Installieren und Konfigurieren des One Identity Manager Service im Cluster
Die Installation und Konfiguration der Serverkomponenten vom One Identity Manager-Installationsmedium führen Sie auf allen physikalischen Knoten eines Clusters durch.
HINWEIS: Bei der Konfiguration der JobServiceDestination muss der Parameter Queue den Namen des virtuellen Servers enthalten.
Nach dem Speichern der Konfiguration kopieren Sie die Konfigurationsdatei in das Installationsverzeichnis des One Identity Manager Service auf allen physikalischen Knoten. Dabei dürfen Sie auch den Namen der Konfigurationsdatei nicht ändern.
HINWEIS: Die Konfiguration des One Identity Manager Service ist nicht Bestandteil einer Clusterressource. Somit hält jeder Knoten seine eigene Konfiguration. Achten Sie aus diesem Grund darauf, dass die Konfigurationsdateien auf allen physikalischen Knoten des Clusters konsistent sind. Ist dies nicht der Fall, kann nicht für die korrekte Funktionsweise nach einem Wechsel des Clusterknotens garantiert werden.
Einrichten einer Clusterressource für den One Identity Manager Service
Richten Sie im Programm Cluster Administrator eine neue Clusterressource für den One Identity Manager Service ein und bringen diese Online. Die Vorgehensweise entnehmen Sie der Microsoft Technet unter http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx. Beachten Sie bei der Erstellung der Clusterressource Folgendes:
-
Wählen Sie Generic Service als Ressourcentyp.
-
Wählen Sie mindestens folgende Abhängigkeiten des One Identity Manager Service.
-
Geben Sie keine weiteren Registrierungsschlüssel an.
HINWEIS: Nach der Einrichtung des One Identity Manager Service in einem Clusterverbund ist es ratsam, ein Failover zu simulieren, damit eventuell vorhandene Probleme am Cluster nicht erst im produktiven Betrieb zu Tage treten.
Auslagern der Protokolldatei des One Identity Manager Service in ein Shared Volume
-
Richten Sie im Programm Cluster Administrator eine neue Clusterressource ein und bringen Sie diese Online. Beachten Sie bei der Erstellung der Clusterressource Folgendes.
-
Wählen Sie File Share als Ressourcentyp.
-
Wählen Sie mindestens die folgende Abhängigkeit aus:
One IdentityOne Identity Manager Service
-
Passen Sie in der Konfigurationsdatei des One Identity Manager Service die Verzeichnisangabe im Parameter Protokolldatei (OutPutFile) des Logwriters an.
-
Kopieren Sie die Konfigurationsdatei nach der Änderung auf alle physischen Knoten des Clusters in das Installationsverzeichnis des One Identity Manager Service.
Verwandte Themen
Automatisches Aktualisieren des One Identity Manager
Aufgrund der räumlichen Verteilung der Server und Arbeitsstationen gestaltet sich vor allem das manuelle lokale Installieren und Aktualisieren von Software als problematisch. Um einen erträglichen Arbeitsaufwand der Netzwerkadministratoren zu gewährleisten, wurde für den One Identity Manager ein Verfahren zur automatischen Aktualisierung des One Identity Manager entwickelt. Neben der Aktualisierung bekannter Dateien einer One Identity Manager-Installation können neue, kundenspezifische Dateien auf einfache Weise in das Verfahren aufgenommen werden und somit über die Mechanismen der automatischen Softwareaktualisierung an die Arbeitsstationen und Server eines One Identity Manager-Netzwerkes verteilt werden.
Detaillierte Informationen zum Thema
Grundlagen zur automatischen Softwareaktualisierung
Alle Dateien einer One Identity Manager-Installation sind mit Namen und ihrem Binärcode in der One Identity Manager-Datenbank in der Tabelle QBMFileRevision abgelegt. Für jede Datei die Dateigröße und ein Hashwert zur Dateierkennung hinterlegt. Zusätzlich ist für jede Datei ist in der Tabelle QBMFileHasDeployTarget die Zugehörigkeit zu den Maschinenrollen und Installationspaketen erfasst.
Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.
In der Datenbank wird ein Semaphor Softwarerevision gepflegt. Beim Hinzufügen, Ändern oder Löschen einer Datei in der Datenbank wird der Semaphorwert durch den DBQueue Prozessor neu berechnet. Im Installationsverzeichnis aller One Identity Manager-Installationen liegt eine Datei Softwarerevision.viv. Diese Datei ist im Dateisystem mit den Berechtigungen nur lesen und nicht sichtbar gekennzeichnet und wird damit vom Betriebssystem normalerweise nicht angezeigt.
Die Datei Softwarerevision.viv enthält die folgenden Informationen:
-
den Revisionsstand der Installation
Der Revisionsstand wird aus dem Wert des Semaphors Softwarerevision in der Datenbank ermittelt.
-
den Startzeitpunkt der letzten Änderung
Ab One Identity Manager Version 8.0 wird die Datei Update.zip in der Tabelle QBMFileRevision abgelegt. Die Datei spielt eine zentrale Rolle in der automatischen Aktualisierung. Das Zip-Archiv enthält alle Dateien, die auf den Clients oder Servern für die Produktaktualisierung notwendig sind. Das Zip-Archiv ist nicht Bestandteil der One Identity Manager Installationsdaten, sondern wird nach der Aktualisierung der Datenbank vom Configuration Wizard und auch vom Software Loader neu erstellt.
Bestandteil des Zip-Archivs sind folgende Dateien
-
Update.exe
-
VI.Base.dll
-
NLog.dll
-
Newtonsoft.Json.dll
-
InstallManager.Msi.dll
-
InstallManager.Core.dll
Das Zip-Archiv wird mit allen Dateien aus den Installationsdaten erweitert, die dem Namensfilter *.Update.dll entsprechen. Damit ist es möglich, dass verschiedene Module weitere Funktionalitäten zur automatischen Aktualisierung beisteuern.
Zusätzlich befindet sich im Installationsverzeichnis aller One Identity Manager-Installationen eine Datei InstallState.config. Diese Datei enthält die Informationen über die installierten Maschinenrollen, Installationspakete und Dateien.
Durch den Vergleich der Semaphorwerte aus der Datenbank und der Datei Softwarerevision.viv wird festgestellt, ob eine Softwareaktualisierung notwendig ist. Unterscheiden sich die Semaphorwerte, wird anhand der InstallState.config ermittelt, welche Maschinenrollen für den Computer oder den Server definiert sind. Für jede Datei, die zu einer Maschinenrolle gehört, wird geprüft, ob diese Datei in der Datenbank bekannt ist.
Gibt es die Datei in der Datenbank, wird geprüft:
-
Hat sich die Dateigröße geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen.
-
Hat sich der Hashwert geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen.
Neue Dateien, die durch das Einspielen eines Hotfixes, eines Service Packs, einer Versionsänderung oder durch Einspielen einer kundenspezifischen Datei in die One Identity Manager-Datenbank geladen wurden, werden ebenfalls in die Liste aufgenommen. Alle in der Liste aufgeführten Dateien werden aktualisiert.
Alle Aktionen werden in der Datei update.log protokolliert. Nach Abschluss der Aktualisierung wird der aktuelle Semaphorwert aus der Datenbank in die Datei Softwarerevision.viv übernommen.
Verwandte Themen
Automatische Aktualisierung der One Identity Manager-Werkzeuge
Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her und führt den Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wird eine neue Datei angelegt.
Ist im Installationsverzeichnis des One Identity Manager keine Schreibberechtigung vorhanden, wird eine Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt.
Das Aktualisierungsprogramm (Update.exe) erwartet bei aktivierter Benutzerkontensteuerung die Angabe einer administrativen Anmeldung, sofern der angemeldete Benutzer keine administrativen Berechtigungen auf das Installationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in ein Verzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt diese Abfrage. Anschließend wird der Aktualisierungsprozess gestartet.
Die Anwendung lädt die Datei Update.zip aus der Datenbank oder holt diese Datei vom Anwendungsserver. Die Datei wird in einem temporären Verzeichnis entpackt.
Im ersten Schritt teilt die Update.exe der Hauptanwendung mit, ob sie eine Aktualisierung durchführen kann. Abhängig von der Konfiguration kann der Anwender jetzt eventuell noch die automatische Aktualisierung abbrechen.
Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden, wird im Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programm und das Aktualisierungsprogramm (Update.exe) schreiben ihre Prozess-ID in die Datei. Nach erfolgreichem Abschluss der Aktualisierung wird die Update.Lock-Datei aus dem Installationsverzeichnis gelöscht. Das Programm wird anschließend neu gestartet. Um sicherzustellen, dass nach einem unerwarteten Programmabbruch in der Aktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendung erneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist bei Neustart einer Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen, auf der Arbeitsstation vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und die Aktualisierung erneut gestartet.
Vor der eigentlichen Aktualisierung werden die Vorbereitungsschritte aus den *.Update.dlls aufgerufen, die die Installation auf die Aktualisierung vorbereiten. Ein Vorbereitungsschritt kann beispielsweise die Umbenennung einer Maschinenrolle sein.
Für die eigentliche Aktualisierung ermittelt die Update.exe alle notwendigen Dateien und speichert diese in einem temporären Verzeichnis. Die Kommunikation mit dem System erfolgt dabei über die zu aktualisierende Clientanwendung, da nur diese die erforderlichen Berechtigungen zum Kontaktieren der Datenbank oder des Anwendungsservers besitzt. Sind alle erforderlichen Dateien übertragen, so übernimmt die Update.exe die Steuerung und beginnt mit dem Dateiaustausch. An dieser Stelle wird der Anwender aufgefordert, die noch geöffnete Anwendung zu beenden, wenn sie den Aktualisierungsprozess verhindert. Gleichzeitig erfolgt eine Anforderung von Administrationsberechtigungen per Benutzerkontensteuerung, falls diese nötig sind.
Bei diesem Aktualisierungsvorgang werden nicht nur die Dateien ausgetauscht, sondern es erfolgt auch die Ausführung von weiteren Migrationsschritten aus den *.Update.dlls. Die Funktionalität in diesen Migrationsschritten ist nicht beschränkt. Typische Beispiele sind Anpassungen in der Registrierungsdatenbank oder in den Konfigurationsdateien und das Entfernen von veralteten Programminformationen auf den Rechnern. Diese Migrationsschritte werden ausgeführt, nachdem die Dateien ausgetauscht wurden.
Konnten alle Aktualisierungsschritte erfolgreich ausgeführt werden, so erstellt die Update.exe eine neue SoftwareRevision.viv und startet die Clientanwendung neu. Danach beendet sich die Update.exe und entfernt selbst das temporäre Arbeitsverzeichnis. Die Softwareaktualisierung ist damit abgeschlossen.
Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wird eine Datei zum Austausch erkannt, so wird der Aktualisierungsprozess gestartet.
Verwandte Themen