提供伺服器認證來探索軟體清查、相依性、Web 應用程式和 SQL Server 實例和資料庫
請遵循本文,瞭解如何在設備組態管理員上新增多個伺服器認證,以執行軟體清查(探索已安裝的應用程式)、無代理程式相依性分析,以及探索Web應用程式、SQL Server 實例和資料庫。
Azure Migrate 設備是 Azure Migrate 所使用的羽量型設備:探索和評量來探索內部部署伺服器,並將伺服器組態和效能元數據傳送至 Azure。 設備也可以用來執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 實例和資料庫。
注意
目前,ASP.NET Web 應用程式的探索僅適用於用於探索和評估 VMware 環境中執行之伺服器的設備。
如果您想要使用這些功能,您可以執行下列步驟來提供伺服器認證。 對於在 vCenter Server(s) 和 Hyper-V 主機(s)/cluster(s) 上執行的伺服器,設備會嘗試自動將認證對應至伺服器以執行探索功能。
新增伺服器認證
支援的伺服器認證類型
您可以在設備組態管理員上新增多個伺服器認證,可以是網域、非網域 (Windows 或 Linux) 或 SQL Server 驗證認證。
下表列出支援的伺服器認證類型:
| 認證類型 | 描述 |
|---|---|
| 網域認證 | 您可以從 [新增認證] 模式中的下拉式清單中選取選項,以新增網域認證。 若要提供網域認證,您必須指定 必須在完整功能變數名稱 (FQDN) 格式中提供的功能變數名稱 (例如,prod.corp.contoso.com)。 您也需要指定認證、使用者名稱和密碼的易記名稱。 針對實體探索,不支援以下層格式 (domain\username) 和 UPN 格式 (username@domain.com) 指定使用者名稱。 新增的網域認證將會針對網域的 Active Directory 自動驗證其真實性。 當設備嘗試針對探索到的伺服器對應網域認證時,此 validatoin 可防止任何帳戶鎖定。 若要使用域控制器驗證網域認證,設備應該能夠解析域名。 請確定您已在新增認證時提供正確的功能變數名稱,否則驗證將會失敗。 設備不會嘗試對應驗證失敗的網域認證。 您必須至少有一個成功驗證的網域認證或至少一個非網域認證,才能開始探索。 自動對應至 Windows 伺服器的網域認證將用來執行軟體清查,也可用來探索 Web 應用程式和 SQL Server 實例和資料庫(如果您已在 SQL Server 上設定 Windows 驗證 模式)。。 深入瞭解 SQL Server 上支援的驗證模式類型。 |
| 非網域認證 (Windows/Linux) | 您可以從 [新增認證強制回應] 的下拉式清單中選取必要的選項,以新增 Windows(非網域)或 Linux(非網域)。 您必須為認證、使用者名稱和密碼指定易記名稱。 |
| SQL Server 驗證認證 | 您可以從 [新增認證] 模式中的下拉式清單中選取選項,以新增 SQL Server 驗證認證。 您必須為認證、使用者名稱和密碼指定易記名稱。 如果您已在 SQL Server 上設定 SQL Server 驗證模式,您可以新增這種類型的認證來探索在 VMware 環境中執行的 SQL Server 實例和資料庫。 深入瞭解 SQL Server 上支援的驗證模式類型。 您必須提供至少一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以完成軟體清查,以探索伺服器上安裝的 SQL,再使用 SQL Server 驗證認證來探索 SQL Server 實例和資料庫。 |
檢查 Windows/Linux 認證上所需的許可權,以執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及 SQL Server 實例和資料庫。
所需的權限
下表列出裝置上提供之伺服器認證執行個別功能所需的權限:
| 功能 | Windows 認證 | Linux 認證 |
|---|---|---|
| 軟體清查 | 來賓用戶帳戶 | 一般/一般用戶帳戶 (非sudo 訪問許可權) |
| 探索 SQL Server 實例和資料庫 | 屬於系統管理員伺服器角色成員的用戶帳戶,或具有 每個 SQL Server 實例的這些許可權 。 | 目前不支援 |
| 探索 ASP.NET Web 應用程式 | 具有系統管理許可權的網域或非網域帳戶 | 目前不支援 |
| 無代理程式相依性分析 | 具有系統管理許可權的網域或非網域帳戶 | 具有執行 ls 和 netstat 命令許可權的 Sudo 用戶帳戶。 提供 sudo 使用者帳戶時,請確定您已啟用 NOPASSWD ,讓帳戶執行必要的命令,而不需要在每次叫用 sudo 命令時提示輸入密碼。 或者,您可以建立具有 /bin/netstat 和 /bin/ls 檔案CAP_DAC_READ_SEARCH和CAP_SYS_PTRACE許可權的用戶帳戶,並使用下列命令進行設定: sudo setcap CAP_DAC_READ_SEARCH,CAP_SYS_PTRACE=ep /bin/ls |
提供認證的建議做法
- 建議您建立具有必要許可權的專用網域用戶帳戶,其範圍設定為執行軟體清查、無代理程式相依性分析和探索 Web 應用程式,以及所需伺服器上的 SQL Server 實例和資料庫。
- 建議至少提供一個成功驗證的網域認證,或至少一個非網域認證來起始軟體清查。
- 若要探索 SQL Server 實例和資料庫,如果您已在 SQL Server 上設定 Windows 驗證 模式,則可以提供網域認證。
- 如果您已在 SQL Server 上設定 SQL Server 驗證模式,您也可以提供 SQL Server 驗證認證,但建議您至少提供一個成功驗證的網域認證或至少一個 Windows(非網域)認證,讓設備可以先完成軟體清查。
設備上的認證處理
- 設備組態管理員上提供的所有認證都會儲存在設備伺服器本機,而不會傳送至 Azure。
- 儲存在設備伺服器上的認證會使用資料保護 API (DPAPI) 加密。
- 新增認證之後,設備會嘗試自動對應認證,以在個別伺服器上執行探索。
- 設備會使用伺服器上自動對應所有後續探索周期的認證,直到認證能夠擷取所需的探索數據為止。 如果認證停止運作,設備會再次嘗試從新增的認證清單中對應,並繼續在伺服器上進行中的探索。
- 新增的網域認證將會針對網域的 Active Directory 自動驗證其真實性。 當設備嘗試將網域認證對應至探索到的伺服器時,這是為了避免任何帳戶鎖定。 設備不會嘗試對應驗證失敗的網域認證。
- 如果設備無法將任何網域或非網域認證對應到伺服器,您會看到專案中伺服器的「認證無法使用」狀態。
下一步
請檢閱教學課程,以探索在 VMware 環境或 Hyper-V 環境中執行的伺服器,或探索實體伺服器。