 SQL Server 上支援的驗證模式類型。

您必須提供至少一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以完成軟體清查,以探索伺服器上安裝的 SQL,再使用 SQL Server 驗證認證來探索 SQL Server 實例和資料庫。

檢查 Windows/Linux 認證所需的權限,以執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 執行個體和資料庫。

所需的權限

下表列出在設備上提供以執行個別功能的伺服器認證所需的權限:

功能 Windows 認證 Linux 認證
軟體清查 來賓使用者帳戶 一般/一般用戶帳戶 (非sudo 訪問許可權)
探索 SQL Server 執行個體和資料庫 作為系統管理員伺服器角色成員的使用者帳戶,或在每個 SQL Server 執行個體中擁有這些權限的使用者帳戶。 目前不支援
探索 ASP.NET Web 應用程式 具有系統管理許可權的網域或非網域帳戶 目前不支援
無代理程式的相依性分析 本機或網域來賓用戶帳戶 具有執行 ls 和 netstat 命令權限的 sudo 使用者帳戶。 提供 sudo 使用者帳戶時,請確定您已啟用 NOPASSWD ,讓帳戶執行必要的命令,而不需要在每次叫用 sudo 命令時提示輸入密碼。

或者,您也可以建立具有 /bin/netstat 和 /bin/ls 檔案上 CAP_DAC_READ_SEARCH 和 CAP_SYS_PTRACE 權限的使用者帳戶,使用下列命令設定:
sudo setcap CAP_DAC_READ_SEARCH,CAP_SYS_PTRACE=ep /bin/ls
sudo setcap CAP_DAC_READ_SEARCH,CAP_SYS_PTRACE=ep /bin/netstat
  • 建議您建立具有必要許可權專用網域用戶帳戶,其範圍設定為執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及所需伺服器上的 SQL Server 實例和資料庫。
  • 我們建議您至少提供一個成功驗證的網域認證,或至少一個非網域認證來起始軟體清查。
  • 若要探索 SQL Server 執行個體和資料庫,如果您已在 SQL Server 上設定 Windows 驗證模式,您可以提供網域認證。
  • 如果您已在 SQL Server 上設定 SQL Server 驗證模式,您也可以提供 SQL Server 驗證認證,但建議您至少提供一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以先完成軟體清查。

設備上的認證處理

  • 在設備設定管理員上提供的所有認證都會儲存在設備伺服器的本機,而不會傳送至 Azure。
  • 儲存在設備伺服器上的認證會使用資料保護 API (DPAPI) 加密。
  • 新增認證之後,設備會嘗試自動對應認證,以在相關伺服器上執行探索。
  • 設備會針對所有後續的探索週期,使用伺服器上自動對應的認證,直到認證能夠擷取所需的探索資料為止。 如果認證停止運作,設備會再次嘗試從新增的認證清單中對應,並繼續在伺服器上進行中的探索。
  • 新增的網域認證會自動針對網域的 Active Directory 驗證真確性。 這是為了在設備嘗試將網域認證與探索到的伺服器對應時,避免任何帳戶鎖定。 設備不會嘗試將驗證失敗的網域認證對應。
  • 如果設備無法將任何網域或非網域認證對應到伺服器,您會看到專案中伺服器的「認證無法使用」狀態。

下一步