Automatische Aktualisierung der One Identity Manager-Werkzeuge
Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her und führt den Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wird eine neue Datei angelegt.
Ist im Installationsverzeichnis des One Identity Manager keine Schreibberechtigung vorhanden, wird eine Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt.
Das Aktualisierungsprogramm (Update.exe) erwartet bei aktivierter Benutzerkontensteuerung die Angabe einer administrativen Anmeldung, sofern der angemeldete Benutzer keine administrativen Berechtigungen auf das Installationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in ein Verzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt diese Abfrage. Anschließend wird der Aktualisierungsprozess gestartet.
Die Anwendung lädt die Datei Update.zip aus der Datenbank oder holt diese Datei vom Anwendungsserver. Die Datei wird in einem temporären Verzeichnis entpackt.
Im ersten Schritt teilt die Update.exe der Hauptanwendung mit, ob sie eine Aktualisierung durchführen kann. Abhängig von der Konfiguration kann der Anwender jetzt eventuell noch die automatische Aktualisierung abbrechen.
Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden, wird im Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programm und das Aktualisierungsprogramm (Update.exe) schreiben ihre Prozess-ID in die Datei. Nach erfolgreichem Abschluss der Aktualisierung wird die Update.Lock-Datei aus dem Installationsverzeichnis gelöscht. Das Programm wird anschließend neu gestartet. Um sicherzustellen, dass nach einem unerwarteten Programmabbruch in der Aktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendung erneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist bei Neustart einer Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen, auf der Arbeitsstation vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und die Aktualisierung erneut gestartet.
Vor der eigentlichen Aktualisierung werden die Vorbereitungsschritte aus den *.Update.dlls aufgerufen, die die Installation auf die Aktualisierung vorbereiten. Ein Vorbereitungsschritt kann beispielsweise die Umbenennung einer Maschinenrolle sein.
Für die eigentliche Aktualisierung ermittelt die Update.exe alle notwendigen Dateien und speichert diese in einem temporären Verzeichnis. Die Kommunikation mit dem System erfolgt dabei über die zu aktualisierende Clientanwendung, da nur diese die erforderlichen Berechtigungen zum Kontaktieren der Datenbank oder des Anwendungsservers besitzt. Sind alle erforderlichen Dateien übertragen, so übernimmt die Update.exe die Steuerung und beginnt mit dem Dateiaustausch. An dieser Stelle wird der Anwender aufgefordert, die noch geöffnete Anwendung zu beenden, wenn sie den Aktualisierungsprozess verhindert. Gleichzeitig erfolgt eine Anforderung von Administrationsberechtigungen per Benutzerkontensteuerung, falls diese nötig sind.
Bei diesem Aktualisierungsvorgang werden nicht nur die Dateien ausgetauscht, sondern es erfolgt auch die Ausführung von weiteren Migrationsschritten aus den *.Update.dlls. Die Funktionalität in diesen Migrationsschritten ist nicht beschränkt. Typische Beispiele sind Anpassungen in der Registrierungsdatenbank oder in den Konfigurationsdateien und das Entfernen von veralteten Programminformationen auf den Rechnern. Diese Migrationsschritte werden ausgeführt, nachdem die Dateien ausgetauscht wurden.
Konnten alle Aktualisierungsschritte erfolgreich ausgeführt werden, so erstellt die Update.exe eine neue SoftwareRevision.viv und startet die Clientanwendung neu. Danach beendet sich die Update.exe und entfernt selbst das temporäre Arbeitsverzeichnis. Die Softwareaktualisierung ist damit abgeschlossen.
Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wird eine Datei zum Austausch erkannt, so wird der Aktualisierungsprozess gestartet.
Verwandte Themen
Eingreifen des Benutzers in die automatische Aktualisierung der One Identity Manager-Werkzeuge
Wird die Aktualisierung der One Identity Manager-Komponenten auf einer Arbeitsstation erkannt, erfolgt der Hinweis alle geöffneten Programme zu schließen. Nachdem der Benutzer alle Programme geschlossen hat, wird die Aktualisierung ausgeführt.
Ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann die Aktualisierung ihrer Arbeitsstationen erfolgt, wird über den Konfigurationsparameter Common | AutoUpdate | AllowOutOfTimeApps gesteuert.
-
Ist der Konfigurationsparameter nicht aktiviert, hat ein Benutzer keine Möglichkeit in die Aktualisierung einzugreifen. Die Aktualisierung wird sofort ausgeführt.
-
Ist der Konfigurationsparameter aktiviert, wird dem angemeldeten Benutzer ein Meldungsfenster angezeigt. Der Benutzer kann entscheiden, ob die Aktualisierung der One Identity Manager-Werkzeuge auf seiner Arbeitsstation sofort oder zu einem späteren Zeitpunkt ausgeführt wird.
HINWEIS: Lehnt der Benutzer die sofortige Aktualisierung ab, so kann er weiterarbeiten. Die Aktualisierung kann dann mit dem nächsten Start des Programms durchgeführt werden.
Automatische Aktualisierung des One Identity Manager Service
Die automatische Softwareaktualisierung ist das Standardverfahren zur Aktualisierung des One Identity Manager Service auf den Servern. Im Aktualisierungsverfahren wurde jedoch berücksichtigt, dass es unter Umständen unumgänglich ist, einzelne Server von der automatischen Aktualisierung auszuschließen und manuell zu aktualisieren.
Der One Identity Manager Service liefert bei jeder Anfrage nach Prozessschritten seinen aktuellen Stand des Semaphors Softwarerevision zurück. Sollte dieser Wert von dem in der Datenbank gefundenen Wert abweichen, so wird der Jobserver in der Datenbank als "in Aktualisierung befindlich" gekennzeichnet und es werden keine normalen Prozessschritte für diesen Jobserver mehr geliefert.
Abhängig vom eingestellten Verfahren im Konfigurationsparameter Common | Autoupdate | ServiceUpdateType wird die Aktualisierung der Jobserver durchgeführt.
Es wird zunächst der Startzeitpunkt der letzten Änderung aus der Datei SoftwareRevision.viv ermittelt. Es wird eine Liste aller Dateien mit der Zusatzinformation, ob es sich um eine neue Datei handelt, zusammengestellt. Diese Liste wird auf dem zu aktualisierenden Jobserver ausgewertet und eine Liste erstellt, welche der Dateien zu aktualisieren sind.
Der Dienst erhält vom Server dafür einen AutoUpdate-Prozess. Dieser Prozess lädt die Datei Update.zip und der Aktualisierungsvorgang beginnt.
Sollte die Aktualisierung mit dem neuen Verfahren nicht abgeschlossen werden können, weil beispielsweise keine direkte Verbindung zur Datenbank oder einem Anwendungsserver besteht, werden die Dateien über Prozessschritte in der Jobqueue übertragen (Fallback). In diesem Fall können eventuell vorhandene Aktualisierungsschritte aus den Modulbibliotheken nicht ausgeführt werden.
Wurde mindestens eine Datei auf dem Jobserver ausgetauscht, erfolgt ein Neustart des One Identity Manager Service. Nach Abschluss der Aktualisierung wird die Kennzeichnung des Jobservers in der Datenbank wieder zurückgesetzt.
Automatische Aktualisierung von Webanwendungen
Grundsätzlich unterstützen die Webanwendungen die automatische Softwareaktualisierung. Für die einzelnen Webanwendungen können jedoch eigene Konfigurationseinstellungen erforderlich sein, um an der automatischen Softwareaktualisierung teilzunehmen.
Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:
-
Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis.
-
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie Anmelden als Stapelverarbeitungsauftrag.
-
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien Ersetzen eines Tokens auf Prozessebene und Anpassen von Speicherkontingenten für einen Prozess.
Die Aktualisierung einer Webanwendung erfordert einen Neustart der Webanwendung. Der Neustart der Webanwendung erfolgt durch den Webserver automatisch, wenn die Webanwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann einige Zeit dauern oder durch ununterbrochene Benutzeranfragen verhindert werden. Einige Webanwendungen bieten die Möglichkeit den Neustart manuell auszuführen.
HINWEIS: Um das Web Portal automatisch zu aktualisieren, verbinden Sie sich in einem Browser auf den Runtime Monitor http://<servername>/<application>/monitor und starten Sie die Aktualisierung der Webanwendung.
Wird die Aktualisierung der Webanwendung erkannt, werden neue Dateien aus der Datenbank in vorläufige Verzeichnisse auf den Server kopiert.
Die Anwendung lädt zusätzlich die Datei Update.zip aus der Datenbank oder holt diese Datei vom Anwendungsserver. Die Datei wird in einem temporären Verzeichnis entpackt.
Die Update.exe wird gestartet und wartet bis der Webanwendungsprozess herunter gefahren wird. Die Update.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis der Webanwendung.
Verwandte Themen