ibm endpoint manager versión 9 - united states · instalación de servidores de linux adicionales...

IBM Endpoint ManagerVersión 9.2

Guía de instalación

��

NotaAntes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página207.

Esta edición se aplica a la versión 9, release 2, nivel de modificación 0 de IBM Endpoint Manager y a todos losreleases y modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones.

© Copyright IBM Corporation 2010, 2015.

Contenido

Capítulo 1. Introducción . . . . . . . . 1Novedades en la versión 9.2 . . . . . . . . . 1Service Management Connect. . . . . . . . . 3Visión general de componentes de arquitectura . . . 3

Capítulo 2. Situaciones deimplementación de ejemplo . . . . . . 7Despliegue básico. . . . . . . . . . . . . 8Oficina principal con satélites de red WAN rápida . . 9DSA (Disaster Server Architecture). . . . . . . 11Configuración de retransmisores eficientes . . . . 12Concentrador y radio . . . . . . . . . . . 14Configuración remota de Citrix/Terminal Services 15

Capítulo 3. Suposiciones y requisitos 19Suposiciones . . . . . . . . . . . . . . 19Requisitos del servidor . . . . . . . . . . 20Requisitos de consola . . . . . . . . . . . 21Requisitos del cliente . . . . . . . . . . . 21Requisitos de base de datos . . . . . . . . . 22Requisitos de seguridad . . . . . . . . . . 22Requisitos de configuración de red . . . . . . 24

Capítulo 4. Escenarios deconfiguración de seguridad. . . . . . 27En sistemas Windows . . . . . . . . . . . 27En sistemas Linux . . . . . . . . . . . . 30

Capítulo 5. Tipos de instalación . . . . 31Instalación de la evaluación . . . . . . . . . 31Instalación de producción . . . . . . . . . 31

Una instalación básica . . . . . . . . . . 33Una instalación típica . . . . . . . . . . 35Una instalación de múltiples servidores . . . . 35

Capítulo 6. Gestión de licencias . . . . 37Creación del archivo de autorización de licencia . . 38Ayuda de licencias . . . . . . . . . . . . 40Distribución de la licencia actualizada y elencabezado . . . . . . . . . . . . . . 40

Distribución del encabezado desde el servidorWindows a los clientes . . . . . . . . . 41Distribución del encabezado desde el servidorLinux a los clientes . . . . . . . . . . . 43

Capítulo 7. Antes de la instalación . . . 45Configuración de un cortafuegos local . . . . . 45Modificación de números de puerto . . . . . . 45

Capítulo 8. Instalación en sistemasWindows . . . . . . . . . . . . . . 47Pasos de instalación . . . . . . . . . . . 47

Paso 1 - Descarga de IBM Endpoint Manager . . 47

Paso 2 - Solicitud de un certificado de licencia ycreación del encabezado . . . . . . . . . 48Paso 3 - Instalación de los componentes . . . . 56

Eliminación del servidor primario en sistemasWindows . . . . . . . . . . . . . . . 98Desinstalación de un servidor de replicación deWindows . . . . . . . . . . . . . . . 98

Capítulo 9. Instalación en sistemasLinux . . . . . . . . . . . . . . . 99Instalación y configuración de DB2 . . . . . . 99Pasos de instalación . . . . . . . . . . . 100

Paso 1 - Descarga de IBM Endpoint Manager 100Paso 2 - Instalación del servidor . . . . . . 101Paso 3 - Verificación de la instalación delservidor . . . . . . . . . . . . . . 109

Opciones del mandato de instalación . . . . . 109Instalación silenciosa . . . . . . . . . . . 110Estructura de carpetas de instalación . . . . . 117Archivos de configuración, encabezado y registro 119Gestión de los servicios de Endpoint Manager . . 119Cambio de la contraseña de base de datos. . . . 120Cambio del puerto de DB2 . . . . . . . . . 120Autenticación de servidores adicionales (DSA) . . 121

Utilización de la autenticación de DB2 . . . . 121Instalación de servidores de Linux adicionales(DSA) . . . . . . . . . . . . . . . . 122Información sobre los componentes del servidor 123Instalación de la consola. . . . . . . . . . 123Instalación de la herramienta de implementaciónde clientes . . . . . . . . . . . . . . 124Instalación de los clientes . . . . . . . . . 124

Uso de la herramienta de implementación declientes . . . . . . . . . . . . . . 125Instalación manual del cliente . . . . . . . 127

Ejecución de la Herramienta de administración deEndpoint Manager . . . . . . . . . . . 137Eliminación del servidor primario en sistemasLinux . . . . . . . . . . . . . . . . 142Desinstalación de un servidor de replicación deLinux . . . . . . . . . . . . . . . . 142

Capítulo 10. Pasos de configuraciónposteriores a la instalación . . . . . 143Pasos posteriores a la instalación . . . . . . . 143Inicio y detención del servidor de IBM EndpointManager . . . . . . . . . . . . . . . 146Suscripción a sitios de contenido . . . . . . . 146

Capítulo 11. Gestión deretransmisores. . . . . . . . . . . 149Requisitos y recomendaciones de retransmisor . . 149Configuración de un retransmisor . . . . . . 150Asignación de retransmisores a los clientes . . . 151

© Copyright IBM Corp. 2010, 2015 iii

Asignación del retransmisor en el momento dela instalación del cliente . . . . . . . . . 151Asignación manual de retransmisores a losclientes existentes . . . . . . . . . . . 153Asignación automática de retransmisores en elmomento de la instalación del cliente . . . . 154Asignación automática de retransmisores a losclientes existentes . . . . . . . . . . . 154Uso de la afiliación de retransmisores . . . . 155Notas sobre la asignación automática deretransmisores . . . . . . . . . . . . 156

Ajuste del servidor y los retransmisores de IBMEndpoint Manager . . . . . . . . . . . 157Limitación de ancho de banda dinámica . . . . 158Asignación de un retransmisor cuando no se puedeacceder al servidor . . . . . . . . . . . 159

Establecimiento de retransmisores de Internet 160Autenticación de cliente . . . . . . . . . . 163

Autenticación de retransmisores . . . . . . 163Manejo del intercambio de claves. . . . . . 164Intercambio de claves manual . . . . . . . 164Revocación de certificados de cliente . . . . 164Cómo volver a registrar un cliente revocado . . 165Función de buzón . . . . . . . . . . . 166

Visualización de qué retransmisor se asigna a uncliente . . . . . . . . . . . . . . . . 167Supervisión del estado de los retransmisores . . . 167

Capítulo 12. Configuración de unaconexión proxy . . . . . . . . . . 169Habilitación del sondeo del cliente . . . . . . 174Establecimiento de una conexión proxy en elservidor . . . . . . . . . . . . . . . 175Configuración de una conexión proxy en unretransmisor . . . . . . . . . . . . . . 178Configuración de una conexión proxy en un cliente 180Prácticas recomendadas cuando se define unaconexión proxy . . . . . . . . . . . . . 183

Capítulo 13. Ejecución de una copiade seguridad y restauración . . . . . 185En sistemas Windows . . . . . . . . . . 185

Copia de seguridad del servidor . . . . . . 185

Recuperación del servidor . . . . . . . . 186Verificación de los resultados de la restauración 187Recuperación de DSA . . . . . . . . . 188

En sistemas Linux . . . . . . . . . . . . 189Copia de seguridad del servidor . . . . . . 189Recuperación del servidor . . . . . . . . 190Verificación de los resultados de la restauración 191Recuperación de DSA . . . . . . . . . 192

Capítulo 14. Actualización ensistemas Windows . . . . . . . . . 195Rutas de actualización a V9.2 . . . . . . . . 195Antes de la actualización . . . . . . . . . 196Actualización manual . . . . . . . . . . 197

Actualización del Generador de instalación . . 197Actualización del servidor . . . . . . . . 197Actualización de la consola . . . . . . . . 197Actualización de los retransmisores . . . . . 197Actualización de los clientes . . . . . . . 198Actualización de Web Reports . . . . . . . 198

Capítulo 15. Actualización ensistemas Linux. . . . . . . . . . . 199Rutas de actualización a V9.2 . . . . . . . . 199Antes de la actualización . . . . . . . . . 200Actualización manual . . . . . . . . . . 200

Actualización del servidor . . . . . . . . 201Actualización de la consola . . . . . . . . 201Actualización de los retransmisores . . . . . 201Actualización de los clientes . . . . . . . 201Actualización de Web Reports . . . . . . . 202

Apéndice A. Archivos de registro decomponentes . . . . . . . . . . . 203

Apéndice B. Soporte . . . . . . . . 205

Avisos . . . . . . . . . . . . . . 207Marcas registradas. . . . . . . . . . . . 209Términos y condiciones de la documentación delproducto . . . . . . . . . . . . . . . 210

iv IBM Endpoint Manager: Guía de instalación

Capítulo 1. Introducción

IBM® Endpoint Manager tiene el objetivo de resolver el problema cada vez máscomplejo de mantener los sistemas principales actualizados, compatibles y libres deproblemas de seguridad. Utilizada la tecnología patentada Fixlet para identificarlos equipos vulnerables de su empresa. Permite aplicar soluciones en toda la redcon sólo unas pulsaciones de ratón desde una consola central.

Los Fixlets son potentes, flexibles y fáciles de personalizar. Gracias a la tecnologíaFixlet, podrá hacer lo siguiente:v Analizar vulnerabilidades (configuraciones con parches aplicados o poco

seguras).v Revisar de un modo fácil y automático todos los puntos de destino de la red.v Establecer y hacer cumplir las directivas de configuración en toda la red.v Distribuir y actualizar los paquetes de software.v Ver, modificar y auditar propiedades de los equipos cliente de la red.

La tecnología Fixlet le permite analizar el estado de las configuraciones,vulnerabilidades e inventarios en toda la empresa y hacer cumplir las directivasautomáticamente casi en tiempo real. Además, los administradores pueden crear opersonalizar sus propias soluciones y tareas de Fixlet para ajustarse a lasnecesidades de red específicas que tengan.

IBM Endpoint Manager es fácil de instalar y cuenta con una tecnología integradade cifrado de claves públicas y privadas para garantizar la autenticidad de losFixlets y las acciones. Le otorga los permisos más amplios como administrador, conun impacto mínimo en el tráfico de red y los recursos informáticos. IBM EndpointManager puede gestionar cientos de miles de equipos en redes por todo el mundo.

Una vez instalado, puede tener fácilmente todos los equipos en red correctamenteconfigurados, actualizados y aplicados los parches, todo ello desde una consolacentral. Podrá realizar un seguimiento del progreso de cada equipo conforme sevayan aplicando actualizaciones o directivas de configuración. De esta forma,resulta fácil ver el nivel de cumplimiento en toda la empresa. Además de descargasy parches de seguridad, también podrá examinar directamente todos los equiposgestionados por atributos específicos, con lo que podrá agruparlos paraimplementar acciones, directivas continuas o gestión de activos. Podrá registrar losresultados para mantener un registro de auditoría y crear un gráfico de toda laactividad con un programa de generación de informes basado en web.

Novedades en la versión 9.2

IBM Endpoint Manager V9.2 proporciona las siguientes características nuevas ymejoras:v Puede definir los siguientes privilegios a nivel de usuario o rol utilizando la

consola o las API REST:– Capacidad de enviar acciones– Capacidad de reiniciar una máquina cliente– Capacidad de concluir una máquina cliente– Capacidad de bloquear y desbloquear una máquina cliente

© Copyright IBM Corp. 2010, 2015 1

– Capacidad de enviar mensajes de difusión (tales como wake-on-lan) orenovaciones

Los nuevos privilegios sólo se aplican a los operadores no maestros. Medianteestos privilegios puede evitar la interrupción de los servicios al impedir el cierrey reinicio. También puede crear usuarios sólo con fines de auditoría.

v Puede configurar el proxy más fácilmente:– En el servidor y retransmisor puede configurar el proxy especificando el

nombre de host del proxy, el puerto y, si es necesario, nombre de usuario ycontraseña.

– Las configuraciones antiguas se migran automáticamente durante laactualización de Endpoint Manager.

– Puede configurar el proxy en el servidor durante la instalación mediante elprograma de instalación, y en los clientes mediante herramientas dedespliegue del cliente.

v La recuperabilidad de retransmisor se ha mejorado de esta manera:– El retransmisor descubre automáticamente la corrupción en archivos

descargados, sitios web y buzones de correo, y realiza la recuperación.– El usuario puede definir opciones de comprobación de estado para ejecutar

comprobaciones y recuperaciones periódicas de la memoria caché corruptadel retransmisor. Para obtener información sobre los valores de configuración,consulte Valores de configuración

v Puede ocultar una contraseña estableciendo una opción con la Herramienta deadministración de Endpoint Manager.

v Nuevos inspectores UNIX para crear las comprobaciones de compatibilidad delsistema de información del equipo. Puede extraer la información siguiente:– En los sistemas Linux: servicios, proceso (SELinux)– En los sistemas AIX: módulos de kernel, RPC, catálogos de mensajes, ajuste

de redv El rendimiento del componente FillDB se ha mejorado en sistemas Windows.v El servidor y retransmisor de Endpoint Manager se puede instalar en Red Hat

Enterprise Linux (RHEL) 7.v En los sistemas Windows, los componentes IBM Endpoint Manager Server y

Web Reports ahora se pueden instalar en plataformas de 64 bits solamente(Microsoft Windows Vista y Windows 2008). La plataforma Microsoft Windows2003 ya no se puede utilizar para instalar IBM Endpoint Manager Server, WebReports y la consola.

v El código y la documentación se han revisado para implementar una forma fácilde configurar el proxy HTTP en el servidor y cliente durante la instalación deEndpoint Manager. El mismo método es válido en sistemas Windows y Linux.

A partir de la versión 9.2 Parche 3, sólo se puede utilizar la arquitectura de 64 bitspara instalar los componentes IBM Endpoint Manager Server, la consola y WebReports en sistemas Windows.

Para obtener más información sobre los cambios y las mejoras introducidas en laversión 9.2, consulte https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Change%20and%20Release%20Notes.

Para obtener una lista de limitaciones conocidas que afectan a la versión 9.2,consulte http://www-01.ibm.com/support/docview.wss?uid=swg21687166.

2 IBM Endpoint Manager: Guía de instalación

https://www.ibm.com/developerworks/community/wikis/home/wiki/Tivoli%20Endpoint%20Manager/page/Configuration%20Settings?lang=en&section=relay_healthcheck_enable

https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Change%20and%20Release%20Notes



http://www-01.ibm.com/support/docview.wss?uid=swg21687166

Service Management ConnectConéctese, aprenda y comparta información con profesionales de gestión deservicios: los expertos técnicos de soporte del producto ofrecen sus perspectivas yexperiencia.

Acceda a Service Management Connect en Endpoint Managementhttps://www.ibm.com/developerworks/mydeveloperworks/wikis/home?lang=it#/wiki/Tivoli%20Endpoint%20Manager. Utilice Service Management Connect para:v Implíquese en el desarrollo transparente, para fomentar la participación abierta y

continua de otros usuarios y desarrolladores de IBM de productos de IBM.Puede acceder a primeros diseños, demostraciones rápidas, hojas de ruta deproductos y código previo al release.

v Póngase en contacto de forma privada con los expertos para colaborar y trabajaren red sobre la comunidad de su organización e IBM.

v Lea los blogs para beneficiarse de la experiencia de otros.v Utilice los wikis y foros para colaborar con la comunidad de usuarios más

amplia.

Términos utilizados en esta guía

Los siguientes son términos correspondientes a IBM Endpoint Manager, pero en laguía se utilizan sin hacer referencia cada vez a IBM Endpoint Manager:

Agenteindica un equipo donde se ha instalado el cliente de IBM EndpointManager

Consolaindica la consola de IBM Endpoint Manager

Clienteindica el cliente de IBM Endpoint Manager

Servidorindica el servidor de IBM Endpoint Manager

Retransmisorindica el retransmisor de IBM Endpoint Manager

Además, es posible que vea componentes etiquetados como "BigFix" o "BigFixEnterprise Suite" (BES), que es terminología heredada, ahora reemplazada por"IBM Endpoint Manager".

Visión general de componentes de arquitectura

IBM Endpoint Manager tiene los siguientes componentes principales:

Agentes de IBM Endpoint Manager:

Se instalan en cada equipo que desee administrar con IBM EndpointManager. Un equipo en el que se instala el agente de IBM EndpointManager también se conoce como cliente. Los clientes acceden a unconjunto de Fixlets que detecta riesgos de seguridad, configuracionesincorrectas y otras vulnerabilidades. El cliente puede implementar accionescorrectivas recibidas desde la consola mediante el servidor. El cliente de

Capítulo 1. Introducción 3

http://www.ibm.com/developerworks/servicemanagement/em/



IBM Endpoint Manager se ejecuta sin ser detectado por los usuarios yutiliza un mínimo de recursos del sistema.

IBM Endpoint Manager también permite que el administrador responda alos mensajes que aparecen en pantalla para aquellas acciones que requieranuna acción por parte del usuario. Los clientes de IBM Endpoint Managerpueden cifrar sus comunicaciones ascendentes para proteger la informaciónconfidencial. El software del cliente de IBM Endpoint Manager puedeejecutarse en los sistemas operativos Windows, Linux, Solaris, HP-UX, AIXy Macintosh.

Servidores de IBM Endpoint Manager:Ofrecen un conjunto de servicios que interactúan, incluidos los servicios dela aplicación, un servidor web y un servidor de base de datos, que formanel núcleo del sistema IBM Endpoint Manager. Coordinan el flujo deinformación hacia y desde los equipos individuales y almacenan losresultados en la base de datos de IBM Endpoint Manager. Loscomponentes del servidor de IBM Endpoint Manager funcionan de modosilencioso en segundo plano, sin ninguna intervención directa deladministrador. Los servidores de IBM Endpoint Manager también incluyenun módulo integrado de generación de informes en web para permitirque usuarios autorizados se conecten mediante un navegador web para vertoda la información sobre equipos, vulnerabilidades, acciones, etc. IBMEndpoint Manager admite varios servidores, con lo que se añade unaredundancia sólida al sistema.

Nota: En Windows, el servidor de la versión 9.2 de IBM EndpointManager y los componentes de Web Reports solamente admiten laarquitectura de 64 bits. Para obtener información sobre la lista completa desistemas operativos admitidos, consulte IBM Endpoint Manager forLifecycle Management 9.2.

Retransmisores de IBM Endpoint Manager:Aumentan la eficiencia del sistema. En lugar de obligar a que cada equipode la red acceda directamente al servidor de IBM Endpoint Manager, losretransmisores distribuyen la carga. Cientos de miles de clientes de IBMEndpoint Manager pueden apuntar a un único retransmisor de IBMEndpoint Manager para las descargas que, a su vez, realiza sólo unasolicitud al servidor. Los retransmisores de IBM Endpoint Manager sepueden conectar también a otros retransmisores, aumentando aún más laeficiencia. Un retransmisor de IBM Endpoint Manager no tiene que ser unequipo dedicado; el software puede instalarse en cualquier equipo conWindows XP, Windows Server 2003, Windows Vista, Windows Server 2008,Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012,Red Hat Enterprise Linux 4,5,6,7, o Solaris 10, con el agente de IBMEndpoint Manager instalado. Tan pronto como instale un retransmisor deIBM Endpoint Manager, los clientes en la red pueden descubrirlosautomáticamente y conectarse a los mismos.

Consolas de IBM Endpoint Manager:Reúnen todos estos componentes para proporcionar una visión de todo elsistema de los equipos de su red, junto con sus vulnerabilidades y lassoluciones propuestas. La consola de IBM Endpoint Manager permite queun usuario autorizado distribuya soluciones de manera sencilla y rápida encada equipo que las necesite sin afectar a ningún otro equipo de la red.Puede ejecutar la consola de IBM Endpoint Manager en cualquier equipocon Windows Vista de 64 bits, Windows Server 2008 de 64 bits, Windows 7de 64 bits, Windows Server 2008 R2 de 64 bits, Windows 8 de 64 bits,


http://www-01.ibm.com/support/docview.wss?rs=1015&uid=swg21652841


Windows 8.1 de 64 bits, Windows Server 2012 de 64 bits y Windows Server2012 R2 de 64 bits que disponga de acceso de red al servidor de IBMEndpoint Manager. Las consolas para grandes implementaciones se alojancon frecuencia en servidores de terminal o servidores Citrix.

Nota: En Windows, el componente de la consola de la versión 9.2 de IBMEndpoint Manager solamente admite arquitectura de 64 bits.

Capítulo 1. Introducción 5

Capítulo 2. Situaciones de implementación de ejemplo

En los escenarios siguientes se muestran algunas configuraciones básicas tomadasde casos reales. Su organización puede tener una estructura similar a alguno de lossiguientes ejemplos, dependiendo del tamaño de la red, las restricciones de anchode banda entre los clústeres y el número de retransmisores y servidores. El recursomás importante no es la potencia de CPU, sino el ancho de banda.

Preste mucha atención a la distribución de retransmisores en cada situación. Losretransmisores ofrecen una mejora espectacular del ancho de banda y se debenimplementar con una planificación cuidadosa, especialmente en situaciones concomunicaciones lentas.Normalmente los retransmisores son más eficaces enjerarquías bastante planas. Un retransmisor de máximo nivel reduce directamentela presión del servidor, y una capa inferior permite distribuir la carga. Sinembargo, las jerarquías con más de dos niveles de profundidad pueden sercontraproducentes y se deben implementar con mucho cuidado. Normalmente sóloes necesario emplear varios niveles si tiene más de cincuenta retransmisores. Enese caso, los retransmisores de máximo nivel se implementarían en servidoresdedicados que proporcionarían servicio a entre 50 y 200 retransmisores de segundonivel. Los siguientes ejemplos le ayudarán a implementar la distribución de redmás eficiente.

Tenga en cuenta que añadir servidores adicionales puede mejorar la solidez de unared, distribuyendo la carga y ofreciendo funciones de redundancia. El uso deservidores redundantes permite automatizar el restablecimiento y la conmutaciónpor error, con lo que las pérdidas de datos son mínimas incluso en circunstanciasgraves.

Con la implementación correcta de servidores y retransmisores, es posible alojarredes de cualquier tamaño. Aparte de los ejemplos que se muestran aquí, sutécnico de soporte de IBM puede ayudarle con otras configuraciones.


Despliegue básico

Se trata de despliegue muy simplificado que muestra la jerarquía básica y lospuertos utilizados para conectar los componentes.

Observe lo siguiente acerca del diagrama:v El puerto 80 se utiliza para recopilar mensajes de Fixlet a través de Internet

desde proveedores de Fixlet como IBM.v Se utiliza un puerto dedicado (el predeterminado es el 52311) para las

comunicaciones HTTP entre los servidores, los retransmisores y los clientes.v Se utiliza un puerto dedicado (el predeterminado es el 52311) para las

comunicaciones HTTPS entre los servidores y las consolas.v Los retransmisores se utilizan para compartir la carga del servidor. Este

diagrama sólo muestra dos retransmisores, pero puede utilizar decenas o cientos


de retransmisores con una jerarquía plana similar. Normalmente se implementaun retransmisor por cada 500-1.000 equipos.

v Los retransmisores de IBM Endpoint Manager también pueden aprovechar unpuerto UDP para comunicar a los clientes la presencia de actualizaciones, peroesto no es estrictamente necesario.

v Los clientes de IBM Endpoint Manager suelen ser equipos PC o estaciones detrabajo, pero pueden ser otros servidores, portátiles acoplables u otros tipos deequipos. Cualquier dispositivo que pueda necesitar parches y actualizacionespuede incluirse en la implementación.

IBM Endpoint Manager tiene mucha más flexibilidad y potencial de lo que sugiereeste sencillo ejemplo. Puede supervisar cientos de miles de equipos, aunque esténdistribuidos por todo el mundo. Las siguientes situaciones amplían este ejemplo deimplementación básica.

Oficina principal con satélites de red WAN rápida

Esta configuración es muy común en universidades, organizacionesgubernamentales y pequeñas empresas con unas pocas ubicaciones distribuidasgeográficamente. Este tipo de implementación es relativamente sencilla deconfigurar y administrar, ya que no hay conexiones WAN lentas (o hay muy pocas)que deban tenerse en cuenta.

Capítulo 2. Situaciones de implementación de ejemplo 9

Observe lo siguiente acerca del diagrama:v En esta configuración, los retransmisores se utilizan para aliviar la carga del

servidor y para distribuir las comunicaciones, optimizando el ancho de banda.v Esta situación tiene grandes enlaces WAN, de modo que los retransmisores de

oficina pueden comunicarse directamente con el servidor principal. Una redWAN con menor ancho de banda forzaría un cambio en la distribución de losretransmisores (ver ejemplo anterior y los siguientes).

v A mayor número de retransmisores en el entorno, mayor velocidad en lasdescargas y en el tiempo de respuesta.

v Debido a la naturaleza de esta red, cuando los clientes se configuran con el valorUbicar automáticamente el mejor retransmisor, muchos de los retransmisoresestán a la misma distancia. En esta situación, los clientes distribuyen la cargaautomáticamente entre todos los retransmisores cercanos.

v En casos como el de esta LAN de alta velocidad, recomendamos una jerarquíarelativamente plana, con todos los retransmisores informando directamente alservidor principal. Añadir niveles a la jerarquía sólo introduciría una latencia


innecesaria. No obstante, si hubiese más de 50 ó 100 retransmisores en esteentorno, debería tenerse en cuenta la posibilidad de añadir otro nivel deretransmisores.

DSA (Disaster Server Architecture)

Es posible que las empresas con necesidades de información crucial o de grandisponibilidad prefieran implementar varios servidores totalmente redundantespara mantener un funcionamiento continuo incluso en caso de problemas graves.La existencia de varios servidores también permite distribuir la carga y crear unaimplementación más eficiente. A continuación encontrará un diagrama simple en elque se muestra cómo se pueden configurar varios servidores para proporcionarredundancia:

En el caso de una conmutación por error, los retransmisores configuradosespecíficos buscarán automáticamente el servidor de copia de seguridad y volverána conectar la red. Para obtener más información sobre la configuración deretransmisores, consulte Configuración de conmutación por error del retransmisor.

Observe lo siguiente acerca del diagrama:


v Los servidores IBM Endpoint Manager están conectados por una WAN rápida,lo que les permite sincronizarse varias veces cada hora.

v Los servidores necesitan enlaces ODBC y HTTP para funcionar y replicar deforma adecuada.

v Hay un servidor principal con el ID 0 (cero). Es el primer servidor instalado y elservidor predeterminado para ejecutar la Herramienta de administración de IBMEndpoint Manager.

v Por motivos de claridad, se muestra una configuración mínima. Unaimplementación más realista incluiría un retransmisor de máximo nivel y otrasconexiones WAN con oficinas regionales.

v Los servidores y retransmisores de IBM Endpoint Manager están configuradosde modo que el control se pueda redirigir automáticamente en caso de caídasdel servidor (previstas o no), y una vez que se vuelva a establecer la conexión,las bases de datos se combinen automáticamente.

v Los servidores de IBM Endpoint Manager se comunican regularmente parareplicar sus datos. Puede revisar el estado actual y ajustar el intervalo dereplicación desde Administración de IBM Endpoint Manager > Replicación. Paraobtener el mejor rendimiento posible, estas conexiones deben ser del tipo FAT.

v Este diagrama sólo muestra dos servidores, pero a cada servidor adicional se leaplicaría la misma arquitectura básica. Cuando hay varios servidores, se utilizaun algoritmo de ruta más corta como guía para la replicación.

v Cuando un período de inactividad u otros problemas provocan una división dela red, es posible modificar un Fixlet personalizado o una propiedad recuperadade manera independiente en ambos lados de la división. Al restablecer laconexión de red en la conmutación por error, tiene prioridad la versión delservidor con el ID de servidor más bajo.

Configuración de retransmisores eficientes

Para aumentar la eficiencia y reducir la latencia, esta empresa ha aplicado unajerarquía de retransmisores que permite reducir la carga del servidor. Cadaretransmisor adicional reduce un poco más la carga del servidor relacionada con ladescarga de parches y la carga de datos. Resulta sencillo añadir retransmisores, ylos clientes se pueden configurar de modo que busquen automáticamente elretransmisor más cercano, lo que simplifica aún más la administración.


Observe lo siguiente acerca del diagrama:v Hay un equipo dedicado, conocido como retransmisor de máximo nivel, que se

utiliza para reducir la carga del equipo servidor.v Todos los retransmisores se configuran manualmente de forma que están

orientados al retransmisor de máximo nivel o a otro retransmisor más cercano.La regla general para configurar los retransmisores es que es preferible tener elmenor número posible de niveles hasta los retransmisores a menos que hayacuellos de botella en el ancho de banda. Las comunicaciones a través deconexiones con escaso ancho de banda deben ser de retransmisor a retransmisor.El retransmisor de máximo nivel reduce la carga del servidor, y el retransmisorsecundario permite distribuir una misma descarga a cientos de clientes.

v Hay un retransmisor en la DMZ configurado con una relación de confianzaespecial con el servidor. Este retransmisor permite gestionar los clientes de laDMZ o la conexión pública a Internet desde IBM Endpoint Manager. La DMZcoloca un cortafuegos de seguridad entre el retransmisor y el conjunto deequipos y portátiles domésticos que acceden a través de Internet.

v Este diagrama muestra un único retransmisor en la oficina regional principal. Noobstante, para las oficinas con más de unos pocos cientos de clientes,normalmente habrá varios retransmisores con los que distribuir la carga deforma eficaz.

v Como norma general, se debe implementar al menos un retransmisor por cada500-1000 clientes para maximizar la eficacia del retransmisor. Para obtener másinformación, consulte el artículo sobre retransmisores en el sitio de asistenciatécnica de IBM Endpoint Manager.


https://www.ibm.com/developerworks/mydeveloperworks/wikis/home/wiki/Tivoli%20Endpoint%20Manager/page/TEM%20Relays?lang=en

Concentrador y radio

Esta situación implica un centro de datos principal, un pequeño número degrandes oficinas regionales, y muchas oficinas regionales pequeñas. Estaconfiguración es muy común en grandes organizaciones internacionales. Losclientes de IBM Endpoint Manager se instalan en distintos equipos en oficinas detodo el mundo. Muchas de estas ubicaciones tienen conexiones WAN lentas (8 -512 Kbps), pero hay otras oficinas con conexiones WAN más rápidas (1 - 45 Mbps).

Normalmente estas ubicaciones están configuradas con un esquema de distribuciónde estrella. Esta situación se desarrolla a partir de la anterior, pero la configuraciónde estrella permite implantar más niveles en la jerarquía de retransmisores.

Observe lo siguiente acerca del diagrama:


v En esta situación, los retransmisores se implementan cuidadosamente en lasbifurcaciones adecuadas dentro de la WAN para optimizar el ancho de banda.Una colocación inadecuada de los retransmisores puede provocar efectosadversos sobre el rendimiento de la red.

v Resulta crucial instalar al menos un retransmisor en cada ubicación con unaconexión WAN lenta. Normalmente una empresa ya tiene un servidor en cadaubicación de este tipo, normalmente un servidor de archivos, de impresión, dedistribución audiovisual, de distribución de mensajes SMS, un controlador dedominio o cualquier otro equipo. El retransmisor de IBM Endpoint Managernormalmente se instala en uno de estos equipos existentes.

v Para proporcionar redundancia, normalmente en una oficina debería instalarsemás de un retransmisor. En caso de que un retransmisor falle por cualquiermotivo (problema eléctrico, desconexión de la red, etc.), los clientes adjuntospueden pasar automáticamente a un retransmisor diferente. Un retransmisorredundante tiene menos importancia en oficinas muy pequeñas, ya que haymenos equipos afectados por los fallos del retransmisor.

v Si los clientes están configurados con la opción Ubicar automáticamente elmejor retransmisor, elegirán el más cercano. Si algún retransmisor falla, losclientes buscan automáticamente otro retransmisor. Es recomendable supervisarla configuración del retransmisor después de la instalación inicial automática (yperiódicamente en lo sucesivo) para asegurarse de que los clientes esténorientados a las ubicaciones adecuadas. Hable con el técnico de asistencia paraobtener más información sobre cómo protegerse contra conexiones WANsobrecargadas con datos de IBM Endpoint Manager.

v La limitación del ancho de banda en el nivel del retransmisor resulta muy útilcon esta configuración. Los retransmisores de IBM Endpoint Manager estánconfigurados para realizar las descargas lentamente en las conexiones WAN parano saturar los enlaces lentos. Para obtener más información, consulte el artículosobre limitación de ancho de banda en el sitio de asistencia técnica de IBMEndpoint Manager.

v En lugar de estar orientados al servidor, los retransmisores están configuradosde modo que se orienten al retransmisor de máximo nivel. Esto libera al servidorpara conectarse más estrechamente con la consola y mejora la eficacia de losinformes.

Los retransmisores de IBM Endpoint Manager se configurarán para crearmanualmente la jerarquía óptima. La jerarquía tiene tres niveles (de arriba a abajo):1. El retransmisor de máximo nivel que se conecta directamente con el servidor.2. Los retransmisores de la oficina regional que se conectan con el retransmisor de

máximo nivel.3. Varios retransmisores de sucursales que se conectan a los retransmisores de las

oficinas regionales especificados.

Configuración remota de Citrix/Terminal Services

Aunque IBM Endpoint Manager puede proporcionar contenido de forma eficazincluso con conexiones lentas, la propia consola realiza un uso intensivo de losdatos y puede saturar un enlace con menos de 256 Kbps de ancho de banda. Laadición de más clientes aumenta el tiempo de retardo.


http://support.bigfix.com/cgi-bin/redir.pl?page=besthrottling

Pero puede acceder a la consola de forma remota desde Citrix, Windows TerminalServer, VNC o un servidor de presentación de estilo DameWare y lograr unrendimiento excelente. A continuación se muestra un ejemplo del aspecto de estaconfiguración:

Observe lo siguiente acerca del diagrama:v En la oficina principal, la consola está configurada en un equipo cercano al

servidor para que la recopilación de datos sea más rápida. Este equipo es elservidor de presentaciones.

v Deberá crear cuentas de usuario para cada usuario remoto. Estos usuariospueden acceder a la consola rápidamente, ya que los procesos de carga de datosque requieren más tiempo se realizan en la oficina principal sobre un enlacerápido.


v La conexión remota se puede realizar sobre HTTPS para mejorar la seguridad.v Tenga en cuenta que ejecutar una consola desde un servidor de presentaciones

que contenga la clave privada implica una menor seguridad que si la clave sealmacena en un dispositivo extraíble.

v Puede ser conveniente utilizar software de equilibrio de carga para distribuir losaccesos remotos entre varios servidores.

v El principal cuello de botella para las consolas que se ejecutan en Citrix es eltamaño de la memoria. Si la consola se queda sin memoria, su rendimiento sereduce bruscamente. Una buena técnica para determinar los requisitos dememoria es abrir la consola como un operador principal. Compruebe lamemoria utilizada: esto indica los requisitos de memoria máximos por usuario.A continuación, inicie una sesión como un operador normal y utilice este valorpara medir los requisitos de memoria medios. Si el servidor Citrix tienecapacidad suficiente para todos los usuarios simultáneos con el máximo dememoria, basta con un equipo. De lo contrario, utilice el requisito medio dememoria por usuario para determinar cuántos servidores Citrix adicionalesnecesitará.

v La segunda restricción es la potencia de CPU. Durante las actualizaciones, laconsola funciona mejor con un núcleo de CPU completo. Esto significa que elservidor de presentaciones tendrá un funcionamiento óptimo si hay un núcleode CPU ejecutando la consola por cada usuario simultáneo.

v El último aspecto es el espacio en disco para la memoria caché de la consola.Puede comprender el tamaño de la memoria caché observando un ejemplo delequipo local: C:\Documents and Settings\<NOMBRE_USUARIO>\Configuración local\Application Data\BigFix\Enterprise Console\BES_bfenterprise. Debe haber espacio en disco suficiente para proporcionar unarchivo de caché para cada operador de la consola.


Capítulo 3. Suposiciones y requisitos

IBM Endpoint Manager se ejecuta de manera eficaz con recursos mínimos deservidor, red y cliente. El hardware que necesita el servidor y la consola dependedel número de equipos que se administren y del número total de consolas. Laarquitectura distribuida de IBM Endpoint Manager permite que un único servidordé soporte a cientos de miles de sistemas.

Suposiciones

El proceso de poner en marcha IBM Endpoint Manager varía y depende delentorno de red y de las directivas de seguridad. Esta guía se centra en unaimplementación estándar, que se aplica a grupos de trabajo y a empresas con undominio administrativo único. Por motivos de legibilidad y generalidad, en estaguía se asumen estas restricciones:v Los servidores de IBM Endpoint Manager pueden realizar conexiones a Internet

en el puerto 80. Se puede configurar el servidor de IBM Endpoint Manager parausar un proxy, que es una configuración común. Para obtener más información,consulte Capítulo 12, “Configuración de una conexión proxy”, en la página 169.Por otra parte, se puede usar un espacio vacío para separar físicamente elservidor de IBM Endpoint Manager del servidor de Fixlet conectado a Internet.Para obtener más información, consulte Descarga de archivos entornos deespacio vacíola Guía de configuración.

v Cada servidor de IBM Endpoint Manager debe tener acceso al SQL Server,ubicado de forma local en el equipo servidor o de forma remota en un SQLServer independiente.

v Cada operador de la consola puede realizar una conexión HTTP con el servidorde IBM Endpoint Manager.

v Cada equipo cliente de IBM Endpoint Manager en la red debe poder realizaruna conexión HTTP con un servidor o retransmisor en el puerto especificado (elpuerto predeterminado es 52311, pero se puede utilizar cualquier puertodisponible).

v Cada consola en la red debe poder crear una conexión HTTPS con un servidoren el mismo puerto que los clientes (el valor predeterminado es 52311).

Es posible que algunas empresas no cumplan una o más de estas condiciones, peropueden seguir desplegando IBM Endpoint Manager en sus entornos. Para obtenermás información, consulte Situaciones de implementación (página Capítulo 2,“Situaciones de implementación de ejemplo”, en la página 7). Si la configuraciónde red no coincide con ninguna de las situaciones expuestas en este capítulo,póngase en contacto con el técnico de asistencia para considerar más opciones.

El despliegue inicial de un sistema mínimo de IBM Endpoint Manager (servidor,consola y algunos clientes) tarda alrededor de una hora en completarse.

Cuando esté preparado para instalar el sistema completo, preste una atenciónespecial a las secciones de este documento sobre la implementación del cliente ydel retransmisor para garantizar un despliegue eficaz.


Hay varios pasos en la instalación de IBM Endpoint Manager que dependen de lafinalización de los pasos anteriores. Por esta razón, se recomienda que siga estaguía en el orden que se presenta.

Requisitos del servidor

Para conocer la información más reciente sobre los requisitos del cliente, consulteIBM Endpoint Manager 9.2 – Requisitos del sistema.

Sistemas operativos soportados:v Windows:

– Windows 2008 R2 de 64 bits Enterprise– Windows 2008 de 64 bits Enterprise– Windows Server 2012 R2– Windows Server 2012

A partir de la versión 9.2 Parche 3, sólo se puede utilizar la arquitectura de 64bits para instalar los componentes IBM Endpoint Manager Server y Web Reportsen sistemas Windows.

Nota: El cortafuegos de Windows debe estar desactivado. Control de cuentas deusuario en Windows 2008 y Windows 2008 R2 debe estar inhabilitado odisminuido para que los servicios que no se ejecutan como LOCAL SYSTEM nose vean interferidos por los mensajes emergentes de Control de cuentas deusuario.

Nota: Asegúrese de que .NET Framework 3.5 está instalado antes de empezar ainstalar Endpoint Manager en un nuevo Windows Server 2012.

v Linux:Red Hat Enterprise Linux (RHEL) Server x86-64 versión 6 fixpack 3 o superior(arquitectura de 64 bits)Dependencias:

– IBM DB2 10.5. Para obtener información sobre cómo instalar el servidor DB2en Red Hat Enterprise Linux Server de 64 bits, consulte “Instalación yconfiguración de DB2” en la página 99 y Métodos de instalación para losclientes del servidor de datos de IBM.

– Paquetes de Red Hat necesarios para el servidor Linux de IBM EndpointManager y los componentes de Web Reports:

cyrus-sasl-lib.x86_64

libstdc++.x86_64 y todos sus requisitos previospam.x86_64

krb5-libs.x86_64

fontconfig.x86_64 (sólo para Web Reports)libXext.x86_64 (sólo para Web Reports)libXrender.x86_64 (sólo para Web Reports)zlib.x86_64 (sólo para Web Reports)

Nota: Los servidores de Endpoint Manager de Windows no pueden migrarse aservidores de Endpoint Manager de Linux.


http://www.ibm.com/support/docview.wss?rs=1015&uid=swg21684809

http://pic.dhe.ibm.com/infocenter/db2luw/v10r5/topic/com.ibm.swg.im.dbclient.install.doc/doc/c0022615.html


Requisitos de espacio de disco mínimo para instalar el servidor de EndpointManager y Web Reports en Linux:

Servidor de Endpoint Manager: 300 MB; DB2: 1 GB (se recomienda 6 GB)Endpoint Manager Web Reports: 250 MB; DB2: 700 MB

Es el espacio de disco utilizado en cada sistema de archivos para instalar elservidor y los componentes de Web Reports:– 160 MB en /var/opt/BESWebReportsServer– 22 MB en /opt/BESWebReportsServer

Requisitos de consola

Para encontrar la información más reciente sobre los requisitos de la consola,consulte IBM Endpoint Manager 9,2 – Requisitos del sistema

La consola de IBM Endpoint Manager puede estar instalada en un equipo portátilu otro equipo de potencia media. Sin embargo, conforme el número de equiposque gestiona con la consola sigue aumentando, es posible que necesite un equipomás potente.

La consola de IBM Endpoint Manager también exige una conexión con un granancho de banda (la velocidad de la LAN será mejor) con el servidor debido a lacantidad de datos que es necesario transferir a la consola. Si necesita conectar deforma remota con el servidor mediante una conexión de ancho de banda lento, serecomienda que use una conexión de control remoto a un equipo (como unservidor de Citrix o un equipo de Terminal Services) con una conexión de altavelocidad con el servidor.

Póngase en contacto con el técnico de asistencia para obtener más informaciónsobre los requisitos de ampliación de la consola.

Nota: La consola es la interfaz principal de IBM Endpoint Manager y gestiona unagran cantidad de información sobre los clientes. Si los equipos de la consola tienenmenos potencia o cuentan con una conexión lenta, este hecho puede afectar demanera negativa al rendimiento.

Nota: En los sistemas Windows, la consola de IBM Endpoint Manager V9.2 sólo sepuede utilizar con la arquitectura de 64 bits.

Requisitos del cliente

Para conocer la información más reciente sobre los requisitos del cliente, consulteIBM Endpoint Manager 9,2 – Requisitos del sistema.

Compruebe que el servicio BESClient se ejecuta bajo la cuenta SYSTEM en sistemasWindows.

Nota: Antes de instalar el cliente en Red Hat Enterprise Linux 7, asegúrese dehaber instalado la biblioteca Athena (paquete libXaw)..

Capítulo 3. Suposiciones y requisitos 21



Requisitos de base de datos

La base de datos almacena todos los datos recuperados de los clientes. Antes deinstalar el servidor de IBM Endpoint Manager, asegúrese de que se cumplan losrequisitos de base de datos.v El servidor de IBM Endpoint Manager en sistemas Windows da soporte a las

siguientes configuraciones:– SQL Server 2005, 2008, 2008 R2 o SQL Server 2012 local o remoto.

Importante: Al instalar o actualizar IBM Endpoint Manager, la cuenta deusuario que realiza la instalación o actualización debe tener derechos sa, esdecir, sysadmin en SQL Server. Cuando trabaja con una instancia remota deSQL, la cuenta de servicio de dominio de AD debe tener derechos dbo, esdecir, dbowner en las bases de datos BFEnterprise y BESReporting. Empiececon derechos sa para realizar la instalación o la actualización y, acontinuación, devuelva los privilegios a dbo cuando el producto esté activo yen ejecución.

v El servidor de IBM Endpoint Manager en sistemas Red Hat Enterprise Linux dasoporte a las siguientes configuraciones:– Si el servidor de DB2 se instala localmente: DB2 10.5 Enterprise Server Edition

de 64 bits o Workgroup Server Edition de 64 bits.– Si el servidor de DB2 se instala remotamente: IBM Data Server Client 10.5.

Nota: Para comprobar si tiene un servidor o un cliente instalado y comprobar laedición de DB2, puede ejecutar el mandato db2licm -l. En el equipo donde seha instalado el servidor de DB2, recibirá un informe detallado; si sólo se hainstalado el cliente, recibirá un informe vacío. Para comprobar qué versión deDB2 está instalada, ejecute el mandato db2level.

Para obtener más información sobre la versión soportada de bases de datos,consulte IBM Endpoint Manager 9.2 – Requisitos del sistema.

Requisitos de seguridad

El sistema autentica todos los Fixlets y las acciones utilizando firmas deinfraestructura de clave pública (PKI). PKI utiliza pares de clavespúblicas/privadas para garantizar la autenticidad.

Antes de poder instalar IBM Endpoint Manager, debe usar el programa deinstalación en Windows y el script install.sh en Linux para generar su propiaclave privada y después solicitar a IBM un certificado firmado que contiene suclave pública. La clave privada (que sólo existe en el equipo y es desconocida paratodo el mundo, incluido IBM) se cifra con una contraseña que elija, por lo que sialguien la roba, tendrá que saber la contraseña para usarla. No obstante, guárdelaen lugar seguro. Cualquier persona que tenga la clave privada y la contraseña para elsitio, acceso al servidor e inicio de sesión a la base de datos podrá aplicar cualquier acción alos equipos cliente.

Trate la clave privada como si fuera la llave de la puerta de su empresa. No la dejeen un disco compartido. En lugar de eso, almacénela en un disco extraíble o unaubicación segura y no la pierda. En el mundo real, si pierde la llave maestra, tendráque cambiar todas las cerraduras del edificio. De igual forma, si pierde su clavedigital, tendrá que hacer una migración a una nueva clave de autorización o hacer



una nueva instalación de todo el sistema (incluidos todos los clientes). No esdescabellado almacenar una copia de seguridad de los archivos de la clave del sitioen una caja fuerte.

Durante el proceso de instalación, se crea una clave de firma del servidor y sealmacena como un archivo en el equipo servidor. Cuando los operadores emitanuna acción, está firmada digitalmente por la clave de firma del servidor, y elcliente sólo confiará en las acciones que están firmadas por esa clave. Dado que losclientes confiarán en cualquier acción firmada por la clave de firma del servidor, esimportante proteger el archivo de clave de firma del servidor. Para proteger elarchivo de clave de firma del servidor, se debe restringir el acceso deadministrador al equipo servidor.

Los Fixlets también están firmados digitalmente. El autor del sitio de Fixlet firmacada mensaje con una clave que podrá rastrearse hasta la raíz de IBM EndpointManager para autenticarla. Esta firma debe coincidir con el encabezado del sitio deFixlet, que está situado en la carpeta de instalación del cliente al suscribirse al sitio.Este procedimiento impide la suplantación de identidad y los ataques de hombreen medio (man-in-the-middle), además de garantizar que los Fixlets que recibeprovienen de un autor original certificado.

Existen algunos problemas relacionados con la seguridad que habrá que atenderantes de instalar IBM Endpoint Manager en su organización:v Asegúrese de que el equipo con el servidor ejecute Windows Server 2008+ de 64

bits con el último Service Pack disponible de Microsoft.v Compruebe que SQL Server sea seguro gracias a la aplicación de los últimos

parches de seguridad.v Asegúrese de que los protocolos TCP/IP y UDP en el puerto especificado (el

valor predeterminado es 52311 para todos los componentes, incluida la consola)estén completamente desbloqueados en todos los direccionadores y cortafuegosinternos.

v Compruebe que el direccionador externo prohíbe el tráfico entrante y saliente enel puerto especificado (el valor predeterminado es 52311 en todos loscomponentes) de manera que el tráfico relacionado con IBM Endpoint Managerno pueda circular dentro o fuera de la red.Puede administrar portátiles itinerantes colocando un retransmisor enautenticación en el DMZ. Para obtener más detalles, consulte Retransmisoresinternos..

v Compruebe con su administrador de red que puede permitir que el servidoracceda a Internet mediante el puerto 80. El servicio del servidor raíz de BES enWindows y el servicio beserver en Linux acceden a Internet y, de formapredeterminada, se ejecutan como la cuenta SYSTEM en Windows y como rooten Linux.

Nota: En el entorno, si accede a Internet a través de un proxy, configure laconexión como se describe en Capítulo 12, “Configuración de una conexiónproxy”, en la página 169. Si tiene restricciones de cortafuegos, consulte“Configuración de un cortafuegos local” en la página 45.Para mantener una desconexión física de Internet, consulte Descarga de archivosentornos de espacio vacíola Guía de configuración.

v Asegure los equipos del servidor y la base de datos SQL mediante el uso deestándares de la compañía o del sector. Póngase en contacto con eladministrador de red o de la base de datos para obtener más información.


https://www.ibm.com/developerworks/mydeveloperworks/wikis/home/wiki/Tivoli%20Endpoint%20Manager/page/Internet%20Relays?lang=en

https://www.ibm.com/developerworks/mydeveloperworks/wikis/home/wiki/Tivoli%20Endpoint%20Manager/page/Internet%20Relays?lang=en

Nota: Algunos procedimientos excepcionales de aislamiento pueden provocar quelos servidores funcionen de manera incorrecta. Póngase en contacto con el soportede software de IBM si tiene preguntas concretas sobre procedimientos deaislamiento.

Requisitos de configuración de red

Por motivos de seguridad y rendimiento, se recomienda la siguiente configuraciónde la red:v La comunicación de red interna se realiza en un puerto especificado (52311 es el

puerto predeterminado para todos los componentes, incluida la consola) parapermitir la simplicidad y flexibilidad de la implementación. Los protocolosTCP/IP y UDP en este puerto deben estar completamente desbloqueados entodos los enrutadores y cortafuegos internos (de manera opcional, podráinhabilitar UDP, pero esto puede afectar de forma negativa al rendimiento).

v El servidor de IBM Endpoint Manager debería conectarse a la red a 100 Mbps omás.

v Las consolas deben tener conexiones de alta velocidad con el servidor de IBMEndpoint Manager (100 Mbps o más).

v El cortafuegos de Windows debe estar desactivado en el equipo servidor de IBMEndpoint Manager.

v El cliente de IBM Endpoint Manager debe estar instalado en el equipo servidorde IBM Endpoint Manager.

Normalmente estas recomendaciones de red son fáciles de cumplir para la mayoríade organizaciones que mantienen una política de seguridad moderada. Si no sepueden cumplir estos requisitos en su organización, consulte la Guía deconfiguración. Para obtener información sobre instalaciones más grandes, consulteSituaciones de implementación.

El rendimiento y los requisitos del servidor de IBM Endpoint Manager puedenverse afectados también por otros factores además del número de clientes. Estosfactores incluyen los siguientes:

El número de operadores de la consolaSe pueden conectar varios operadores de la consola a los servidores almismo tiempo para gestionar subconjuntos de equipos en red. Algunasimplementaciones pueden tener cientos de operadores. Si piensa tener másde 30 operadores, es posible que desee contar con un servidor más potentepara admitir la carga adicional.

RetransmisoresUtilícelos para aligerar la carga en los servidores al aceptar conexiones delos clientes y luego al reenviar los datos a un servidor. En la mayoría deimplementaciones, muy pocos clientes informan directamente al servidorprincipal.

Nota: Para mejorar el rendimiento, puede conectar de 500 a 1000 clientes acada retransmisor y utilizar una configuración de retransmisor padre-hijo.

El número y tipo de propiedades recuperadas y análisisLas propiedades recuperadas personalizadas y los análisis pueden ofrecerdatos muy útiles, pero si las propiedades personalizadas no tienen unabuena implementación o se usan en exceso, también pueden crear unacarga indebida en el sistema ya que exigen demasiado ancho de banda odemasiados recursos del cliente. Por ejemplo, no sería sensato crear una


propiedad recuperada personalizada que devolviera los nombres de cadaarchivo en cada equipo, debido a la carga en los equipos cliente y en lared.

Para obtener más información sobre estos problemas, consulte Configuración derendimiento.


https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Performance%20Configurations

https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Performance%20Configurations

Capítulo 4. Escenarios de configuración de seguridad

A partir de la versión 9.1, Endpoint Manager ofrece la posibilidad de seguir losestándares de seguridad NIST configurando una opción de seguridad mejorada.Este valor habilita SHA-256 como algoritmo de hash para firmas digitales, asícomo la verificación de contenido. También habilita la comunicación de TLS 1.2entre los componentes de Endpoint Manager.

Sólo puede establecer la opción de seguridad mejorada después de instalar oactualizar todos los componentes de Endpoint Manager a V9.1 o superior. Si tieneun entorno mixto, para mantener la compatibilidad del producto con loscomponentes de Endpoint Manager anteriores a V9.1, no establezca la opción deseguridad mejorada o, antes de hacerlo, actualice los componentes de EndpointManager a V9.1 o posterior.

Nota: Cuando establece esta opción, configura un entorno de seguridad muyrestringido y el rendimiento del producto puede disminuir. Puede habilitar oinhabilitar este valor de seguridad en cualquier momento editando el archivo deencabezado. Para obtener más información, consulte en la Guía de configuración.

Además del valor de seguridad mejorada, puede establecer una comprobación paraverificar la integridad de descarga de archivo utilizando el algoritmo de SHA-256.Si no establece esta opción, la comprobación de integridad de la descarga dearchivos se ejecuta utilizando el algoritmo SHA-1. Esta opción sólo puedeestablecerse si establece la opción de seguridad mejorada y, por lo tanto, si todoslos componentes de Endpoint Manager son V9.1 o superior.

En un entorno complejo, puede habilitar la opción de seguridad mejorada sólodespués de que todos los servidores DSA se hayan actualizado a EndpointManager V9.1 o posterior y tengan una nueva licencia.

Importante: Después de activar la opción de seguridad mejorada, no puederetrotraerse a una versión de Endpoint Manager anterior a V9.1, aunque desactivela opción. No obstante, cuando sea necesario, puede ejecutar una restauración derecuperación tras desastre desde Endpoint Manager V9.1 o posterior a la mismaversión, independientemente del valor de opción de seguridad mejorada. Paraobtener información adicional, consulte Capítulo 13, “Ejecución de una copia deseguridad y restauración”, en la página 185.

En sistemas Windows

Para establecer la opción de seguridad mejorada, siga estos pasos:1. Ejecute la herramienta de administración pulsando Inicio > Todos los

programas > IBM Endpoint Manager > Herramienta de administración deIBM Endpoint Manager. .

2. Vaya a la ubicación de la licencia del sitio (license.pvk) y pulse Aceptar.3. Seleccione la ficha Seguridad. Aparece la siguiente ventana:


Ahora puede habilitar las opciones de seguridad mejorada.Si ha actualizado IBM Endpoint Manager desde una versión anterior y los sitiosa los que estaba suscrito daban soporte a la opción de seguridad mejorada, laopción Anular suscripción de los sitios que no den soporte a la seguridadmejorada no está seleccionada.La casilla de verificación Ejecutar BESAdmin en los siguientes servidores dereplicación no se selecciona hasta que el producto compruebe que todos losservidores de IBM Endpoint Manager implicados en una arquitectura DSA(Disaster Server Architecture) tengan la versión 9.2 y la licencia actualizada.

4. Pulse Recopilar licencia ahora si desea utilizar las mejoras de seguridadproporcionadas con IBM Endpoint Manager versión 9.2. Si no pulsa estaopción, utilizará el comportamiento de seguridad proporcionado por IBMEndpoint Manager versión 9.0.Cuando pulsa Recopilar licencia ahora, la licencia actualizada se recopila delsitio de IBM y se distribuye a los clientes de IBM Endpoint Manager. Este pasogarantiza que se utilicen las autorizaciones de licencia actualizadas si especificaun archivo de licencia existente durante los pasos de instalación.


5. Cuando las tres marcas de selección están de color verde, puede establecer laseguridad mejorada pulsando Habilitar seguridad mejorada:

6. Para asegurarse de que los datos no han cambiado después de descargarlosutilizando el algoritmo SHA-256, pulse Requerir descargas SHA-256. Si noselecciona esta opción, la comprobación de integridad de los archivosdescargados se ejecuta utilizando el algoritmo SHA-1.

Nota: Sólo puede habilitar la opción Requerir descargas SHA-256 después dehabilitar la opción Habilitar seguridad mejorada.

Para obtener más información sobre cómo crear o editar el archivo de cabecera,consulte “Paso 2 - Solicitud de un certificado de licencia y creación delencabezado” en la página 48 o la Guía de configuración.

Capítulo 4. Escenarios de configuración de seguridad 29

En sistemas Linux

Puede establecer las opciones de seguridad después de instalar Endpoint ManagerV9.2 o actualizarlo a V9.2, ejecutando el mandato siguiente como superusuario:./BESAdmin.sh -securitysettings -sitePvkLocation=<vía+license.pvk>

-enableEnhancedSecurity -requireSHA256Downloads

Nota: La notación <vía+licencia.pvk> utilizada en la sintaxis del mandatoequivale a vía_acceso_de_archivo_de_licencia/license.pvk.

La sintaxis completa de ./BESAdmin.sh -securitysettings es la siguiente:./BESAdmin.sh -securitysettings -sitePvkLocation=<vía+license.pvk>

[-sitePvkPassword=<contraseña>]{ -status | {-enableEnhancedSecurity|-disableEnhancedSecurity}| {-requireSHA256Downloads|-allowSHA1Downloads} }

donde:

status Muestra el estado de los valores de seguridad en el entorno de IBMEndpoint Manager.

Ejemplo:BESAdmin.sh -securitysettings -sitePvkLocation=/root/backup/license.pvk-sitePvkPassword=mypassw0rd -status

La seguridad ampliada esta actualmente HABILITADA.Las descargas SHA-256 son actualmente OPCIONALES

enableEnhancedSecurity | disableEnhancedSecurityHabilita o inhabilita la seguridad mejorada que adopta el algoritmo deresumen criptográfico SHA-256 para todas las firmas digitales, así como laverificación de contenido y el protocolo TLS 1.2 para las comunicacionesentre los componentes de Endpoint Manager.

Nota: Si utiliza este valor, puede romper la compatibilidad con lasversiones anteriores porque los componentes de IBM Endpoint Managerversión 9.0 o anteriores no pueden comunicarse con el servidor o losretransmisores de IBM Endpoint Manager versión 9.2.

requireSHA256DownloadsGarantiza que los datos no han cambiado después de descargarlosutilizando el algoritmo SHA-256.

Nota: Sólo puede establecer requireSHA256Downloads si tambiénestablece enableEnhancedSecurity.

allowSHA1DownloadsAsegúrese de que la comprobación de integridad de la descarga dearchivos se ejecute utilizando el algoritmo SHA-1.


Capítulo 5. Tipos de instalación

Antes de instalar el producto, decida si desea hacer una instalación de evaluacióno de producción.

Si elige la instalación de evaluación, instala un servidor de Endpoint Manager deprueba durante un periodo de 30 días y no necesita comprar una licencia.

Si elige la instalación de producción, deberá adquirir una licencia. Una vez quereciba el archivo de autorización de licencia de IBM Endpoint Manager, estará listopara crear un encabezado del sitio de acciones personalizado que a su vez lepermite instalar y usar IBM Endpoint Manager.

El encabezado incluye direcciones URL para los programas CGI del servidor, asícomo información del sitio en un archivo MIME firmado. El encabezado esfundamental para acceder y autenticar el sitio de acciones, y se enlaza con elnombre de host o la dirección IP del equipo servidor.

Instalación de la evaluación

Si elige la instalación de evaluación, instala un servidor de Endpoint Manager deprueba durante un periodo de 30 días y no necesita comprar archivos de licenciade IBM.

Durante este tipo de instalación, se transmite automáticamente una solicitud deuna licencia de evaluación y la instalación finaliza utilizándola. Asegúrese de queel sistema en el que se está ejecutando la instalación tenga conexión a Internet, yasea directa o a través de un proxy.

Esta instalación utiliza los valores predefinidos para todos los parámetros deconfiguración. Los únicos parámetros que puede configurar son:v Número de puerto de identificación del servidor. El valor predeterminado es:

52311v Puerto del servidor de Web Reports. El valor predeterminado es 80.

Tras finalizar una instalación de evaluación, se crea un usuario denominadoEvaluationUser para iniciar una sesión en la consola de IBM Endpoint Manager yen IBM Endpoint Manager Web Reports.

Nota: La instalación de evaluación no da soporte a la opción de seguridadmejorada. Para obtener más información sobre esta característica, consulteCapítulo 4, “Escenarios de configuración de seguridad”, en la página 27.

Nota: Si ha desinstalado Microsoft SQL Server 2005 del sistema y tiene previstoinstalar IBM Endpoint Manager, compruebe que todos los componentes deMicrosoft SQL se han suprimido correctamente antes de ejecutar la instalación.

Instalación de producción

Para instalar una copia de producción de IBM Endpoint Manager, primero debeadquirir primero una licencia de IBM o de un distribuidor autorizado.


Durante la instalación, puede elegir distintos tipos de configuración, dependiendodel archivo de entrada de licencia que tenga:

Deseo realizar la instalación con un archivo de autorización de licencia de BESDeseo realizar la instalación con una licencia de producción que ya tengoDeseo realizar la instalación con un encabezado existente

Archivo de autorización de licencia de BESDespués de adquirir una licencia de IBM, recibe un archivo de autorizaciónde licencia de IBM Endpoint Manager. Debe utilizar este archivo la primeravez que ejecute una instalación de producción. Si aún no ha adquirido unalicencia, visite el sitio web de IBM Endpoint Manager enhttp://www-01.ibm.com/software/tivoli/solutions/endpoint.

El agente de ventas querrá saber cuántos clientes pretende instalar. Segúnesto, el agente crea, firma y le envía por correo electrónico un archivo deautorización de licencia que tendrá un nombre parecido aNombreCompañía.BESLicenseAuthorization.

Si ejecuta esta instalación y no tiene acceso a Internet, se genera unasolicitud temporal (beslicense.request) para solicitar una licencia deproducción (license.crt) del servidor de licencias de IBM EndpointManager, y un archivo clave privada license.pvk. Puede dejar lainstalación en estado pendiente hasta que reciba la licencia de producción.

Copie la solicitud denominada request.BESLicenseRequest en un equipocon acceso a Internet, visite el sitio web de IBM Endpoint Manager,publique la solicitud y descargue el certificado. Una vez descargado elcertificado, cópielo en la máquina en la que está instalando el servidor ycontinúe con la instalación. Si ha salido de la instalación, para instalar elservidor, debe ejecutar la instalación utilizando la opción que requiere unarchivo de Licencia de producción existente.

Nota: El DNS/dirección IP que elija se convertirá en una parte permanentede la implementación y nunca deberá cambiarse. A efectos de flexibilidad,se recomienda encarecidamente usar un nombre de DNS en lugar de unadirección IP estática.El programa de instalación recopila más información sobre laimplementación y después crea la clave de firma digital license.pvk y unarchivo denominado encabezado del sitio de acciones. Este archivocombina información de configuración (direcciones IP, puertos, etc.) einformación de licencia (cuántos clientes están autorizados y cuántotiempo) junto con una clave pública que se utiliza para verificar las firmasdigitales.

Licencia de producciónUtilice esta opción si ya tiene la licencia de producción license.crt y elarchivo de clave privada en el equipo en el que está instalando el servidor,pero no ha completado la instalación del servidor.

Un encabezado existenteUtilice este tipo de instalación para reinstalar el servidor de EndpointManager o un servidor DSA. El archivo de entrada necesario para ejecutaresta instalación es el archivo de encabezado de sitio de acciones que se hagenerado durante la primera instalación. El encabezado de sitio de accionestiene la extensión .afxm y actúa como un archivo de configuración conparámetros como, por ejemplo, nombre de servidor o dirección IP deservidor de Endpoint Manager, número de puerto y comportamiento debloqueo. Contiene la información necesaria para el esquema de seguridadde firma digital que utiliza Endpoint Manager (el encabezado contiene la


http://www-01.ibm.com/software/tivoli/solutions/endpoint/?s_pkg=bfmw

información de clave pública), y la información de licencia que permite alos usuarios de Endpoint Manager ejecutar Endpoint Manager con undeterminado número de usuarios durante un periodo de tiempo. Elprograma de instalación del servidor de Endpoint Manager requiere que elarchivo de encabezado esté en la carpeta de instalación del servidor.

Tras la instalación de producción, se crea un usuario (el nombre predeterminado esIEMAdmin) para iniciar una sesión en la consola de IBM Endpoint Manager y enIBM Endpoint Manager WebReports.

Una instalación básica

En el diagrama siguiente se muestra un despliegue simplificado de IBM EndpointManager. Hay al menos un servidor que recopila los Fixlets de Internet, donde eloperador de la consola podrá verlos y distribuirlos a los retransmisores. Cadacliente inspecciona su equipo local e informa sobre los Fixlets relevantes alretransmisor, que comprime los datos y los pasa a los servidores.

Capítulo 5. Tipos de instalación 33

Esta ventana muestra una instalación básica. En el diagrama siguiente se muestraun despliegue simplificado de IBM Endpoint Manager. Hay al menos un servidorque recopila los Fixlets de Internet, donde el operador de la consola podrá verlos ydistribuirlos a los retransmisores. Cada cliente inspecciona su equipo local einforma sobre los Fixlets relevantes al retransmisor, que comprime los datos y lospasa a los servidores.

La consola de IBM Endpoint Manager supervisa toda esta actividad. Se conecta alos servidores y, periódicamente, actualiza su visualización para reflejar loscambios o los nuevos datos sobre la red.

El operador de la consola de IBM Endpoint Manager podrá entonces dirigir lasacciones a los equipos adecuados para solucionar vulnerabilidades, aplicardirectivas de configuración, implementar software, etc. El progreso de las accionespodrá seguirse casi en tiempo real conforme se van extendiendo por todos losequipos relevantes y, uno por uno, afrontan los problemas importantes.


En este diagrama se marcan los puertos predeterminados que usa IBM EndpointManager, de manera que pueda ver qué puertos tienen que abrirse y dónde. Sehan seleccionado estos puertos para evitar conflictos, aunque si está utilizandoactualmente cualquiera de ellos, pueden personalizarse en la instalación.

Nota: Las flechas del diagrama ilustran el flujo de información por toda laempresa. Las flechas desde el servidor de Fixlet a los servidores representan elflujo de los Fixlets en la red. Los clientes recopilan Fixlets además de informaciónde acción desde los retransmisores. Envían pequeñas cantidades de información devuelta a los servidores mediante los retransmisores. Los paquetes de UDPprocedentes del retransmisor hacia los clientes son pequeños paquetes enviados acada cliente para informarles de que hay nueva información que recopilar. Losmensajes de UDP no son estrictamente necesarios para que IBM Endpoint Managerfuncione correctamente. Consulte el artículo sobre el tráfico de red en el sitio deasistencia técnica de IBM Endpoint Manager o solicite más información a sutécnico de asistencia.

Una instalación típica

Aunque la instalación básica descrita anteriormente muestra muchos de los puertosespecíficos necesarios para establecer la red de IBM Endpoint Manager, no muestrados aspectos importantes de muchas implementaciones: DMZ y conexionesdirectas. En el ejemplo de DMZ, una oficina conectada por una VPN puedecompartir el contenido desde un retransmisor o servidor. En la conexión directa,los equipos domésticos y portátiles pueden conectarse directamente a Internet paraobtener contenido desde los servidores de Fixlet a través de sus propioscortafuegos privados. Por motivos de claridad, es posible que estas conexionesadicionales no se muestren en todos los diagramas, aunque por lo general estánpresentes en la mayoría de implementaciones.

Una instalación de múltiples servidores

IBM Endpoint Manager incluye una importante función para añadir múltiplesservidores totalmente redundantes, denominada DSA (Disaster ServerArchitecture). Cada servidor mantiene una réplica de la base de datos de IBMEndpoint Manager y puede colocarse en cualquier parte del mundo. En caso de unproblema en la red, estos servidores continúan para ofrecer servicio ininterrumpidoa la red local. Tan pronto como se restablece la conexión, los servidores vuelven aconectarse y a sincronizarse automáticamente. Los retransmisores y clientes de IBMEndpoint Manager también son capaces de recuperarse correctamente de unadesconexión de este tipo. DSA ofrece las siguientes características:v Disponibilidad de servicio continuado en ambos lados de una división de la red

(conmutación por error automática).v Disponibilidad continuada en caso de inactividad del servidor.v Distribución de la carga de la base de datos de la consola durante el

funcionamiento normal.v Conmutación por recuperación automática al reconectar.

Para sacar el máximo provecho a esta función, necesita uno o varios servidoresadicionales con una capacidad al menos igual que el servidor principal. Todos losservidores de IBM Endpoint Manager en el despliegue deben ejecutar la mismaversión de SQL Server. Si el servidor existente está ejecutando SQL 2005, losnuevos servidores también tendrán que ejecutar SQL 2005.

Capítulo 5. Tipos de instalación 35

http://support.bigfix.com/cgi-bin/redir.pl?page=networktraffic

Para obtener más información sobre la utilización de la redundancia de servidor,consulte la Guía de configuración.


Capítulo 6. Gestión de licencias

Debe obtener una clave de licencia antes de instalar y utilizar IBM EndpointManager. La licencia está formada por dos archivos:v El archivo de clave pública: license.crtv El archivo de clave privada: license.pvk protegido por una contraseña

La tabla siguiente muestra las tareas que son necesarias para adquirir, generar ygestionar las claves de licencia.

Tarea Descripción

Comprobar los requisitos de licencia delproducto

Es importante conocer los requisitos delicencia del sistema al que desea proteger. Lalicencia permite instalar el cliente deEndpoint Manager en un número específicode equipos.

Adquirir una licencia Debe adquirir una licencia en las siguientessituaciones:

v Desea adquirir Endpoint Manager.

v La licencia de trialware ha caducado.

v La licencia pagada ha caducado.

v La licencia se ha desplegado en exceso yse necesita un archivo license.crtactualizado para la adquisición delnúmero de licencias adicionales.

v La licencia actualizada ha caducado.

A las pocas horas de su compra, recibirá doscorreos electrónicos. Un correo electrónico seenvía desde IBM como una confirmación desu compra. El otro correo electrónicocontiene instrucciones sobre cómo acceder aIBM Endpoint Manager License Key Center.Estos correos electrónicos se envían alcontacto técnico asociado con el número decliente de IBM de la cuenta.

Obtener el archivo de autorización delicencia

Para obtener la licencia de producto, debetener un archivo de autorización del sitioIBM Endpoint Manager License Key Center.Consulte “Creación del archivo deautorización de licencia” en la página 38.

Generar los archivos de licencia durante lainstalación:

v Crear el archivo de clave privada

v Solicitar y obtener el certificado delicencia

v Generar el archivo de encabezado

Durante la instalación del servidor, despuésde especificar el archivo de autorización delicencia, debe generar el archivolicense.pvk, que es su archivo de claveprivada. También debe solicitar y obtener elarchivo license.crt, que es su archivo declave pública. Estos dos archivosconjuntamente forman su licencia.

Consulte Solicitud de los archivos de licenciaen Windows y Paso 2 - Instalación delservidor.


http://tem.subscribenet.com/


Realizar una copia de seguridad de losarchivos de licencia

Almacene el archivo license.crt (clavepública) con el archivo license.pvk existente(clave privada). Mantenga estas dos clavesjuntas y cree una copia de seguridad en unaubicación segura. Sólo de esta forma tendráun control completo de las claves delicencia. La realización de una copia deseguridad de los archivos de licenciaconserva los archivos de licencia en el casode que se dañe la base de datos o el discoduro del equipo.

En concreto, el archivo license.pvk formaparte de los archivos de claves que debenmantenerse privados. El archivo license.crtes el archivo de clave pública y debecombinarse con el archivo de clave privadapara completar la licencia. Puede abrir losarchivos de licencia en un editor de textopara revisar su contenido.

Comprobar el estado de la licencia ydistribuir los nuevos archivos de licencia yencabezado

Puede ver las notificaciones de licenciacaducada y otros problemas de licencia parala licencia que ha importado a la consola.

Consulte “Distribución de la licenciaactualizada y el encabezado” en la página40.

Éste es un resumen de los pasos que debe seguir para obtener los archivos declave de licencia:1. Adquirir una licencia.2. Obtener un archivo de autorización del sitio IBM Endpoint Manager License

Key Center.3. Iniciar la instalación de Endpoint Manager y especificar el archivo de

autorización cuando se le solicite obtener el archivo license.crt. Al final delproceso, se generan los archivos de licencia de clave pública y clave privadajunto con el archivo de encabezado. Este archivo contiene la información deconfiguración, licencia y seguridad, incluidos los URL que indican el lugar en elque se puede acceder al contenido de Fixlet de confianza. Se utiliza parainstalar los servidores DSA y se distribuye a todos los clientes utilizando elservidor.

Creación del archivo de autorización de licencia

Para crear su archivo de autorización de licencia (.BESLicenseAuthorization ), quecontiene información de despliegue y licencias y que se utiliza durante lainstalación para crear los archivos de licencia, acceda a IBM Endpoint ManagerLicense Key Center. Este sitio es un servicio de gestión y entrega de claves delicencia en línea, que permite obtener y gestionar las claves de licencia que necesitapara utilizar el producto.

Para crear el archivo de autorización lleve a cabo los pasos siguientes:1. Acceda al enlace siguiente: http://tem.subscribenet.com/2. Especifique su dirección de correo electrónico y la contraseña que ha recibido

en un correo electrónico conjuntamente con las instrucciones sobre cómo





acceder a Tivoli Endpoint Manager License Key Center.

3. Para cada producto, especifique la cantidad de cliente asignada. Si deja elvalor de 0, no podrá instalar el producto relacionado.

Capítulo 6. Gestión de licencias 39

Ayuda de licencias

Para obtener información sobre problemas específicos con la licencia como, porejemplo, la fecha de caducidad de la licencia, el número de titularidades o losarchivos de autorización perdidos, póngase en contacto con el equipo de licenciade IBM Endpoint Manager en [email protected]. Las preguntas de soporte norelacionadas con las licencias como, por ejemplo, los problemas de instalacióngeneral, configuración o despliegue, deben dirigirse a los canales de recursos desoporte y de venta normales, y no deben enviarse a esta dirección.

Distribución de la licencia actualizada y el encabezado

Cuando actualiza Endpoint Manager a V9.2, todos los certificados de licenciaexistentes se actualizan para contener las firmas SHA-1 y SHA-256. Si estáconectado a Internet, en el panel de control Vista general de la licencia, aparece elmensaje de una nueva licencia que está preparada para distribuirse a los clientesjunto con el encabezado después de una comprobación manual o una recopilaciónperiódica automática.

Para forzar al servidor a realizar una comprobación inmediata, siga estos pasos:1. Abra la consola de Endpoint Manager.2. Vaya al dominio Gestión de BigFix.3. Pulse el nodo Visión general de la licencia.4. Pulse Comprobar si hay una actualización de la licencia. Puede recibir una

notificación de que el despliegue de Endpoint Manager ha recopilado unaactualización de la licencia (un nuevo archivo license.crt):

Nota: Este mensaje aparece porque IBM necesita actualizar la licencia o porqueha solicitado una actualización de la licencia. Si ha solicitado una actualizaciónde la licencia, recibirá un nuevo archivo license.crt, que debe guardar en elsistema del servidor.

Para distribuir la licencia actualizada, vuelva a firmar el encabezado y los objetosen la base de datos con las dos firmas SHA-1 y SHA-256, y ejecute la herramientade administración (./BESAdmin.sh en Linux como superusuario).

Si está en un entorno de espacio vacío, la actualización de la licencia no se procesaautomáticamente. Puede recuperar la licencia del sitio de IBM utilizando elprograma de utilidad AirgapTool. Después de importarla, se le notifica desde el


mailto:[email protected]

panel de control Licencia que hay una actualización de licencia lista para sudistribución. Debe ejecutar la herramienta de administración (./BESAdmin.sh enLinux) para distribuir la licencia actualizada y volver a firmar el encabezado y losobjetos de base de datos.

Para obtener más información sobre cómo distribuir el encabezado en los clientes,consulte “Distribución del encabezado desde el servidor Windows a los clientes” y“Distribución del encabezado desde el servidor Linux a los clientes” en la página43.

Distribución del encabezado desde el servidor Windows a losclientes

En un servidor Windows de Endpoint Manager, puede distribuir un nuevo archivode encabezado con un certificado de licencia actualizado, que amplíe la licencia, elnúmero de puestos o las titularidades de los clientes, de la siguiente manera:1. Abra la herramienta de administración seleccionando Inicio > Todos los

programas > IBM Endpoint Manager > Herramienta de administración deIBM Endpoint Manager. Después de iniciar la sesión, la cuenta deAdministrador de instalación distribuye el encabezado a los clientes.


2. Elija el archivo license.pvk.

3. Especifique la contraseña maestra (nivel de sitio)

4. En Administración del encabezado, pulse Aceptar.


En cuanto los clientes reciben el nuevo encabezado, reciben la información delicencia actualizada.

Distribución del encabezado desde el servidor Linux a losclientes

En un servidor Linux de Endpoint Manager, puede distribuir la licenciaactualizada, y volver a firmar el encabezado y los objetos de base de datos en losclientes, ejecutando el mandato siguiente como superusuario:

./BESAdmin.sh -syncmastheadandlicense -sitePvkLocation=<vía+license.pvk>-sitePvkPassword=<contraseña>


Capítulo 7. Antes de la instalación

Antes de ejecutar la instalación, no olvide leer los temas siguientes y ejecute lasactividades solicitadas, según convenga.

Configuración de un cortafuegos local

Si ha definido un cortafuegos activo en el sistema donde está instalando elservidor de Endpoint Manager, puede configurar este cortafuegos durante lainstalación del servidor de Endpoint Manager de varias formas:v Durante una instalación interactiva, los programas de instalación detectan si hay

un cortafuegos local activo y puede especificar si desea configurarlo para elservidor de Endpoint Manager.

v Durante una instalación silenciosa, puede establecer CONF_FIREWALL=YES en elarchivo de respuestas para requerir la configuración del cortafuegos. Paraobtener más información, consulte “Instalación silenciosa” en la página 110.

Cuando especifica la configuración del cortafuegos, se abren los dos puertossiguientes:v El puerto 52311 para UDP y TCP/IPv El puerto 80 para Web Reports y TCP/IP

Modificación de números de puerto

De forma predeterminada, el servidor utiliza el puerto 52311 para comunicarse conlos clientes pero puede elegir cualquier número de puerto (aunque esrecomendable evitar los puertos reservados, entre 1 y 1024, para evitar posiblesconflictos y dificultades para gestionar el tráfico de red).

La elección de número de puerto del servidor se tiene en cuenta en la generacióndel encabezado, que especifica las direcciones URL para los servidores de acción,registro, informes y reflejados. Por lo tanto, debe establecer el número de puertoantes de la instalación.

Las consolas utilizan el puerto 52311 para conectarse con el servidor.


Capítulo 8. Instalación en sistemas Windows

Ahora que conoce los términos y las funciones administrativas, está preparadopara obtener autorizaciones e instalar los programas.

Como IBM Endpoint Manager es muy potente, es posible que desee limitar elacceso sólo a personal de confianza y autorizado. El producto depende de unrepositorio central de acciones de Fixlet denominado sitio de acciones, que usa elcifrado de clave pública/privada para proteger contra la suplantación de identidady otros usos no autorizados. Para empezar, necesita la autorización de IBM. Paraello, obtenga un archivo de autorización de licencia, que tendrá un nombreparecido a NombreCompañía.BESLicenseAuthorization.

El programa de instalación recopila más información sobre la implementación ydespués crea un archivo denominado encabezado del sitio de acciones. Estearchivo establece una cadena de autoridad desde la raíz de IBM Endpoint Managerhacia los operadores de la consola en la organización. El encabezado combina lainformación de configuración y de licencia junto con una clave pública que seutiliza para verificar las firmas digitales. Para crear y mantener el encabezado y lasclaves de firma digitales, usará el Programa de instalación de IBM EndpointManager, que puede descargarse de IBM.

Pasos de instalación

Para instalar el producto, siga estos pasos:1. Descargue IBM Endpoint Manager.2. Solicite una licencia y cree el encabezado utilizando el programa del instalador.

Cuando se le solicite el archivo de autorización, utilice el archivo deautorización de licencia (*.BESLicenseAuthorization) que ha creado con lacuenta del Centro de claves de licencia o, en el caso de una evaluación Pruebade concepto, proporcionado por su representante de IBM Technical Sales.

3. Ejecute la instalación de IBM Endpoint Manager.

Paso 1 - Descarga de IBM Endpoint Manager

Descargue IBM Endpoint Manager del portal IBM Passport Advantage.

También puede descargar IBM Endpoint Manager del sitio de soporte enhttp://support.bigfix.com/bes/install/downloadbes.html o del sitio de prueba deDeveloperWorks en http://www.ibm.com/developerworks/downloads/tiv/endpoint/. El instalador de prueba de demostración es el mismo programa deinstalador que el que se utiliza para una instalación de producción normal.

Para instalar el componente de servidor, descargue las siguientes imágeneselectrónicas de Passport Advantage:

Tabla 1. Software necesario para instalar el servidor de Endpoint Manager

Nombre de software Número de pieza Imagen

IBM Endpoint ManagerPlatform Install V9.2 paramultiplataformas

CN1QXML IBM Endpoint Manager 9.2.0.363.zip


http://support.bigfix.com/bes/install/downloadbes.html

http://www.ibm.com/developerworks/downloads/tiv/endpoint/


Para extraer los archivos de instalación de Windows Server de Endpoint Manager,siga estos pasos:1. Copie el archivo zip del servidor de Endpoint Manager, IBM Endpoint Manager

9.2.0.363.zip, en el servidor de Windows.2. Expanda el archivo zip utilizando el siguiente mandato:

unzip "IBM Endpoint Manager 9.2.0.363.zip"

Puede encontrar el archivo setup.exe para instalar Windows Server en lacarpeta IBM Endpoint Manager 9.2.0.363.

Paso 2 - Solicitud de un certificado de licencia y creación delencabezado

Antes de llevar a cabo los pasos que siguen a continuación, deberá haberadquirido una licencia y obtenido un archivo de autorización de licencia de IBMEndpoint Manager (*.BESLicenseAuthorization) utilizando su cuenta del Centrode claves de licencia o, en el caso de una evaluación Prueba de concepto,proporcionado por su representante de IBM Technical Sales.

Una vez que reciba el archivo de autorización de licencia, estará listo para crear unencabezado de sitio personalizado que, a su vez, le permite instalar y usar IBMEndpoint Manager. El encabezado incluye direcciones URL para los programas CGIdel servidor, así como información del sitio en un archivo MIME firmado. Elencabezado es fundamental para acceder y autenticar el sitio de acciones. Paracrear el encabezado y activar el sitio, siga estos pasos:1. Ejecute el instalador de IBM Endpoint Manager, BigFix-BES-9.2.0.xxxx.exe,

donde 9.2.0.xxxx es la versión del instalador. Cuando se le solicite, elija lainstalación de Producción y acepte el acuerdo de licencia de software. En lapantalla de bienvenida, pulse Siguiente.

Nota: Si elige la instalación de Evaluación, tenga en cuenta que este tipo deinstalación no da soporte a la opción de seguridad mejorada. Para obtenermás información sobre esta característica, consulte Capítulo 4, “Escenarios deconfiguración de seguridad”, en la página 27.

2. Después de leer y aceptar el acuerdo de licencia, seleccione Deseo realizar lainstalación con un archivo de autorización de licencia de IBM EndpointManager para crear una clave privada y un encabezado.


3. Especifique la ubicación del archivo de autorización de licencia, que tendrá unnombre parecido a CompanyName.BESLicenseAuthorization

4. Especifique un Nombre DNS o una Dirección IP para el servidor deEndpoint Manager y pulse Siguiente.

Capítulo 8. Instalación en sistemas Windows 49

Nota: Especifique un nombre DNS como, por ejemplo, bes.companyname.com,debido a su flexibilidad cuando se cambian los equipos de servidor y serealizan configuraciones de red avanzadas. Este nombre se registra en elcertificado de licencia y los clientes lo utilizan para identificar el servidor deEndpoint Manager. Una vez creado el certificado de licencia, el nombre DNSno se puede modificar. Para cambiar el nombre DNS, debe solicitar un nuevocertificado de licencia, que requiere una instalación completamente nueva.

5. Escriba una contraseña de la credencial del sitio para crear una clave deadministración del sitio para el despliegue. Escriba la contraseña dos veces(para verificarla) y especifique un tamaño de clave (de 2 a 4 kilobits) paracifrar el archivo de clave privada. Pulse Crear.

De este modo se genera un par de claves privada/pública que se utiliza paracrear y autorizar todos los usuarios de Endpoint Manager.


6. Guarde el archivo de clave privada (license.pvk) del diálogo Buscar carpetaen una carpeta con permisos seguros o en una unidad extraíble, tal como unPGPDisk o una unidad USB. Pulse Aceptar.

Importante: Si pierde el archivo de clave privada, debe crearse un nuevocertificado de licencia, que requiere una instalación completamente nueva.Asimismo, cualquiera con el archivo de clave privada y la contraseña tendrácontrol completo sobre todos los equipos con clientes de IBM EndpointManager instalados, por lo tanto, asegúrese de guardar el archivo de claveprivada y la contraseña en un lugar seguro.

7. Se le solicita que envíe el archivo de solicitud a IBM para verificar la licencia.Si tiene conectividad a Internet, elija la opción para enviar la solicitud a travésde Internet. En este caso, se envía un archivo de solicitud a IBM para verificarla licencia. Esta solicitud consta del archivo de autorización original, elnombre DNS del servidor y la clave pública, todo ello empaquetado en unsolo archivo.

8. Si selecciona enviar la solicitud a través de Internet y su empresa utiliza unproxy para acceder a Internet, pulse Establecer proxy. Se abrirá el panelValores de proxy. En este panel puede configurar la conexión del proxy.


|||||||

|

|

9. Especifique:v El nombre de host o la dirección IP y, opcionalmente, el número de puerto

para comunicarse con la máquina de proxy.v Las credenciales del usuario definido en la máquina de proxy que debe

utilizarse cuando se establece la conexión.v La lista separada por comas de nombres de host, subdominios y direcciones

IP que identifican los sistemas en la topología de IBM Endpoint Managerque no debe alcanzarse a través del proxy. De forma predeterminada, IBMEndpoint Manager V9.2 impide desviar las comunicaciones internas alproxy. Si establece un valor en este campo, puede sobrescribir elcomportamiento predeterminado. Para asegurarse de que lascomunicaciones internas no se dirigen al proxy, añada localhost,127.0.0.1, dominio.com, dirección_IP a la lista de excepcionesespecificadas en este campo.

v Indicación de si el proxy debe intentar realizar el encapsulado de paquetes.De forma predeterminada, el proxy no intenta realizar el encapsulado depaquetes.

v El método de autenticación que debe utilizarse cuando se establece lacomunicación. Puede dejar que el proxy elija el método de autenticación opuede imponer el uso de métodos de autenticación específicos.


Nota: Si desea habilitar el modo FIPS, seleccione un método deautenticación distinto de digest.

Puede pulsar Probar conexión para verificar si la conexión con el proxy queha configurado se puede establecer correctamente. Para obtener másinformación sobre los valores y la sintaxis que se utilizan en estos campos deentrada, consulte “Establecimiento de una conexión proxy en el servidor” enla página 175.Pulse Aceptar guardar los valores y volver al panel Solicitar licencia.

10. Pulse Solicitud. El asistente recupera el certificado de licencia (license.crt)desde el servidor de licencias de IBM Endpoint Manager.Alternativamente, si está en una zona sin conectividad a Internet, elija laopción de guardar la solicitud como un archivo denominadorequest.BESLicenseRequest. Copie el archivo en un equipo con conectividad aInternet y envíe la solicitud al URL del sitio web de Endpoint Manager que semuestra en el instalador. La página le proporciona un archivo license.crt.Copie de nuevo el archivo en el equipo de instalación e impórtelo alinstalador.

11. En el cuadro de diálogo Solicitar licencia, pulse Crear para crear el archivo deencabezado

12. Especifique los parámetros del archivo de encabezado que contiene lainformación de configuración y de licencia junto con una clave pública que seutiliza para verificar las firmas digitales. Este archivo se guarda en la carpetade credenciales.


Puede establecer las opciones siguientes:

Número de puerto del servidor:En general, no es necesario cambiar este número. 52311 es el número depuerto recomendado, aunque puede elegir un puerto diferente si es másadecuado para la red que utiliza. Por lo general, se elige un puerto delintervalo IANA de puertos privados (49152 hasta 65535). Puede usar unnúmero de puerto reservado (puertos 1-1024), pero puede reducir laposibilidad de supervisar o restringir el tráfico correctamente e impideutilizar números de puerto para aplicaciones concretas. Si decide cambiareste número después de desplegar los clientes, IBM Endpoint Manager nofuncionará correctamente. Para obtener información adicional, consulteModificación de números de puerto.

Nota: No utilice el número de puerto 52314 para la comunicación deredes entre los componentes de Endpoint Manager porque está reservadopara los agentes proxy.

Intervalo de recopilación:Esta opción determina durante cuánto tiempo debe esperar el cliente si norecibe información del servidor antes de comprobar si hay nuevocontenido disponible. En general, siempre que el servidor recopila nuevocontenido, intenta notificar a los clientes que hay nuevo contenidodisponible mediante una conexión UDP, con lo que se evita este retraso.No obstante, en situaciones en las que las comunicaciones UDP estánbloqueadas por cortafuegos o la traducción de direcciones de red (NAT)reasigna la dirección IP del cliente desde la perspectiva del servidor, esnecesario configurar un intervalo más pequeño para que los clientesrespondan a tiempo. El aumento de las acciones de recopilación sóloafecta levemente al rendimiento del servidor, ya que sólo se recopilan lasdiferencias (los clientes no recopilan la información que ya tienen).


Bloqueo de acción inicial:Puede especificar el estado de bloqueo inicial de todos los clientes, sidesea bloquear un cliente automáticamente después de la instalación. Losclientes bloqueados informan de los mensajes de Fixlet que son relevantespara ellos, pero no aplican ninguna acción. El valor predeterminado esdejarlos desbloqueados y bloquear clientes específicos posteriormente. Noobstante, puede que desee empezar con todos los clientes bloqueados yluego desbloquearlos uno a uno para obtener más control sobre losclientes recién instalados. Si lo prefiere, puede configurar los clientes demodo que estén bloqueados durante un periodo de tiempo específico (enminutos).

Eximir el URL de sitio web siguiente del bloqueo de acciones:En casos excepcionales, es posible que desee eximir a una dirección URLconcreta de cualquier acción de bloqueo. Marque esta casilla e introduzcala dirección URL que desee eximir.

Nota: Sólo puede especificar un URL de sitio y debe empezar porhttp://.

Requerir el uso de criptografía que se ajuste a FIPS 140-2Marque esta casilla de verificación para ajustarse al estándar federal deprocesamiento de información (FIPS) en la red. Esto modifica elencabezado para que todos los componentes de IBM Endpoint Managerintenten cambiar al modo FIPS. De forma predeterminada, el clientecontinúa sin estar en modo FIPS si no logra cambiar a este modocorrectamente, lo que puede suponer problemas con algunos sistemasoperativos antiguos. Tenga en cuenta que al marcar esta casilla, es posibleque el tiempo de inicio del cliente aumente en algunos segundos.

Para obtener más información, consulte Criptografía FIPS 140-2 en elentorno de Endpoint Manager en la Guía de configuración.

Nota: Habilitar la modalidad FIPS puede impedir la utilización dealgunos métodos de autenticación cuando se conecta a un servidor proxy.Si ha seleccionado utilizar un proxy para acceder a Internet o paracomunicarse con subcomponentes de IBM Endpoint Manager, asegúresede que la configuración del proxy indique que se puede utilizar unmétodo de autenticación distinto de digest.

Permitir el uso de nombres de archivos Unicode en los archivados:Este valor especifica la página de códigos utilizado para escribir nombresde archivo en los archivados de IBM Endpoint Manager. Marque esterecuadro para escribir nombres de archivo con la página de códigosUTF-8.

No marque este recuadro para escribir nombres de archivo utilizando lapágina de códigos de despliegue local, por ejemplo, Windows-1252 o ShiftJIS. Si ejecuta una instalación nueva de la versión 9.2 de IBM EndpointManager, de forma predeterminada, los nombres de archivo estaránescritos en UTF-8.

Nota: Si ha actualizado su entorno de IBM Endpoint Manager a la versión9.2, de forma predeterminada, los nombres de archivo estarán escritos enla página de códigos de despliegue local.

Pulse Aceptar cuando haya finalizado.


||||||

13. Elija la carpeta en la que instalar los instaladores de componentes de IBMEndpoint Manager. Se inicia el asistente de la Guía de instalación de IBMEndpoint Manager, para guiarle en la instalación de los componentes de IBMEndpoint Manager.

Nota: Este paso crea los instaladores del cliente de IBM Endpoint Manager, laconsola de IBM Endpoint Manager y el servidor de IBM Endpoint Manager,pero no instala los componentes.

Nota: La clave privada (license.pvk) autoriza la creación y la rotación de clavesde firma de servidor, en las que confían todos los agentes. Esta clave no se envía aIBM durante el proceso de creación del certificado de licencia y debe protegersecon mucho cuidado. Para reinstalar el servidor en la estación de trabajo, debereutilizar las credenciales de IBM Endpoint Manager almacenadas. Si no las haguardado, cuando reinstale el servidor deberá volver a generarlas.

Paso 3 - Instalación de los componentes

Hasta este momento, ha creado una clave privada, ha solicitado y recibido uncertificado, ha usado el certificado para crear un encabezado y después hagenerado los distintos componentes de instalación, incluida la Guía de instalaciónde IBM Endpoint Manager.

Cuando los componentes se hayan guardado, la Guía de instalación de IBMEndpoint Manager se iniciará automáticamente. También la puede ejecutar encualquier momento seleccionándola en el menú Inicio.

Para instalar los tres componentes principales de IBM Endpoint Manager (elservidor, la consola y el cliente), siga estos pasos:1. Si aún no se está ejecutando, ejecute la guía de instalación (Inicio > Programas

> IBM Endpoint Manager > Guía de instalación de IBM Endpoint Manager).2. Se abre un cuadro de diálogo que le solicita que seleccione un componente para

instalar. Pulse los enlaces de la izquierda, de arriba a abajo, para instalar loscomponentes de IBM Endpoint Manager. También puede utilizar la opciónExaminar carpetas de instalación. Los programas de instalación decomponentes incluyen:v Instalar servidorv Instalar consolav Instalar clientes

3. El servidor, la consola y los clientes de IBM Endpoint Manager tienen suspropios programas de instalación. Siga las instrucciones para cada uno, talcomo se describe en las secciones siguientes.

Instalación del servidor primario de Windows

El servidor de IBM Endpoint Manager es el núcleo del sistema. Se ejecuta en unequipo servidor en la red, que debe tener acceso directo a Internet, además deacceso directo a todos los equipos del cliente en la red. Asegúrese de que elservidor se ajusta a los requisitos descritos en IBM Endpoint Manager for LifecycleManagement 9.2.

Importante: Asegúrese de que el usuario que inicia la sesión para instalar elservidor de IBM Endpoint Manager tenga derechos sa para MSSQL Server con elfin de crear la base de datos y sus tablas.




Nota: Si ha desinstalado Microsoft SQL Server 2005 del sistema y tiene previstoinstalar IBM Endpoint Manager, compruebe que todos los componentes deMicrosoft SQL se han suprimido correctamente antes de ejecutar la instalación.La vía de acceso de instalación predeterminada para los componentes de IBMEndpoint Manager es %PROGRAM FILES%\BigFix Enterprise\BES Server.

Nota: En Windows, el servidor de la versión 9.2 de IBM Endpoint Manager y loscomponentes de Web Reports solamente admiten la arquitectura de 64 bits. Paraobtener información sobre la lista completa de sistemas operativos admitidos,consulte IBM Endpoint Manager for Lifecycle Management 9.2.

Para instalar el servidor, siga estos pasos:1. Si aún no lo ha hecho, ejecute la guía de instalación (Inicio > Programas >

IBM Endpoint Manager > Guía de instalación de IBM Endpoint Manager).Se abre un panel nuevo.

2. Pulse Instalar servidor:



Pulse Instalar servidor en este sistema para instalar el servidor localmente.Si desea instalar el servidor en un sistema diferente, siga los pasos siguientes:a. Pulse Examinar carpetas de instalación.b. Copie la carpeta de Servidor en el sistema de destino.c. En el sistema de destino, haga una doble pulsación en setup.exe para

iniciar el instalador.3. En la página de bienvenida, pulse Siguiente.4. Seleccione los componentes que desee instalar y pulse Siguiente.5. Después de leer el acuerdo de licencia, pulse Sí para aceptarlo y continuar.6. Un cuadro de diálogo mostrará una lista de los componentes del servidor que

se instalarán. En general, acepte los componentes predeterminados y pulseSiguiente.

7. Un cuadro de diálogo le pedirá que elija una Base de datos individual omaestra o una Base de datos replicada. Pulse el primer botón para crear unabase de datos Maestra para su posterior replicación, o bien si sólo necesitauna única base de datos en la implementación. Pulse el segundo botón paracrear una Réplica de una base de datos maestra existente. Si se trata de lainstalación inicial, pulse el primer botón. Pulse Siguiente.

8. Un cuadro de diálogo le pedirá que elija si desea Utilizar base de datos localo Utilizar base de datos remota. Si desea usar otro equipo para alojar la basede datos de IBM Endpoint Manager, deberá tener instalado SQL Server. Laopción más común es usar la base de datos local. Si está instalando IBMEndpoint Manager con una base de datos remota, consulte “Instalación delservidor con base de datos remota” en la página 62.

9. El programa de instalación le preguntará un destino del servidor de loscomponentes del servidor. La ubicación predeterminada es %PROGRAMFILES%\BigFix Enterprise\BES Server, pero puede especificar una ubicacióndistinta si pulsa el botón Examinar. Una vez que haya elegido el destino,pulse Siguiente.

10. El cuadro de diálogo Propiedades del servidor le pedirá que introduzca laubicación de la carpeta raíz web del servidor (si es diferente de lapredeterminada). Es el lugar donde los archivos descargados para los clientes


van a almacenarse. El URL predeterminado también se puede editar, si deseacambiarlo.

Nota: No debe haber otra aplicación escuchando en el puerto de IBMEndpoint Manager o se producirán errores. No utilice el número de puerto52314 para la comunicación de redes entre los componentes de EndpointManager porque está reservado para los agentes proxy.

11. En el diálogo Propiedades de servidor, pulse Establecer Proxy si se debeutilizar un proxy para comunicar a través de Internet con sitios de contenidoexternos o con subredes de Endpoint Manager. Se abrirá el panel Valores deproxy. En este panel puede configurar la conexión del proxy.


12. Especifique:v El nombre de host o la dirección IP y, opcionalmente, el número de puerto

para comunicarse con la máquina de proxy.v Las credenciales del usuario definido en la máquina de proxy que debe

utilizarse cuando se establece la conexión.v La lista separada por comas de nombres de host, subdominios y direcciones

IP que identifican los sistemas en la topología de IBM Endpoint Managerque no debe alcanzarse a través del proxy. De forma predeterminada, IBMEndpoint Manager V9.2 impide desviar las comunicaciones internas alproxy. Si establece un valor en este campo, puede sobrescribir elcomportamiento predeterminado. Para asegurarse de que lascomunicaciones internas no se dirigen al proxy, añada localhost,127.0.0.1, dominio.com, dirección_IP a la lista de excepcionesespecificadas en este campo.

v Si el proxy debe intentar realizar el encapsulamiento de paquetes. De formapredeterminada, el proxy no intenta realizar el encapsulamiento depaquetes.

v El método de autenticación que se debe utilizar cuando se establece lacomunicación. Puede dejar que el proxy elija el método de autenticación opuede imponer el uso de métodos de autenticación específicos.


|

||

||

|||||||||

|||

|||

Nota: Si tiene previsto habilitar el modo FIPS, asegúrese de que laconfiguración del proxy se haya definido para utilizar un método deautenticación distinto de digest.

Pulse Probar conexión para verificar si la conexión con el proxy que haconfigurado se puede establecer correctamente.Para obtener más información sobre los valores y la sintaxis que se utilizan enestos campos de entrada, consulte “Establecimiento de una conexión proxy enel servidor” en la página 175. Pulse Aceptar para continuar en el pasosiguiente.

Nota: La configuración del proxy especificada en este paso se guarda en elarchivo de configuración del servidor BESServer.config y se utiliza tambiénen el momento de la ejecución.

13. El cuadro de diálogo Propiedades de Web Reports le pedirá que introduzca laubicación de la carpeta raíz web de Web Reports (si es diferente de lapredeterminada) y el número de puerto que desee utilizar. La ubicación y elnúmero de puerto predeterminados también se pueden editar, si deseacambiarlos. El valor predeterminado del puerto es 80.

Nota: Si se ha instalado IIS, la instalación elige el puerto 52312 en su lugar.Si está instalando la versión 9.2.5 de Endpoint Manager, el valorpredeterminado del puerto es 8080. En la actualización a la versión 9.2.5 deEndpoint Manager y en las versiones anteriores de Endpoint Manager, el valorpredeterminado del puerto es 80.

14. El programa de instalación del servidor abre una ventana que muestra losparámetros de instalación seleccionados de los componentes que van ainstalarse. Pulse Siguiente para continuar la instalación.

15. El programa le pedirá que busque el archivo license.pvk. Pulse el botónExaminar para localizar el archivo. Escriba la contraseña para inicializar labase de datos y pulse Aceptar para continuar.

16. Una vez inicializada la base de datos, se le solicitará que escriba su nombre deusuario y contraseña iniciales para la consola de IBM Endpoint Manager. Éstaes la cuenta utilizada para iniciar la sesión en la consola por primera vez. Setrata de la cuenta de operador maestro con todos los privilegios.

17. La instalación del servidor de IBM Endpoint Manager ha finalizado.Asegúrese de que la casilla etiquetada Ejecutar la herramienta de diagnósticode IBM Endpoint Manager esté deseleccionada y, a continuación, pulseFinalizar para salir del asistente.

Nota: Si selecciona ejecutar las herramientas de diagnóstico en esta etapa, esprobable que algunos pasos fallen (por ejemplo, si no ha instalado un clientetodavía). No obstante, los servicios y los informes web deben ejecutarsecorrectamente.

18. Siga las instrucciones que figuran en “Instalar el cliente de forma manual” enla página 77 para instalar el cliente de IBM Endpoint Manager localmente enel mismo sistema Windows donde ha instalado el servidor.

19. En el escritorio de Windows, seleccione Inicio > Ejecutar la herramienta dediagnóstico de IBM Endpoint Manager. Las fichas de la herramienta dediagnóstico de IBM Endpoint Manager muestran los resultados de laverificación ejecutada en el entorno. Para obtener más información sobre estaherramienta, consulte “Ejecución de la herramienta de diagnóstico de IBMEndpoint Manager” en la página 70.


|||

||

||||

|||

Instalación del servidor con base de datos remota:

Antes de instalar un servidor de IBM Endpoint Manager con una base de datosremota, asegúrese de lo siguiente:v Realiza la instalación del servidor de IBM Endpoint Manager como un usuario

que tiene privilegios de SA.v SQL Server Browser está en ejecución.v La autenticación de SQL Server está habilitada.

Creación de un nuevo usuario de base de datos:

Tras crear una instancia de la base de datos en el equipo donde Microsoft SQLServer está instalado, si no desea utilizar el usuario SA para la conexión de base dedatos, debe crear un nuevo usuario con privilegios de SA.

Para crear un nuevo usuario para una instancia de la base de datos específica, porejemplo TEM91, realice los pasos siguientes:1. Inicie Microsoft SQL Server Management Studio.2. En el panel Conectar al servidor, especifique los parámetros siguientes:

Tipo de servidorMotor de base de datos

Nombre de servidor<NOMBREHOST_BD>\<NOMBRE_INSTANCIA> Si el nombre de host del servidores NC118103 y el nombre de instancia es TEM91, el nombre de servidores: NC118103\TEM91.

3. En la lista, seleccione: Seguridad -> Inicio de sesión > Nuevo inicio de sesión.4. En la ficha General, especifique el nombre de usuario y la credencial para la

autenticación de SQL Server.5. En la ficha Funciones del servidor seleccione sysadmin y pulse Aceptar.


Inicio de SQL Server Browser:

En el equipo donde está instalado Microsoft SQL Server, asegúrese de que SQLServer Browser está en ejecución realizando los pasos siguientes:1. Inicie el Administrador de configuración de SQL Server.2. Seleccione Servicios de SQL Server 2005 e inicie SQL Server Browser si no está

en ejecución:

Habilitación del modo de autenticación de SQL Server:

En el equipo donde se haya instalado Microsoft SQL Server, asegúrese de que elmodo de autenticación de SQL Server está habilitado realizando los pasossiguientes:1. Inicie Microsoft SQL Server Management Studio.2. Seleccione la instancia de la base de datos.3. Seleccione Propiedades > Seguridad.


4. Compruebe que Modo de autenticación de Windows y SQL Server estáseleccionado.

Instalación de un servidor con autenticación SQL de base de datos remota:

Para instalar un servidor de IBM Endpoint Manager con una base de datos remota,siga estos pasos:1. En el equipo donde desea instalar el servidor de IBM Endpoint Manager,

ejecute la instalación.2. Durante la instalación del servidor, seleccione Base de datos individual o

maestra como duplicado de la base de datos.


3. Seleccione Utilizar base de datos remota como el tipo de base de datos.

4. En la ventana siguiente, pulse Examinar y seleccione la instancia del servidorde base de datos que desea utilizar:


5. Pulse Autenticación de SQL Server utilizando el siguiente nombre ycontraseña y especifique las credenciales del usuario con privilegios de SA.

Nota: Estas credenciales se almacenan en texto simple en el registro deWindows.

La base de datos se crea en el equipo remoto donde Microsoft SQL Server estáinstalado. En el equipo donde está instalado el servidor de IBM EndpointManager, se actualiza el registro con las credenciales de autenticación de la base


de datos:

Autenticación de servidores adicionales

Muchos servidores pueden ofrecer un nivel más alto de servicio para la instalaciónde IBM Endpoint Manager. Si opta por añadir la arquitectura DSA (Disaster ServerArchitecture) a la instalación, podrá recuperarse automáticamente de errores en lared o en los sistemas mientras continúa ofreciendo servicio local. Para sacar elmáximo provecho a esta función, debe tener uno o varios servidores adicionalescon una capacidad al menos igual que el servidor principal. Debido a los gastos einstalación adicionales que supone, debería pensar muy bien en sus necesidadesantes de adoptar DSA.

En primer lugar, debe decidir en qué medida quiere que los servidores secomuniquen unos con otros. Hay tres opciones de autenticación entre servidores:las dos primeras tienen reminiscencias de NT y la tercera es SQL. Se recomienda laautenticación de NT porque es más segura. No puede mezclar y hacer quecoincidan, todos los servidores deben usar la misma autorización.

Utilización de la autenticación de NT con usuarios de dominio y grupos deusuarios:

Gracias a este método, cada servidor utiliza el usuario de dominio especificado oun miembro del grupo de usuarios especificado para acceder a todos los demásservidores en el despliegue. Para autenticar los servidores mediante los usuarios dedominio y grupos de usuarios, siga estos pasos:


1. Cree un usuario de cuenta de servicio o un grupo de usuarios en el dominio.En el caso de un grupo de usuarios, añada usuarios de dominio autorizados alos servidores. Es posible que necesite tener privilegios de administración dedominio para hacerlo.

2. En el servidor maestro, utilice SQL Server Management Studio para crear uninicio de sesión para el grupo de usuarios o el usuario de la cuenta de serviciode dominio, con una base de datos predeterminada de BFEnterprise y dé esteinicio de sesión a la autoridad de administración del sistema (sa) o a la funciónde DBO (propietario de la base de datos) en las bases de datos maestras y deBFEnterprise.

3. En el servidor maestro, cambie la configuración de inicio de sesión para losservicios FillDB, raíz de BES y Web Reports al usuario de dominio o miembrodel grupo de usuarios creado en el paso 2, y reinicie los servicios.

Nota: Cuando finalice la instalación del servidor de Endpoint Manager y empiecea utilizar los sitios del producto, puede instalar componentes adicionales como elServicio de plugin del servidor BES y el Importador de activos sin gestionar deBES NMAP. Estos servicios tienen sus valores LogOn establecidos para el usuariode NT para el acceso de base de datos remota.

Utilización de la autenticación de NT con grupos de equipos de dominio:

Gracias a este método, cada servidor se añade a un grupo de equipos de dominioespecificado y cada servidor acepta inicios de sesión de miembros de ese grupo dedominios. Para autenticar los servidores mediante los grupos de equipos dedominio, siga estos pasos:1. Cree un grupo de seguridad global en el dominio que contenga los servidores

que haya elegido. Es posible que necesite tener privilegios de administración dedominio para hacerlo.

2. Después de crear el grupo, se debe reiniciar cada servidor para actualizar suscredenciales de dominio.

3. En el servidor maestro, utilice SQL Server Management Studio para crear uninicio de sesión para el grupo de dominios, con una base de datospredeterminada de BFEnterprise y para dar este inicio de sesión a la autoridadde administración del sistema (sa) o la función de DBO (propietario de basedatos) en las bases de datos principales y de BFEnterprise.

Utilización de la autenticación de SQL:

Gracias a este método, se da a cada servidor un nombre de inicio de sesión y unacontraseña, y se configura para aceptar los nombres de inicio de sesión ycontraseñas de todos los servidores en la implementación. La contraseña de estacuenta escrita en texto simple se enmascara en la rama HKLM del registro en cadaservidor, después del reinicio del servicio FillDB.

Para autenticar los servidores con la autenticación SQL, siga estos pasos:1. Elija un único nombre de inicio de sesión (por ejemplo, besserverlogin), y una

única contraseña que usarán todos los servidores de la implementación para laautenticación entre servidores.

2. En el servidor maestro, utilice SQL Server Management Studio para crear uninicio de sesión de SQL Server con este nombre. Elija la autenticación de SQLServer como la opción de autenticación y especifique la contraseña. Cambie la


base de datos predeterminada a BFEnterprise y concédale la autoridad deadministración del sistema (sa) o la función db_owner para BFEnterprise y lasbases de datos maestras.

3. En el servidor maestro, añada los siguientes valores de cadena bajo la claveHKLM\Software\Wow6432Node\BigFix\Enterprise Server\FillDB:ReplicationUser = <nombre de inicio de sesión>ReplicationPassword = <contraseña>ReplicationPort = <puerto_SQL>

4. Reinicie el servicio FillDB.

Nota:

Esta elección debe hacerse para toda la implementación. No puede mezclar losservidores autenticados por el dominio con los autenticados por SQL.ReplicationUser, ReplicationPassword y ReplicationPort deben definirse deforma exclusiva en todos los registros del servidor de su entorno DSA.Todos los servidores de IBM Endpoint Manager en el despliegue deben ejecutarla misma versión del servidor de SQL.

Instalación de servidores de Windows adicionales

Antes de continuar con esta sección, determine el método de autenticación yrealice los pasos adecuados en “Autenticación de servidores adicionales” en lapágina 67.

Para cada servidor adicional que desee añadir a su implementación, asegúrese deque se pueda comunicar con los demás servidores y, a continuación, siga estospasos:1. Instale la misma versión de SQL Server que vaya a usar el servidor maestro.2. Ejecute el programa de instalación del servidor en cada equipo que desee

configurar como un servidor adicional. Utilice la misma administración dedominio que haya usado para la instalación local del servidor SQL paraasegurarse de que dispone de autoridad de sa.

3. Si está extrayendo el programa de instalación del servidor desde el generadorde instalación, seleccione Implementación de producción y Deseo realizar lainstalación con un encabezado existente. Especifique el archivomasthead.afxm del servidor maestro. De lo contrario, utilice el paquete deinstalación del servidor en la carpeta BESInstallers situada en el servidormaestro.

4. En la página Seleccionar replicación de base de datos en el programa deinstalación del servidor, seleccione Base de datos replicada.

5. En la página Seleccionar base de datos, seleccione Base de datos local paraalojar la base de datos en el servidor (opción típica para la mayoría de lasaplicaciones).

6. Pase por las pantallas del instalador hasta que el programa de instalaciónllegue a Configuración de la nueva instalación y aparezca el cuadro dediálogo Conexión de base de datos. Introduzca el nombre de host delservidor maestro y las credenciales para una cuenta que puede iniciar sesiónen el servidor maestro con los permisos de DBO en la base de datos deBFEnterprise.La ventana Servidores de replicado muestra la configuración delservidor para la implementación actual. De manera predeterminada, seconfigura el servidor recién instalado para que replique directamente desde elservidor maestro cada 5 minutos. Puede ajustar este tiempo según seanecesario.En el caso de grandes instalaciones, la replicación inicial de la base


de datos puede durar varios minutos y puede interrumpirse. Si le ocurre esteproblema, póngase en contacto con el soporte de software de IBM.

7. Utilice SQL Server Management Studio para crear el mismo inicio de sesiónde SQL Server que haya creado anteriormente en el servidor maestro conBFEnterprise como base de datos predeterminada y la autoridad deadministración del sistema (sa) o la función de DBO en las bases de datosmaestra y de BFEnterprise.

8. En el caso de la autenticación de NT mediante el usuario de dominio y grupode usuarios, cambie la configuración de inicio de sesión para el servicio FillDBal usuario de dominio o miembro del grupo de usuarios creado anteriormentey reinicie el servicio.

9. En el caso de la autenticación de SQL, añada los siguientes valores de cadenaa las claves de registro de FillDB y reinicie el servicio FillDB.HKLM\Software\Wow6432Node\BigFix\Enterprise Server\FillDB:ReplicationUser = <nombre de inicio de sesión>ReplicationPassword = <contraseña>

10. En el servidor recién instalado, ejecute la Herramienta de administración deIBM Endpoint Manager y seleccione la ficha Replicación para ver la listaactual de servidores y sus períodos de replicación. Seleccione el servidorrecién instalado en el menú desplegable y compruebe en la lista que sigue acontinuación que se haya conectado correctamente al servidor maestro.Después seleccione el servidor maestro en la lista desplegable de servidores ycompruebe que esté correctamente conectado al nuevo servidor. Es posibleque necesite esperar al siguiente período de replicación antes de que ambosservidores muestren una conexión correcta.

Nota: La replicación inicial puede tardar varias horas según el tamaño de labase de datos. Espere a que la replicación se haya completado antes derealizar acciones desde una consola conectada al servidor de réplica.

11. Podrá ver un gráfico de los servidores y sus conexiones pulsando el botónEditar gráfico de replicado. Puede cambiar las conexiones entre servidoresarrastrando las flechas de conexión que haya alrededor.

Ejecución de la herramienta de diagnóstico de IBM EndpointManager

La herramienta de diagnóstico de IBM Endpoint Manager verifica que loscomponentes de servidor estén funcionando correctamente. Identifica loscomponentes que están incorrectamente configurados o no son funcionales ymuestra los resultados. Para ejecutar el diagnóstico, siga estos pasos:1. Si acaba de instalar el servidor, la herramienta de diagnóstico debería estar ya

ejecutándose. De lo contrario, inicie la sesión en el servidor como administradore inicie el programa.Inicio > Programas > IBM Endpoint Manager > IBM Endpoint ManagerHerramienta de diagnóstico.El programa analiza los componentes del servidory crea un informe.

2. Para obtener información más detallada, pulse Interfaz completa. Se muestra elpanel de control de diagnóstico de IBM Endpoint Manager. Esta ventana tienefichas que se corresponden con las categorías del diagnóstico del servidor,incluido Servicios y Web Reports


.

Nota: Si aparece el mensaje Se está verificando que el servicio BESGatherpuede acceder a Internet tras una instalación reciente y si dispone de unproxy, asegúrese de que se haya configurado tal como se describe enCapítulo 12, “Configuración de una conexión proxy”, en la página 169.Si aún no ha instalado el cliente, aparecerá una luz de advertencia. Se pondráverde tan pronto como instale el cliente.

3. En la ficha Servicios, compruebe si la base de datos y los servicios derecopilación están correctamente instalados y en ejecución.


Si una luz roja brilla junto a un elemento, indica un fallo de ese componente.Debe afrontar el problema manifestado para poder estar seguro de que elservidor está funcionando correctamente. De manera parecida, hay una fichapara diagnosticar el servidor de Web Reports.

4. Para saber más información, pulse el botón del signo de interrogación situado ala derecha del elemento. Estos botones tienen un vínculo a los artículos de labase de conocimiento en el sitio de asistencia técnica de IBM EndpointManager.

5. Si todos los botones brillan en verde, pulse Cerrar para salir del diagnóstico.

Nota: Si el equipo del servidor es un miembro de un dominio, pero ha iniciado lasesión como un usuario local, la herramienta de diagnóstico informará enocasiones y de manera errónea que los permisos son incorrectos. Si ve que laspruebas de los permisos muestran errores incorrectos, podrá omitir con todatranquilidad las advertencias del diagnóstico.

Información sobre los componentes del servidorAhora, el servidor de IBM Endpoint Manager se ha instalado correctamente, yresponde a los mensajes y solicitudes desde los equipos del retransmisor, el clientey la consola usando varios componentes.

Para entender mejor lo que hace el servidor, lea las descripciones de algunos de loscomponentes.

Componente de registro del clienteCuando se instale el cliente en un nuevo equipo, se registrará con elcomponente de registro del cliente del servidor y al cliente se le da un ID


único. Si la dirección IP del equipo cambia, el cliente registraautomáticamente la nueva dirección IP con el componente de registro delcliente.

Componente del servidor de publicación de resultadosCuando un cliente detecta que un Fixlet ha pasado a tener importancia,informa al componente del servidor de publicación de resultados mediantela operación POST de HTTP. Identifica el Fixlet relevante junto con el IDregistrado del equipo cliente. Esta información se pasa a la base de datosde IBM Endpoint Manager mediante el servicio FillDB y después pasa aestar visible en la consola. Los clientes informan también periódicamentede otros cambios de estado al servidor directamente, o mediante losretransmisores.

Componente del servidor de recopilaciónEste componente vigila los cambios en el contenido de Fixlet para todos lossitios de Fixlet a los que está suscrito. Descarga estos cambios en elservidor y los pone a disposición del componente GatherDB.

Componente FillDBEste componente publica los resultados del cliente en la base de datos.

Componente GatherDBEste componente recopila y almacena las descargas de Fixlet desde Interneten la base de datos.

Componente de servidor reflejado de descargaEste componente aloja los datos del sitio de Fixlet para los retransmisores ylos clientes. Este componente funciona como un servidor de descargasimplificado para el tráfico de IBM Endpoint Manager.

Instalación de la consola

La consola de IBM Endpoint Manager permite que el operador supervise y corrijaproblemas en todos los equipos gestionados de la red. Puede instalarse encualquier equipo que pueda realizar una conexión de red mediante el puertoHTTPS 52311 al servidor. A menos que sea en un entorno de prueba o deevaluación, no ejecute la consola en el equipo del servidor, debido a los problemasde rendimiento y seguridad que conlleva tener las credenciales de clave pública enun equipo que ejecuta una base de datos o un servidor web.

Para instalar la consola, siga estos pasos:1. Ejecute la guía de instalación (Inicio > Programas > IBM Endpoint Manager >

Guía de instalación de IBM Endpoint Manager). Pulse Instalar componentesde IBM Endpoint Manager.

2. En el panel siguiente, pulse Instalar consola.3. Cuando se de solicite, escriba la ubicación de la instalación de la consola. La

ubicación predeterminada es %PROGRAM FILES%\BigFix Enterprise\BES Console.Si prefiere otra, pulse Examinar y navegue a la ubicación que desee. PulseSiguiente para continuar.

4. Cuando los archivos se hayan instalado, pulse Finalizar para completar lainstalación. Ahora puede optar por iniciar la consola o por seguir con lasiguiente sección para instalar los clientes.

Para obtener más detalles acerca del uso del programa de la consola, consulte laGuía del usuario de la consola de IBM Endpoint Manager.


Instalación de los clientes

Instale el cliente de IBM Endpoint Manager en todos los equipos de la red quedesee administrar, incluido el equipo que ejecuta la consola. De esta forma, dichoequipo podrá recibir los mensajes de Fixlet importantes como, por ejemplo, losrelativos a parches de seguridad, archivos de configuración o actualizaciones.

Si ejecuta la consola, seleccione Instalar componentes de IBM Endpoint Manager> Instalar clientes > Instalar localmente para instalar el cliente en el directorio quehaya especificado del equipo local.

Si ejecuta la herramienta de implementación de clientes (BESClientDeploy.exe),puede desplegar los clientes de tres formas:

Buscar equipos utilizando Active DirectoryLa herramienta de implementación de clientes de IBM Endpoint Managerse pone en contacto con el servidor de Active Directory para obtener unalista de todos los equipos en el dominio. A continuación, comprueba cadauno de los equipos para ver si el cliente ya está instalado y muestra lainformación correspondiente en una lista.

Buscar equipos utilizando dominios de NT 4.0Todos los equipos del dominio aparecen enumerados con un indicador deestado que informa de si el cliente está instalado o no.

Buscar los equipos especificados en una listaSegún cuál sea el modo en que la red resuelve las direcciones del equipo,debe proporcionar una lista de nombres de equipo, de intervalos dedirecciones IP o de nombres de host. Esta lista debe contener unnombre/intervalo de direcciones IP/nombre de host por línea. Con estaopción, la herramienta de implementación de clientes no intenta detectarningún equipo, sino que trata de instalar el cliente directamente en todoslos equipos que figuran en la lista.

Uso de la herramienta de implementación de clientes:

En redes más pequeñas (con menos de 5000 equipos) que se conectan a dominiosde directorio de Active Directory o NT, puede utilizar la herramienta deimplementación de clientes para instalar los clientes de Windows. En cuanto a lasredes más grandes, puede que sea más cómodo usar otros métodos deimplementación. La herramienta de implementación de clientes le ayuda aimplementar clientes fácilmente, aunque existen algunos requisitos y condiciones:v Debe tener un dominio de directorio de Active Directory o NT (también existe la

posibilidad de realizar la implementación en una lista de equipos si dispone deuna cuenta de administrador en el equipo en cuestión).

v La herramienta de implementación de clientes de IBM Endpoint Manager sólo sepuede utilizar en equipos de destino que ejecuten Windows 2000, XP, Server2003, Vista, Server 2008, 7 o Server 2008 R2.

v El equipo que ejecute la herramienta de implementación de clientes debe estarconectado al dominio, pero no debe ser el controlador de dominio en sí.

v Los servicios Administrador de control de servicios (SCM) y Llamada deprocedimiento remota (RPC) deben ejecutarse en los equipos de destino.

v No debe existir ninguna directiva de seguridad en el equipo que pueda impediruna conexión remota al SCM o la emisión de una llamada de procedimientoremota.


v La propiedad dnsName de todos los equipos de destino de Active Directorydebe estar definida correctamente.

La herramienta de implementación de clientes facilita la instalación del cliente enlos equipos, pero no es una herramienta completa de distribución de software declase empresarial. Si ya dispone de una herramienta de distribución de software, serecomienda utilizarla en su lugar.

Lo primero que hace la herramienta de implementación de clientes de IBMEndpoint Manager es obtener una lista de equipos del servidor de Active Directoryy conectarse remotamente a ellos 'puede llegar a tener acceso a 100 equipos a lavez' para comprobar si el servicio de cliente ya está instalado en ellos. Si es así,muestra Instalado junto al estado del servicio del cliente, como Ejecutando,Detenido, etc. Si no puede saber el estado debido a un problema de permisos opor cualquier otro motivo, muestra Estado desconocido. En el resto de casos,muestra No instalado, a menos que no pueda comunicarse con el equipo deninguna manera, en cuyo caso muestra No responde.

Si el cliente aún no está instalado, la herramienta ofrece interfaces que permitenemitir una llamada de procedimiento remota, que obtiene acceso al programa deinstalación compartido y que se ejecuta en silencio (con las credenciales deadministración de dominio pertinentes), sin interacción alguna por parte delusuario final. Para utilizar la herramienta, siga los pasos siguientes:1. La herramienta de implementación de clientes de IBM Endpoint Manager se

crea a través del generador de instalación. Puede iniciar la herramienta desde laguía de instalación. Pulse el botón Instalar componentes de IBM EndpointManager > Instalar clientes de IBM Endpoint Manager > Instalarremotamente o bien directamente desde Inicio > Programas > IBM EndpointManager > Despliegue del cliente de IBM Endpoint Manager.

2. El cuadro de diálogo que se abre ofrece tres formas de implementar los clientes:

Buscar equipos que utilizan Active DirectoryLa herramienta de implementación de clientes de IBM EndpointManager se pone en contacto con el servidor de Active Directory paraobtener una lista de todos los equipos en el dominio. A continuación,comprueba cada uno de los equipos para ver si el cliente ya estáinstalado y muestra la información correspondiente en una lista.

Buscar equipos que utilizan Dominios NT 4.0Todos los equipos del dominio aparecen enumerados con un indicadorde estado que informa de si el cliente está instalado o no.

Buscar los equipos especificados en una listaSegún cuál sea el modo en que la red resuelve las direcciones delequipo, debe proporcionar una lista de nombres de equipo, deintervalos de direcciones IP o de nombres de host. Esta lista debecontener un nombre/intervalo de direcciones IP/nombre de host porlínea. Con esta opción, la herramienta de implementación de clientes nointenta detectar ningún equipo, sino que trata de instalar el clientedirectamente en todos los equipos que figuran en la lista.

3. Escriba un nombre de usuario y una contraseña con los que se pueda teneracceso administrativo a los equipos. En la mayor parte de los casos, se trata deuna cuenta de administrador de dominio. Si usa la opción de la lista deequipos, podrá especificar una cuenta local de los equipos remotos 'como lacuenta de administrador local' que tenga privilegios administrativos. Estenombre de usuario y esta contraseña usan durante el resto del proceso de


implementación del cliente, de modo que si la cuenta no disfruta del accesoadecuado en los equipos remotos, recibirá errores de denegación de acceso.

4. Cuando se muestre la lista de equipos, pulse con las teclas Mayús y Controlpresionadas para seleccionar los equipos que desea administrar con IBMEndpoint Manager. Pulse Siguiente.

5. Se muestra una lista de los equipos seleccionados. Normalmente con lasopciones predeterminadas es suficiente, pero puede seleccionar Opcionesavanzadas para configurar los siguientes parámetros de instalación:

Transferencia de archivosPuede elegir enviar los archivos al servidor remoto para instalarlos uobtenerlos del equipo local. En la mayoría de los casos, elija enviar, amenos que se hayan establecido directivas de seguridad para evitarlo.

Nota: La opción pull solamente es válida si el equipo de destinopertenece a un dominio de Active Directory y si utiliza las credencialesdel administrador del dominio.

Método de conexiónPuede conectarse a los equipos remotos bien utilizando elAdministrador de control de servicios (SCM), que es la opciónrecomendada, o el programador de tareas si el SCM no funciona.

Vía de acceso de instalaciónIndique una ruta para el cliente o acepte el valor predeterminado(recomendado).

VerificaciónActive esta casilla de verificación para comprobar si el servicio delcliente se está ejecutando tras haber esperado a que la instalaciónfinalizara; de esta forma, sabrá si dicha instalación se ha completadocorrectamente.

Configuración personalizadaAñada una configuración personalizada a cada cliente implementadoen forma de par nombre-valor.

6. Si los clientes que se van a instalar necesitan comunicarse a través de un proxy,configure la conexión proxy pulsando Valores de proxy.


||

En el panel Valores de proxy, especifique:v El nombre de host o la dirección IP y, opcionalmente, el número de puerto

para comunicarse con la máquina de proxy.v Las credenciales del usuario definido en la máquina de proxy que se va a

utilizar cuando se establezca la conexión.

Marque el recuadro de selección si desea que los valores de proxy se recuperande la configuración de Internet Explorer del sistema Windows donde se estáinstalando el cliente.Para obtener más información sobre la configuración de una conexión proxy,consulte Capítulo 12, “Configuración de una conexión proxy”, en la página 169.Pulse Aceptar para guardar la configuración del proxy.

7. Para iniciar la instalación, pulse Iniciar.8. Cuando finalice, se mostrará un registro con los errores y las acciones

realizadas correctamente. Algunos de estos errores se pueden solucionarsencillamente volviendo a intentarlo; si esto no funciona, use las opcionesavanzadas. Para obtener más información, consulte el artículo sobre laimplementación del cliente en el sitio de asistencia técnica de IBM EndpointManager.

Instalar el cliente de forma manual:

Puede instalar el cliente de IBM Endpoint Manager ejecutando manualmente elprograma de instalación del cliente en cada uno de los equipos. Utilice este métodopara instalar el cliente en un número reducido de equipos.1. Puede instalar el cliente utilizando uno de los métodos siguientes:

v Inicie sesión en el equipo que desee con privilegios de administrador y copiela carpeta BES Installers\Client del equipo de instalación en la unidad dedisco duro local. O

v Ejecute la guía de instalación (disponible en Inicio > Programas > IBMEndpoint Manager > Guía de instalación de IBM Endpoint Manager) y


|

||

||

||

|||

|||

http://support.bigfix.com/cgi-bin/kbdirect.pl?id=368

pulse el botón marcado como Examinar carpetas de instalación para abrir lacarpeta IBM Endpoint Manager Installers y se muestre la carpeta Client.

2. Cuando haya copiado la carpeta Client en el equipo de destino, efectúe unadoble pulsación en el archivo setup.exe de dicha carpeta para iniciar elprograma de instalación.

3. Tras el panel de bienvenida inicial, se le pedirá que confirme la ubicación parainstalar el software. Puede aceptar la ubicación predeterminada, o bien pulsarExaminar para seleccionar una distinta.

4. Cuando los archivos se hayan movido, pulse Hecho para salir del programa deinstalación. La aplicación del cliente de IBM Endpoint Manager ya estáinstalada y empezará a funcionar automáticamente en segundo plano. Repitaeste proceso en todos los equipos de la red donde desee utilizar laadministración de IBM Endpoint Manager.

Instalación del cliente con MSI:

Puede usar la versión Microsoft Installer (MSI) del cliente para interpretar elpaquete y llevar a cabo la instalación de forma automática. Esta versión MSI delcliente (BESClientMSI.msi) se almacena en la carpeta BESInstallers\ClientMSI delservidor de Windows y en la carpeta /ServerInstaller_9.2.0.363-rhe6.x86_64/repos/ClientMSI del servidor de Linux.

Para instalar el cliente de Windows, realice los pasos siguientes:1. Copie el programa BESClientMSI.msi en la carpeta c:\BESInstallers\ClientMSI

de un sistema Windows.2. Puede ejecutar el programa BESClientMSI.msi de varias formas:

v msiexec.exe /i c:\BESInstallers\ClientMSI\BESClientMSI.msi/T=TransformList /qn

El mandato \qn realiza una instalación silenciosa.v msiexec.exe /i c:\BESInstallers\ClientMSI\BESClientMSI.msi

INSTALLDIR="c:\myclient" /T=TransformList

Este mandato instala el programa en el directorio especificado(INSTALLDIR="c:\myclient").

Nota: /T=TransformList especifica qué archivos de transformación (.mst) debenaplicarse al paquete. TransformList es una lista de vías de acceso separadas porpuntos y comas. La tabla siguiente describe los archivos de transformaciónsuministrados, el idioma resultante y el valor numérico a utilizar en la línea demandatos de msiexec.

Tabla 2. Lista de archivos de transformación

IdiomaNombre del archivo detransformación Valor

Ingles EE.UU. 1033.mst 1033

Alemán 1031.mst 1031

Francés 1036.mst 1036

Español 1034.mst 1034

Italiano 1040.mst 1040

Portugués brasileño 1046.mst 1046

Japonés 1041.mst 1041

Coreano 1042.mst 1042


Tabla 2. Lista de archivos de transformación (continuación)


Chino simplificado 2052.mst 2052

Chino tradicional 1028.mst 1028

Encontrará la lista completa de opciones de instalación en el siguiente sitio deMicrosoft, en Opciones de línea de mandatos. Para crear un objeto de políticade grupo (GPO) para los despliegues de BESClientMSI, consulte el artículo dela base de conocimiento de Microsoft: http://support.microsoft.com/kb/887405.

3. Antes de iniciar el cliente, copie el encabezado actionsite.afxm ubicado en elservidor de Endpoint Manager en el directorio de instalación del cliente, quepuede ser el directorio de instalación predeterminado, %PROGRAM FILES%\BigFixEnterprise\BES Client, o un directorio de instalación específico,INSTALLDIR="c:\myclient".

4. Iniciar el servicio del cliente de BES.

Uso de herramientas de distribución de software:

Si dispone de acceso a una herramienta de distribución de software como, porejemplo, Microsoft SMS, IBM Tivoli, CA Unicenter o Novell ZENworks, y todos losequipos en los que desee efectuar la instalación tengan dicha herramientahabilitada, puede utilizarla para implementar un paquete de instalación para elcliente.

Nota: Ésta es la forma más efectiva de realizar implementaciones en una empresa,dado que ya se dispone de una infraestructura y del proceso de implementación..

Uso de directivas de grupo:

Mediante los objetos de directiva de grupo de Active Directory, puede definir unadirectiva con la que se insista en que el cliente se debe instalar en todos losequipos de un grupo en concreto (unidad organizativa, dominio, etc.). Estadirectiva se aplica cada vez que un usuario inicie sesión en el dominioespecificado, de modo que constituye una forma muy eficaz de implementar elcliente si los objetos de directiva de grupo están habilitados. Para obtener másdetalles, consulte al administrador de Active Directory.

Uso de secuencias de mandatos de inicio de sesión:

En un dominio de NT o de AD puede escribir scripts de inicio de sesión paraconfirmar la presencia del cliente. Cuando el usuario inicia la sesión y se da cuentade que falta el cliente, puede tener acceso automáticamente al programa deinstalación del cliente desde una ubicación específica en un recurso compartido dearchivos global. El sitio de asistencia técnica contiene un artículo de la base deconocimientos con una secuencia de mandatos de inicio de sesión de ejemplo(palabras clave: secuencia de mandatos de inicio de sesión de ejemplo), así comoinstrucciones sobre el modo de utilizar las secuencias de mandatos de inicio desesión para instalar el cliente.

Si tiene previsto añadir nuevos equipos a la red de vez en cuando, este enfoquegarantiza que el servidor descubra y gestione las nuevas máquinas


http://msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx

http://support.microsoft.com/kb/887405




automáticamente. No obstante, en algunas redes que usan Windows 2000 o XP, losusuarios deben iniciar sesión con privilegios de administrador para que estatécnica funcione.

Los scripts de inicio de sesión pasan argumentos a la instalación basada enWindows Installer. Para obtener más información sobre las opciones de línea demandatos para setup.exe, consulte el sitio web de asistencia técnica de InstallShielden http://kb.flexerasoftware.com/doc/Helpnet/isxhelp12/IHelpSetup_EXECmdLine.htm. A continuación se muestran algunos ejemplos demodificadores de línea de mandatos para el programa de instalación del clienteque pueden utilizarse en una secuencia de mandatos de inicio de sesión:v Para instalar el cliente de forma silenciosa mientras escribe un registro en el

directorio C:\, ejecute un mandato de DOS con el formato siguiente:setup.exe /s /v/l*voicewarmup \"C:\besclientinstall.log\" SETUPEXE=1 /qn”

v Para cambiar la ubicación de la instalación predeterminada, la forma correcta delmandato es:setup.exe /s /v/l*voicewarmup \"C:\besclientinstall.log\"INSTALLDIR=\”<vía_acceso_instalación\” SETUPEXE=1 /qn”

Donde <vía_acceso_instalación> es la vía de acceso completa de Windows a lacarpeta donde el cliente se debe instalar.

Nota: El usuario de Windows que ejecute setup.exe debe tener privilegiosadministrativos en el equipo, así como capacidad para escribir un archivo deregistro en la misma carpeta que contiene el archivo “setup.exe”; de lo contrario, seproducirá un error de instalación, y no se creará un archivo de registro.

Inserción de una versión común:

Si la organización usa una imagen de versión específica o un sistema operativocomún (COE) en un CD, o bien una imagen que sirve para preparar nuevosequipos, puede incluir el cliente en dicha versión. Para crear la imagen, siga estospasos:

Para sistemas operativos Windows:

1. Instale el cliente en el equipo del que se va a crear una imagen. El cliente deIBM Endpoint Manager intenta conectarse al servidor inmediatamente. Si seconecta correctamente, se le asigna un ComputerID (identificador de equipo).Este identificador es exclusivo de dicho equipo, de modo que no debe formarparte de una imagen de versión común. En los siguientes pasos esteidentificador se elimina.

2. Detenga el cliente abriendo el cuadro de diálogo de servicios de Windows ydeteniendo el servicio del cliente de BES.

3. Suprima el identificador específico del equipo (ID del equipo) abriendo elregistro en HKLM\Software\Wow6432Node\BigFix\EnterpriseClient\GlobalOptions y suprimiendo los valores ComputerID, RegCount yReportSequenceNumber.

El cliente de IBM Endpoint Manager ya está listo para que se cree una imagen.

Nota: Si el cliente se vuelve a iniciar por cualquier motivo (incluyendo un reiniciodel sistema), se volverá a registrar en el servidor y tendrá que repetir los pasos 2 y3. El servidor incorpora una función de detección y solución de conflictos, demodo que, si por cualquier motivo no se elimina el ID, el servidor puede detectarque hay varios clientes con el mismo ID de equipo y forzará al cliente a registrarse


http://kb.flexerasoftware.com/doc/Helpnet/isxhelp12/IHelpSetup_EXECmdLine.htm

http://kb.flexerasoftware.com/doc/Helpnet/isxhelp12/IHelpSetup_EXECmdLine.htm

otra vez, y que todo funcione con normalidad. Sin embargo, se recomienda que selleven a cabo los pasos anteriores para evitar que el cliente quede no disponible (elprimer equipo del que se ha creado una imagen) en la lista de equipos de laconsola .

Para sistemas operativos Linux:

1. Instale el cliente en el equipo del que se va a crear una imagen.2. Detenga el cliente ejecutando /etc/init/besclient stop.3. Elimine el identificador específico del equipo del archivo .config para impedir

que todas las copias de la máquina se registren con el mismo ID de cliente enel servidor.


Para sistemas operativos Macintosh:

1. Instale el cliente en el equipo del que se va a crear una imagen.2. Detenga el cliente utilizando sudo systemstarter stop BESClient.3. Elimine el identificador específico del equipo para evitar que todas las copias

del equipo se registren con el mismo ID de cliente en el servidor.v Si existen, elimine RegCount, ReportSequenceNumber y ComputerID de la

carpeta de preferencias del cliente: /Library/Preferences/com.bigfix.besagent.plist.

v Elimine la carpeta __BESData. La ubicación predeterminada es el agente\Library\Application Support\BigFix\BES.


Uso del correo electrónico:

Puede enviar un correo electrónico a los usuarios en el que se incluya unadirección URL que deberán usar para instalar el cliente cuando inicien sesión en lared. La utilización del correo electrónico es un método efectivo para los equiposcon Win9x, porque en estas plataformas no hay limitaciones en cuanto a derechosde usuario. Sin embargo, si se aplican derechos administrativos, este métodorequiere que los usuarios inicien sesión con privilegios de administrador.

Activación del cifrado en los clientes:

Una vez instalados, los clientes se pueden configurar para que cifren todos losinformes salientes y, de este modo, se protejan datos como los números de tarjetade crédito, las contraseñas y otra información confidencial.

Nota: Antes de habilitarlo para los clientes, el cifrado debe estar habilitado para suimplementación. En concreto, para la opción requerida, los clientes pasarán aestado silencioso si los habilita sin configurar primero la implementación.

Para habilitar el cifrado, realice los siguientes pasos:1. En el dominio Gestión de BigFix, abra la carpeta Administración de equipos y

pulse el nodo Equipos.2. Seleccione el equipo o el conjunto de equipos para los que quiere utilizar el

cifrado.3. En el menú contextual que aparece al pulsar con el botón derecho del ratón,

seleccione Editar configuración del equipo.


4. En el cuadro de diálogo Editar configuración, pulse Añadir.5. En el cuadro de diálogo Añadir configuración personalizada, escriba el

nombre de la configuración como_BESClient_Report_Encryption (no olvide el guión bajo con el que el nombrecomienza).Existen tres valores posibles para esta configuración:

obligatorioHace que el cliente cifre siempre. Si no hay un certificado de cifradodisponible en el encabezado o el equipo de destino (retransmisor oservidor) no acepte el cifrado, el cliente no enviará informes.

opcionalEl cliente cifrará si es posible y, si no, enviará los informes en texto nocifrado.

ningunoNo se realizará ningún cifrado, aun cuando exista un certificado decifrado. Esto permite desactivar el cifrado después de habilitarlo.

6. Pulse Aceptar para aceptar el valor y, de nuevo, en Aceptar para completar laconfiguración. Debe especificar su contraseña de clave privada paraimplementar la acción de configuración.

Para obtener información adicional sobre el cifrado, consulte “Cifrado” en lapágina 93.

Instalación de Web Reports

De forma predeterminada, los Web Reports se instalan junto con el servidor deIBM Endpoint Manager. No obstante, puede elegir no instalar este componenteeliminando la marca en el siguiente panel de instalación:


Puede instalarlo posteriormente en el mismo sistema que el servidor de IBMEndpoint Manager o de forma autónoma en otro sistema realizando los pasossiguientes:1. Ejecute la guía de instalación (Inicio > Programas > IBM Endpoint Manager >

Guía de instalación de IBM Endpoint Manager).2. Seleccione Instalar servidor.3. Elija utilizar el encabezado generado en el tiempo de instalación del servidor

de IBM Endpoint Manager.4. Seleccione instalar sólo el componente Web Reports en este panel:

5. Finalice seleccionando las opciones de base de datos que se aplican a suconfiguración. Si selecciona Utilizar base de datos remota, siga los pasos deconfiguración siguientes:a. En la ventana Servidor de bases de datos, seleccione el método de

autenticación deseado. Si elige la autenticación Windows, más tardenecesitará cambiar el nombre de usuario del servicio Web Reports parautilizar un nombre de usuario autenticado de Windows.

b. En la ventana Seleccionar dispositivos, deseleccione las opciones ServidorBES y Componentes principales del servidor BES. La única opción quedebe estar seleccionada es Web Reports.

c. Elija la Ubicación de destino adecuada.d. Elija el lugar donde el servidor de Web Reports tendrá su directorio raíz y

pulse Siguiente.6. Revise los parámetros de instalación y pulse Siguiente para iniciar la

instalación.7. Especifique el nombre de conexión de la base de datos para los componentes

del servidor y el método de autenticación y pulse Siguiente. Haga este cambioadicional en el registro del servidor autónomo: HKEY_LOCAL_MACHINE\SOFTWARE\BigFix\Enterprise Server\Installer: Hostname={cambie este valor por elnombre de dominio completo (FQDN) del servidor autónomo}


Ejecución de la Herramienta de administración de IBM EndpointManager

El programa de instalación crea automáticamente la herramienta de administraciónde IBM Endpoint Manager cuando instala el resto de componentes del programade la consola. Este programa funciona de forma independiente con respecto a laconsola y está destinado a los operadores administrativos exclusivamente. Loencontrará en el menú Inicio: Inicio > Todos los programas > IBM EndpointManager > Herramienta de administración de IBM Endpoint Manager. Paraejecutarlo, primero debe buscar la clave privada (license.pvk).

En esta interfaz también puede cambiar la contraseña administrativa. Cuando hayaseleccionado el archivo de clave privada, pulse Aceptar para continuar. Debeproporcionar la contraseña de clave privada para continuar.

Nota: Cuando cambia la contraseña de clave privada, sólo cambia la contraseñadel archivo local; los otros servidores DSA de Endpoint Manager no se actualizan.Continúan utilizando su propio archivo de licencia y su propia contraseña, amenos que esta se sustituya en el archivo de licencia modificado.

Utilice la consola de Endpoint Manager para realizar las tareas de gestión deusuarios.

Administración del encabezado:

Pulse la primera ficha para ver el cuadro de diálogo Administración delencabezado.

Si todavía no tiene ningún encabezado (necesario para ejecutar la consola), estecuadro de diálogo ofrece una interfaz en la que podrá realizar la Solicitud y,posteriormente, Activar un encabezado nuevo. Si ya tiene un encabezado, puedeeditarlo para cambiar los intervalos de recopilación y bloqueos. Para obtener másinformación sobre la gestión del encabezado, consulte la Guía de configuración de


IBM Endpoint Manager. También puede exportar el encabezado, algo que puederesultar útil si desea ampliar la red de IBM Endpoint Manager a otros servidores.

Opciones del sistema:

La segunda ficha abre el cuadro de diálogo Opciones del sistema. La primeraopción establece un mínimo de línea de base para los intervalos de actualización.Hace referencia al período de actualización de la lista de Fixlet indicado en elcuadro de diálogo Preferencias de la consola. El período predeterminado es de15 segundos, pero si su red puede controlar el ancho de banda, puede disminuirloa fin de que la consola tenga una mayor capacidad de respuesta. Si, por elcontrario, la red está sobrecargada, posiblemente prefiera aumentar este valormínimo.

Utilice este diálogo para establecer la visibilidad predeterminada de los sitiosexternos. La opción predeterminada, es que estos sitios sean visibles globalmentepara todos los operadores de la consola. Para ejercer un mayor control, puedeestablecer la visibilidad en oculta y, a continuación, ajustar los sitiosindividualmente mediante la consola. Debe ser un administrador o un operadorprincipal para pasar los sitios ocultos a visibles.

Utilice este diálogo para añadir su propio logotipo a cualquier contenido que se lepresente al usuario en el sistema cliente. La imagen de marca puede ser un aspectoimportante para tranquilizar a los usuarios, ya que indica que la informacióncuenta con la autorización corporativa correspondiente.

Opciones avanzadas:

La tercera ficha abre el cuadro de diálogo Opciones avanzadas. En él se enumeranlas opciones de configuración globales que se aplican a una instalación en concreto.


Estas opciones se muestran con el formato de par nombre-valor y suele ser eldepartamento de Soporte de Software de IBM quien las suministra. Por poner unejemplo, si está suscrito al sitio de gestión de la energía, una de estas opciones lepermite habilitar la función WakeOnLAN.

Algunos de estos valores se solapan con las claves de registro especiales quepueden establecerse para influir en el comportamiento de consolas individuales.Como regla general, si el valor representa una opción booleana, las consolastendrán el comportamiento predeterminado, a menos que el registro o las opcionesde despliegue avanzado especifiquen el comportamiento no predeterminado.

Para obtener una lista de las opciones disponibles que puede establecer, consulte“Lista de opciones avanzadas”.

Lista de opciones avanzadas:

Las listas siguientes muestran las opciones avanzadas que puede especificar en elpanel Opciones avanzadas de la herramienta de administración de IBM EndpointManager en sistemas Windows, o en el mandato BESAdmin.sh en sistemas Linuxutilizando la sintaxis siguiente:./BESAdmin.sh-setadvancedoptions -sitePvkLocation=<vía+licencia.pvk>[-sitePvkPassword=<contraseña>]{ -list | -display| [ -f ] -delete option_name| [ -f ] -update option_name=option_value }

Nota: La notación <vía+licencia.pvk> utilizada en la sintaxis del mandatoequivale a vía_acceso_de_archivo_de_licencia/license.pvk.

Estas opciones son suministradas normalmente por el soporte de software de IBM.

Opciones avanzadas para inhabilitar funciones: Utilice estas opciones si deseainhabilitar funciones específicas en la consola.


disableNmoSiteManagementDialogSi se establece en "1", el diálogo de gestión de sitios no estará disponiblepara los operadores no maestro (NMO).

disableNmoCommentsSi se establece en "1", los NMO no pueden añadir comentarios. Los NMOsí podrán ver los comentarios.

disableNmoManualGroupsSi se establece en "1", los NMO no pueden añadir o eliminar equipos degrupos manuales ni ver grupos manuales de los cuales ninguno formeparte de sus equipos.

disableGlobalRelayVisibilitySi se establece en "1", los NMO no pueden ver retransmisores en los menúsdesplegables de selección de retransmisores de la consola que nopertenezcan a ellos. La excepción es si ven una máquina que estáconfigurada actualmente para informar a un retransmisor no administradopor ellos, en cuyo caso ese retransmisor aparece también en la lista.

disableNmoRelaySelModeChangesSi se establece en "1", los NMO no pueden conmutar la selecciónautomática de retransmisores para activarla o desactivarla.

disableDebugDialogSi se establece en "1", la secuencia de teclado CONTROL-ALT-MAYÚS-Dno se puede utilizar para abrir el diálogo de depuración de la consola.

disableComputerNameTargetingSi se establece en "1", la tercera opción de selección, "destino por lista denombres de equipos", se elimina de la ficha de destino del diálogo deactuación.

allowOfferCreationSi se establece en "0", se habilitará la ficha 'Oferta' del diálogo Actuación.La consola ignora los valores preestablecidos de oferta en los Fixlets.

disableNmoCustomSiteSubscribeSi se establece en "1", el elemento menú "Modificar suscripciones a sitiospersonalizados" se inhabilita para todos los NMO.

Opciones avanzadas de las políticas de contraseña: Utilice estos valores para imponerpolíticas de contraseña en su entorno de IBM Endpoint Manager.

passwordComplexityRegexEspecifica una expresión regular perl-style para utilizarla como un requisitode complejidad de contraseña al elegir o cambiar contraseñas de operador.A continuación, se proporcionan algunos ejemplos:v Requiere una contraseña de 6 letras o más que no sea igual a la serie

'bigfix'.(?![bB][iI][gG][fF][iI][xX]).{6,}

v Requiere una contraseña de 6 letras o más que contenga minúsculas,mayúsculas y signos de puntuación.(?=.*[[:lower:]])(?=.*[[:upper:]])(?=.*[[:punct:]]).{6,}

v Requiere una contraseña de ocho caracteres o más que contenga 3 de las4 clases de caracteres siguientes: minúsculas, mayúsculas, signos depuntuación y valores numéricos.


((?=.*[[:lower:]])(?=.*[[:upper:]])(?=.*[[:punct:]])|(?=.*[[:lower:]])(?=.*[[:upper:]])(?=.*[[:digit:]])|(?=.*[[:lower:]])(?=.*[[:digit:]])(?=.*[[:punct:]])|(?=.*[[:digit:]])(?=.*[[:upper:]])(?=.*[[:punct:]])).{8,}

Nota: Las contraseñas del administrador del sitio no se ven afectadas poreste requisito de complejidad.

passwordComplexityDescriptionEspecifica una descripción del requisito de complejidad de contraseñas.Esta serie se muestra al usuario cuando una opción de contraseña nocumple los requisitos de complejidad establecidos utilizando la opciónpasswordComplexity. Un ejemplo de descripción de complejidad decontraseña es "Las contraseñas deben tener al menos 6 caracteres". Si noestablece este valor pero establece el valor passwordComplexityRegex, elusuario visualizará la descripción establecida enpasswordComplexityRegex.

passwordsRememberedEspecifica el número de contraseñas nuevas exclusivas que se puedenestablecer para una cuenta de usuario antes de poder volver a utilizar unacontraseña antigua. El valor predeterminado es "0".

Esta opción se introdujo con IBM Endpoint Manager V8.2.

maximumPasswordAgeDaysEspecifica el número de días que puede utilizarse una contraseña antes deque el sistema solicite al usuario cambiarla. El valor predeterminado es "0"(sin máximo).


minimumPasswordLengthEspecifica el número mínimo de caracteres que puede contener unacontraseña de una cuenta de usuario. El valor predeterminado es "6". Estoes un ejemplo de uso de esta opción:./BESAdmin.sh -setadvancedoptions -sitePvkLocation=LOCATION-sitePvkPassword=PASSWORD -update minimumPasswordLenth=9


enforcePasswordComplexitySi se establece en '1' o 'true', las contraseñas deben cumplir los siguientesrequisitos mínimos:v No pueden contener el nombre de la cuenta de usuario o partes del

nombre completo del usuario que excedan dos caracteres consecutivos.v Deben tener al menos seis caracteres de longitud.v Deben contener caracteres de tres de las cuatro categorías siguientes:

Caracteres en mayúsculas del inglés (de la A a la Z)Caracteres en minúsculas del inglés (de la a a la z)10 dígitos básicos (del 0 al 9)Caracteres no alfabéticos (por ejemplo, !, $, #, %)

Si especifica también el valor minimumPasswordLength, la longitudmínima de contraseña efectiva será el valor mayor de seis y el valor deminimumPasswordLength.

Los requisitos de complejidad se aplican cuando se cambian o crean lascontraseñas. El valor predeterminado es "0".



accountLockoutThresholdEspecifica el número incorrecto de intentos de inicio de sesión para unnombre de usuario antes de que la cuenta se bloquee duranteaccountLockoutDurationSeconds segundos. El valor predeterminado es"5".


accountLockoutDurationSecondsEspecifica el número de segundos que una cuenta se bloquea después deaccountLockoutThreshold intentos anómalos de inicio de sesión. El valorpredeterminado es "30".


Nota: Web Reports tiene controles de contraseña similares, pero deben establecersepor separado ('Usuarios'->" Opciones de usuario').

Opciones avanzadas para las restricciones de los destinos: Las opciones listadas en latabla siguiente sólo se aplican si las claves de registro correspondientes no seestablecen en las consolas o si las claves se establecen en los valorespredeterminados.

targetBySpecificListLimitEspecifica el número máximo de equipos que se pueden establecer comodestino en una selección individual.

targetBySpecificListWarningEspecifica el umbral para el número de equipos que se pueden establecercomo destino en una selección individual antes de que la consola muestreun mensaje de aviso.

targetByListSizeLimitEspecifica un número máximo de bytes que pueden suministrarse cuandose establecen los destinos mediante una lista textual de nombres desistemas.

Opciones avanzadas de autenticación: Utilice estos valores para gestionar lasautenticaciones de usuario en la consola.

loginTimeoutSecondsEspecifica la cantidad de tiempo de inactividad en segundos antes de quela consola requiera una nueva autenticación para realizar determinadasacciones. El temporizador se restablece cada vez que el usuario se vuelve aautenticar o realiza una acción que habría requerido una autenticación enel umbral de tiempo de inactividad. El valor predeterminado es cerocuando se actualiza desde un despliegue anterior a la versión 8.2, el valorpredeterminado es infinito en una instalación limpia de la versión 8.2 oposterior.

loginWarningBannerEspecifica el texto que se va a mostrar a cualquier usuario tras su inicio desesión en la consola o en Web Reports. El usuario debe pulsar Aceptarpara continuar. Esto es un ejemplo de uso de esta opción:./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk-sitePvkPassword=pippo000 -update loginWarningBanner=’new message’


timeoutLockMinutesEspecifica cuántos minutos de tiempo de inactividad deben transcurrir


antes de que la consola requiera una nueva autenticación. Este valor esdistinto de loginTimeoutSeconds porque timeoutLockMinutes oculta todala consola para evitar que otros usuarios lo vean o la utilicen. El tiempo deinactividad se refiere a la pérdida de cualquier tipo de entrada a la sesiónincluidas las teclas, pulsaciones y movimientos del ratón.


Nota: La opción avanzada mime no eficaz ya no está soportada por el servidor deIBM Endpoint Manager V9.2. Las acciones existentes continúan ejecutándose en losclientes, pero el servidor ya no puede generar acciones mime no eficaces.

Opciones avanzadas para personalizar la desinstalación de sistemas: De formapredeterminada, IBM Endpoint Manager no gestiona automáticamente los sistemasinactivos. Estos siguen apareciendo en las vistas de la consola, a menos que losmarque como suprimidos suprimiendo sus entradas en la vista de lista Sistemas, ysus datos se conservan siempre en la base de datos, ocupando tablas con datos noutilizados.

Puede modificar este comportamiento especificando opciones avanzadas quemarcan los sistemas inactivos como suprimidos, los ocultan en las vistas de laconsola y eliminan sus datos de la base de datos de IBM Endpoint Manager.

De esta forma las vistas de la consola sólo muestran los sistemas que respondieronal servidor de IBM Endpoint Manager dentro de un número de días especificado yla base de datos se ejecuta más rápidamente porque se puede liberar más espaciode disco.

Utilice las opciones siguientes para eliminar automáticamente sistemas de laconsola y suprimir sus datos de la base de datos:

inactiveComputerDeletionDaysEspecifica el número de días consecutivos que un sistema no responde alservidor de IBM Endpoint Manager antes de que se marque comosuprimido. Cuando el sistema responde de nuevo, el sistema ya no semarca como suprimido y aparece de nuevo una entrada para él en lasvistas de la consola. El valor predeterminado para esta opción es 0, quesignifica que los sistemas inactivos no se marcan nunca automáticamentecomo suprimidos.

inactiveComputerPurgeDaysEspecifica el número de días consecutivos que un sistema no responde alservidor de IBM Endpoint Manager antes de que sus datos se supriman dela base de datos de IBM Endpoint Manager. Cuando el sistema respondede nuevo, se le solicita que envíe una renovación completa para restaurarsus datos en la base de datos y ya no se marca como suprimido. El valorpredeterminado para esta opción es 0, que significa que los datos delsistema no se eliminan nunca automáticamente de la base de datos.

inactiveComputerPurgeBatchSizeCada día, IBM Endpoint Manager ejecuta una tarea interna que elimina dela base de datos los datos de los sistemas para los cuales ha transcurrido elperiodo indicado por inactiveComputerPurgeDays. La tarea suprime losdatos del sistema, incluido el nombre de host del equipo, contenidos enalmacenamientos intermedios para evitar una posible carga en la base dedatos. El valor inactiveComputerPurgeBatchSize especifica cuántossistemas se depuran en la base de datos en cada almacenamientointermedio. El valor predeterminado para esta opción es 1000. Si el equipo


vuelve a informar de lo mismo, la correlación con esta entrada en la basede datos se realiza utilizando el ID de sistema.

Nota: Especifique la opción inactiveComputerPurgeBatchSize si haasignado un valor distinto de 0 a inactiveComputerPurgeDays.

Otras opciones avanzadas: Utilice estas opciones para personalizar otros aspectos desu entorno de IBM Endpoint Manager.

includeSFIDsInBaselineActionsSi se ha establecido en "1", es necesario que la consola incluya los ID defixlet de origen cuando se emitan acciones de línea base. La emisión deestos ID no es compatible con los clientes de la versión 5.1.

defaultHiddenFixletSiteIDsEsta opción permite cambiar de forma selectiva la visibilidad del fixletpredeterminado según el sitio. Sólo entra en vigor cuando no se utiliza laocultación de fixlet global predeterminada. Especifique una lista separadapor comas de todos los ID de sitio que se deben ocultar de formapredeterminada. La lista de los ID de sitios se halla en la tablaSITENAMEMAP de la base de datos.

showSingleActionPrePostTabsSi se establece en "1", las fichas 'Script de pre-acción' y 'Script depost-acción' del diálogo de actuación aparecerán incluso en accionesindividuales.

propertyNamespaceDelimiterEspecifica el separador para las propiedades recuperadas. De formapredeterminada, las propiedades recuperadas se separan en espacios denombres mediante la secuencia de caracteres '::'. La secuencia de caracteresutilizada para indicar un separador puede cambiarse utilizando esta opciónde despliegue.

minimumConsoleRequirementsEspecifica los requisitos mínimos que deben cumplir las máquinas queejecutan la base de datos a la que está conectada la consola. Este valorconsta de una lista separada por comas de una de estas series de requisito,o más de una:

"RAM:<min MB MO ram>/<min MB NMO ram>"Requieres que la consola se ejecute en una máquina que tengaespecificada al menos la cantidad de RAM física. Se debenproporcionar dos valores distintos; uno para los operadoresmaestro y otro para los operadores no maestro. Ambos valoresdeben ser menores que 2^32. Por ejemplo, "RAM:2048/1024" .

"ClientApproval"Indica que el cliente de BES debe determinar si una máquinaresulta adecuada para el inicio de sesión. Una máquina seconsidera adecuada para realizar el inicio de sesión si uno de losvalores siguientes se ha especificado de forma local:v "moConsoleLoginAllowed"

v "nmoConsoleLoginAllowed"

La consola debe ejecutarse como una cuenta con permisos para leerlas claves de registro de clientes almacenadas enHKEY_LOCAL_MACHINE para iniciar la sesión cuando se utilizala opción "ClientApproval".


Esta opción se introdujo con IBM Endpoint Manager V6.0.12.

actionSiteDBQueryTimeoutSecsEspecifica durante cuánto tiempo se permite ejecutar consultas de base dedatos del sitio de acciones antes de la consola detenga la consulta (paraliberar su bloqueo de lectura y permitir los escritores de base de datos) y, acontinuación, reinicie la consulta donde se dejó. Si no se establece, el valorpredeterminado es 60 segundos. Si se establece en "0", las consultas de basede datos de sitio de acciones no consumen nunca el tiempo de espera.


usePre70ClientCompatibleMIMESi se establece en "true", la consola puede crear documentos MIME deacción que los clientes anteriores a la versión 7.0 pueden comprender. Deforma predeterminada, se establece en "true" para las actualizaciones y en"false" para las instalaciones nuevas.


disableRunningMessageTextLimitSi se establece un valor distinto de "0", los usuarios de la consola puedenespecificar más de 255 caracteres en el texto del mensaje en ejecución en eldiálogo de actuación.


useFourEyesAuthenticationSi se establece en "true", puede establecer los aprobadores para las accionesde usuario en el documento de usuario de la consola. El aprobador debeconfirmar la acción en la misma consola en la que el usuario ha iniciadosesión.


masterDatabaseServerIDDe forma predeterminada, la base de datos con el ID de servidor 0 es labase de datos maestra. Esta es la base de datos a la que BESAdmin se tieneque conectar. Utilice esta opción para cambiar la base de datos maestra auna máquina distinta.


enableWakeOnLANSi se establece en "1", la consola muestra la funcionalidad "pulsación con elbotón derecho en WakeOnLAN" en la lista de sistemas. De formapredeterminada, la funcionalidad no se muestra.


enableWakeDeepSleepSi se establece en "1", la consola muestra la funcionalidad "pulsación con elbotón derecho en Enviar solicitud de alerta a BESClient" en la lista deequipos. De forma predeterminada, la funcionalidad no se muestra.Durante el sueño profundo, todos los mensajes de UDP excepto estemensaje de encendido específico se ignoran.


requireConfirmActionSi se establece en "1", cada vez que se realiza una acción, aparece unaventana emergente de confirmación con un resumen de los detalles de laacción. La información que se lista en la ventana emergente es:


Título de la acciónPuntos finales estimados de destinoHora de inicioHora de finalización

En el resumen se lista la necesidad de realizar un reinicio o un cierretambién, si la acción lo requiere. De forma predeterminada, la ventana deconfirmación no se visualiza.


Replicación:

La cuarta ficha abre el cuadro de diálogo Replicación. Utilícelo para visualizar losservidores de replicación. Para obtener más información, consulte la Guía deconfiguración.

Cifrado:

La quinta ficha abre el cuadro de diálogo Cifrado. Utilice este diálogo si desea queel cliente cifre informes que se enviarán al servidor. Esto resulta útil si los informescontienen información confidencial. Puede utilizar este separador para generar unaclave de cifrado nueva o para inhabilitar todo el cifrado.

Si pulsa Generar clave, el servidor crea una clave pública y una clave privada. Laclave privada se almacena en la base de datos del servidor. La clave pública sealmacena en el sitio de encabezado maestro. En cuanto los clientes reciben el sitiode encabezado maestro, empiezan a cifrar los informes con la clave pública. En elservidor, los informes se descifran utilizando la clave privada.

Si ha configurado su entorno de forma que los retransmisores de nivel superior sehallen en una ubicación segura respecto al servidor, puede delegar laresponsabilidad para descifrar informes en los retransmisores con el fin de reducirla carga de trabajo en el servidor. Es la lista de pasos que se deben ejecutar sidesea llevar a cabo esta configuración:1. En la ficha Cifrado, genere el par de claves, pública y privada, en el servidor.2. Copie manualmente la clave privada en los retransmisores para delegar el

descifrado.3. En la ficha Seguridad, pulse Habilitar cifrado ampliado. Después de pulsar ese

botón, el sitio de encabezado maestro se envía a través de la red de IBMEndpoint Manager y los clientes empiezan a cifrar informes con la clavepúbica.

4. Cuando un retransmisor que tiene la clave privada recibe los informes cifrados,los descifra y los reenvía en texto simple al servidor.

Para obtener más información acerca del cifrado de clientes, consulte en la Guía deconfiguración.


Seguridad:

Pulse el sexto separador para abrir el diálogo Seguridad .

Pulse el botón Habilitar seguridad mejorada para adoptar el algoritmo deresumen criptográfico SHA-256 para todas las firmas digitales, así como para laverificación de contenido, y para utilizar el protocolo TLS 1.2 para lascomunicaciones entre los componentes de Endpoint Manager.

Para habilitar SHA-256 asegúrese de que se cumplan las condiciones siguientes:v Se haya recopilado la licencia actualizada.v Si ha configurado una DSA (Disaster Server Architecture) en su entorno IBM

Endpoint Manager, asegúrese de que la herramienta de administración se ejecuteen todos los servidores secundarios de la configuración de DSA que todavía noutilicen SHA-256.

v Anule la suscripción de todos los sitios externos que no admitan SHA-256.

Nota: Si utiliza este valor, puede romper la compatibilidad con las versionesanteriores porque los componentes de IBM Endpoint Manager versión 9.0 oanteriores no pueden comunicarse con el servidor o los retransmisores de IBMEndpoint Manager versión 9.2.

Nota: Cuando inhabilita la modalidad de seguridad mejorada, el servicioBESRootServer no puede reiniciarse automáticamente. Para resolver el problema,reinicie el servicio manualmente.

El botón Requerir descargas de SHA-256 está inhabilitado hasta que pulsa elbotón Habilitar seguridad mejorada. Pulse el botón Requerir descargas deSHA-256 para cambiar la verificación de todas las descargas para que se utilicesólo el algoritmo de SHA-256. Las acciones personalizadas existentes deberáneditarse para ajustarse a la sintaxis del script de acción de captación previaactualizada para V9.1 y posteriores.


Nota: Si no selecciona esta opción, la comprobación de integridad de la descargade archivos se ejecuta utilizando el algoritmo SHA-1.

Si pulsa Habilitar la seguridad mejorada sin seleccionar Requerir descargas deSHA-256, se utilizará el algoritmo SHA-256 para firmas digitales y para laverificación de contenido, el protocolo TLS 1.2 se utilizará para las comunicacionesentre los componentes de Endpoint Manager pero seguirá pudiendo descargarcontenido SHA-1 de los sitios externos.

Para obtener más información sobre la seguridad mejorada de IBM EndpointManager, la configuración de seguridad soportada y la evaluación de requisitos deseguridad ampliados, consulte Capítulo 4, “Escenarios de configuración deseguridad”, en la página 27.

Mandatos adicionales de administración

La instalación descarga automáticamente el programa Herramienta deadministración de IBM Endpoint Manager, BESAdmin.exe, en el directorio %PROGRAMFILES%\BigFix Enterprise\BES Server.

Puede ejecutar el script BESAdmin.exe para llevar a cabo operaciones adicionales.Para ejecutar este script desde el indicador de mandatos, utilice el siguientemandato:.\BESAdmin.exe /servicio { argumentos}

donde servicio puede ser uno de los siguientes:converttoldapoperatorscreateuserdeleteuseredituserfindinvalidsignaturesresignsecuritydatarotateserversigningkeysetproxyupdatepassword

Nota: La notación <vía+licencia.pvk> utilizada en la sintaxis del mandato en estetema equivale a vía_acceso_de_archivo_de_licencia/license.pvk.

Cada servicio tiene los argumentos siguientes:

converttoldapoperatorsPuede convertir los operadores locales en operadores LDAP, para que puedaniniciar sesión con sus credenciales LDAP. De forma opcional, puede utilizar elargumento -mappingFile para especificar un archivo, el archivo decorrelaciones, donde cada línea tiene el nombre del usuario que se va aconvertir, seguido de una tabulación, seguido del nombres del usuario enLDAP/AD. Especifique el nombre utilizando el mismo formato que utilizará elusuario para iniciar sesión en la consola, dominio\usuario, usuario@dominio ousuario. Si no especifica ningún archivo de correlaciones, todos los usuarios seconvertirán asumiendo que su nombre en LDAP/AD es el mismo que sunombre de usuario local.

La sintaxis para ejecutar este servicio es:.\BESAdmin.exe /convertToLDAPOperators [/mappingFile:<archivo>]

createuserPuede crear cuentas para operadores que accedan a la Consola.

La sintaxis para ejecutar este servicio es:


.\BESAdmin.exe /createUser:<UserName>/userPassword:<contraseña_usuario>/masterOp:<yes|no>/customContent:<yes|no>/showotherusersactions:<yes|no>/unmanagedAssetPrivilege:<all|none|scanpoint>

De forma opcional, puede especificar los parámetros siguientes:

masterOpEspecifica si el usuario es un operador maestro. El valorpredeterminado es no. Puede especificar el parámetro edituser paramodificar las operaciones permitidas del usuario.

customContentEspecifica si el usuario puede crear contenido personalizado. El valorpredeterminado es yes.

showotherusersactionsEspecifica si el usuario puede ver acciones de otros usuarios queafecten a los sistemas que él gestiona. El valor predeterminado es yes.

unmanagedAssetPrivilegeDefine qué activos no gestionados puede ver el usuario. El valorpredeterminado es mostrar todo.

deleteuserPuede marcar como suprimido un operador no maestro. Cuando ejecute estemandato, la instancia del operador se eliminará de la base de datos pero elcontenido que ha creado el operador no se eliminará.

La sintaxis para ejecutar este servicio es:.\BESAdmin.exe/deleteUser:<nombre_usuario>

editUser

La sintaxis para ejecutar este servicio es:.\BESAdmin.exe /editUser:<nombre_usuario>/loginPermission:<always|never|role>/customContent:<yes|no>/showOtherUsersActions:<yes|no>/unmanagedAssetPrivilege:<all|none|scanpoint>

Puede especificar los mismos parámetros admitidos para createUser, una partede masterOp que solamente admite createUser, y loginPermission quesolamente admite editUser y que tiene el comportamiento siguiente:

loginPermissionEspecifica cuándo puede iniciar sesión el usuario. El valorpredeterminado es always que significa que el usuario siempre puedeiniciar sesión. El valor never significa que el usuario no puede iniciarsesión. El valor role significa que el usuario puede iniciar sesión si esmiembro de un rol. Este parámetro se utiliza para inhabilitar el iniciode sesión de operadores o para asignar un rol a un grupo LDAP ypermitir que cualquiera del grupo LDAP pueda iniciar sesión.

findinvalidsignaturesPuede comprobar las firmas de los objetos en la base de datos especificandoestos parámetros:

-resignInvalidSignatures (optional)Intenta reasignar las firmas no válidas que encuentra BESAdmin.


-deleteInvalidlySignedContent (optional)Suprime el contenido con firmas no válidas.

Para obtener más información sobre las firmas no válidas, consultehttp://www-01.ibm.com/support/docview.wss?uid=swg21587965.

La sintaxis para ejecutar este servicio es:.\BESAdmin.exe /findinvalidsignatures[ /resignInvalidSignatures | /deleteInvalidlySignedContent ]

updatepassword

Puede modificar la contraseña utilizada para la autenticación por loscomponentes del producto en configuraciones específicas.

La sintaxis para ejecutar este servicio es:.\BESAdmin.exe /updatepassword /type=<server_db|dsa_db>[/password=<contraseña>] /sitePvkLocation=<vía+license.pvk>[/sitePvkPassword=<contraseña_pvk>]

donde:

type=server_dbEspecifique este valor para actualizar la contraseña utilizada por elservidor para autenticarse con la base de datos.

type=dsa_dbEspecifique este valor para actualizar la contraseña utilizada en unaconfiguración DSA por un servidor para autenticarse con la base dedatos .

Los valores /password y /sitePvkPassword son opcionales; si no se especificanen la sintaxis del mandato, su valor se solicita de forma interactiva en tiempode ejecución. La contraseña establecida por este mandato se oculta.

resignsecuritydataDebe reasignar el contenido de todos los usuarios en la base de datosescribiendo el mandato siguiente:./BESAdmin -resignSecurityData

si obtiene uno de los errores siguientes:class SignedDataVerificationFailureHTTP Error 18: Se ha producido un error desconocido al transferir datos delservidor

cuando intente iniciar sesión en la consola de Endpoint Manager. Este mandatoreasigna datos de seguridad utilizando el archivo de claves existente. Tambiénpuede especificar el parámetro siguiente:/mastheadLocation=<vía+/actionsite.afxm>

La sintaxis completa para ejecutar este servicio es:.\BESAdmin.exe /resignsecuritydata /sitePvkLocation=<vía+license.pvk>[ /sitePvkPassword=<contraseña> ] /mastheadLocation=<vía+/actionsite.afxm>

rotateserversigningkeyPuede rotar la clave privada del servidor para que la clave en el sistema dearchivos coincida con la clave en la base de datos. El mandato crea una clavede firma de servidor nueva, reasigna todo el contenido existente utilizando laclave nueva y revoca la clave antigua.


|

||

|

|||

|

|||

||||

|||


La sintaxis para ejecutar este servicio es:.\BESAdmin.exe /rotateserversigningkey /sitePvkLocation=<vía+license.pvk>[ /sitePvkPassword=<contraseña> ]

setproxySi su empresa utiliza un proxy para acceder a Internet, debe establecer unaconexión proxy para que el servidor de IBM Endpoint Manager puedarecopilar contenido de los sitios así como para realizar una comunicación decomponente a componente o para descargar archivos.

Para obtener información sobre cómo ejecutar el mandato y sobre los valorespara utilizar cada argumento, consulte “Establecimiento de una conexión proxyen el servidor” en la página 175.

Eliminación del servidor primario en sistemas WindowsPara desinstalar el servidor de IBM Endpoint Manager, debe eliminar loscomponentes de servidor, cliente y Web Reports, así como las bases de datosrelacionadas.

Para desinstalar el servidor primario en sistemas Windows, siga estos pasos:1. Descargue el programa de utilidad BESRemove.exe de TEM Remove Utility.2. Efectúe una doble pulsación en BESRemove.exe para ejecutar el programa de

utilidad.

Nota: El programa de utilidad BESRemove.exe no elimina la instancia deMicrosoft SQL Server 2005 que se ha instalado con IBM Endpoint ManagerV9.2.

Desinstalación de un servidor de replicación de Windows

Para desinstalar un servidor de replicación, llame al procedimiento almacenado enla base de datos delete_replication_server, con el que se elimina el identificadorespecificado del conjunto de replicación. Procure no eliminar el servidorequivocado, ya que podría bloquearse a sí mismo. Los detalles de esteprocedimiento no están dentro del propósito de la presente guía, pero básicamenteconsiste en iniciar sesión en la base de datos con SQL Server Management Studio.Se puede llamar al procedimiento con expresiones como la siguiente:call dbo.delete_replication_server(n)

donde n es el identificador del servidor que se va a suprimir.

Los pasos para desinstalar completamente el servidor están fuera del ámbito deesta guía, pero el procedimiento completo está disponible en el siguiente artículode la base de conocimientos: Cómo desinstalar un servidor DSA secundario desdela Herramienta de administración de TEM.


https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Utilities



Capítulo 9. Instalación en sistemas Linux

Tras comprender los términos y los roles administrativas, está preparado paraobtener autorizaciones e instalar los programas.

Como IBM Endpoint Manager es muy potente, es posible que desee limitar elacceso sólo a personal de confianza y autorizado. El programa depende de unrepositorio central de acciones de Fixlet denominado sitio de acciones, que usa elcifrado de clave pública/privada para proteger contra la suplantación de identidady otros usos no autorizados. Para empezar, necesita la autorización de IBM. Paraello, obtenga un archivo de autorización de licencia, que tendrá un nombreparecido a NombreCompañía.BESLicenseAuthorization.

El programa de instalación recopila más información sobre la implementación ydespués crea un archivo denominado encabezado del sitio de acciones. Estearchivo establece una cadena de autoridad desde la raíz de IBM Endpoint Managerhacia los operadores de la consola en la organización. El encabezado combina lainformación de configuración y de licencia junto con una clave pública utilizadapara verificar las firmas digitales.

Instalación y configuración de DB2

Dependiendo de la versión de DB2 que desee instalar, instale DB2 antes de realizarla instalación del servidor Endpoint Manager o a la vez:v DB2 V10.5 Enterprise Server Edition: si desea instalar Enterprise Server Edition,

debe instalar esta versión de DB2 antes de instalar el servidor EndpointManager. Instálela en la estación de trabajo local donde desee instalar el servidorEndpoint Manager o en una estación de trabajo remota. Para obtenerinformación sobre cómo instalar y verificar la instalación del servidor DB2 enRed Hat Enterprise Linux Server de 64 bits, consulte Servidores de DB2 y clientesdel servidor de datos de IBM. Antes de realizar la instalación del servidor EndpointManager asegúrese de que DB2 V10.5 Enterprise Server Edition se hayainstalado e iniciado tal como se indica a continuación:– Si DB2 V10.5 Enterprise Server Edition se ha instalado de forma local:

1. Conmute al usuario local de DB2 Administrative (valor predeterminado:db2inst1) ejecutando el mandato siguiente:su – db2inst1

2. Verifique que la instancia de DB2 esté activa ejecutando el mandatodb2start. Si la instancia de DB2 se está ejecutando, obtendrá este mensaje:SQL1026N The database manager is already active

de lo contrario, la instancia de DB2 se iniciará. También puede verificarlocomprobando que el proceso de db2sysc esté activo con el siguientemandato:ps -ef | grep db2sysc

– Si DB2 V10.5 Enterprise Server Edition se ha instalado de forma remota:1. Instale un cliente de DB2 10.5 localmente y conéctelo al servidor de DB2

10.5 instalado en la estación de trabajo remota. No se necesitanconfiguraciones de DB2 adicionales (por ejemplo, el catálogo de la base dedatos remota). Para instalar el cliente DB2, puede ejecutar el asistente de


http://pic.dhe.ibm.com/infocenter/db2luw/v10r5/topic/com.ibm.db2.luw.qb.server.doc/doc/c0024080.html

http://pic.dhe.ibm.com/infocenter/db2luw/v10r5/topic/com.ibm.db2.luw.qb.server.doc/doc/c0024080.html

instalación o la instalación silenciosa con un archivo de respuestas. Paraobtener información adicional, consulte Métodos de instalación para losclientes del servidor de datos de IBM.

2. En la DB2 remota, asegúrese de que el servidor administrativo de DB2db2admin se haya iniciado para habilitar la administración remota. Parainiciar db2admin, ejecute los siguientes mandatos:# su – dasusr1# $ db2admin start

v DB2 V10.5 Workgroup Server Edition: esta es la versión de DB2 incluida en elpaquete de instalación de Endpoint Manager. Dependiendo del paquete deinstalación de Endpoint Manager que descargue, puede instalar esta versión deDB2 antes de instalar el servidor Endpoint Manager siguiendo los pasosanteriores o junto con la instalación del servidor Endpoint Manager trasdescargarla. Se descarga a la estación de trabajo local donde desea instalar elservidor Endpoint Manager. Durante la instalación del servidor EndpointManager, debe proporcionar la información siguiente:

Ubicación de configuración de DB2La vía de acceso donde ha descargado DB2. El valor predeterminado es../wser/db2setup.

Contraseña del usuario administrativo de DB2La contraseña del usuario administrativo de DB2.

El programa de instalación del servidor de Endpoint Manager realiza todos lospasos necesarios para configurar DB2.

Para obtener información sobre los requisitos de base de datos, consulte Requisitosde instalación para productos de base de datos DB2 y “Requisitos de base de datos” enla página 22.

Pasos de instalación

Para instalar el servidor de Endpoint Manager, siga estos pasos:1. Descargue IBM Endpoint Manager.2. Instale el servidor utilizando el archivo de autorización de licencia

(*.BESLicenseAuthorization) que ha creado en el Centro de claves de licenciao, en el caso de una evaluación Prueba de concepto, proporcionado por surepresentante de IBM Technical Sales. Durante la instalación, solicita la licenciay crea el archivo de encabezado.

Nota: Antes de ejecutar la instalación, asegúrese de que DB2 esté activo y enejecución.

3. Asegúrese de que la instalación se ha completado correctamente.

Paso 1 - Descarga de IBM Endpoint Manager

Descargue IBM Endpoint Manager del portal IBM Passport Advantage.

También puede descargar IBM Endpoint Manager del sitio de soporte enhttp://support.bigfix.com/bes/install/downloadbes.html o del sitio de prueba deDeveloperWorks en http://www.ibm.com/developerworks/downloads/tiv/endpoint/. El instalador de prueba de demostración es el mismo programa deinstalador de una instalación de producción normal.




http://pic.dhe.ibm.com/infocenter/db2luw/v10r5/topic/com.ibm.db2.luw.qb.server.doc/doc/r0025127.html

http://pic.dhe.ibm.com/infocenter/db2luw/v10r5/topic/com.ibm.db2.luw.qb.server.doc/doc/r0025127.html




Para instalar el componente de servidor, descargue las siguientes imágeneselectrónicas de Passport Advantage:

Tabla 3. Componentes necesarios para instalar el servidor de Endpoint Manager

Nombre de softwareNúmero depieza Imagen

IBM Endpoint Manager PlatformInstall, versión 9.2.0 forMultiplatform Multilingual

CN4SQML IEM_Pltfrm_Install_V92.zip

IBM Endpoint Manager PlatformInstall versión 9.2.0 for Linux andDB2 Multilingual

CN4SRML IEM_Pltfrm_Install_V92_Lnx_DB2.tgz

Para extraer los archivos de instalación del servidor de Linux de EndpointManager, siga estos pasos:1. Copie el archivo zip comprimido del servidor de Endpoint Manager IBM

Endpoint Manager 9.2.0.xxx.zip en su servidor Linux.2. Expanda el archivo zip comprimido utilizando el siguiente mandato:

unzip "IEM_Pltfrm_Install_V92.zip"

3. Desde la carpeta linux_server, expanda el archivoServerInstaller_9.2.0.xxx-rhe6.x86_64.tgz en su servidor Red HatEnterprise Linux utilizando el mandato siguiente:tar -zxvf ServerInstaller_9.2.0.xxx-rhe6.x86_64.tgz

Puede encontrar el archivo install.sh para instalar el servidor Linux en lacarpeta ServerInstaller_9.2.0.xxx-rhe6.x86_64.

Para extraer los archivos de instalación del servidor de Linux de EndpointManager junto con DB2, siga estos pasos:1. Copie el archivo tar IEM_Pltfrm_Install_V92_Lnx_DB2.tgz en el servidor de

Linux.2. Expanda el archivo comprimido utilizando el siguiente mandato:

tar -zxvf IEM_Pltfrm_Install_V92_Lnx_DB2.tgz

3. Cuando expanda la imagen IEM_Pltfrm_Install_V92_Lnx_DB2.tgz, tiene laimagen de DB2, v10.5fp3_linuxx64_server_r.tar.gz en la carpetaIEM-9.2.0.xxx-Linux-DB2, del sistema. Para instalar el servidor Linux y elservidor de DB2, ejecute el mandato install.sh desde la carpetaServerInstaller_9.2.0.xxx-rhe6.x86_64.

Nota: No expanda el archivo v10.5fp3_linuxx64_server_r.tar.gz, ya que elmandato install.sh busca el archivado de DB2 *.gz.

Paso 2 - Instalación del servidor

Antes de ejecutar la instalación, para asegurarse de que tiene todos los requisitosprevios, consulte “Requisitos del servidor” en la página 20.

Nota: El programa de instalación instala todos los requisitos previos utilizandoYum. Para obtener información sobre cómo configurar Yum y los repositorios deYum, consulte Configuración de Yum y de los repositorios de Yum.

Para instalar el servidor de Endpoint Manager en su entorno de producción, sigaestos pasos:

Capítulo 9. Instalación en sistemas Linux 101

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sec-Configuring_Yum_and_Yum_Repositories.html

1. En el shell donde ha extraído el paquete del servidor, vaya al directorio deinstalación ServerInstaller_9.2.0.363-rhe6.x86_64 y especifique el mandatosiguiente:./install.sh

2. Después de leer el acuerdo de licencia, especifique 1 para aceptarlo ycontinuar.

3. Para instalar la producción, especifique 2:Seleccione el tipo de instalación[1] Evaluación: Solicitar una licencia de evaluación gratuita de IBM Corp.Esta licencia permite instalar una copia plenamente funcional deIBM Endpoint Manager en hasta 30 clientes durante un periodo de 30 días.[2] Producción: Instalar utilizando una licencia de producción o unaautorización para una licencia de producción.Elija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

Nota: Si especifica 1 para ejecutar la instalación de evaluación, tenga encuenta que este tipo de instalación no da soporte a la opción de seguridadmejorada. Para obtener más información sobre esta característica, consulteCapítulo 4, “Escenarios de configuración de seguridad”, en la página 27.

4. Seleccione 1 si desea instalar todos los componentes:Seleccione las características de IBM Endpoint Manager que desee instalar:[1] Todos los componentes (servidor, cliente y WebReports)[2] Solamente el servidor y el cliente[3] Solamente WebReportsElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

5. Especifique 1 para crear una base de datos maestra para su posteriorreplicación o una base de datos individual si sólo necesita una base de datosen el despliegue.Seleccione la replicación de la base de datos:[1] Base de datos individual o maestra[2] Base de datos replicadaElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

Si especifica 2, crea una réplica de un maestro existente. Para obtener másinformación, consulte la Guía de configuración de IBM Endpoint Manager.

6. Para utilizar la base de datos local, especifique 1:Seleccione la base de datos:[1] Utilizar base de datos local[2] Utilizar base de datos remotaElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

El nombre de la base de datos local del servidor de Endpoint Manager esBFENT. El nombre de la base de datos local de Web Reports es BESREPOR.

Nota: Para utilizar una base de datos externa para IBM Endpoint Manager,siga estos pasos:a. Instale el servidor de DB2 en la estación de trabajo remota.b. Instale un cliente de DB2 en la estación de trabajo donde se ejecuta la

instalación del servidor de Endpoint Managerc. Conecte el servidor de DB2 al cliente de DB2 instalado en la estación de

trabajo donde se ejecuta la instalación, es decir, el puerto de la base de


datos DB2 (el valor predeterminado es 50000) debe ser accesible para laestación de trabajo donde se ejecuta la instalación.

d. Proporcione la información siguiente en el procedimiento de instalación:1) el nodo DB2 remoto2) el número de puerto de DB23) el nombre de usuario del propietario de la instancia de DB2 local

7. Especifique la ubicación donde se almacenan los archivos descargados paralos clientes:Elija la carpeta raíz del servidor web:Especifique la ubicación de carpeta raíz del servidor web opulse <Intro> para aceptar el valor predeterminado: /var/opt/BESServer

8. Escriba la ubicación donde el servidor de WebReports almacena sus archivos:Elija la carpeta raíz del servidor de WebReports:Especifique la ubicación de carpeta raíz del servidor de WebReports opulse <Intro> para aceptar el valor predeterminado:/var/opt/BESWebReportsServer

9. Escriba el número de puerto del servidor de WebReports:Elija el número de puerto del servidor de WebReports:Especifique el número de puerto o pulse <Intro> para aceptar elvalor predeterminado: 80

El valor predeterminado es 80.

Nota: Si está instalando la versión 9.2.5 de Endpoint Manager, el valorpredeterminado es 8080. Si está actualizando a la versión 9.2.5 de EndpointManager, el valor predeterminado sigue siendo 80.

10. Si está instalando la versión 9.2.5 de Endpoint Manager, puede especificar unnombre de instancia de DB2 que utiliza Endpoint Manager y que sea distintadel nombre de usuario de DB2.Especifique el nombre de la instancia de DB2 que desee utilizar opulse <Intro> para aceptar el valor predeterminado: db2inst1

11. Especifique el nombre del usuario administrativo local de DB2. El valorpredeterminado es db2inst1.

12. Especifique la contraseña del usuario administrativo local de DB2.13. Especifique la configuración de la instancia de DB2.14. Especifique el ID de usuario y la contraseña para definir el usuario

administrativo de IBM Endpoint Manager. El nombre de usuariopredeterminado es: IEMAdmin.

15. Si el cortafuegos local se está ejecutando, el programa de instalación le solicitaque especifique la configuración del cortafuegos local.

16. Para ejecutar la instalación utilizando un archivo de autorización de licenciade BES, especifique 1.Elija el tipo de configuración que mejor se adapte a sus necesidades:[1] Deseo realizar la instalación con un archivo de autorización de licencia

de BES[2] Deseo realizar la instalación con una licencia de producción que ya tengo[3] Deseo realizar la instalación con un encabezado existente

Nota: Si ya ha ejecutado una primera instalación, o parte de ella, puedeespecificar la opción 2 o 3, con una licencia de producción existente(license.crt, license.pvk) o un encabezado existente(masthead.afxm), yejecute sólo algunos de los pasos de instalación.


17. Especifique si debe utilizarse un proxy para comunicarse a través de Interneta sitios de contenido externo o a subredes de Endpoint Manager.

18. Si el entorno necesita utilizar un proxy, especifique el nombre de host o ladirección IP del proxy y, opcionalmente, el número de puerto.

19. El procedimiento de instalación muestra los valores de configuraciónpredeterminados:Proxy user: noneProxy password:noneCapacidad de encapsulamiento de paquetes del proxy: deje que el proxydecidaMétodo de autenticación : todos los métodos permitidos por el proxyProxy exception list: localhost,127.0.0.1Use the for downstream notification: false

20. Puede aceptar los valores predeterminados o, como alternativa, puede asignarvalores diferentes. Estos son los tres valores que puede especificar:####################Número de puerto del servidorEspecifique el puerto del servidor o pulse <Intro> para aceptar elvalor predeterminado: 52311####################Habilite el uso de la criptografía compatible con FIPS 140-2[1] Uso de FIPS habilitado[2] Uso de FIPS inhabilitadoElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado : [2]####################Intervalo de recopilaciónEspecifique el intervalo de tiempo que desee utilizar. El valorpredeterminado es adecuado para la mayoría de los despliegues de IBMEndpoint Manager. [1] Quince minutos[2] Media hora[3] Una hora[4] Ocho horas[5] Medio día[6] Un día[7] Dos días[8] Una semana[9] Dos semanas[10] Un mes[11] Dos mesesElija una de las opciones anteriores o pulse <Intro>para aceptar el valor predeterminado: [6]

####################Bloqueo de acción inicial[1] Bloqueado[2] Duración del bloqueo[3] DesbloqueadoElija una de las opciones anteriores o pulse<Intro> para aceptar el valor predeterminado: [3]####################Controlador de bloqueo de acción[1] Consola[2] Cliente[3] NadieElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

####################Habilitar exenciones de bloqueo[1] Exención de bloqueo habilitada (poco usual)[2] Exención de bloqueo inhabilitadaElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado : [2]####################Habilitar el uso de nombres de archivos Unicode en los archivados


|||||||

[1] El uso de nombres de archivos Unicode en los archivados estáhabilitado.

[2] El uso de nombres de archivos Unicode en los archivados estáinhabilitado.

Elija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]

Consulte “Establecimiento de una conexión proxy en el servidor” en la página175 para obtener información detallada sobre los valores soportados y su uso.

Nota: Si desea habilitar el modo FIPS, asegúrese de que la configuración delproxy se haya definido para que utilice un método de autenticación distintode digest, negotiate o ntlm.

Nota: Si especifica que se utilice el método de autenticación negotiate en unservidor o retransmisor, puede utilizarse un método de autenticación distinto.

Nota: La configuración del proxy especificada durante la instalación seguarda en el archivo de configuración del servidor BESServer.config y seutiliza también en el momento de la ejecución.

21. Opcionalmente, puede probar si la conexión con el proxy se puede establecersatisfactoriamente. En particular, puede seleccionar:[1] Probar la conexión[2] Probar la conexión utilizando FIPS[3] No probar la conexión

22. Si ha seleccionado la opción 1 en el paso 15, especifique dónde está situado elarchivo de autorización de licencia generado:Ubicación de la autorización de licenciaEspecifique la ubicación del archivo de autorización de licencia que harecibido de IBM o pulse <Intro> para aceptar el valor predeterminado:./license/LicenseAuthorization.BESLicenseAuthorization

23. Especifique el nombre DNS o la dirección IP de la máquina en la que instalarel servidor. Este nombre se guarda en la licencia y los clientes lo utilizaránpara identificar el servidor de Endpoint Manager. No se puede cambiardespués de crear una licencia.

24. Especifique la correspondiente contraseña de clave privada del administradordel sitio web.

25. Especifique el tamaño en bits de la clave utilizada para cifrar las credenciales:Nivel de tamaño de claveProporcione el tamaño de clave que desee utilizar:[1] Nivel ’mínimo’ (2048 bits)[2] Nivel ’máximo’ (4096 bits)Elija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [2]

26. Especifique la carpeta License donde la instalación genera y guardalicense.crt, license.pvk y masthead.afxm.Elija la carpeta License:Especifique una carpeta para la clave privada (license.pvk), el certificado delicencia (license.crt) y el encabezado del sitio (masthead.afxm), o pulse<Intro> para aceptar el valor predeterminado: ./license

27. Después de especificar dónde desea guardar los archivos que se debengenerar, puede enviar la solicitud a IBM para obtener el certificado de licencia.Elija una de las opciones siguientes, dependiendo de si la máquina estáconectada a Internet:[1] Transmitir la solicitud desde este equipo a través de Internet. La

solicitud se canjeará por un certificado de licencia (license.crt)y se guardará en la carpeta de credenciales.


|||

||

|||

[2] Guardar la solicitud en un archivo y enviarlo a IBM al URL:’http://support.bigfix.com/bes/forms/BESLicenseRequestHandler.html’.Este método puede ser necesario si el despliegue está aisladode la Internet pública.

Si elige 1, puede continuar con el siguiente paso de instalación.Si elige 2, se genera la solicitud request.BESLicenseRequest. Puede continuarla instalación importando el certificado que especifica ubicación del certificadode licencia (por ejemplo: ./license/license.crt) o salir de la instalación yvolver a ejecutarla más adelante, tal como se describe en el procedimiento deinstalación:Información: El siguiente archivo de solicitud de licencia se ha generadosatisfactoriamente:./license/request.BESLicenseRequest####################Importar certificado de licencia[1] Continuar con la instalación e importar el certificado (license.crt).[2] Salir de la instalación. Importaré el certificado más adelante.

Si sale de la instalación, puede volver a ejecutar ./install.sh más adelante yrepetir todos los pasos especificando que desea utilizar la licencia generadacon la opción 2:Elija el tipo de configuración que mejor se adapte a sus necesidades:[1] Deseo realizar la instalación con un archivo de autorización de licencia

de BES[2] Deseo realizar la instalación con una licencia de producción que ya tengo[3] Deseo realizar la instalación con un encabezado existente

Para importar los archivos, debe especificar el archivo de certificado delicencia (./license/license.crt) y la clave privada del administrador del sitio(./license/license.pvk) para administrar la base de datos:Ubicación del certificado de licenciaEspecifique la ubicación del archivo de certificado de licencia opulse <Intro> para aceptar el valor predeterminado:./license/license.crtClave privada del administrador del sitio:Especifique el archivo de clave de firma a nivel de sitio (license.pvk)para la base de datos que desee administrar o pulse <Intro> paraaceptar el valor predeterminado: ./license/license.pvk

28. Acepte los valores de encabezado predeterminados:Número de puerto del servidor: 52311Uso de la criptografía compatible con FIPS 140-2: InhabilitadoIntervalo de recopilación: Un díaBloqueo de acción inicial: DesbloqueadoControlador de bloqueo de acción: ConsolaExenciones de bloqueo de acción: InhabilitadoNombres de archivo Unicode en archivados: Habilitado

o cámbielos especificando 2:[1] Utilizar valores predeterminados[2] Utilizar valores personalizados

Puede cambiar los parámetros de encabezado siguientes:

Número de puerto de servidorEspecifique el número de puerto del servidor. El valor predeterminadoes: 52311.


Nota: No utilice el número de puerto 52314 para la comunicación deredes entre los componentes de Endpoint Manager porque estáreservado para los agentes proxy.

Habilitar el uso de la criptografía compatible con FIPS 140-2Utilice este valor para especificar si se debe ser compatible con FIPS(Federal Information Processing Standard) en la red. Especifique 1para habilitarlo y 2 para inhabilitarlo. El valor predeterminado es 2.

Nota: La habilitación de la modalidad FIPS impide la utilización dealgunos métodos de autenticación cuando se conecta a un proxy. Si hadecidido utilizar un proxy para acceder a Internet o para comunicarsecon los subcomponentes de IBM Endpoint Manager, asegúrese deseleccionar un método de autenticación distinto de digest, negotiateo ntlm.

Intervalo de recopilaciónEsta opción determina durante cuánto tiempo debe esperar el clientesi no recibe información del servidor antes de comprobar si hay nuevocontenido disponible. Especifique el intervalo de tiempo que deseautilizar especificando uno de los siguientes valores:[1] Quince minutos[2] Media hora[3] Una hora[4] Ocho horas[5] Medio día[6] Un día[7] Dos días[8] Una semana[9] Dos semanas[10] Un mes[11] Dos meses

El valor predeterminado es: 6 (un día).

Bloqueo de acción inicialPuede especificar el estado de bloqueo inicial de todos los clientes, sidesea bloquear un cliente automáticamente después de la instalación.Los clientes bloqueados informan de los mensajes de Fixlet que sonrelevantes para ellos, pero no aplican ninguna acción. El valorpredeterminado es dejarlos desbloqueados y bloquear clientesespecíficos posteriormente. Puede seleccionar uno de los valoressiguientes:[1] Bloqueado[2] Duración del bloqueo[3] Desbloqueado

El valor predeterminado es: 3 (desbloqueado).

Controlador de bloqueo de acciónEste parámetro determina quién puede cambiar el estado de bloqueode acciones. Puede seleccionar uno de los valores siguientes:[1] Cliente[2] Consola[3] Nadie

Habilitar exenciones de bloqueoEn casos excepcionales, es posible que desee eximir a una dirección


||||||

URL concreta de cualquier acción de bloqueo. Este valor le permitehabilitar o inhabilitar esta función. Puede seleccionar uno de losvalores siguientes:[1] Exención de bloqueo habilitada (poco usual)[2] Exención de bloqueo inhabilitada

El valor predeterminado es 2 (inhabilitar exención de bloqueo).

Habilitar el uso de nombres de archivos Unicode en los archivadosEste valor especifica la página de códigos utilizado para escribirnombres de archivo en los archivados de IBM Endpoint Manager.Puede seleccionar uno de los valores siguientes:[1] El uso de nombres de archivos Unicode en los archivados está

habilitado.[2] El uso de nombres de archivos Unicode en los archivados está

inhabilitado.

Si ha seleccionado 1 en el paso anterior, ahora ha creado los archivos delicencia (archivos license.pvk y license.crt). Después de este paso, se crea elarchivo masthead.afxm con los parámetros especificados.

29. Especifique el número de puerto de la conexión de DB2 para crear la instanciade DB2:####################Conexión de DB2:Especifique el número de puerto de DB2 o pulse <Intro> para aceptar el valorpredeterminado: 50000

30. El programa de instalación comprueba si ya hay instalada una instancia deDB2. Si está instalada, vaya al paso 5 en la página 102.Si no se detecta la base de datos, especifique 1 para especificar el paquete dedescarga DB2 e instalarlo:####################Comprobación de instalación de DB2El instalador no detecta DB2 como instalada en el sistema. Determine cuálesde las siguientes opciones se corresponde con su instalación:[1] DB2 no está instalado, instálelo[2] DB2 está instalado, utilice la instancia instalada[3] Salir de la instalaciónElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]Si elige la opción 1, se le solicitarán detalles de los valores que seutilizarán.

31. Especifique 1 para aceptar los valores predeterminados de DB2:####################Instalación de DB2DB2 se instalará utilizando los valores siguientes:

Propietario de la instancia de DB2 : db2inst1Usuario delimitado de DB2: db2fenc1Usuario del servidor de administración de DB2: dasusr1Puerto de comunicación de DB2: 50000Directorio de instalación de DB2: /opt/ibm/db2/V10.5

Si necesita utilizar valores distintos de los propuestos, puedeespecificarlos en el archivo de respuestas de instalación. Consulte ladocumentación del producto para obtener más detalles.[1] Continuar con la instalación de DB2[2] Salir de la instalaciónElija una de las opciones anteriores o pulse <Intro> para aceptar elvalor predeterminado: [1]


La instalación del servidor de IBM Endpoint Manager ha finalizado. Puedecontinuar instalando la Consola de IBM Endpoint Manager Console en un sistemaWindows e iniciar una sesión con la cuenta que haya creado durante la instalacióndel servidor.

Puede ver los errores de instalación en BESinstall.log y los rastreos de línea demandatos de BESAdmin en los archivos BESAdminDebugOut.txt del directorio/var/log.

Paso 3 - Verificación de la instalación del servidor

Para verificar que una instalación ha finalizado correctamente, siga estos pasos:1. Asegúrese de que aparezca el siguiente mensaje en la salida estándar o en el

archivo de registro de instalación /var/log/BESInstall.log:La instalación de IBM Endpoint Manager se ha realizado satisfactoriamente.Ahora puede continuar con la instalación de la consola de IEM en unsistema Windows e iniciar una sesión como ’EvaluationUser’, el usuarioque acaba de crear. El instalador de la consola de IEM está disponibleen la carpeta ’/var/opt/BESInstallers

2. Asegúrese de que los servicios asociados a cada componente instalado esténactivos y en ejecución escribiendo los mandatos siguientes desde /etc/init.d:./besserver status./besfilldb status./besgatherdb status./besclient status./beswebreports status

3. Asegúrese de que se hayan creado las bases de datos local o remota. Para ello,cambie al usuario administrativo de DB2 local (valor predeterminado:db2inst1) y ejecute el mandato list de base de datos:su – db2inst1db2 list db directory

Compruebe que se hayan creado las siguientes bases de datos:v Componente de servidor: BFENTv Componente WebReports: BESREPOR

4. Inicie la consola de IBM Endpoint Manager y proporcione las credenciales delprimer usuario de IBM Endpoint Manager que ha creado en el momento de lainstalación para garantizar que la consola se conecte al servidor. Los valorespredeterminados del usuario son: EvaluationUser para la instalación deevaluación e IEMAdmin para la instalación de producción. Asegúrese de que sehaya registrado el cliente instalado de forma predeterminada en el equiposervidor.

5. Asegúrese de que puede iniciar una sesión en Web Reports desde la consola.Para ello, seleccione Herramientas -> Iniciar WebReports y proporcione lascredenciales del primer usuario creado en el momento de la instalación.

Opciones del mandato de instalación

Puede ejecutar la instalación de producción o evaluación en modalidad interactivao silenciosa. El mandato completo para ejecutar cualquier tipo de instalación es elsiguiente:./install.sh [ -f <archivo_respuestas_entrada> ] [ -g <archivo_respuestas_salida> ][ -upgrade ] [ -reuseDb ] [ -opt <nombre_clave1>=<valor_clave1> ][ -opt <nombre_clave2>=<valor_clave2> ] ...


donde:

-f <archivo_respuestas_entrada>Especifica la ruta completa y el nombre del archivo de respuestas que sedebe utilizar.

-g <archivo_respuestas_salida>Genera un archivo de respuestas.

-upgradeEjecuta el script para actualizar todos los componentes.

-reuseDbLe permite utilizar una base de datos existente. Si, durante la recuperacióntras desastre, el programa de instalación encuentra las bases de datos BFENTo BESREPOR, las utiliza.

-opt <nombre_clave>=<valor_clave>Le permite alterar temporalmente un valor de ejecución asignado a unaclave en el archivo de respuestas.

Instalación silenciosa

Para ejecutar una instalación silenciosa, especifique el siguiente mandato:./install.sh -f archivo_respuestas -optpalabra_clave=valor

donde:

archivo_respuestasEs el archivo que contiene las palabras clave para instalar el producto.

palabra_clave=valorEs la palabra clave y el valor del archivo de respuestas que desea alterartemporalmente.

Utilice la modalidad silenciosa para instalar el servidor de Endpoint Manager oejecutar la determinación de problemas en una instalación anómala.

Nota: En el archivo de respuestas, puede especificar un subconjunto de palabrasclave como, por ejemplo, las palabras clave comunes a distintos sistemas. Elprograma de instalación solicita las palabras clave que faltan o no son válidas. Lainstalación silenciosa se ejecuta de forma desatendida sólo si se especifican todaslas palabras clave en el archivo de respuestas.

Puede crear un archivo de respuestas durante una instalación redireccionando losparámetros de instalación en el archivo de respuestas con el siguiente mandato:./install.sh -g archivo_respuestas

Este es un ejemplo de un archivo de respuestas para una instalación de servidor deproducción:##IEM GENERATED RESPONSE FILELA_ACCEPT="true"IS_EVALUATION="false"COMPONENT_SRV="true"COMPONENT_WR="true"SINGLE_DATABASE="true"LOCAL_DATABASE="true"BES_WWW_FOLDER="/var/opt/BESServer"WR_WWW_FOLDER="/var/opt/BESWebReportsServer"


WR_WWW_PORT="80"INSTALL_DB2="yes"DB2_INSTANCE_NAME="db2inst1"DB2_DAS_USERNAME="dasusr1"DB2_FENCED_USERNAME="db2fenc1"DB2_INSTALL_DIR="/opt/ibm/db2/V10.5"DB2_PORT="50000"BES_PREREQ_DB2_INSTALL="ignore"DB2_USERS_PWD=""TEM_USER_NAME="IEMAdmin"TEM_USER_PWD="P@$$w0rd1"CONF_FIREWALL="no"BES_SETUP_TYPE="prodlic"USE_PROXY="true"PROXY_HOST="PROXYHOST.mydomain.com"PROXY_PORT="80"ADV_PROXY_DEFAULT="false"PROXY_USER="hans"PROXY_PWD="P@$$w0rd2"PROXY_METH="all"PROXY_EXLIST="none"PROXY_SECTUNNEL="false"PROXY_DOWN="false"TEST_PROXY="nofips"BES_CERT_FILE="/opt/iemlic/license.crt"BES_LICENSE_PVK="/opt/iemlic/license.pvk"BES_LICENSE_PVK_PWD="P@$$w0rd3"ADV_MASTHEAD_DEFAULT="false"BES_SERVER_PORT="52311"ENABLE_FIPS="false"BES_GATHER_INTERVAL="5"INITIAL_LOCK="2"LOCK_CONTROLLER="0"ENABLE_LOCK_EXEMPT="false"ENABLE_ARCHIVE_UTF8="true"BES_LIC_FOLDER="/opt/iemlic"DB2_PORT="50000"

Este es un ejemplo de un archivo de respuestas para una instalación de servidor deevaluación:##IEM GENERATED RESPONSE FILELA_ACCEPT="true"IS_EVALUATION="true"CREDENTIAL_USER="John Smith"CREDENTIAL_EMAIL="[email protected]"CREDENTIAL_ORG="IBM US"SRV_DNS_NAME="DNSHOST.mydomain.com"BES_SERVER_PORT="52311"WR_WWW_PORT="80"CONF_FIREWALL="no"DB2_ADMIN_USER="db2inst1"DB2_ADMIN_PWD="P@$$w0rd1"DB2_PORT="50000"BES_LIC_FOLDER="/opt/iemlic"USE_PROXY="true"ADV_PROXY_DEFAULT="false"PROXY_USER="none"PROXY_HOST="PROXYHOST.mydomain.com"PROXY_PORT="3128"TEST_PROXY="nofips"

donde:


Tabla 4. Palabras clave del archivo de respuestas

Palabra clave Valores

LA_ACCEPT Acepta el acuerdo de licencia:

true para aceptarlo y continuar

false para salir de la instalación

IS_PREREQ_CHECK Los valores disponibles son:

true

false

IS_EVALUATION Especifica el tipo de instalación:

true para ejecutar una instalación de evaluación

false para ejecutar una instalación de producción

Nota: La instalación de evaluación no da soporte a laopción de seguridad mejorada. Para obtener másinformación sobre esta característica, consulteCapítulo 4, “Escenarios de configuración deseguridad”, en la página 27.

CREDENTIAL_USER Especifica el nombre de usuario. Por ejemplo: JohnSmith.Nota: Sólo es válido en la instalación de evaluación.

CREDENTIAL_EMAIL Especifica la dirección de correo electrónico delusuario. Por ejemplo: [email protected]: Sólo es válido en la instalación de evaluación.

CREDENTIAL_ORG Especifica la organización del usuario. Por ejemplo:IBM US.Nota: Sólo es válido en la instalación de evaluación.

COMPONENT_SRV Especifica que se debe instalar el componente servidorde Endpoint Manager:

true para instalar el servidor y el cliente

false para no instalar el servidor y el cliente

COMPONENT_WR Especifica que se debe instalar el componente deEndpoint Manager Web Reports:

true para instalar Web Reports

false para no instalar Web Reports

SINGLE_DATABASE Crea una base de datos maestra para su posteriorreplicación, o bien si sólo necesita una única base dedatos en el despliegue.

true para crear una base de datos individual

false para crear una base de datos replicada

LOCAL_DATABASE Utiliza una base de datos local o remota:

true para utilizar una base de datos local

false para utilizar una base de datos remota através de un cliente de DB2

DB2_ADMIN_USER Especifica el nombre del usuario administrativo localde DB2. Sólo es aplicable si ya se ha instalado DB2.

DB2_ADMIN_PWD Especifica la contraseña del usuario administrativolocal de DB2. Sólo es aplicable si ya se ha instaladoDB2.


Tabla 4. Palabras clave del archivo de respuestas (continuación)


DB2INST_CONFIGURE Configura la base de datos durante la instalación deEndpoint Manager:

yes para configurar DB2

no para no configurar DB2

Sólo es aplicable si ya se ha instalado DB2.

BES_WWW_FOLDER Especifica la carpeta de instalación del servidor deEndpoint Manager. El valor predeterminado es/var/opt/BESServer.

WR_WWW_FOLDER Especifica la carpeta de instalación de Web Reports. Elvalor predeterminado es /var/opt/BESWebReportsServer.

WR_WWW_PORT Especifica el número de puerto de Web Reports. Elvalor predeterminado es 80.

El valor predeterminado es 8080 si está instalando laversión 9.2.5 de Endpoint Manager. En laactualización a la versión 9.2.5 de Endpoint Managery en las versiones anteriores de Endpoint Manager, elvalor predeterminado es 80.

INSTALL_DB2 Instala DB2 junto con el servidor de EndpointManager:

yes para instalar DB2

no para no instalar DB2

DB2_INSTANCE_NAME Especifica el nombre de la instancia de base de datosde Endpoint Manager. El valor predeterminado esdb2inst1.Nota: A partir de la versión 9.2.5 de EndpointManager, puede instalar el producto en una instanciade DB2 dedicada con un nombre distinto del nombrede usuario de DB2.

DB2_DAS_USERNAME Especifica el nombre de usuario de la cuenta con laque se ejecuta el servidor de administración de DB2(DAS). El valor predeterminado es dasusr1.

DB2_FENCED_USERNAME Especifica el nombre de usuario de la cuenta utilizadapara ejecutar las funciones definidas por el usuario(UDF) y los procedimientos almacenados fuera delespacio de direcciones utilizado por la base de datosDB2. El usuario predeterminado es db2fenc1.

DB2_INSTALL_DIR Especifica el directorio donde se instala DB2. Porejemplo: /opt/ibm/db2/V10.5.

DB2_PORT Especifica el puerto de DB2. El valor predeterminadoes 50000.

BES_PREREQ_INSTALL Los valores disponibles son:

ignore

install

exit




BES_PREREQ_DB2_INSTALL Los valores disponibles son:

ignore

install

exit

DB2_SETUP_FILE Especifica el archivo de configuración para instalarDB2. Por ejemplo: ../server_r/db2setup.

DB2_USERS_PWD Especifica la contraseña de usuario de DB2.

TEM_USER_NAME Especifica el ID de usuario de Endpoint Manager paradefinir el usuario administrativo inicial. El valorpredeterminado es IEMAdmin.

TEM_USER_PWD Especifica la contraseña para definir el usuarioadministrativo inicial.

CONF_FIREWALL Configura el cortafuegos para habilitar el servidor deEndpoint Manager o el retransmisor para conectarse aInternet:

yes para establecer la configuración delcortafuegos

no para no establecer la configuración delcortafuegos

BES_SETUP_TYPE Especifica el tipo de configuración que se ejecuta:

authfile para realizar la instalación con unarchivo de autorización de licencia de BES

prodlic para realizar la instalación con unalicencia de producción que está disponible

masthead para realizar la instalación con unencabezado existente

BES_AUTH_FILE Especifica la vía de acceso del archivo de autorización.Un ejemplo de vía de acceso es: /opt/iemlic/LicenseAuthorization.BESLicenseAuthorization.

SRV_DNS_NAME Especifique el nombre DNS o la dirección IP de lamáquina en la que desea instalar el servidor. Estenombre se guarda en la licencia y los clientes loutilizarán para identificar el servidor de EndpointManager. No se puede cambiar después de crear unalicencia.

BES_LICENSE_PVK_PWD Especifica la contraseña del archivo license.pvk.

PVK_KEY_SIZE Especifica el tamaño en bits de la clave pública(license.crt):

min Corresponde a 2048 bits.

max Corresponde a 4096 bits. Es el valorpredeterminado.

BES_LIC_FOLDER Especifica la carpeta License donde la instalacióngenera y guarda license.crt, license.pvk ymasthead.afxm. Un ejemplo de carpeta License es/tmp/ServerInstaller_9.2-rhel/offlic.




SUBMIT_LIC_REQUEST Envía la solicitud a IBM para obtener el certificado delicencia:

yes para enviar una solicitud desde esta máquinaa través de Internet para obtener un certificado delicencia (license.crt) y guardarlo en la carpeta decredenciales.

no para guardar la solicitud en un archivo yenviarlo a IBM (http://support.bigfix.com/bes/forms/BESLicenseRequestHandler.html). Estemétodo puede ser necesario si el despliegue estáaislado de la Internet pública.

USE_PROXY Especifica una conexión proxy para habilitar elservidor de Endpoint Manager para conectarse aInternet:

true para establecer el proxy.

false para no establecer el proxy.

PROXY_USER Especifica el usuario del proxy. Si el proxy no requiereautenticación, debe establecer PROXY_USER en NONE.

PROXY_PWD Especifica la contraseña del usuario de proxy.

PROXY_HOST Especifica el nombre de host del sistema donde seejecuta el proxy.

PROXY_PORT Especifica el puerto del sistema donde se ejecuta elproxy.

ADV_PROXY_DEFAULT Acepta los valores predeterminados de configuracióndel proxy:

true para utilizar los valores predeterminados

false para utilizar valores personalizados.

PROXY_METH Restringe el conjunto de métodos de autenticación quese pueden utilizar. Puede especificar más de unmétodo separado por una coma. Los métodosdisponibles son:

basic

digest

negotiate

ntlm

De forma predeterminada, el proxy elige el método deautenticación que va a utilizar.

PROXY_EXLIST Especifica una lista separada por comas de equipos,dominios y subredes que deben alcanzarse sin pasar através del proxy. Para obtener información sobre lasintaxis que se debe utilizar, consulte “Establecimientode una conexión proxy en el servidor” en la página175.

PROXY_SECTUNNEL Especifica si el proxy está obligado a intentar laejecución en túnel o no. Los valores disponibles son:

true para habilitar la ejecución en túnel del proxy.

false para no habilitar la ejecución en túnel delproxy.


http://support.bigfix.com/bes/forms/BESLicenseRequestHandler.html

http://support.bigfix.com/bes/forms/BESLicenseRequestHandler.html



PROXY_DOWN Especifica si todas las comunicaciones HTTP de suentorno IBM Endpoint Manager, incluidas lascomunicaciones en sentido descendente, pasan através del proxy. Los valores disponibles son:

true

false

TEST_PROXY Especifica si se debe probar la conexión al proxy ycómo debe hacerse. Se trata de un paso opcional. Losvalores disponibles son:

nofips para probar la conexión sin utilizar FIPS.

fips para probar la conexión utilizando FIPS.

no para no probar la conexión.

BES_CERT_FILE Especifica la vía de acceso del archivo de certificaciónde licencia.

BES_LICENSE_PVK Especifica la vía de acceso del archivo de clavesprivadas.

ADV_MASTHEAD_DEFAULT Especifica si se aceptan o no los valores de cabecerapredeterminados. Los valores disponibles son:

true para utilizar los valores predeterminados

false para utilizar valores personalizados.

BES_SERVER_PORT Especifica el número del puerto del servidor. El valorpredeterminado es: 52311.

ENABLE_FIPS Especifica si se debe habilitar o no la criptografíacompatible con FIPS 140-2. Los valores disponiblesson:

true para habilitar FIPS.

false para no habilitar FIPS.

BES_GATHER_INTERVAL Especifica durante cuánto tiempo los clientes esperansin tener noticias del servidor antes de comprobar sihay nuevo contenido disponible. Los valoresdisponibles son:

0 para quince minutos.

1 para media hora.

2 para una hora.

3 para ocho horas.

4 para medio día.

5 para un día.

6 para dos días.

7 para una semana.

8 para dos semanas.

9 para un mes.

10 para dos meses.




INITIAL_LOCK Especifica el estado de bloqueo inicial de todos losclientes después de la instalación. Los clientesbloqueados informan de los mensajes de Fixlet queson relevantes para ellos, pero no aplican ningunaacción. El comportamiento predeterminado es dejarlosdesbloqueados. Los valores disponibles son:

0

1

2

LOCK_CONTROLLER Especifica quién puede cambiar el estado de bloqueode acciones. Los valores disponibles son:

0: permite que cualquier operador de consola conderechos de gestión modifique el estado debloqueo de cualquier cliente de la red. Es el valorpredeterminado.

1: delega el control sobre el bloqueo al usuariofinal.

2

LOCK_DURATION Especifica el número de minutos que los clientesdeben estar bloqueados.

ENABLE_LOCK_EXEMPT Especifica si determinados URL deben estar exentosde acciones de bloqueo. Los valores disponibles son:

true

false

EXCEPTION_URL Especifica el URL que se debe excluir de las accionesde bloqueo. Utilice este formato ’http://dominio’.

ENABLE_ARCHIVE_UTF8 Especifica la página de códigos utilizada para escribirnombres de archivo en los archivos de IBM EndpointManager. Los valores disponibles son:

true: para escribir nombres de archivo de lapágina de códigos UTF-8.

false: para no escribir nombres de archivo de lapágina de códigos UTF-8.

IS_SILENT Hace que la instalación finalice con un mensaje si faltaun parámetro necesario:

true hace que la instalación finalice si falta unparámetro necesario.

false solicita al usuario el parámetro que falta.

Si un parámetro carece de la variable de instalaciónasociada al parámetro que falta, se indica en elmensaje de error.

Estructura de carpetas de instalación

Después de instalar Endpoint Manager, puede ver la siguiente estructura decarpetas:

Estructura de carpetas del servidor


/var/opt/BESInstallers/var/opt/BESInstallers/Client (Instalador del cliente)/var/opt/BESInstallers/Console (Instalador de la consola)

/var/opt/BESServerbesserver.config (Archivo de configuración)besserver.config.default (Archivo de configuración predeterminado)

/var/opt/BESServer/FillDBData/FillDB.log (Registro de servicio de FillDB)

/var/opt/BESServer/GatherDBData/GatherDB.log (Registro de servicio de GatherDB)

/opt/BESServer/opt/BESServer/bin (Binarios del servidor)/opt/BESServer/reference (Plantillas xsd de la API REST)

/etc/opt/BESServeractionsite.afxm (Archivo de encabezado)

/etc/init.dbesserver (Servicio del servidor)besfilldb (Servicio de FillDB)besgatherdb (Servicio de GatherDB)

Estructura de carpetas de WebReports/var/opt/BESWebReportsServer

beswebreports.config (Archivo de configuración)beswebreports.config.default (Archivo de configuración predeterminado)

/opt/BESWebReportsServer/opt/BESWebReportsServer/bin (Binarios de WebReports)

/etc/opt/BESWebReportsServeractionsite.afxm (Archivo de encabezado)

/etc/init.dbeswebreports (Servicio de WebReports)

Estructura de carpetas del cliente/var/opt/BESClient

besclient.config (Archivo de configuración)besclient.config.default (Archivo de configuración predeterminado)

/opt/BESClient/opt/BESClient/bin (Binarios del cliente)

/etc/opt/BESClientactionsite.afxm (Archivo de encabezado)

/etc/init.dbesclient (Servicio de besclient)

Archivos de registro de instalación:/var/log/

BESInstall.log (Archivo de registro del instalador)BESAdminDebugOut.txt (Información de depuración de la herramienta del

administrador)BESRelay.log (Archivo de registro del retransmisor)

Nota: Tenga en cuenta que si una de las siguientes carpetas no existe, elprocedimiento de instalación falla:

/opt/etc/var


Archivos de configuración, encabezado y registro

Al final de la instalación, puede encontrar los siguientes archivos de EndpointManager que contienen la configuración de los componentes instalados y losmensajes de instalación:

Tabla 5. Archivos de configuración y registro de Endpoint Manager

Componente Archivo

Servidor v Archivo de configuración:/var/opt/BESServer/besserver.config

v Archivo de encabezado:/etc/opt/BESServer/actionsite.afxm

v Archivos de registro:/var/log/BESInstall.log,/var/log/BESAdminDebugOut.txt

Web Report v Archivo de configuración:/var/opt/BESWebReportsServer/beswebreports.config

v Archivo de encabezado:/etc/opt/BESWebReportsServer/actionsite.afxm

Cliente v Archivo de configuración:/var/opt/BESClient/besclient.config

v Archivo de encabezado:/etc/opt/BESClient/actionsite.afxm

Retransmisor v Archivo de configuración:/var/opt/BESRelay/besrelay.config

Los archivos de configuración contienen valores para el rastreo, la conexión debase de datos y la configuración del proxy. Los servicios BESServer, BESFillDB yBESGatherDB buscan primero los parámetros de configuración en besclient.configy, a continuación, en besserver.config. El servicio BESWebReports busca primerolos parámetros de configuración en besclient.config y, a continuación, enbeswebreports.config.

Gestión de los servicios de Endpoint Manager

Puede iniciar, detener, reiniciar o consultar el estado de los servicios de EndpointManager de Linux utilizando los siguientes mandatos:service servicio stopservice servicio startservice servicio restartservice servicio status

/etc/init.d/servicio stop/etc/init.d/servicio start/etc/init.d/servicio restart/etc/init.d/servicio status

donde servicio es uno de los siguientes:besclientbesfilldbbesgatherdbbesserverbeswebreports


Nota: Asegúrese de no utilizar el mandato systemctl para gestionar un servicio.

Cambio de la contraseña de base de datos

Tras instalar la base de datos del servidor de Endpoint Manager, puede cambiar sucontraseña ejecutando el mandato siguiente:v En sistemas operativos Windows:

.\BESAdmin.exe -updatepassword -type=<server_db|dsa_db>[-password=<contraseña>] -sitePvkLocation=<vía+license.pvk>[-sitePvkPassword=<contraseña_pvk>]

v En sistemas operativos UNIX:./BESAdmin.sh -updatepassword -type=<server_db|dsa_db>[-password=<contraseña>] -sitePvkLocation=<vía+license.pvk>[-sitePvkPassword=<contraseña_pvk>]

donde:

type=server_dbSi ha cambiado la contraseña de la instancia de base de datos, especifiqueeste valor para actualizar la contraseña utilizada por el servidor paraautenticarse con la base de datos.

type=dsa_dbSi ha cambiado la contraseña de la instancia de base de datos en unservidor de una configuración de DSA, especifique este valor paraactualizar la contraseña utilizada en una configuración de DSA medianteservidores remotos con el fin de realizar una autenticación con la base dedatos.

Por ejemplo:./BESAdmin.sh -updatepassword -sitePvkLocation=/mylicenses/license.pvk-sitePvkPassword=******* -type=server_db

Los valores -password y -sitePvkPassword son opcionales; si no se especifican en lasintaxis del mandato; su valor se solicita de forma interactiva en tiempo deejecución. La contraseña establecida por este mandato se oculta.

Cambio del puerto de DB2

Después de instalar la base de datos de DB2 del servidor de Endpoint Manager,puede cambiar el puerto de conexión de la instancia de DB2 y establecerlo en losarchivos de configuración de Endpoint Manager de la siguiente manera:1. Detenga todos los servicios de Endpoint Manager y todas las aplicaciones

conectadas a la instancia de DB2.2. Cambie el puerto de conexión DB2:

#su – db2inst1$db2 update dbm cfg using SVCENAME <nuevo_número_puerto>$db2stop; db2start

3. Abra el archivo de configuración: /var/opt/BESServer/besserver.config4. Vaya a [Software\BigFix\EnterpriseClient\Settings\Client\

_BESServer_Database_Port] y establezca el nuevo número de puerto de lasiguiente manera:value = "<nuevo_número_puerto>"


5. Abra el archivo de configuración: /var/opt/BESWebReportsServer/beswebreports.config

6. Vaya a [Software\BigFix\Enterprise Server\FillAggregateDB] y establezca elnuevo número de puerto de la siguiente manera:Port = "<nuevo_número_puerto>"

7. Inicie todos los servicios de Endpoint Manager.

Autenticación de servidores adicionales (DSA)

Muchos servidores pueden ofrecer un nivel más alto de servicio para la instalaciónde IBM Endpoint Manager. Si opta por añadir la arquitectura DSA (Disaster ServerArchitecture) a la instalación, podrá recuperarse automáticamente de errores en lared o en los sistemas mientras continúa ofreciendo servicio local. Para sacar elmáximo provecho a esta función, debe tener uno o varios servidores adicionalescon una capacidad al menos igual que el servidor principal. Debido a los gastos einstalación adicionales que supone, debería pensar muy bien en sus necesidadesantes de adoptar la utilización de DSA.

Los servidores pueden comunicarse entre ellos utilizando la opción deautenticación entre servidores de DB2.

Antes de instalar servidores Linux adicionales, instale el servidor de DB2 en cadaequipo que desee añadir al despliegue. La versión del servidor de DB2 debe ser lamisma que la del servidor de DB2 instalado en el servidor maestro.

Utilización de la autenticación de DB2

Gracias a esta técnica, se da a cada servidor un nombre de inicio de sesión y unacontraseña, y se configura para aceptar los nombres de inicio de sesión ycontraseñas de todos los servidores en la implementación. La contraseña de estacuenta escrita en texto simple se enmascara en el archivo de configuración en cadaservidor, después del reinicio del servicio FillDB. Para autenticar los servidores conla autenticación de DB2, siga estos pasos:1. Elija un único nombre de inicio de sesión (por ejemplo, db2inst1), y una

contraseña que usarán todos los servidores de la implementación para laautenticación entre servidores.

2. En el servidor maestro, abra el archivo /var/opt/BESServer/besserver.config.3. Añada o modifique las siguientes palabras clave en la sección

[Software\BigFix\Enterprise Server\FillDB]:ReplicationUser = <nombre de inicio de sesión>ReplicationPassword = <contraseña>ReplicationPort = <puerto_DB2>ReplicationDatabase = BFENT

4. Reinicie el servicio FillDB.

Nota:

Esta selección se debe hacer para todo el despliegue. No puede mezclarservidores autenticados por dominio con servidores autenticados por DB2.ReplicationUser, ReplicationPassword y ReplicationPort deben definirse deforma exclusiva en todos los archivos de configuración del servidor de suentorno DSA.Todos los servidores de IBM Endpoint Manager en el despliegue deben ejecutarla misma versión del servidor de DB2.


Instalación de servidores de Linux adicionales (DSA)

Para cada servidor adicional que desee añadir a su implementación, asegúrese deque se están comunicando unos con otros y después siga estos pasos:1. Asegúrese de que cada servidor utilice la misma versión del servidor de DB2

que vaya a usar el servidor maestro.2. Copie los archivos license.pvk y masthead.afxm desde el servidor maestro a

una carpeta de cada máquina en la que efectúe la instalación.3. Ejecute el script install.sh en cada equipo que desee configurar como un

servidor adicional. Use la misma administración de dominio que haya usadopara la instalación local del servidor de DB2 para tener la autoridad SA.

4. En el mensaje Seleccionar tipo de instalación, elija:[2] Producción: Instalar utilizando una licencia de producción o unaautorización de una licencia de producción

5. En el mensaje Seleccionar las características de IBM Endpoint Managerque desea instalar, elija instalar Todos los componentes o Sólo el servidory el cliente.

6. En el mensaje Seleccionar replicación de base de datos, elija:[2] Base de datos replicada.

7. En el mensaje Seleccionar base de datos, elija [1] Utilizar base de datoslocal (opción típica para la mayoría de aplicaciones).

8. En el mensaje Usuario administrativo local de DB2, suponiendo que haelegido Utilizar base de datos local anteriormente, especifique el nombrede usuario y la contraseña del usuario administrativo de DB2 para la base dedatos en el equipo donde se ejecuta el programa de instalación.

9. Especifique las carpetas de Web Servers Root y WebReports Server Root10. Especifique el número de puerto de WebReports Server.11. Defina las credenciales del usuario administrativo de WebReports. El valor

predeterminado es: IEMAdmin.12. Especifique la ubicación de license.pvk y su contraseña.13. Especifique la ubicación del archivo masthead.afxm existente que se ha

generado al instalar el servidor maestro.14. En el mensaje Nombre DNS de servidor secundario, especifique el nombre

DNS del nuevo servidor. Debe tratarse de un nombre que los clientes y otrosservidores puedan resolver.

15. En el mensaje Conexión DB2, especifique el número de puerto de la instanciade DB2 local donde se ejecuta el programa de instalación.

16. Especifique información sobre la instancia de DB2 del servidor maestro, paraque el nuevo servidor pueda conectarse a DB2 en el servidor maestro:En el indicador Nombre de host de base de datos de servidor maestro,especifique el nombre de host del sistema donde se encuentra la base de datosde servidor maestro.En el indicador Puerto de base de datos de servidor maestro, especifique elnúmero de puerto de base de datos del sistema donde se encuentra la base dedatos de servidor maestro.En el indicador Usuario administrativo de base de datos de servidormaestro, especifique el nombre del usuario administrativo de DB2 del sistemadonde se encuentra la base de datos de servidor maestro.


En el indicador Contraseña de usuario administrativo de base de datos deservidor maestro, especifique la contraseña del usuario administrativo deDB2 del sistema donde se encuentra la base de datos de servidor maestro.

Información sobre los componentes del servidorAhora, el servidor de IBM Endpoint Manager se ha instalado correctamente, yresponde a los mensajes y solicitudes desde los equipos del retransmisor, el clientey la consola usando varios componentes.

Para entender mejor lo que hace el servidor, lea las descripciones de algunos de loscomponentes.

Componente de registro del clienteCuando se instale el cliente en un nuevo equipo, se registrará con elcomponente de registro del cliente del servidor y al cliente se le da un IDúnico. Si la dirección IP del equipo cambia, el cliente registraautomáticamente la nueva dirección IP con el componente de registro delcliente.

Componente del servidor de publicación de resultadosCuando un cliente detecta que un Fixlet ha pasado a tener importancia,informa al componente del servidor de publicación de resultados mediantela operación POST de HTTP. Identifica el Fixlet relevante junto con el IDregistrado del equipo cliente. Esta información se pasa a la base de datosde IBM Endpoint Manager mediante el servicio FillDB y después pasa aestar visible en la consola. Los clientes informan también periódicamentede otros cambios de estado al servidor directamente, o mediante losretransmisores.

Componente del servidor de recopilaciónEste componente vigila los cambios en el contenido de Fixlet para todos lossitios de Fixlet a los que está suscrito. Descarga estos cambios en elservidor y los pone a disposición del componente GatherDB.

Componente FillDBEste componente publica los resultados del cliente en la base de datos.

Componente GatherDBEste componente recopila y almacena las descargas de Fixlet desde Interneten la base de datos.

Componente de servidor reflejado de descargaEste componente aloja los datos del sitio de Fixlet para los retransmisores ylos clientes. Este componente funciona como un servidor de descargasimplificado para el tráfico de IBM Endpoint Manager.

Instalación de la consola

Puede instalar la consola de IBM Endpoint Manager en cualquier sistema Windowsque pueda realizar una conexión de red mediante el puerto HTTPS 52311 alservidor. A menos que sea en un entorno de prueba o de evaluación, no esaconsejable ejecutar la consola en el equipo del servidor, debido a los problemas derendimiento y seguridad que conlleva tener las credenciales de clave pública en unequipo que ejecuta una base de datos o un servidor web. Mediante la consola deIBM Endpoint Manager puede supervisar y corregir problemas en todos losequipos gestionados de la red.


Para instalar la consola, siga estos pasos:1. Vaya al directorio /var/opt/BESInstallers.2. Copie la carpeta Console en una estación de trabajo de Windows. Utilice la

carpeta Consola del mismo nivel de compilación.3. Desde el directorio Consola en la estación de trabajo de Windows ejecute:

setup.exe

Nota: De forma predeterminada, el cortafuegos del sistema operativo local estáhabilitado. Para que la consola pueda conectarse al servidor de IBM EndpointManager, asegúrese de que el cortafuegos esté configurado para permitir lascomunicaciones de tcp y udp a través del puerto del servidor (el valorpredeterminado es 52311) y las comunicaciones de tcp a través de los puertos deWeb Reports (el valor predeterminado es 80).

Si necesita configurar manualmente el cortafuegos local, puede ejecutar lossiguientes mandatos:iptables -I INPUT -p tcp --dport < puerto_servidor > -j ACCEPTiptables -I INPUT -p udp --dport < puerto_servidor > -j ACCEPTiptables -I INPUT -p tcp --dport < puerto_WebReports > -j ACCEPTservice iptables save

Para obtener más detalles acerca del uso del programa de la consola, consulte laGuía del usuario de la consola de IBM Endpoint Manager.

Instalación de la herramienta de implementación de clientes

La herramienta de implementación de clientes se utiliza para desplegar clientes deWindows. Esta herramienta también está disponible en el servidor de Linux y seincluye en la imagen de la consola de Endpoint Manager para Linux.

Para instalar esta herramienta en un despliegue de servidor de Linux, siga estospasos:1. Vaya al directorio /var/opt/BESInstallers.2. Copie la carpeta Console en una estación de trabajo de Windows que también

se utilizará como consola de Endpoint Manager.3. En el directorio Console de la estación de trabajo de Windows, ejecute

setup.exe para instalar la consola junto con la herramienta de implementación.Para iniciar la herramienta, en el directorio C:\Archivos de programa\BigFixEnterprise\BES Console\BESClientDeploy, ejecute el programaBESClientDeploy.exe.

Instalación de los clientes

Instale el cliente de IBM Endpoint Manager en todos los equipos de la red quedesee administrar, incluido el equipo que ejecuta la consola. De esta forma, dichoequipo podrá recibir los mensajes de Fixlet importantes como, por ejemplo, losrelativos a parches de seguridad, archivos de configuración o actualizaciones.

Si ejecuta la consola, seleccione Instalar componentes de IBM Endpoint Manager> Instalar clientes > Instalar localmente para instalar el cliente en el directorio quehaya especificado del equipo local.


Si ejecuta la herramienta de implementación de clientes (BESClientDeploy.exe),puede desplegar los clientes de tres formas:

Buscar equipos utilizando Active DirectoryLa herramienta de implementación de clientes de IBM Endpoint Managerse pone en contacto con el servidor de Active Directory para obtener unalista de todos los equipos en el dominio. A continuación, comprueba cadauno de los equipos para ver si el cliente ya está instalado y muestra lainformación correspondiente en una lista.

Buscar equipos utilizando dominios de NT 4.0Todos los equipos del dominio aparecen enumerados con un indicador deestado que informa de si el cliente está instalado o no.

Buscar los equipos especificados en una listaSegún cuál sea el modo en que la red resuelve las direcciones del equipo,debe proporcionar una lista de nombres de equipo, de intervalos dedirecciones IP o de nombres de host. Esta lista debe contener unnombre/intervalo de direcciones IP/nombre de host por línea. Con estaopción, la herramienta de implementación de clientes no intenta detectarningún equipo, sino que trata de instalar el cliente directamente en todoslos equipos que figuran en la lista.

Uso de la herramienta de implementación de clientes

En redes más pequeñas (con menos de 5000 equipos) que se conectan a dominiosde directorio de Active Directory o NT, puede utilizar la herramienta deimplementación de clientes para instalar los clientes de Windows. En cuanto a lasredes más grandes, puede que sea más cómodo usar otros métodos deimplementación. La herramienta de implementación de clientes le ayuda aimplementar clientes fácilmente, aunque existen algunos requisitos y condiciones:v Debe tener un dominio de directorio de Active Directory o NT (también existe la

posibilidad de realizar la implementación en una lista de equipos si dispone deuna cuenta de administrador en el equipo en cuestión).

v La herramienta de implementación de clientes de IBM Endpoint Manager sólo sepuede utilizar en equipos de destino que ejecuten Windows 2000, XP, Server2003, Vista, Server 2008, 7 o Server 2008 R2.

v El equipo que ejecute la herramienta de implementación de clientes debe estarconectado al dominio, pero no debe ser el controlador de dominio en sí.

v Los servicios Administrador de control de servicios (SCM) y Llamada deprocedimiento remota (RPC) deben ejecutarse en los equipos de destino.

v No debe existir ninguna directiva de seguridad en el equipo que pueda impediruna conexión remota al SCM o la emisión de una llamada de procedimientoremota.

v La propiedad dnsName de todos los equipos de destino de Active Directorydebe estar definida correctamente.

La herramienta de implementación de clientes facilita la instalación del cliente enlos equipos, pero no es una herramienta completa de distribución de software declase empresarial. Si ya dispone de una herramienta de distribución de software, serecomienda utilizarla en su lugar.

Lo primero que hace la herramienta de implementación de clientes de IBMEndpoint Manager es obtener una lista de equipos del servidor de Active Directoryy conectarse remotamente a ellos (puede llegar a tener acceso a 100 equipos a lavez) para comprobar si el servicio de cliente ya está instalado en ellos. Si es así,


muestra Instalado junto al estado del servicio del cliente, como Ejecutando,Detenido, etc. Si no puede saber el estado debido a un problema de permisos opor cualquier otro motivo, muestra Estado desconocido. En el resto de casos,muestra No instalado, a menos que no pueda comunicarse con el equipo deninguna manera, en cuyo caso muestra No responde.

Si el cliente aún no está instalado, la herramienta ofrece interfaces que permitenemitir una llamada de procedimiento remota, que obtiene acceso al programa deinstalación compartido y que se ejecuta en silencio (con las credenciales deadministración de dominio pertinentes), sin interacción alguna por parte delusuario final. Para utilizar la herramienta, siga los pasos siguientes:1. En el directorio C:\Archivos de programa\BigFix Enterprise\BES

Console\BESClientDeploy, ejecute el programa BESClientDeploy.exe.2. El cuadro de diálogo que se abre ofrece tres formas de implementar los clientes:

v Buscar equipos que utilizan Active Directory. La herramienta deimplementación de clientes de IBM Endpoint Manager se pone en contactocon el servidor de Active Directory para obtener una lista de todos losequipos en el dominio. A continuación, comprueba cada uno de los equipospara ver si el cliente ya está instalado y muestra la informacióncorrespondiente en una lista.

v Buscar equipos que utilizan Dominios NT 4.0. Todos los equipos deldominio aparecen enumerados con un indicador de estado que informa de siel cliente está instalado o no.

v Buscar equipos especificados en una lista. Según cuál sea el modo en que lared resuelve las direcciones del equipo, debe proporcionar una lista denombres de equipo, de intervalos de direcciones IP o de nombres de host.Esta lista debe contener un nombre/intervalo de direcciones IP/nombre dehost por línea. Con esta opción, la herramienta de implementación declientes no intenta detectar ningún equipo, sino que trata de instalar elcliente directamente en todos los equipos que figuran en la lista.

3. Escriba un nombre de usuario y una contraseña con los que se pueda teneracceso administrativo a los equipos. En la mayor parte de los casos, se trata deuna cuenta de administrador de dominio. Si usa la opción de la lista deequipos, podrá especificar una cuenta local de los equipos remotos (como lacuenta de administrador local) que tenga privilegios administrativos. Estenombre de usuario y esta contraseña usan durante el resto del proceso deimplementación del cliente, de modo que si la cuenta no disfruta del accesoadecuado en los equipos remotos, recibirá errores de denegación de acceso.

4. Cuando se muestre la lista de equipos, pulse con las teclas Mayús y Controlpresionadas para seleccionar los equipos que desea administrar con IBMEndpoint Manager. Pulse Siguiente.

5. Se muestra una lista de los equipos seleccionados. Normalmente con lasopciones predeterminadas es suficiente, pero puede seleccionar Opcionesavanzadas para configurar los siguientes parámetros de instalación:v Transferencia de archivos: Puede optar por enviar los archivos al servidor

remoto para instalarlos u obtenerlos del equipo local. En la mayoría de loscasos, lo mejor es enviar los archivos al equipo remoto, a menos que sehayan establecido directivas de seguridad para evitarlo.

Nota: La opción pull solamente es válida si el equipo de destino pertenece aun dominio de Active Directory y si utiliza las credenciales deladministrador del dominio.


v Método de conexión: Son dos las formas de conectarse a los equiposremotos. Se recomienda utilizar el Administrador de control de servicios(SCM), si bien también se puede usar el programador de tareas si el primerono funciona.

v Ruta de instalación: Indique una ruta para el cliente o acepte el valorpredeterminado (recomendado).

v Verificación: Active esta casilla de verificación para comprobar si el serviciodel cliente se está ejecutando tras haber esperado a que la instalaciónfinalizara; de esta forma, sabrá si dicha instalación se ha completadocorrectamente.

v Configuración personalizada: Añada una configuración personalizada a cadacliente implementado en forma de par nombre-valor.

6. Para iniciar la instalación, pulse Iniciar.7. Cuando finalice, se mostrará un registro con los errores y las acciones

realizadas correctamente. Algunos de estos errores se pueden solucionarsencillamente volviendo a intentarlo; si esto no funciona, use las opcionesavanzadas. Para obtener más información, consulte el artículo sobre laimplementación del cliente en el sitio de asistencia técnica de IBM EndpointManager.

Instalación manual del cliente

El cliente de IBM Endpoint Manager siempre se puede instalar ejecutandomanualmente el programa de instalación del cliente en cada uno de los equipos. Setrata de una forma rápida y eficaz para instalar el cliente en un número reducidode equipos.

Instrucciones de instalación en SUSE (32 bits)1. Descargue el archivo RPM del cliente de Endpoint Manager correspondiente en

el equipo SUSE.2. Instale el RPM ejecutando el mandato

rpm -ivh vía_acceso_RPM_cliente

3. Copie el encabezado del sitio de acciones en el equipo cliente (el encabezadocontiene información de configuración, licencias y seguridad). El encabezadodel sitio de acciones (actionsite.afxm) puede encontrarse en las carpetas deinstalación de BES (de forma predeterminada, se colocan en C:\Archivos deprograma (x86)\BigFix Enterprise\BES Installers\Client en Windows y en/var/opt/BESInstallers/Client/ en Linux). Si el encabezado no se denominaactionsite.afxm, cámbiele el nombre por actionsite.afxm y colóquelo en elsistema en la siguiente ubicación: /etc/opt/BESClient/actionsite.afxm.

Nota: El instalador no crea automáticamente directorio /etc/opt/BESClient/.Si no existe, créelo manualmente.El archivo de encabezado de cada servidor de Endpoint Manager puededescargarse en http://nombre_servidor:puerto/masthead/masthead.afxm (porejemplo: http://bes.Endpoint Manager.com:52311/masthead/masthead.afxm).

4. Inicie el cliente de Endpoint Manager de Endpoint Manager ejecutando elmandato:/etc/init.d/besclient start



Contenido de Fixlets de SUSE (32 bits):

Para obtener el contenido de Fixlet para el agente de Endpoint Manager de SUSE,suscriba el servidor de Endpoint Manager al sitio de Fixlet adecuado. Parasuscribirse a un nuevo sitio de Fixlet, siga estos pasos:1. Vaya a un equipo con la consola de Endpoint Manager instalada.2. Descargue el encabezado adecuado3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse Abrir para

abrir la consola de Endpoint Manager.4. Inicie una sesión en la consola de Endpoint Manager con su nombre de usuario

y contraseña.5. Una vez iniciada la sesión, la consola de Endpoint Manager le pregunta si

desea suscribirse al sitio de Fixlet Parches para SUSE Linux Enterprise. PulseAceptar.

6. Escriba la contraseña de clave privada y pulse Aceptar.Cuando la consola de Endpoint Manager se suscribe al sitio, se iniciaautomáticamente la recopilación de nuevos mensajes de Fixlet del sitio.

Para obtener más información sobre el contenido de SUSE (32 bits), consultehttp://support.bigfix.com/bes/sites/susepatches.html.

Instrucciones de instalación en SUSE Linux Enterprise (64 bits)1. Descargue el archivo RPM del cliente de Endpoint Manager correspondiente en

el equipo SUSE.2. Instale el RPM ejecutando el mandato




1. Inicie el cliente de Endpoint Manager ejecutando el mandato/etc/init.d/besclient start

Instrucciones de instalación en Red Hat

Nota: Antes de instalar el cliente en Red Hat Enterprise Linux 7, asegúrese dehaber instalado la biblioteca Athena (paquete libXaw).

Para instalar el cliente, realice los pasos siguientes:1. Descargue el archivo RPM del cliente de Endpoint Manager correspondiente en

el equipo Red Hat.2. Instale el RPM ejecutando el mandato



http://support.bigfix.com/bes/sites/susepatches.html

3. Copie el encabezado del sitio de acciones en el equipo cliente (el encabezadocontiene información de configuración, licencias y seguridad). El encabezadodel sitio de acciones (actionsite.afxm) puede encontrarse en las carpetas deinstalación de BES (de forma predeterminada, se colocan en C:\Archivos deprograma (x86)\BigFix Enterprise\BES Installers\Client en Windows y/var/opt/BESInstallers/Client/ en Linux). Si el encabezado no se denominaactionsite.afxm, cámbiele el nombre por actionsite.afxm y colóquelo en elsistema en la siguiente ubicación: /etc/opt/BESClient/actionsite.afxm.


4. Inicie el cliente de Endpoint Manager ejecutando el mandato:/etc/init.d/besclient start

Contenido de Fixlets de Red Hat:

Para obtener el contenido de Fixlet para el agente de Endpoint Manager de RedHat, debe suscribir el servidor de Endpoint Manager al sitio de Fixlet adecuado.Para suscribirse a un nuevo sitio de Fixlet, siga estos pasos:1. Vaya a un equipo con la consola de Endpoint Manager instalada.2. Descargue el encabezado adecuado:3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse Abrir para



desea suscribirse al sitio de Fixlet Parches para RedHat Linux. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.

Cuando la consola de Endpoint Manager se suscribe al sitio, se inicia larecopilación de nuevos mensajes de Fixlet del sitio.

Para obtener más información sobre Redhat Enterprise Linux, consultehttp://support.bigfix.com/bes/sites/rhelpatches.html.

Instrucciones de instalación en Solaris

Importante: En un entorno de zonas Solaris, instale el cliente de EndpointManager, primero en la zona global y, a continuación, opcionalmente, en las zonaslocales. Si el cliente de Endpoint Manager ya está instalado en la zona global, no esnecesario que lo instale también en las zonas locales. La única excepción a estaregla es cuando los binarios del cliente de Endpoint Manager no están disponiblesen las zonas locales. Si los binarios están disponibles en la zona local, debe guardarsólo el archivo de encabezado actionsite.afxm en el directorio/etc/opt/BESClient/ de la zona local. La zona local es una entidad independientede la zona global. Por ejemplo, si ha configurado dos zonas locales, verá tresinstancias del equipo cliente en la consola de Endpoint Manager. Puesto que lospuntos finales de la zona local se identifican mediante sus nombres de host, noolvide utilizar un nombre de descripción.

Para instalar el cliente, realice los pasos siguientes:


http://support.bigfix.com/bes/sites/rhelpatches.html

1. Descargue el archivo del paquete de cliente de Endpoint Managercorrespondiente en el sistema Solaris.

2. Instale el PKG ejecutando el mandatopkgadd -d vía_acceso_cliente_paquete



4. Inicie el cliente de Endpoint Manager ejecutando el mandato/etc/init.d/besclient start

Nota: Todos los agentes de Solaris deben tener el paquete SUNWlibC instalado.

Contenido de Fixlets de Solaris:

1. Para obtener el contenido de Fixlet para el agente de Solaris BES, debe suscribirel servidor de Endpoint Manager al sitio de Fixlet adecuado. Para suscribirse aun nuevo sitio de Fixlet, vaya a un equipo con la consola de Endpoint Managerinstalada.

2. Descargue el encabezado de evaluación de Solaris.3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse "Abrir" para

abrir automáticamente la consola de Endpoint Manager.4. Inicie una sesión en la consola de Endpoint Manager con su nombre de

usuario/contraseña.5. Una vez iniciada la sesión, la consola de Endpoint Manager le pregunta si

desea suscribirse al sitio de Fixlet Parches para Solaris. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.7. Cuando la consola de Endpoint Manager se suscribe al sitio, debe iniciar

automáticamente la recopilación de nuevos mensajes de Fixlet del sitio.

Instrucciones de instalación de HP-UX PA-RISC

Para instalar el cliente, realice los pasos siguientes:1. Descargue y copie el archivo del paquete de cliente de Endpoint Manager

correspondiente en el equipo HP-UX (el equipo debe ser un sistema PA-RISC).El nombre de archivo tiene el formato: BESAgent-9.2.xxx.x.pa_risc_hpuxxxxx.depot con variaciones, dependiendo de la versiónespecífica del agente descargado.

Nota: Internet Explorer puede etiquetar el archivo descargado como unarchivo .tar. Mozilla y otros navegadores descargan el archivo con la extensión.depot.

2. Ejecute el siguiente mandato:/usr/sbin/swinstall -s NOMBREHOST:/vía_acceso/nombre_archivo_BESAgent BESAgent


http://software.bigfix.com/download/bes/mastheads/evalsolaris.efxm

donde:

NOMBREHOSTEs el nombre del sistema donde se está instalando el agente.

/vía_acceso/Es la vía de acceso del origen de instalación del agente.

nombre_archivo_BESAgentEs el nombre del archivo que ha descargado.

Por ejemplo:/usr/sbin/swinstall

-s hpsystemb:/tmp/BESAgent-9.2.xxx.x.pa_risc_hpuxxxxx.depot BESAgent

3. Copie el encabezado del sitio de acciones en el equipo cliente de EndpointManager de HP-UX (el encabezado contiene información de configuración,licencias y seguridad). El encabezado del sitio de acciones (actionsite.afxm)puede encontrarse en las carpetas de instalación de BES (de formapredeterminada, se colocan en C:\BES Installers). Si el encabezado no sedenomina actionsite.afxm, cámbiele el nombre por actionsite.afxm ycolóquelo en el sistema en la siguiente ubicación: /etc/opt/BESClient/actionsite.afxm.El archivo de encabezado de cada servidor de Endpoint Manager puededescargarse en http://servername:port/masthead/masthead.afxm


4. Inicie el cliente de Endpoint Manager ejecutando el mandato:/sbin/init.d/besclient start

Contenido de Fixlets de HP-UX:

1. Para obtener el contenido de Fixlet para el agente de HP-UX BES, debesuscribir el servidor de Endpoint Manager al sitio de Fixlet adecuado. Parasuscribirse a un nuevo sitio de Fixlet, vaya a un equipo con la consola deEndpoint Manager instalada.

2. Descargue el encabezado de evaluación de HP-UX.3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse "Abrir" para

abrir automáticamente la consola de Endpoint Manager.4. Inicie una sesión en la consola de Endpoint Manager con su nombre de

usuario/contraseña.5. Una vez iniciada la sesión, la consola de Endpoint Manager le pregunta si

desea suscribirse al sitio de Fixlet Parches para HP-UX. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.7. Cuando la consola de Endpoint Manager se suscribe al sitio, debe iniciar

automáticamente la recopilación de nuevos mensajes de Fixlet del sitio.

Instrucciones de instalación de HP-UX Itanium

Para instalar el cliente, realice los pasos siguientes:1. Descargue y copie el archivo del paquete de cliente de Endpoint Manager

correspondiente (BESAgent-9.2.xxxx.x.pa_risc_hpuxxxxx.depot) en el equipoHP-UX Itanium.


http://software.bigfix.com/download/bes/mastheads/evalhpux.efxm

2. Ejecute el siguiente mandato:/usr/sbin/swinstall -x "allow_incompatible=true"

-s NOMBREHOST:/vía_acceso/BESAgent-9.2.xxxx.x.pa_risc_hpuxxxxx.depotBESAgent

donde NOMBREHOST es el nombre del sistema donde se ha instalado elagente y /vía_acceso/ es la vía de acceso del origen de instalación del agente.



4. Inicie el cliente de Endpoint Manager ejecutando el mandato/sbin/init.d/besclient start

Instrucciones de instalación en Mac

La distribución incluye un DMG (archivo de imagen de disco montable) quecontiene programas de utilidad y una descarga de PKG aparte para el paquete deinstalación o actualización. Los archivos se identifican como versiones 10.6 en losnombres de archivo. Para instalar el cliente de Mac, realice los pasos siguientes:1. Descargue el archivo del paquete de cliente de Endpoint Manager

correspondiente en el sistema Mac.2. Copie el archivo PKG en un directorio cualquiera y copie el archivo de

encabezado para el despliegue en el mismo directorio. Asegúrese de que elarchivo de encabezado se denomine actionsite.afxm.

3. Puede incluir un archivo de valores predefinido (clientsettings.cfg) en eldirectorio de instalación para crear los valores personalizados para el clienteMac en el momento de la instalación.

4. Inicie el instalador de PKG efectuando una doble pulsación en el archivo PKG(por ejemplo, BESAgent-9.2.xxx.x-BigFix_MacOSXxx.x.pkg) y complete lainstalación. El agente se inicia cuando finaliza la instalación, siempre que elarchivo de encabezado esté incluido en el directorio de instalación.

Instrucciones de instalación en OSX:

La distribución incluye un DMG (archivo de imagen de disco montable) quecontiene programas de utilidad y una descarga de PKG aparte para el paquete deinstalación o actualización.1. Descargue el archivo del paquete de cliente de Endpoint Manager

correspondiente en el sistema Mac.2. Copie el archivo PKG en un directorio cualquiera y copie el archivo de

encabezado para el despliegue en el mismo directorio. Asegúrese de que elarchivo de encabezado se denomine actionsite.afxm.


3. De manera opcional, puede incluir un archivo de valores predefinido(clientsettings.cfg) en el directorio de instalación para crear los valorespersonalizados para el cliente Mac en el momento de la instalación.

4. Inicie el instalador de PKG efectuando una doble pulsación en el archivo PKG(por ejemplo, BESAgent-9.2.xxx.x-Endpoint Manager_MacOSXxx.x.pkg) ycomplete la instalación. El agente se inicia cuando finaliza la instalación,siempre que el archivo de encabezado esté incluido en el directorio deinstalación.

Contenido de Fixlets de Mac:

Para obtener el contenido de Fixlet para el agente de Endpoint Manager de Mac,suscriba el servidor de Endpoint Manager al sitio de Fixlet adecuado. Parasuscribirse a un nuevo sitio de Fixlet, siga estos pasos:1. Vaya a un equipo con la consola de Endpoint Manager instalada.2. Descargue el encabezado.3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse Abrir para



desea suscribirse al sitio de Fixlet Parches para Mac OS X. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.7. Cuando la consola de Endpoint Manager se suscribe al sitio, se inicia la

recopilación de nuevos mensajes de Fixlet del sitio.

Instrucciones de instalación en AIX

Para instalar el cliente, realice los pasos siguientes:1. Descargue el archivo del paquete de cliente de Endpoint Manager

correspondiente en el equipo IBM AIX.2. Copie el BESAgent en el equipo IBM AIX.3. Ejecute el siguiente mandato:

installp –agqYXd ./BESAgent-9.2.xxx.x.ppc_aixxx.pkg BESClient



5. Inicie el cliente de Endpoint Manager ejecutando el siguiente mandato:/etc/rc.d/rc2.d/SBESClientd start


Contenido de Fixlets de AIX:

Para obtener el contenido de Fixlet para el agente de Endpoint Manager de AIX,suscriba el servidor de Endpoint Manager al sitio de Fixlet adecuado. Parasuscribirse a un nuevo sitio de Fixlet, siga estos pasos:1. Vaya a un equipo con la consola de Endpoint Manager instalada.2. Descargue el encabezado. ly.)3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse Abrir para



desea suscribirse al sitio de Fixlet Parches para AIX. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.7. Cuando la consola de Endpoint Manager se suscribe al sitio, se inicia la

recopilación de nuevos mensajes de Fixlet del sitio.

Contenido de Fixlets de ESX

Para obtener el contenido de Fixlet para el agente de Endpoint Manager de ESX,suscriba el servidor de Endpoint Manager al sitio de Fixlet adecuado. Parasuscribirse a un nuevo sitio de Fixlet, siga estos pasos:1. Vaya a un equipo con la consola de Endpoint Manager instalada.2. Descargue el encabezado.3. Cuando se le pregunte si desea abrir o guardar el archivo, pulse Abrir para



desea suscribirse al sitio de Fixlet Parches para ESX. Pulse Aceptar.6. Escriba la contraseña de clave privada y pulse Aceptar.

Cuando la consola de Endpoint Manager se suscribe al sitio, se inicia larecopilación de nuevos mensajes de Fixlet del sitio.

Nota: Asegúrese de que los puertos del cortafuegos estén abiertos.

Instrucciones de instalación en Ubuntu Debian (32 bits)

Para instalar el cliente, realice los pasos siguientes:1. Descargue el archivo del paquete DEB de cliente de Endpoint Manager

correspondiente en el equipo Ubuntu Debian.2. Instale el DEB ejecutando el mandato

dpkg -i vía_acceso_paquete_cliente





Instrucciones de instalación en Ubuntu/Debian (64 bits)

Para instalar el cliente, realice los pasos siguientes:1. Descargue el archivo del paquete DEB de cliente de Endpoint Manager

correspondiente en el equipo Ubuntu/Debian.2. Instale el DEB ejecutando el mandato

dpkg -i vía_acceso_paquete_cliente




Instrucciones de instalación en CentOS

Para instalar el cliente, realice los pasos siguientes:1. Descargue el archivo RPM del cliente de Endpoint Manager correspondiente en

el equipo Red Hat.2. Instale el RPM ejecutando el mandato




4. Inicie el cliente de Endpoint Manager ejecutando el mandato:


/etc/init.d/besclient start

Instalación del cliente con MSI

Puede usar la versión Microsoft Installer (MSI) del cliente para interpretar elpaquete y llevar a cabo la instalación de forma automática. Esta versión MSI delcliente (BESClientMSI.msi) se almacena en la carpeta BESInstallers\ClientMSI delservidor de Windows y en la carpeta /ServerInstaller_9.2.0.363-rhe6.x86_64/repos/ClientMSI del servidor de Linux.

Para instalar el cliente de Windows, realice los pasos siguientes:1. Copie el programa BESClientMSI.msi en la carpeta c:\BESInstallers\ClientMSI

de un sistema Windows.2. Puede ejecutar el programa BESClientMSI.msi de varias formas:

v msiexec.exe /i c:\BESInstallers\ClientMSI\BESClientMSI.msi/T=TransformList /qn

El mandato \qn realiza una instalación silenciosa.v msiexec.exe /i c:\BESInstallers\ClientMSI\BESClientMSI.msi

INSTALLDIR="c:\myclient" /T=TransformList

Este mandato instala el programa en el directorio especificado(INSTALLDIR="c:\myclient").

Nota: /T=TransformList especifica qué archivos de transformación (.mst) debenaplicarse al paquete. TransformList es una lista de vías de acceso separadas porpuntos y comas. La tabla siguiente describe los archivos de transformaciónsuministrados, el idioma resultante y el valor numérico a utilizar en la línea demandatos de msiexec.

Tabla 6. Lista de archivos de transformación


Ingles EE.UU. 1033.mst 1033

Alemán 1031.mst 1031

Francés 1036.mst 1036

Español 1034.mst 1034

Italiano 1040.mst 1040

Portugués brasileño 1046.mst 1046

Japonés 1041.mst 1041

Coreano 1042.mst 1042

Chino simplificado 2052.mst 2052

Chino tradicional 1028.mst 1028

Encontrará la lista completa de opciones de instalación en el siguiente sitio deMicrosoft, en Opciones de línea de mandatos. Para crear un objeto de políticade grupo (GPO) para los despliegues de BESClientMSI, consulte el artículo dela base de conocimiento de Microsoft: http://support.microsoft.com/kb/887405.

3. Antes de iniciar el cliente, copie el encabezado actionsite.afxm ubicado en elservidor de Endpoint Manager en el directorio de instalación del cliente, que


http://msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx



puede ser el directorio de instalación predeterminado, %PROGRAM FILES%\BigFixEnterprise\BES Client, o un directorio de instalación específico,INSTALLDIR="c:\myclient".

4. Iniciar el servicio del cliente de BES.

Ejecución de la Herramienta de administración de Endpoint Manager

El script de instalación install.sh descarga automáticamente el script de shellbash de la Herramienta de administración de IBM Endpoint Manager, BESAdmin.sh,en el directorio /opt/BESServer/bin. Con esta herramienta puede editar el archivode encabezado, comprobar las firmas de los objetos de la base de datos, habilitar einhabilitar la seguridad mejorada, reasignar el contenido de todos los usuarios dela base de datos, rotar la clave privada del servidor, configurar el inicio de sesiónde la consola y Web Reports, reasignar el contenido de la base de datos ysincronizar el encabezado con la licencia actualizada.

Ejecute este script como superusuario desde el indicador de mandatos utilizando lasintaxis siguiente:./BESAdmin.sh -servicio { argumentos}

donde servicio puede ser uno de los siguientes:changeprivatekeypasswordeditmastheadfindinvalidsignaturesimportlicenserepairreportencryptionresignsecuritydatarotateserversigningkeysecuritysettingssetadvancedoptionssetproxysyncmastheadandlicenseupdatepassword

Nota: La notación <vía+licencia.pvk> utilizada en la sintaxis del mandato en estetema equivale a vía_acceso_de_archivo_de_licencia/license.pvk.

Cada servicio tiene los argumentos siguientes:

changeprivatekeypasswordPuede utilizar este servicio para que se le solicite una contraseña nueva paraasociarla con el archivo license.pvk . Utilice la siguiente sintaxis para ejecutarel mandato:./BESAdmin.sh -changeprivatekeypassword -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ]

editmastheadPuede editar el archivo de encabezado especificando estos parámetros:advGatherSchedule (optional, integer)values:

0=Fifteen Minutes,1=Half Hour, 2=Hour,3=Eight Hours,4=Half day,5=Day,6=Two Days,7=Week,8=Two Weeks,9=Month,10=Two Months


advController (optional, integer)values:

0=console,1=client,2=nobody

advInitialLockState (optional, integer)values:

0=Locked,1=timed (specify duration),2=Unlocked

advInitialLockDuration (optional, integer)values:

( duration in seconds )advActionLockExemptionURL (optional, string)

advRequireFIPScompliantCrypto (optional, boolean)

La sintaxis para ejecutar este servicio es:./BESAdmin.sh -editmasthead -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ] [ -display ][ -advGatherSchedule=<0-10> ] [ -advController=<0-2> ][ -advInitialLockState=<0|2> | -advInitialLockState=1-advInitialLockDuration=<núm> ] [ -advActionLockExemptionURL=<url> ][ -advRequireFIPScompliantCrypto=<true|false> ]

Para obtener más información, consulte la Guía de configuración de IBM EndpointManager.

findinvalidsignatures

Puede comprobar las firmas de los objetos en la base de datos especificandoestos parámetros:

-list (opcional)Se listan todas las firmas no válidas que encuentra BESAdmin.

-resignInvalidSignatures (optional)Intenta reasignar las firmas no válidas que encuentra BESAdmin.

-deleteInvalidlySignedContent (optional)Suprime el contenido con firmas no válidas.

Para obtener más información sobre las firmas no válidas, consultehttp://www-01.ibm.com/support/docview.wss?uid=swg21587965.La sintaxispara ejecutar este servicio es:./BESAdmin.sh -findinvalidsignatures[ -list | -resignInvalidSignatures | -deleteInvalidlySignedContent ]

importlicensePuede utilizar este servicio para importar una licencia actualizada. Este serviciole permite actualizar la licencia manualmente en entornos aislados de IBMEndpoint Manager../BESAdmin.sh -importlicense -sitePvkLocation=<vía+licencia.pvk>[ -sitePvkPassword=<contraseña> ] -licenselocation=<vía+license.crt>

El archivo license.crt contiene la licencia actualizada para importar.

repairPuede utilizar un programa de utilidad de reparación para gestionar unaincoherencia entre las claves almacenadas en la base de datos y las que se hanalmacenado en el sistema de archivos. Cuando se ejecute el mandato siguiente,se volverán a crear las claves del sistema de archivos a partir de las clavesalmacenadas en la base de datos:



./BESAdmin.sh -repair -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ]

reportencryptionPuede generar, rotar, habilitar e inhabilitar el cifrado para la mensajería deinformes ejecutando:BESAdmin.sh -reportencryption { -status |

-generatekey [-privateKeySize=<min|max>][ -deploynow=yes | -deploynow=no -outkeypath=<vía> ]-sitePvkLocation=<vía+license.pvk> [-sitePvkPassword=<contraseña>] |

-rotatekey [-privateKeySize=<min|max> ][ -deploynow=yes | -deploynow=no -outkeypath=<vía> ]-sitePvkLocation=<vía+license.pvk> [-sitePvkPassword=<contraseña>] |

-enablekey -sitePvkLocation=<vía+license.pvk> [-sitePvkPassword=<contraseña>] |-disablekey -sitePvkLocation=<vía+license.pvk> [-sitePvkPassword=<contraseña>] }

donde:

status Muestra el estado del cifrado y qué argumentos puede utilizar para elestado

generatekeyPermite generar una nueva clave de cifrado.

rotatekeyPermite cambiar la clave de cifrado.

enablekeyPermite habilitar la clave de cifrado.

disablekeyPermite poner la clave de cifrado en un estado PENDIENTE. Si emitede nuevo el mandato reportencryption con el argumento disablekey,el cifrado cambia del estado PENDIENTE a INHABILITADO.

Para obtener más información sobre este mandato y su comportamiento,consulte Gestión de cifrado de clientes.

resignsecuritydata

Debe reasignar el contenido de todos los usuarios en la base de datosescribiendo el mandato siguiente:./BESAdmin -resignSecurityData

si obtiene uno de los errores siguientes:class SignedDataVerificationFailureHTTP Error 18: Se ha producido un error desconocido al transferir datos delservidor

cuando intente iniciar sesión en la consola de Endpoint Manager. Este mandatoreasigna datos de seguridad utilizando el archivo de claves existente. Tambiénpuede especificar el parámetro siguiente:-mastheadLocation=<vía+actionsite.afxm>

La sintaxis completa para ejecutar este servicio es:./BESAdmin.sh -resignsecuritydata -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ] -mastheadLocation=<vía+actionsite.afxm>

rotateserversigningkey


Puede rotar la clave privada del servidor para que la clave en el sistema dearchivos coincida con la clave en la base de datos. El mandato crea una clavede firma de servidor nueva, reasigna todo el contenido existente utilizando laclave nueva y revoca la clave antigua.

La sintaxis para ejecutar este servicio es:./BESAdmin.sh -rotateserversigningkey -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ]

securitysettingsPuede configurar las opciones de seguridad mejorada para que sigan losestándares de seguridad NIST ejecutando el mandato:./BESAdmin.sh -securitysettings -sitePvkLocation=<vía+license.pvk>[ -sitePvkPassword=<contraseña> ]{ -status | -enableEnhancedSecurity [-requireSHA256Downloads]| -disableEnhancedSecurity | -requireSHA256Downloads| -allowSHA1Downloads} }

donde:

status Muestra el estado de los valores de seguridad establecidos en elentorno de IBM Endpoint Manager.

Ejemplo:BESAdmin.sh -securitysettings -sitePvkLocation=/root/backup/license.pvk-sitePvkPassword=mypassw0rd -status

La seguridad ampliada esta actualmente HABILITADA.Las descargas SHA-256 son actualmente OPCIONALES

enableEnhancedSecurity | disableEnhancedSecurityHabilita o inhabilita la seguridad mejorada que adopta el algoritmo deresumen criptográfico SHA-256 para todas las firmas digitales, asícomo la verificación de contenido y el protocolo TLS 1.2 para lascomunicaciones entre los componentes de Endpoint Manager.

Nota: Si utiliza el valor enableEnhancedSecurity romperá lacompatibilidad con las versiones anteriores porque la versión 9.0 deIBM Endpoint Manager o los componentes anteriores no se puedencomunicar con el servidor o los retransmisores de la versión 9.2 deIBM Endpoint Manager.

requireSHA256DownloadsGarantiza que los datos no han cambiado después de descargarlosutilizando el algoritmo SHA-256.

Nota: La opción Requerir descargas de SHA-256 sólo está disponiblesi ha seleccionado Habilitar la seguridad mejorada.

allowSHA1DownloadsAsegúrese de que la comprobación de integridad de la descarga dearchivos se ejecute utilizando el algoritmo SHA-1.

Para obtener más información sobre la característica Seguridad mejorada deIBM Endpoint Manager y la configuración de seguridad soportada, consulteCapítulo 4, “Escenarios de configuración de seguridad”, en la página 27.

setadvancedoptionsPuede listar o configurar las opciones de configuración globales que se aplican


a una instalación en concreto. Por ejemplo, puede establecer el banner de iniciode sesión de la consola o Web Reports que se va a mostrar especificando elsiguiente mandato:./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk-sitePvkPassword=pippo000 -update loginWarningBanner=’new message’

La sintaxis completa para ejecutar este servicio es:./BESAdmin.sh -setadvancedoptions -sitePvkLocation=<vía+license.pvk>[-sitePvkPassword=<contraseña>]{ -list | -display| [ -f ] -delete option_name| [ -f ] -update option_name=option_value }

Para obtener una lista de las opciones disponibles que puede establecer,consulte “Lista de opciones avanzadas” en la página 86.

setproxySi su empresa utiliza un proxy para acceder a Internet, debe establecer unaconexión proxy para que el servidor de IBM Endpoint Manager puedarecopilar contenido de los sitios así como para realizar una comunicación decomponente a componente o para descargar archivos.

Para obtener información sobre cómo ejecutar el mandato y sobre los valorespara utilizar cada argumento, consulte “Establecimiento de una conexión proxyen el servidor” en la página 175.

syncmastheadandlicenseCuando actualiza el producto, debe utilizar esta opción para sincronizar lalicencia de actualización con el encabezado y volver a firmar todo el contenidoen la base de datos con SHA-256. La sintaxis para ejecutar este servicio es:./BESAdmin.sh -syncmastheadandlicense -sitePvkLocation=<vía+license.pvk>[-sitePvkPassword=<contraseña>]

updatepassword

Puede modificar la contraseña utilizada para la autenticación por loscomponentes del producto en configuraciones específicas.

La sintaxis para ejecutar este servicio es:./BESAdmin.sh -updatepassword -type=<server_db|dsa_db>[-password=<contraseña>] -sitePvkLocation=<vía+license.pvk>[-sitePvkPassword=<contraseña_pvk>]

donde:

type=server_dbSi ha cambiado la contraseña de la instancia de base de datos,especifique este valor para actualizar la contraseña utilizada por elservidor para autenticarse con la base de datos.

type=dsa_dbSi ha cambiado la contraseña de la instancia de base de datos en unservidor de una configuración de DSA, especifique este valor paraactualizar la contraseña utilizada en una configuración de DSAmediante servidores remotos con el fin de realizar una autenticacióncon la base de datos.

Los valores -password y -sitePvkPassword son opcionales; si no se especificanen la sintaxis del mandato, su valor se solicita de forma interactiva en tiempode ejecución. La contraseña establecida por este mandato se oculta.


Eliminación del servidor primario en sistemas LinuxPara desinstalar el servidor de IBM Endpoint Manager, debe detener los servicios yeliminar los componentes de servidor, cliente y Web Reports, así como las bases dedatos relacionadas.

Para desinstalar el servidor primario en sistemas Linux, siga estos pasos:1. Elimine los archivos rpm del servidor, el cliente y Web Reports:

rpm -e BESRootServer-9.2.0.xxxx-rhel.x86_64rpm -e BESAgent-9.2.0.xxxx-rhe5.x86_64rpm -e BESWebReportsServer-9.2.0.xxxx-rhel.x86_64

2. Elimine los siguientes directorios:rm -fr /var/opt/BESClientrm -fr /etc/opt/BESClientrm -fr /var/opt/BESServerrm -fr /etc/opt/BESServerrm -fr /var/opt/BESWebReportsServer

3. Elimine las bases de datos locales BFENT y BESREPOR:su - db2inst1db2 drop db BFENTdb2 drop db BESREPOR

o las bases de datos remotas BFENT y BESREPOR:db2 uncatalog db BFENTdb2 uncatalog db BESREPORdb2 uncatalog node TEM_RER

Desinstalación de un servidor de replicación de Linux

Para desinstalar un servidor de replicación, llame al procedimiento almacenado enla base de datos delete_replication_server, con el que se elimina el identificadorespecificado del conjunto de replicación. Asegúrese de especificar el identificadordel servidor que se va a suprimir. Debe iniciar una sesión en la base de datos DB2y ejecutar el siguiente procedimiento:call dbo.delete_replication_server(n)

donde n es el identificador del servidor que se va a suprimir.


Capítulo 10. Pasos de configuración posteriores a lainstalación

Tras ejecutar la instalación, no olvide leer los temas siguientes y ejecute lasactividades solicitadas, según convenga.

Pasos posteriores a la instalaciónTras instalar el producto, lleve a cabo estos pasos para comprobar que lainstalación se haya ejecutado correctamente y para completar los pasos básicos dela configuración .1. Ejecute el paso siguiente para comprobar que la instalación se haya ejecutado

correctamente:

En Windows:En Inicio > Todos los programas > Tivoli Endpoint Manager ejecutela herramienta de diagnóstico del servidor de IBM Endpoint Managerpara verificar que todos los pasos de la instalación y configuración sehayan completado correctamente.

Si todos los botones son de color verde, pulse Cerrar para salir de laherramienta de diagnóstico; en caso contrario, trate de resolver elproblema para asegurarse de que el servidor esté funcionandocorrectamente.


En Linux:Asegúrese de que los servicios siguientes estén activos y se esténejecutando:besfilldbbesgatherdbbesserverbeswebreports

Utilice el mandato service service status para comprobar el estadode los servicios.

2. Abra la consola de Endpoint Manager y verifique que el cliente se hayaregistrado.

3. Desde la consola, verifique que se hayan creado los dominios Todo elcontenido y Gestión de BigFix.

4. Tras la instalación, el programa se configura automáticamente para suscribirsea determinados sitios de administración y mantenimiento. En función de lascondiciones de su licencia, es posible que tenga también suscripciones a otros


sitios. De este modo, el contenido de esos sitios se descargará en su empresaautomáticamente y su relevancia se evaluará en todos los equipos queejecutan el cliente de Endpoint Manager. Suscríbase a estos sitios desde eldominio Gestión de BigFix, seleccionando el panel de control Vista generalde la licencia:

Aparece el diálogo Vista general de la licencia, donde se muestra una lista conlos sitios disponibles.

5. Habilite los sitios autorizados, pulsando el botón Habilitar asociado al sitio alque desee suscribirse:

6. Escriba su contraseña para suscribirse al sitio. El nuevo sitio se lista ahora enel nodo Administrar sitios del panel de dominio. También puede suscribirse aun sitio utilizando u archivo del encabezado. Para obtener informaciónadicional consulte Suscribirse con un encabezado de la Guía de la consola.

7. Abra el nodo Administrar sitios y seleccione el sitio que se acaba de suscribir.

Capítulo 10. Pasos de configuración posteriores a la instalación 145

8. Desde el diálogo de sitio, pulse la ficha Suscripciones del equipo paraasignar el sitio a los equipos adecuados.

9. En la ficha Permisos de operador, seleccione los operadores que desea asociarcon este sitio y el nivel de permiso.

10. Pulse Guardar cambios cuando haya terminado.

Ahora podrá utilizar el producto.

Inicio y detención del servidor de IBM Endpoint Manager

Realice los pasos siguientes para iniciar y detener el servidor de IBM EndpointManager instalado en un sistema Windows:

Pasos para iniciar IBM Endpoint Manager:Inicie los siguientes servicios de Windows en el orden especificado:BES Root ServiceBES FillDBBES GatherDBBES ClientBES Web Reports Service

Pasos para detener IBM Endpoint Manager:Detenga los siguientes servicios de Windows en el orden especificado:BES Web Reports ServiceBES ClientBES GatherDBBES FillDBBES Root Service

Realice los pasos siguientes para iniciar y detener el servidor de IBM EndpointManager instalado en un sistema Linux:

Pasos para iniciar IBM Endpoint Manager:Ejecute los servicios siguientes en el orden especificado:service besserver startservice besfilldb startservice besgatherdb startservice beswebreports startservice besclient start

Pasos para detener IBM Endpoint Manager:Ejecute los servicios siguientes en el orden especificado:service besclient stopservice beswebreports stopservice besgatherdb stopservice besfilldb stopservice besserver stop

Suscripción a sitios de contenido

Los sitios son colecciones de Fixlets que el usuario, IBM o los proveedores crean demanera interna. El usuario se suscribe a un sitio y acuerda un horario paradescargar el último lote.

Puede añadir una nueva suscripción a sitios mediante la adquisición de un archivode Encabezado de un proveedor o de IBM. También puede suscribirse a un sitioutilizando el panel de control de licencia.


Los sitios están generalmente dedicados a un solo tema, como la seguridad o elmantenimiento de un determinado software o hardware. Sin embargo, varios sitiospueden compartir características y, por lo tanto, agruparse en dominios, quepueden incluir un conjunto de tareas típico de los distintos administradores de laconsola. Por ejemplo, la persona encargada de aplicar parches y mantener unentorno operativo común puede encontrar todos los sitios de soporte y parchespara varios sistemas operativos agrupados en el Dominio de administración deparches.

Puede configurar su propio sitio personalizado y rellenarlo con Fixlets que ustedhaya desarrollado específicamente para su propia red. El usuario y los demásoperadores podrán, a continuación, enviar y recibir los últimos parches internos eimplementarlos rápidamente en las ubicaciones y departamentos adecuados.

Durante la instalación, el programa está configurado automáticamente parasuscribirse a determinados sitios de administración y mantenimiento. En funciónde las condiciones de su licencia, es posible que tenga también suscripciones aotros sitios. En ese caso, el contenido de esos sitios se descargará en su empresaautomáticamente y su relevancia se evaluará en todos los equipos que ejecutan elcliente de IBM Endpoint Manager. Dichos sitios, a su vez, se registranautomáticamente con un dominio adecuado, facilitando la división del contenidoen secciones funcionales.

Suscripción con un encabezado

Siga los siguientes pasos para suscribirse a un sitio utilizando un archivo deencabezado:1. Encuentre un sitio adecuado. Encontrar un sitio es equivalente a encontrar un

archivo de encabezado de sitio, que tiene una extensión .efxm. Hay variasformas de hacerlo:

Sitios de Fixlet:IBM puede publicar una lista de enlaces a sitios nuevos a medida queestén disponibles.

Suscripciones de Fixlet:A veces un mensaje de Fixlet puede ofrecer una suscripción. Pulse laacción de Fixlet para iniciar la suscripción.

Descargar encabezados:También puede suscribirse a un sitio descargando un archivo deencabezado del sitio web de un proveedor. Una vez ha guardado elencabezado en su equipo, puede activarlo de una de las manerassiguientes:v Efectúe una doble pulsación en el encabezado ov Seleccione Añadir encabezado de sitio externo en el menú

Herramientas, busque la carpeta que contiene el encabezado y pulseAbrir.

2. Se le pedirá que introduzca su contraseña de clave privada. Escríbala y pulseAceptar.

El encabezado se propaga a todos los clientes, que comenzarán a evaluarinmediatamente los Fixlets del nuevo sitio.

Capítulo 10. Pasos de configuración posteriores a la instalación 147

Suscripción con el Panel de control de licencia

También puede suscribirse a un sitio de Fixlet utilizando el panel de licencia enGestión de BigFix, que se encuentra en el Panel de dominio:1. Abra el dominio de Gestión de BigFix y desplácese a la parte superior para ver

los paneles asociados.2. Desde el Panel de licencia, seleccione los sitios a los que desea suscribirse.


Capítulo 11. Gestión de retransmisores

Los retransmisores pueden contribuir a que el rendimiento de la instalación mejoreostensiblemente. Los retransmisores alivian las cargas ascendente y descendente delos servidores. En lugar de establecer la comunicación directamente con unservidor, los clientes pueden definirse para se comuniquen con determinadosretransmisores, con lo cual se reduce notablemente tanto la carga del servidorcomo el tráfico de red entre cliente y servidor. Los retransmisores mejoran elrendimiento al:v Aliviar el tráfico descendente. Utilizando los retransmisores, el servidor de IBM

Endpoint Manager no tiene que distribuir archivos como, por ejemplo, parches opaquetes de software y Fixlets a cada cliente. En su lugar, el archivo se envíauna sola vez al retransmisor, que se encargará de distribuirlo a los clientes.

v Reducir el tráfico ascendente. En sentido ascendente, los retransmisores puedencomprimir y empaquetar los datos (incluida la relevancia de Fixlet, el estado delas acciones y las propiedades recuperadas) de los clientes y, así, obtener unaeficacia aún mayor.

v Reducir la congestión en las conexiones de ancho de banda bajo. Si tiene unservidor que se comunica con los equipos de una oficina remota a través de unaconexión lenta, designe a uno de estos equipos como retransmisor. Acontinuación, el servidor envía únicamente una copia al retransmisor (en caso deque la necesite). Por su parte, este retransmisor distribuirá el archivo al resto deequipos de la oficina remota a través de la propia red LAN, más rápida.

Uno de los aspectos esenciales de la implementación de IBM Endpoint Manager enuna red de grandes dimensiones es establecer la estructura de retransmisoresadecuada. Cuando los retransmisores estén completamente implementados, sepodrá enviar una acción con una gran descarga de forma rápida y sencilla adecenas de miles de equipos con un uso de la WAN mínimo.

Una configuración recomendada es la conexión de 500-1000 clientes a cadaretransmisor y el uso de una configuración de retransmisor padre-hijo.

Nota: En caso de que la conexión entre un retransmisor y un servidor seainusualmente lenta, puede que sea mejor conectar el retransmisor directamente aInternet para las descargas.

Para obtener información adicional sobre los retransmisores, consulte la páginaRetransmisores.

Requisitos y recomendaciones de retransmisor

En general, los retransmisores consumen muy pocos recursos y no tienen unimpacto significativo en el rendimiento del equipo en el que se ejecutan. Noobstante, si varios clientes solicitan simultáneamente archivos de un retransmisor,puede utilizarse una cantidad significativa de recursos del equipo para servir esosarchivos.

Los requisitos para un equipo con retransmisor varían considerablemente enfunción de tres factores principales:v El número de clientes conectados que están descargando archivos.



v El tamaño de cada descarga.v El período de tiempo asignado a las descargas.

Los requisitos del sistema del retransmisor son similares a los de un servidor dearchivos de grupo de trabajo. Para obtener detalles sobre los requisitos delretransmisor, consulte IBM Endpoint Manager 9.2 - Requisitos del sistema.

A continuación, se detallan algunas recomendaciones adicionales:v Los equipos que ejecutan los retransmisores deben tener instalado el agente de

IBM Endpoint Manager.v Los servidores de archivos de grupo de trabajo y otros equipos con calidad de

servidor que están constantemente encendidos son buenos candidatos para lainstalación de un retransmisor.

v El retransmisor de IBM Endpoint Manager debe tener una conexión TCPbidireccional hacia el elemento principal (que puede ser un servidor u otroretransmisor).

v Los equipos que ejecutan los retransmisores deberán tener como mínimoInternet Explorer 4.0 o superior para que funcionen correctamente.

v El tamaño de la memoria caché del retransmisor de IBM Endpoint Manager sepuede configurar, pero está establecido en 1 GB de forma predeterminada. Serecomienda tener un mínimo de 2 GB disponibles destinados a la memoria cachéde los retransmisores a fin de evitar que se produzcan cuellos de botella en launidad de disco duro.

v Se recomienda tener al menos un retransmisor por ubicación geográfica a efectosde ancho de banda.

v También se puede regular el uso de ancho de banda para los retransmisores quedescargan archivos en conexiones muy lentas. Se recomienda regular el uso delancho de banda para los clientes que se conectan en conexiones VPN lentas o demarcación. Para obtener más información sobre la limitación de ancho de banda,consulte Limitación de ancho de banda.

Configuración de un retransmisor

Para configurar un retransmisor, debe designar un equipo Windows, Red HatEnterprise Linux o Solaris que esté ejecutando un cliente para que actúe comoretransmisor. Para obtener más información sobre los sistemas operativossoportados, consulte IBM Endpoint Manager 9.2 - Requisitos del sistema.

Los clientes de IBM Endpoint Manager de la red detectan los nuevosretransmisores y se conectan a ellos de manera automática. Para configurar unequipo cliente como un retransmisor, siga estos pasos:1. Inicie una sesión en la consola de IBM Endpoint Manager.2. Abra el icono Fixlets y tareas en el Panel de dominio y pulse Sólo tareas.3. Efectúe una doble pulsación en la tarea etiquetada como Instalar retransmisor

de IBM Endpoint Manager (puede que incluya un número de versióndespués). Esta tarea es relevante cuando exista al menos un cliente que cumplalos requisitos del retransmisor.

4. Elija la opción de implementación que desee seleccionando una de las accionesde la tarea. La acción que escoja puede ir dirigida a uno o varios equipos.



https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Bandwidth%20Throttling


Una vez creados los retransmisores, se pueden configurar los clientes para que losdetecten automáticamente y se conecten, siempre buscando el retransmisor queesté a menos saltos de red.

Asignación de retransmisores a los clientes

Si ha configurado un retransmisor, debe dirigir los clientes de IBM EndpointManager en la red para que recopilen información del retransmisor, en lugar dehacerlo del servidor. Puede:v Asignar los retransmisores manualmente, como se describe en los temas

siguientes:– “Asignación del retransmisor en el momento de la instalación del cliente”– “Asignación manual de retransmisores a los clientes existentes” en la página

153v Asignar los retransmisores automáticamente, lo que significa permitir a los

clientes que identifiquen el retransmisor más cercano al que conectarse, como sedescribe en los temas siguientes:– “Asignación automática de retransmisores en el momento de la instalación del

cliente” en la página 154– “Asignación automática de retransmisores a los clientes existentes” en la

página 154

Si selecciona este método, también puede optar por aprovechar la funcionalidadde afiliación de retransmisores. Utilizando esta funcionalidad, crea grupos declientes afiliados y asigna los retransmisores al grupo de afiliación. Para obtenermás información sobre esta funcionalidad y cómo utilizarla, consulte “Uso de laafiliación de retransmisores” en la página 155.Para obtener más información y ver las consideraciones sobre la asignaciónautomática de retransmisores, consulte “Notas sobre la asignación automática deretransmisores” en la página 156.

Asignación del retransmisor en el momento de la instalacióndel cliente

De forma predeterminada, los clientes de Endpoint Manager están configuradospara conectarse al servidor principal de Endpoint Manager en el momento de lainstalación.

Si lo prefiere, puede configurar el cliente de Endpoint Manager para asignar unretransmisor de Endpoint Manager específico en el momento de la instalación delcliente. Dependiendo del sistema operativo del cliente, deberá realizar pasosdiferentes, como se describe en los temas siguientes:v “Clientes Windows”v “Clientes UNIX” en la página 152v “Clientes Mac” en la página 152

Clientes Windows

Cree un archivo de línea de árbol denominado clientsettings.cfg con el siguientecontenido, e incluya este archivo en la carpeta de instalación del cliente deEndpoint Manager (setup.exe) para establecer un retransmisor primario y de copiade seguridad:

Capítulo 11. Gestión de retransmisores 151

IP:http://besrelayserver.domain.com:52311/bfmirror/downloads/__RelayServer1=http://relay.domain.com:52311/bfmirror/downloads/__RelayServer2=http://relay2.domain.com:52311/bfmirror/downloads/

Nota: Esta técnica NO funciona para la versión de MSI del paquete de instalacióndel cliente de Endpoint Manager.

Clientes Mac

El instalador del cliente Mac también utiliza el archivo clientsettings.cfg paracrear valores en el cliente Mac.

Para establecer el retransmisor, añada las siguientes líneas al archivoclientsettings.cfg:IP:http://besrelayserver.domain.com:52311/bfmirror/downloads/__RelayServer1=http://relay.domain.com:52311/bfmirror/downloads/

Antes de ejecutar la instalación, desde el shell, añada el archivoclientsettings.cfg al paquete del instalador del cliente Mac enBESAgent-9.2.xxx.x-BigFix_MacOSXxx.x.pkg/Contents/Resources.

En el buscador (Finder), pulse con el botón derecho el archivoBESAgent-9.2.xxx.x-BigFix_MacOSXxx.x.pkg y elija Mostrar contenido delpaquete para navegar en el paquete.

El paquete de instalación se crea con la aplicación BESAgent Installer Builder, quecrea el paquete en un solo archivo comprimido .dmg. Si necesita editar el paquete,cópielo fuera de esta imagen de disco de sólo lectura.

Nota: El ejecutable QnA también se incluye en el paquete de instalación delcliente. En los clientes Macintosh, para utilizar la aplicación debe iniciar elprograma Terminal y ejecutar:{sudo} /Library/BESAgent/BESAgent.app/Contents/MacOS/QnA

El mandato sudo es opcional, pero algunos inspectores sólo se ejecutan utilizandoun Superusuario (usuario root).

Clientes UNIX

Para asignar un retransmisor al cliente UNIX en el momento de la instalación, sigaestos pasos:1. Cree el archivo besclient.config en /var/opt/BESClient/ con las siguientes

líneas:[Software\BigFix\EnterpriseClient]EnterpriseClientFolder = /opt/BESClient

[Software\BigFix\EnterpriseClient\GlobalOptions]StoragePath = /var/opt/BESClientLibPath = /opt/BESClient/BESLib

[Software\BigFix\EnterpriseClient\Settings\Client\__RelayServer1]effective date = [Enter current date and time in standard format]value = http://relay.domain.com:52311/bfmirror/downloads/

[Software\BigFix\EnterpriseClient\Settings\Client\__RelayServer2]effective date = [Enter current date time in standard format]value = http://relay2.domain.com:52311/bfmirror/downloads/


[Software\BigFix\EnterpriseClient\Settings\Client\__RelaySelect_Automatic]effective date = [Enter current date time in standard format]value = 0

2. Asegúrese de que el directorio y el archivo sean propiedad de la raíz y quenadie más puede escribir en ellos. De esta forma, cuando ejecute el instaladordel cliente UNIX para instalar el cliente, el instalador no recreará nisobrescribirá /var/opt/BESClient/besclient.config con los siguientes valores:[Software\BigFix\EnterpriseClient]EnterpriseClientFolder = /opt/BESClient

[Software\BigFix\EnterpriseClient\GlobalOptions]StoragePath = /var/opt/BESClientLibPath = /opt/BESClient/BESLib

3. En effective date = [Enter current date and time in standard format],establezca la fecha y la hora. Un ejemplo del formato estándar para la fecha yla hora es el siguiente:Wed, 06 Jun 2012 11:00:00 -0700

No puede especificar effective date = {now} porque las llaves {} implican eluso de la relevancia en línea y now es una palabra clave.

4. En value = http://relay.domain.com:52311/bfmirror/downloads/, modifiquerelay.domain.com para que sea el retransmisor deseado.

Consejo: Puede obtener y verificar el contenido actual de besclient.config. Paraello, asigne un retransmisor manualmente para un determinado cliente de Linux y,a continuación, copie las líneas específicas desde su archivo besclient.config paraque se utilicen en otros sistemas.

Nota: Para obtener más información sobre la resolución de problemas de elecciónde un retransmisor de Endpoint Manager para los clientes, consultehttp://www-01.ibm.com/support/docview.wss?uid=swg21506065

Adición de más valores

Para añadir otros valores de cliente durante la instalación del nuevo cliente,incluya una línea para cada valor de cliente que se va a establecer durante lainstalación del cliente. Por ejemplo, el archivo puede ser parecido a:__RelayServer1=http://relay.domain.com:52311/bfmirror/downloads/_BESClient_Inspector_ActiveDirectory_Refresh_Seconds=43200_BESClient_Log_Days=10...

Para obtener más información sobre los valores de cliente que puede establecer,consulte http://www-01.ibm.com/support/docview.wss?uid=swg21506065)):

Asignación manual de retransmisores a los clientesexistentes

Es posible que desee especificar manualmente exactamente qué clientes se debenconectar a qué retransmisores. Para ello, siga los pasos siguientes:1. Inicie la consola y seleccione el dominio Gestión de BigFix. En la carpeta

Administración de equipos, pulse Equipos para ver una lista de cliente en elpanel de lista.

2. Seleccione el conjunto de equipos que desea adjuntar a un retransmisor enconcreto.




3. Pulse con el botón derecho en el conjunto resaltado y seleccione Editarconfiguración del equipo del menú desplegable. Al igual que puede sucedercon la creación de retransmisores (explicada anteriormente), los cuadros dediálogo pueden ser distintos en función de si se han seleccionado uno o variosequipos.

4. Active la casilla de verificación Retransmisor primario y, a continuación,seleccione un nombre de equipo de la lista desplegable de servidores deretransmisor disponibles.

5. De igual modo, puede asignar un Retransmisor secundario, que servirá decopia de seguridad cuando el servidor de retransmisor principal no seencuentre disponible por cualquier motivo.

6. Pulse Aceptar.

Asignación automática de retransmisores en el momento dela instalación del cliente

Cuando instale los clientes, es posible que quiera que detecten de formapredeterminada el retransmisor más próximo. Para configurarlo, siga los pasossiguientes:1. Abra el diálogo Editar valores del sistema pulsando con el botón derecho del

ratón en cualquier sistema de la lista de sistemas en la consola de IBMEndpoint Manager.

2. Pulse el botón Más opciones.3. En el panel Valores, compruebe los valores siguientes:

v Método de selección de retransmisorv Localizar automáticamente el mejor retransmisor

4. Seleccione el separador Destino.5. Pulse el botón Todos los sistemas con la propiedad.6. En la ventana mostrada más abajo, seleccione Todos los sistemas.7. Seleccione el separador Restricciones.8. Deseleccione la casilla Caduca el.9. Pulse Aceptar.

Ahora cuando se instalen nuevos clientes, éstos buscarán automáticamente elretransmisor más cercano y se conectarán a él, sin necesidad de realizar másacciones.

Asignación automática de retransmisores a los clientesexistentes

Puede configurar los clientes para buscar automáticamente el retransmisor máscercano y señalar a ese equipo en lugar de al servidor. Éste es el métodorecomendado, ya que equilibra dinámicamente el sistema con la menor cargaadministrativa posible. Los clientes pueden determinar qué retransmisores estánalejados el menor número de saltos de red, de modo que su topología seoptimizará.

Este comportamiento es clave cuando la configuración de red está cambiandoconstantemente, por ejemplo, cuando se acoplan y desacoplan los portátiles,cuando se inician y apagan los equipos o cuando se añade o elimina nuevo


hardware. Los clientes pueden evaluar dinámicamente la configuración paramantener las conexiones más eficaces cuando cambia la red.

Para garantizar que los clientes están configurados para detectar retransmisoresautomáticamente, siga estos pasos:1. Inicie la consola y seleccione el dominio Gestión de BigFix. En la carpeta

Administración de equipos, pulse el nodo Equipos para ver una lista de clienteen el panel de lista.

2. Pulse con las teclas Mayús y Control presionadas para seleccionar el conjuntode equipos que desea que detecte retransmisores automáticamente. PresioneCtrl-A para seleccionar todos los clientes.

3. Pulse con el botón derecho en el conjunto resaltado y seleccione Editarconfiguración del equipo del menú desplegable. El cuadro de diálogo que seabre varía ligeramente en función de si ha seleccionado uno o varios equipos.Normalmente se seleccionan todos los clientes de la red, por lo que aparecerá elcuadro de diálogo de selección múltiple.

4. Marque Método de selección de retransmisión.5. Pulse Ubicar automáticamente el mejor retransmisor.6. Pulse Aceptar.

Uso de la afiliación de retransmisores

La afiliación de retransmisores ofrece un sistema de control de selección automáticade retransmisores más elaborado. Se trata de una característica tremendamenteflexible que puede utilizarse de muy distintas formas, aunque su finalidadprincipal consiste en permitir que la infraestructura de IBM Endpoint Managerpueda segmentarse en grupos lógicos independientes. Así, un conjunto de clientesy retransmisores se podrá incluir en el mismo grupo de afiliación para que losclientes sólo intenten seleccionar los retransmisores de su grupo de afiliación. Estacaracterística se basa en la selección automática de retransmisores, por lo quedeberá conocer dicho proceso (consulte la sección anterior) antes de proceder a laafiliación de retransmisores.

La afiliación de retransmisores se aplica únicamente al proceso de selecciónautomática de retransmisores. El proceso de selección manual de retransmisores(consulte la siguiente sección) no se ve afectado, aun cuando los equipos formenparte de algún grupo de afiliación de retransmisores.

Elección de nombres de grupo de afiliación de retransmisores

No hay nombres de grupo de afiliación de retransmisores predefinidos, de modoque puede elegir cualquier nombre de grupo que tenga significado para suimplementación de IBM Endpoint Manager. Observe las reglas de nomenclaturasiguientes:v No utilice caracteres especiales (incluido “.”) al elegir nombresv En los nombres de grupo no se distingue entre mayúsculas y minúsculas.v Los espacios en blanco iniciales o finales se omiten en las comparaciones.

El orden en el que se disponen los grupos de afiliación de retransmisores esrelevante para el cliente. El asterisco (*) tiene un significado especial en una listade afiliación de retransmisores, ya que representa el conjunto de equipos noafiliados. Los equipos no afiliados son clientes o retransmisores que carecen de unaasignación de grupo de afiliación de retransmisores o que tienen un asterisco en lalista de grupos.


Para obtener más información sobre la afiliación de retransmisores, consulte elartículo correspondiente en el sitio de asistencia técnica de IBM Endpoint Manager.

Asignación de clientes a grupos de afiliación de retransmisores

Los clientes se asignan a uno o varios grupos de afiliación de retransmisoresmediante la siguiente configuración de cliente:

_BESClient_Register_Affiliation_SeekList

.

Establezca la configuración de cliente en una lista delimitada por punto y coma (;)de grupos de afiliación de retransmisores, por ejemplo:

AsiaPacífico;América;DMZ

Asociación de retransmisores y servidores con grupos deafiliación

Los servidores y retransmisores se asignan a uno o varios grupos de afiliación deretransmisores mediante la siguiente configuración de cliente:

_BESRelay_Register_Affiliation_AdvertisementList

Establezca también la configuración de cliente en una lista delimitada por punto ycoma (;) de grupos de afiliación de retransmisores, por ejemplo:

AsiaPacífico;DMZ;*

Nota: No es necesario que los servidores y retransmisores tengan unaconfiguración SeekList. Sólo el cliente utiliza SeekList.

Notas sobre la asignación automática de retransmisores

Los clientes de IBM Endpoint Manager utilizan un sofisticado algoritmo paraaveriguar cuál es el retransmisor más cercano de la red. Dicho algoritmo usa a suvez pequeños paquetes ICMP con diversos TTL para detectar y asignar el mejorretransmisor posible. En caso de encontrar varios retransmisores óptimos, elalgoritmo equilibrará la carga automáticamente. En caso de que un retransmisorpase a estado de inactividad, los clientes efectuarán una conmutación por errorautomática. Esto representa una mejora sustancial sobre la especificación y laoptimización manuales de los retransmisores. No obstante, hay algunos aspectosimportantes que reseñar sobre la selección automática de retransmisores:v ICMP debe estar abierto entre el cliente y el retransmisor. Si el cliente no puede

enviar mensajes ICMP a los retransmisores, no podrá encontrar el mejorretransmisor, en cuyo caso utilizará el retransmisor de conmutación por error (sise ha especificado) o escogerá un retransmisor al azar.

v A veces, un menor número de saltos de red no es indicativo de un ancho debanda más alto. En tales casos, puede que la selección automática deretransmisores no funcione correctamente. Por ejemplo, puede suceder que uncentro de datos tenga un retransmisor en la misma LAN de alta velocidad quelos clientes pero que exista otro retransmisor en una oficina remota con unvínculo de WAN lento a menos saltos de distancia. En situaciones como ésta,asigne los clientes manualmente a los retransmisores óptimos apropiados.

v Los retransmisores utilizan el nombre DNS que indique el sistema operativo.Debe tratarse de un nombre que todos los clientes puedan resolver o, de lo


http://support.bigfix.com/bes/install/besrelayaffiliation.html

contrario, no podrán encontrar el retransmisor. El nombre DNS puede sustituirsepor una dirección IP o por otro nombre mediante una tarea del sitio deasistencia técnica.

v Los clientes pueden informar de la distancia a los retransmisorescorrespondientes. Esta información es valiosa y debe supervisarse ante posiblescambios. Así, por ejemplo, puede que exista un problema con los retransmisoresde un equipo si éste pasa bruscamente de uno a cinco saltos.

v Encontrará más información sobre los retransmisores, la selección automática deretransmisores y la resolución de problemas de retransmisores en el sitio deasistencia técnica de IBM Endpoint Manager.

Ajuste del servidor y los retransmisores de IBM Endpoint Manager

Para obtener el mejor rendimiento de IBM Endpoint Manager, tendrá que ajustar elservidor y los retransmisores. Hay dos métodos principales para realizar ajustes enel flujo de datos en toda la red: la limitación y el almacenamiento en caché:

Limitación del tráfico de descarga de salidaLa limitación permite establecer la velocidad máxima de los datos para elservidor de IBM Endpoint Manager. Este es el procedimiento para cambiarla velocidad de datos:1. Abra el icono Fixlets y tareas en el árbol de navegación del Panel de

dominio y pulse Sólo tareas.2. En la ventana de búsqueda encima de la lista de tareas, escriba

"throttle" para buscar la tarea adecuada.3. En la lista de resultados, pulse la tarea etiquetada Configuración del

servidor: Limitar el tráfico de descarga de salida. Debajo se abrirá unaventana de tareas. Compruebe que la ficha Descripción estáseleccionada. Hay tres opciones:v Establezca el límite sobre el tráfico total de descargas de salida.

Con esta opción, podrá establecer directamente el número máximode kilobytes por segundo que desea ofrecer al servidor.

v Inhabilitar el parámetro. Esta opción permite abrir el tráfico dedescargas en el servidor de IBM Endpoint Manager a toda velocidad.

v Obtener más información. Esta opción abre una ventana denavegador con más información sobre la limitación del ancho debanda.

4. Si selecciona un límite, en el diálogo Llevar a cabo una acción que semostrará a continuación, podrá seleccionar el conjunto de equipos en elque se aplicará. Pulse Aceptar para propagar la tarea.

Tamaño de la caché de descargaLos servidores y retransmisores de IBM Endpoint Manager mantienen unamemoria caché de las descargas solicitadas más recientemente por losclientes, lo cual ayuda a minimizar los requisitos de ancho de banda.1. Abra el icono Fixlets y tareas en el árbol de navegación del Panel de

dominio y pulse Sólo tareas.2. En la ventana de búsqueda encima de la lista de tareas, escriba "cache"

para buscar la tarea adecuada.3. En la lista de resultados, pulse la tarea etiquetada Configuración de

retransmisor / servidor: Tamaño de la caché de descarga. Debajo seabrirá una ventana de tareas. Compruebe que la ficha Descripción estáseleccionada. Seleccione el vínculo para cambiar el tamaño de la caché



de descarga en los equipos que se listan. Esta lista puede incluirretransmisores, así como el servidor de IBM Endpoint Manager.

4. Escriba el número de megabytes para la caché. El tamañopredeterminado es de 1024 MB o un gigabyte.

5. En el diálogo Llevar a cabo una acción que se mostrará a continuación,seleccione el conjunto de equipos y pulse Aceptar.

Limitación de ancho de banda dinámica

Cuando hay una descarga grande disponible, cada vínculo de la implementaciónpuede tener problemas de ancho de banda propios. Se trata de vínculos servidor acliente, servidor a retransmisor y retransmisor a cliente, con lo cual es posible quecada uno necesite ajustes individuales. Como se ha explicado en otro apartado, esposible establecer un valor máximo (límite) para las velocidades de datos y paraello existen determinadas directivas de amplio alcance que se pueden seguir. Porejemplo, se puede limitar un cliente de IBM Endpoint Manager a 2 KB/s si está amás de tres saltos de distancia de un retransmisor. No obstante, las velocidades dedatos óptimas pueden diferir considerablemente en función de la jerarquía actual yel entorno de red.

Un método muy aconsejable es la limitación de ancho de banda dinámica, con laque se supervisa y analiza la capacidad global de la red. Mientras que la limitaciónnormal sólo especifica la velocidad de datos máxima, la limitación dinámica añadeun porcentaje de "busy time" (no disponibilidad). Ese porcentaje es la fracción delancho de banda que desea asignar cuando la red está ocupada. Por ejemplo, podríaespecificar que las descargas no deben usar más del 10% del ancho de bandadisponible cuando el programa detecte que hay tráfico de red. Asimismo, lalimitación dinámica mantiene una velocidad de los datos mínima cuando elporcentaje de no disponibilidad es demasiado bajo para ser práctico.

Cuando la limitación dinámica se habilita para un vínculo, el programa supervisay analiza el rendimiento de los datos existente para establecer una velocidad dedatos adecuada. Si no hay tráfico que pueda interferir, el rendimiento se fijará en lavelocidad máxima. Si, por el contrario, hay tráfico en curso, el programa limitará lavelocidad de los datos al porcentaje especificado o a la velocidad mínima, segúncuál sea el valor más alto. Para que funcione correctamente, la limitación dinámicase tiene que habilitar tanto en el servidor como en el cliente.

La limitación de ancho de banda dinámica se controla mediante las opciones deconfiguración del equipo. Existen cuatro opciones de configuración básicas paracada vínculo:

DynamicThrottleEnabledEsta opción está establecida en cero (inhabilitada) de formapredeterminada. El resto de los valores habilita la limitación de ancho debanda dinámica del vínculo en cuestión.

DynamicThrottleMaxPor lo general, esta opción está establecida de forma predeterminada en elmáximo valor entero no firmado, lo que indica una limitación completa.Según cuál sea el vínculo, este valor definirá la velocidad máxima de losdatos en bits o en kilobits por segundo.

DynamicThrottleMinEsta opción está establecida en cero de forma predeterminada. Según cuálsea el vínculo, este valor definirá la velocidad mínima de los datos en bits


o en kilobits por segundo. Con este valor se establece un límite más bajode la velocidad indicado a continuación.

DynamicThrottlePercentageEsta opción está establecida en 100% de forma predeterminada, lo quetiene el mismo efecto que una limitación (no dinámica) normal. Representala fracción del ancho de banda máximo que se usará cuando haya tráficoen la red. Normalmente, este valor oscila entre un cinco y un diez porciento para evitar que predomine sobre el tráfico de red existente. (Un ceroen esta opción equivale a 100%)..

En cuanto al resto de las opciones de configuración, puede crear o editar la opciónde configuración de limitación de ancho de banda dinámica si pulsa con el botónderecho en un elemento (o grupo de elementos) de cualquier lista de equipos yselecciona Editar configuración del equipo del menú contextual.

Los nombres de variable concretos incluyen:

Configuración de servidores y retransmisores de IBM Endpoint Manager:_BESRelay_HTTPServer_DynamicThrottleEnabled_BESRelay_HTTPServer_DynamicThrottleMaxKBPS_BESRelay_HTTPServer_DynamicThrottleMinKBPS_BESRelay_HTTPServer_DynamicThrottlePercentage

Configuración de clientes de IBM Endpoint Manager:_BESClient_Download_DynamicThrottleEnabled_BESClient_Download_DynamicThrottleMaxBytesPerSecond_BESClient_Download_DynamicThrottleMinBytesPerSecond_BESClient_Download_DynamicThrottlePercentage

Configuración de la recopilación:_BESGather_Download_DynamicThrottleEnabled_BESGather_Download_DynamicThrottleMaxBytesPerSecond_BESGather_Download_DynamicThrottleMinBytesPerSecond_BESGather_Download_DynamicThrottlePercentage

Nota: Para que cualquiera de estas opciones de configuración tenga efecto, deberáreiniciar los servicios a los que afectan (servidor, retransmisor o cliente).

Si configura un servidor y su cliente conectado de forma que tengan valoresmáximos y mínimos distintos, la conexión elegirá el valor más bajo.

Asignación de un retransmisor cuando no se puede acceder alservidor

Después de instalar el cliente, se conecta y se registra con el servidor principal deEndpoint Manager.

Una vez registrado el cliente con el servidor principal, un operador maestro puedeasignar el cliente a un retransmisor, así como configurarlo para la conmutación porerror a un retransmisor secundario si el retransmisor primario deja de estardisponible.

En algunos casos, cuando se instala el cliente, no podrá acceder al servidorprincipal directamente a través de Internet o una red de área local. Por ejemplo, sila estación de trabajo de cliente está en una oficina remota y no puede realizar unaconexión a través del cortafuegos de la empresa para acceder al servidor principal.En este caso, debe configurar un retransmisor DMZ al que se ha otorgado acceso a


través de un agujero en el cortafuegos. Para obtener más información, consulteEstablecimiento de retransmisores de Internet.

También debe desplegar el instalador del cliente de la oficina remota con unarchivo de configuración para establecer el retransmisor primario del clientedurante la instalación. Especifique el retransmisor primario en el archivo deconfiguración para registrar el cliente con un retransmisor al que puede conectarse(por ejemplo, el retransmisor DMZ). Para obtener más información, consulteAsignación del retransmisor en el momento de la instalación del cliente.

Establecimiento de retransmisores de Internet

Puede configurar los retransmisores para gestionar los clientes que sólo estánconectados a Internet sin utilizar una VPN como si estuvieran en la redcorporativa.

Utilizando este enfoque, puede gestionar los equipos que están fuera de la redcorporativa (en casa, aeropuertos, cafeterías, etc.) utilizando Endpoint Managerpara:v Notificar las propiedades actualizadas y el estado del Fixlet.v Aplicar nuevas políticas de seguridad definidas por un operador de consola.v Aceptar nuevos despliegues de parches y aplicaciones.

Esta configuración es especialmente útil para gestionar los dispositivos móviles quese desconectan a menudo de la red corporativa. En la imagen siguiente se muestraun retransmisor típico basado en Internet, ya que puede residir en una red DMZ:


La configuración de un retransmisor orientado a Internet permite a los clientesexternos buscar y conectarse a un retransmisor. En nuestra imagen, los clientespueden seleccionar los siguientes tipos de retransmisor:v Selección manual de retransmisor: los clientes pueden configurarse utilizando la

consola para seleccionar manualmente el alias DNS del retransmisor orientado aInternet (o la dirección IP) como el retransmisor primario, secundario o deconmutación por error. Para obtener más detalles sobre el valor de retransmisorde conmutación por error, consulte Valores de configuración.

v Selección automática de retransmisor: si el tráfico ICMP está permitido desdeInternet a un retransmisor de Internet basado en DMZ, puede utilizar laselección automática de retransmisor para que los clientes puedan encontrar elretransmisor más cercano mientras cambian de una ubicación a otra (en una redcorporativa o en Internet). Para los clientes externos en Internet, el únicoretransmisor que podrán encontrar para conectarse a él es el retransmisor


https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Configuration%20Settings

orientado a Internet (ya que el tráfico ICMP desde Internet estará bloqueado porlos retransmisores en la red corporativa).

Nota: Puede utilizar la característica de afiliación de retransmisores paraconfigurar los clientes para buscar el retransmisor más adecuado. Para obtenermás detalles, consulte Afiliación de retransmisores.

Así es cómo se configuran los retransmisores, los clientes y los cortafuegos en unaarquitectura típica de retransmisor de Endpoint Manager basada en Internet:1. Un retransmisor se despliega en un DMZ en el cortafuegos de DMZ interno

sólo permite el tráfico de Endpoint Manager (puerto HTTP 52311) entre elretransmisor DMZ y un retransmisor designado en la red corporativa. El diseñoanterior recomienda el tráfico bidireccional, por oposición a sólo permitir elretransmisor orientado a Internet para iniciar conexiones de red al retransmisoren la red corporativa interna. Esto permite tiempos de respuesta de cliente másrápidos, ya que se realizan notificaciones inmediatas del nuevo contenido alretransmisor orientado a Internet, lo que permite mantener una sincronizaciónen tiempo real del contenido. Si la comunicación bidireccional entre elretransmisor de Endpoint Manager orientado a Internet y el retransmisor en lared corporativa no está permitida, debe configurarse el retransmisor orientadoa Internet para que sondee periódicamente su retransmisor padre (elretransmisor en la red corporativa) en busca de nuevo contenido. Para obtenermás información sobre la configuración del sondeo de mandatos, consulteValores de configuración.

2. Una vez establecida la comunicación del retransmisor entre DMZ y la redcorporativa interna, el cortafuegos externo también debe abrirse para permitirque el tráfico del cliente basado en Internet (puerto HTTP 52311) alcance elretransmisor DMZ. Asimismo, permitir el tráfico ICMP a través del cortafuegosexterno con el retransmisor orientado a Internet puede ayudar en el proceso deselección de retransmisor automático del cliente externo.

3. Se asigna un alias DNS (o dirección IP) al retransmisor que permite a losclientes externos buscar el retransmisor de Internet basado en DMZ. El aliasDNS debe poder resolverse en una dirección IP específica.

4. Para que el retransmisor reconozca el alias DNS (o la dirección IP), despliegueel Fixlet BES Relay Setting: Name Override en el retransmisor de Internetbasado en DMZ.

5. Con la ruta de comunicación de Endpoint Manager completa establecida desdeInternet a través del retransmisor de Internet basado en DMZ y, en últimainstancia, hasta el servidor principal, el siguiente paso depende de los distintosmétodos de selección de retransmisor disponibles en una determinadainfraestructura de Endpoint Manager.

6. Pueden aplicarse valores de política dinámicos a los clientes basados enInternet para permitir configuraciones más indicadas para los agentes externos.Por ejemplo, como el método de notificación normal (un ping UDP en el puerto52311) de nuevo contenido no puede alcanzar los clientes externos, puedenutilizarse valores dinámicos para que los clientes comprueben si hay nuevocontenido con más frecuencia del periodo predeterminado de 24 horas. Paraobtener más información sobre cómo configurar el sondeo de mandatos,consulte http://www-01.ibm.com/support/docview.wss?uid=swg21505846.

Nota: Inhabilite el diagnóstico de retransmisor (http://relayname:port/rd) paralos retransmisores de Internet estableciendo el valor de cliente_BESRelay_Diagnostics_Enable en cero.


https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli+Endpoint+Manager/page/Relay+Affiliation

https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Configuration%20Settings

http://bigfix.me/cdb/fixlet/519


Nota: La página de diagnósticos de retransmisores:v Solamente funciona en un bucle de retorno si se ha habilitado la autenticación

de retransmisores.v Solamente se puede acceder desde un navegador que tenga habilitada la versión

1.2 de TLS.

Para habilitar la autenticación de retransmisores, establezca_BESRelay_Comm_Authenticating =1.

Autenticación de cliente

La autenticación de cliente (introducida en la versión 9) amplía el modelo deseguridad utilizado por IBM Endpoint Manager para que incluya informes decliente de confianza y mensajes privados. Esta característica no es compatible conversiones anteriores, y los clientes anteriores a la versión 9.0 no podráncomunicarse con retransmisores de autenticación ni servidores.

El modelo de seguridad original tiene dos prestaciones principales:v Los clientes confían en el contenido del servidor. Todos los mandatos y

preguntas que reciben los clientes están firmados con una clave que se verificacon una clave pública instalada en el cliente.

v Los clientes pueden enviar informes privados al servidor. El cliente puedeoptar por cifrar los informes que envía al servidor, para que ningún atacantepueda interpretar lo que contiene el informe. Esta característica está inhabilitadade forma predeterminada y se activa mediante un valor.

La autenticación de cliente amplía el modelo de seguridad para proporcionar laduplicación de estas dos prestaciones:v El servidor puede confiar en los informes de los clientes (no repudiación). Los

clientes firman todos los informes que envían al servidor, que puede verificarque el informe no procede de un atacante.

v El servidor puede enviar datos privados a los clientes (buzón). El servidorpuede cifrar los datos que envía a un cliente individual, para que ningúnatacante pueda interpretar los datos.

La comunicación mediante un retransmisor autenticado es un canal decomunicación de confianza bidireccional y privado que utiliza SSL para cifrar todaslas comunicaciones. Sin embargo, la comunicación entre un retransmisor que nosea de autenticación y sus hijos no está cifrada, a menos que se trate de un informecifrado o de una acción o un archivo enviado al buzón.

Este nivel de seguridad es útil para muchos fines. Su empresa puede tener políticasde seguridad que requieran retransmisores de autenticación en los nodos de cara aInternet, en DMZ o en cualquier conexión de red en la que no confíe totalmente.Con la autenticación, puede evitar que los clientes que aún no se han unido aldespliegue obtengan información sobre el despliegue.

Autenticación de retransmisores

Los retransmisores se pueden configurar como retransmisores de autenticaciónpara autenticar agentes. De esta forma, solamente los agentes de confianza puederecopilar contenido del sitio o publicar informes. Utilice la configuración deretransmisores de autenticación para una retransmisión orientada a Internet enDMZ.


Un retransmisor configurado para autenticar agentes solamente lleva a cabo unacomunicación SSL con agentes hijo o los retransmisores que presentan uncertificado SSL emitido y firmado por el servidor durante un intercambio clave.

Para configurar un retransmisor de autenticación, defina el valor cliente_BESRelay_Comm_Authenticating en 1 o utilice la tarea relacionada en el sitio desoporte BES. Para configurar de nuevo un retransmisor abierto, defina_BESRelay_Comm_Authenticating en 0 o utilice la tarea relacionada en el sitio desoporte BES. El valor predeterminado es (0), retransmisor abierto.

Manejo del intercambio de claves

Cuando un agente intenta registrarse y no tiene una clave y un certificado, intentaautomáticamente realizar un intercambio de claves con su retransmisorseleccionado. Si el retransmisor no es de autenticación, reenvía la solicitud en lacadena de retransmisores hasta el servidor, que firma un certificado para el agente.El agente puede utilizar más adelante este certificado cuando se conecte a unretransmisor de autenticación.

Los retransmisores de autenticación deniegan estas operaciones automáticas deintercambio de claves. A continuación, se muestra un escenario típico:

Cuando despliega un nuevo entorno de Endpoint Manager 9.2 o actualiza unaentorno de Endpoint Manager existente a 9.2, todos los agentes realizanautomáticamente el intercambio de claves con sus retransmisores. Si eladministrador configura el retransmisor orientado a Internet como un retransmisorde autenticación, los agentes existentes ya tienen el certificado y funcionancorrectamente. No es necesaria ninguna acción adicional. Cuando conecta nuevosagentes al retransmisor de autenticación, no funcionan a menos que se ejecute elprocedimiento de intercambio de claves manual en ellos.

Intercambio de claves manual

Si un agente no tiene un certificado y sólo puede alcanzar un retransmisor deautenticación en la red, conectado a través de Internet, puede ejecutarmanualmente el siguiente mandato en el agente para realizar el intercambio declaves con un retransmisor de autenticación:BESClient -register <contraseña> [http://<relay>:52311]

El cliente incluye la contraseña en su intercambio de claves con el retransmisor deautenticación, que la verifica antes de reenviar el intercambio de claves al padre.

Puede configurar la contraseña como:v Una única contraseña en el valor de cliente

_BESRelay_Comm_KeyExchangePassword en el retransmisor.v Una lista delimitada por nueva línea de contraseñas únicas almacenadas en un

archivo denominado KeyExchangePasswords en el directorio de almacenamientode retransmisores (el valor StoragePath de HKLM\Software\WOW6432Node\BigFix\Enterprise Server\BESReports).

Revocación de certificados de clienteDespués de autenticar un cliente, puede revocar su certificado si tiene algunarazón para dudar de su validez. Si lo hace, ese cliente dejará de estar autenticadopara la comunicación de confianza. Se eliminará de la consola y se actualizará una


lista de revocación, que recopilarán todos los retransmisores, para que ya no puedautilizarse la clave del cliente para comunicarse con los retransmisores deautenticación.

Para revocar un equipo:1. Pulse con el botón derecho en un equipo en una lista de equipos.

2. En el menú emergente, pulse Revocar certificado.3. En el diálogo de confirmación, pulse Aceptar si está seguro de que desea

eliminar el certificado del equipo.

Esta acción envía la revocación a los retransmisores. Una vez revocado, el clienteya no puede utilizar su clave privada para recopilar contenido de losretransmisores de autenticación. El cliente revocado desaparece de la lista deequipos de la consola.

Cómo volver a registrar un cliente revocado

El procedimiento de revocación de cliente elimina un cliente de la consola yactualiza una lista de revocación de certificados de cliente.

Los clientes pueden obtener automáticamente un certificado nuevo si se puedenconectar a cualquier retransmisor que no sea de autenticación.

Si ese retransmisor no está disponible, el usuario debe realizar la siguientelimpieza manual para volver a registrar al cliente:1. Detenga el cliente.2. Suprima el directorio KeyStorage del cliente y el ID del sistema cliente.3. Realice el procedimiento de intercambio de claves manual.4. Inicie el cliente.


Al final de este procedimiento, el cliente obtiene un certificado nuevo y un ID desistema cliente nuevo.

Función de buzón

Con la función de buzón de cliente, puede enviar una acción cifrada a un clientedeterminado, en lugar de difundirla a todos los clientes. Esto mejora la eficiencia,dado que el cliente no necesita calificar todas y cada una de las acciones, yminimiza el tráfico de red. Como consecuencia:v Los clientes sólo se interrumpen cuando están establecidos como destino.v Los clientes no necesitan procesar las acciones que no son relevantes para ellos

para la creación de informes, la evaluación, la recopilación y el proceso deacciones.

La privacidad está garantizada, porque el mensaje se cifra de forma específica paracada destinatario; sólo el cliente de destino puede descifrarlo.

Un buzón de cliente se implementa como un sitio de acciones especializado, y cadacliente se suscribe automáticamente a él. El cliente puede explorar acciones en estesitio, así como en el sitio maestro y en los sitios de operador.

Para enviar directamente una acción cifrada a un buzón de cliente, siga estospasos:1. Abra el diálogo Llevar a cabo una acción (disponible en el menú Herramientas

y otros diálogos).

2. Pulse la ficha Destino.3. Pulse Seleccionar dispositivos o Especificar nombres de dispositivo. La

función de buzón sólo está disponible cuando se especifica una lista estática declientes. Los sistemas establecidos dinámicamente como de destino no secifrarán, sino que se enviarán en abierto al sitio maestro o a un sitio deoperador específico. Si selecciona clientes de destino con versiones anteriores ala 9.0, la acción también se dirigirá al sitio maestro o del operador.

4. Pulse Aceptar. Las acciones establecidas como destino mediante el ID desistema o el nombre ahora se cifrarán y enviarán al buzón del cliente.


El identificador del operador que despliega la acción se incluye con la acción.Antes de que un cliente realice la acción, primero determina si está administradaactualmente por ese operador. Si no es así, rehúsa ejecutar la acción.

Visualización de qué retransmisor se asigna a un cliente

Para ver qué retransmisores seleccionan los clientes, siga estos pasos:1. Inicie la consola y seleccione el dominio Gestión de BigFix.2. En la carpeta Administración de equipos, pulse Equipos para ver una lista de

clientes.3. Mire en la columna Retransmisor del panel de lista (puede que esta columna

esté oculta; si así es, deberá pulsar con el botón derecho los encabezados decolumna y confirmar que Retransmisor está marcado). Las columnas deretransmisor de IBM Endpoint Manager recogen información como el método,el servicio y el equipo del retransmisor.

De forma predeterminada, los clientes tratarán de encontrar el retransmisor máspróximo (basándose en el menor número de saltos de red) cada seis horas. Paraobtener más información sobre los retransmisores, visite el sitio de asistenciatécnica de IBM Endpoint Manager.

Supervisión del estado de los retransmisores

IBM Endpoint Manager permite supervisar las configuraciones del cliente yretransmisor con el fin de garantizar que funcionan a un nivel óptimo. Antes deimplementar un parche grande, puede que quiera comprobar el estado de losretransmisores para asegurarse de que la implementación va a realizarse de formafluida.

A continuación se incluyen algunas sugerencias para supervisar la implementaciónde los retransmisores:v Pulse el dominio Gestión de BigFix y en el nodo Análisis y active el análisis

Estado del retransmisor. Este análisis contiene una serie de propiedades que lebrindarán una vista detallada del estado de los retransmisores.

v Pulse la ficha Resultados para que el análisis supervise la propiedad Distanciahasta el retransmisor del análisis Estado del retransmisor con el propósito de vercuál es la situación normal de la red. En caso de que la topología se altere deforma repentina, o bien si advierte que alguno de los clientes está utilizandomás saltos para llegar al servidor, podría ser indicativo de que hay un error enun retransmisor.

v Intente minimizar el número de clientes que informan directamente al servidor,dado que generalmente esto es menos eficaz que utilizar retransmisores. Siexamina este análisis, podrá saber qué equipos informan a qué retransmisores.



Capítulo 12. Configuración de una conexión proxy

Si la empresa utiliza un proxy para acceder a Internet, el entorno de IBM EndpointManager puede utilizar esa vía de comunicación para recopilar contenido de sitiosweb. En este caso, debe configurar la conexión con el proxy en el servidor de IBMEndpoint Manager.

Durante una nueva instalación de IBM Endpoint Manager V9.2, se le preguntará sidesea configurar la comunicación a través de un proxy. Los valores deconfiguración que especifique se guardan y se utiliza en el tiempo de ejecuciónpara recopilar contenido de los sitios. Para obtener información sobre laconfiguración de una conexión proxy durante la instalación, consulte “Instalacióndel servidor primario de Windows” en la página 56 para los sistemas Windows o“Paso 2 - Instalación del servidor” en la página 101 para los sistemas Linux.

Para especificar o modificar la configuración para comunicarse con un proxydespués de la instalación, siga las instrucciones que se proporcionan en“Establecimiento de una conexión proxy en el servidor” en la página 175.

Importante: Si este paso de configuración es necesario y lo omite, el entorno nofuncionará correctamente. Un síntoma de este comportamiento es que el contenidodel sitio no se visualice en la consola.

Nota: También puede mantener el sistema físico desconectado de Internetutilizando una implementación de espacio vacío. Para obtener más informaciónsobre esta implementación, consulte Descarga de archivos entornos de espaciovacío.

Además del proceso de recopilación, el servidor de IBM Endpoint Manager o unretransmisor puede utilizar la conexión proxy para realizar la comunicación decomponente a componente o para descargar archivos de Internet.

La lista siguiente muestra las configuraciones de proxy más comunes que seaplican a un entorno de IBM Endpoint Manager:


|||||

|

|||||||

|||

|||

||||

|||

Un retransmisor conectado a Internet a través de un proxy para descargararchivos

Para establecer esta configuración en el retransmisor:1. Ejecute los pasos que se describen en “Configuración de una conexión

proxy en un retransmisor” en la página 178 para configurar en elretransmisor la comunicación con el proxy.

2. Desde la consola de IBM Endpoint Manager, defina los valoresadicionales siguientes para asegurarse que los datos se descarganexclusivamente de Internet en lugar de hacerlo desde el retransmisorpadre:_BESGather_Download_CheckParentFlag = 0_BESGather_Download_CheckInternetFlag = 1

Para obtener más información sobre estos valores de configuración,consulte https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli Endpoint Manager/page/ConfigurationSettings.

Nota: Para impedir que la comunicación del retransmisor con el servidorpase por el proxy, asegúrese de que la lista de excepciones del proxy seestablece en el retransmisor de la manera siguiente: "127.0.0.1,localhost, <dirección_IP_servidor>, dominio.com".


https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli Endpoint Manager/page/Configuration Settings



Un cliente conectado a Internet a través de un proxy para descargar archivos

Para establecer esta configuración en el cliente, siga los pasos que sedescriben en “Configuración de una conexión proxy en un cliente” en lapágina 180.

Nota: En los clientes Windows, puede utilizar la configuración de InternetExplorer para especificar una lista de excepciones de proxy.

Capítulo 12. Configuración de una conexión proxy 171

Un cliente conectado a través de un proxy para comunicarse con su retransmisorpadre

Para establecer esta configuración en el cliente, siga los pasos que sedescriben en “Configuración de una conexión proxy en un cliente” en lapágina 180 y en “Habilitación del sondeo del cliente” en la página 174.


Un retransmisor conectado a través de un proxy para comunicarse con unretransmisor padre

Siga estos pasos para implementar la configuración:v En el retransmisor hijo, siga los pasos que se describen en

“Configuración de una conexión proxy en un retransmisor” en la página178 y en “Habilitación del sondeo del cliente” en la página 174.

v Inhabilite el notificador de retransmisión en el retransmisor padre.


Habilitación del sondeo del cliente

Si existe un proxy HTTP entre un retransmisor padre y un cliente o unretransmisor hijo, o entre el servidor y un nodo hijo, aplique este métodoalternativo para eludir una limitación que se debe al proxy y afecta a lascomunicaciones en sentido descendente.

Un proxy HTTP no reenvía el protocolo UDP, que es el protocolo utilizado paraenviar notificaciones a los clientes en un entorno de IBM Endpoint Manager. Enuna configuración de este tipo, el cliente en el nodo hijo debe poder ejecutar pingy consultar al retransmisor en el nodo padre para obtener nuevas instrucciones.

Para permitir este comportamiento, siga estos pasos de configuración desde laconsola en el cliente en el nodo hijo:1. Abra la consola y vaya a la sección Equipo en el dominio Todo el contenido.2. Seleccione el sistema donde se ha instalado el cliente.3. Pulse con el botón derechos el equipo y seleccione Editar valores.4. Seleccione Añadir para crear un valor personalizado.5. Especifique el Nombre del parámetro y el Valor establecido tal como se

especifican en la tabla siguiente:

Tabla 7. Requisitos previos para configurar una comunicación de proxy en un cliente

Valor Descripción

_BESClient_Comm_CommandPollEnable = 1 Habilita el cliente para sondear suretransmisor padre en busca de nuevasacciones.

_BESClient_Comm_CommandPollIntervalSeconds = nnn

Determina la frecuencia con la que el clienteconsulta al retransmisor padre pararecopilar o renovar el contenido si_BESClient_Comm_CommandPollEnable estáhabilitado. Para que el rendimiento nodisminuya, no especifique valores menoresde 900 segundos. El rango de valores es0-4294967295.

__RelaySelect_Automatic = 0 Especifica que el cliente no está configuradopara la selección automática de retransmisorpadre. Los clientes que están configuradaspara la selección automática deretransmisión padre no pueden comunicarsea través de un proxy con su retransmisorpadre porque deben poder ejecutar ping enel retransmisor.

6. Pulse Aceptar para activar los valores.

Importante: Si omite este paso, los retransmisores no pueden comunicarse con losnodos hijo a través del proxy.


||||

||||

||

|

|

|

|

||

||

||

||||

||||||||||

||||||||||

|

||

Establecimiento de una conexión proxy en el servidorCuando instala IBM Endpoint Manager V9.2, se le pregunta si desea configurar lacomunicación con un proxy. Si no configura la conexión con el proxy en elmomento de la instalación o si desea modificar la configuración existente, puedeeditar los valores de configuración del proxy después de la instalación ejecutandoel mandato siguiente:

En los sistemas Windows:%PROGRAM FILES%\BigFix Enterprise\BES Server\BESAdmin.exe /setproxy[/proxy:<host_proxy>[:<puerto_proxy>] [/user:<nombre_usuario_proxy>/pass:<contraseña_proxy>][/delete][/exceptionlist:<lista_excepciones_proxy>][/proxysecuretunnel:{false|true}][/proxyauthmethods:{basic|digest|negotiate|ntlm}][/proxydownstream:{false|true}]] |[/delete]

En los sistemas Linux:/opt/BESServer/bin/BESAdmin.sh -setproxy [-proxy=<host_proxy>[:<puerto_proxy>][-user=<nombre_usuario_proxy> -pass=<contraseña_proxy>][-exceptionlist=<lista_excepciones_proxy>][-proxysecuretunnel={false|true}][-proxyauthmethods={basic|digest|negotiate|ntlm}][-proxydownstream={false|true}]] |[-delete] |[-display]

donde puede especificar las siguientes claves:

proxy Establece el nombre de host o la dirección IP y, opcionalmente, el númerode puerto de la máquina de proxy. De forma predeterminada, el valor deproxy_port es 80.

user Establece el nombre de usuario que se utiliza para autenticarse con elproxy si éste requiere autenticación.

Si ha instalado su servidor de IBM Endpoint Manager en un sistemaWindows y su proxy requiere autenticación Kerberos, utilice el [email protected].

Si el proxy requiere la autenticación NTLM, especifique el usuario NTLM.

Si el proxy requiere la notación de nombre de reino, especifique proxy_usercomo [email protected] o .

Nota: El shell de Linux maneja la barra inclinada invertida "\" como uncarácter de escape. Especifique mydomain\\user o "mydomain\user" parautilizar la notación mydomain\user si ejecuta el mandato en un shell deLinux.

pass Establece la contraseña que se utiliza para autenticarse con el proxy si ésterequiere autenticación. El valor que se ha asignado a la contraseña estácifrado en el registro en sistemas Windows o se enmascara en el archivo deconfiguración en sistemas Linux.

delete Si se especifica, suprime todos los valores definidos en IBM EndpointManager para comunicarse con el proxy especificado.


|||||||||

|||||||||

|||

displaySi se especifica, muestra los valores de comunicación de proxy definidos enIBM Endpoint Manager. Este argumento sólo se aplica a los sistemasLinux.

exceptionlistSi se establece, es una lista separada por comas de sistemas, dominios ysubredes que deben alcanzarse sin pasar a través del proxy. En estasintaxis, los espacios en blanco no tienen ningún efecto. Cada nombre deesta lista coincide con un dominio, que contiene el nombre de host, o conel propio nombre de host. Por ejemplo, yourdomain.com coincidiría conyourdomain.com, yourdomain.com:80 y www.yourdomain.com, pero no conwww.notyourdomain.com. Puede asignar los siguientes valores de ejemplo a<lista_excepciones_proxy>:localhost,127.0.0.1, yourdomain.comlocalhost,127.0.0.1,yourdomain.com,8.168.117.0"localhost,127.0.0.1, yourdomain.com, 8.168.117.0"

De forma predeterminada, si no especifica el valor exceptionlist, IBMEndpoint Manager V9.2 impide desviar las comunicaciones internas haciael proxy. Esto es equivalente a establecer exceptionlist:localhost,127.0.0.1.Para mantener este comportamiento, asegúrese de añadir localhost,127.0.0.1 a la lista de excepciones cuando especifique el valorexceptionlist.

proxysecuretunnelSi se establece, define si el proxy está obligado a intentar la ejecución entúnel o no. De forma predeterminada, el proxy no intenta la ejecución entúnel.

proxyauthmethodsSi se establece, restringe el conjunto de métodos de autenticación que sepueden utilizar. Puede especificar más de un valor separado por una coma,por ejemplo:proxyauthmethods:basic,ntlm

De forma predeterminada, no hay ninguna restricción para el método deautenticación. El proxy decide qué método de autenticación debe utilizarse.

Nota: Si especifica que se utilice el método de autenticación negotiate enun servidor o retransmisor Linux, puede utilizarse un método deautenticación distinto.

Nota: Si desea habilitar el modo FIPS, asegúrese de que la configuracióndel proxy utilice:v Un método de autenticación distinto de digest en sistemas Windows.v Un método de autenticación distinto de digest, negotiate o ntlm en

sistemas Linux.

proxydownstreamSi se establece en true, este valor indica que todas las comunicacionesHTTP en el entorno de IBM Endpoint Manager también pasan a través delproxy. Si no especifica este valor, de forma predeterminada se utiliza elvalor false.


||||

||

|

||

Nota: Si migra una configuración del proxy de IBM Endpoint Managerexistente a V9.2 y se especifican las claves _Enterprise Server_ClientRegister _Proxy*, de forma predeterminada, proxydownstream seestablece en true.

En servidores Windows el mandato BESAdmin.exe /setproxy abre el panel devalores del proxy rellenado con los valores actuales del proxy.

El mismo panel se visualiza siempre que se ejecute el mandato BESAdmin.exe paraestablecer un valor de proxy específico o más de uno. Compruebe que los valoresvisualizados sean correctos, modifíquelos si es necesarios y, a continuación, pulseAceptar para confirmar los cambios.

Los valores de configuración de proxy se almacenan:

En los sistemas Windows:En la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseClient\Settings\Client\.

En los sistemas Linux:En la sección [SOFTWARE\BigFix\Enterprise Server\Proxy] del archivobesserver.config.


Importante: Siempre que ejecute el mandato BESAdmin para definir un valor deproxy, asegúrese de especificar todos los valores no predeterminados establecidospreviamente; de lo contrario, se establecerán en blanco. Este comportamiento seaplica tanto a sistemas Windows como Linux.

Nota: Asegúrese de que utiliza el cuadro de diálogo Editar valores en la consolade IBM Endpoint Manager para actualizar los valores de proxy que ha establecidomediante el cuadro de diálogo Editar valores.

Nota: Si existe un proxy HTTP entre el servidor y el nodo hijo, asegúrese de seguirlas instrucciones proporcionadas en “Habilitación del sondeo del cliente” en lapágina 174 para habilitar las comunicaciones en sentido descendente.

Nota: Los componentes BES que acceden a Internet se ejecutan, de formapredeterminada, como la cuenta SYSTEM en los sistemas Windows y como root enlos sistemas Linux.

Para ver los valores de configuración adicionales que puede utilizar paraconfigurar el entorno de IBM Endpoint Manager, consulte Valores de configuraciónen la wiki de IBM Endpoint Manager.

Configuración de una conexión proxy en un retransmisorRealice los pasos siguientes para permitir que el retransmisor se comunique con loscomponentes padre:1. Abra la consola y vaya a la sección Equipo en el dominio Todo el contenido.2. Seleccione el sistema donde se ha instalado el retransmisor.3. Pulse con el botón derechos el equipo y seleccione Editar valores.4. Seleccione Añadir para crear valores personalizados.5. Especifique el Nombre del parámetro y el Valor establecido que aparecen en la

tabla siguiente:

Tabla 8. Valores de configuración del proxy para el servidor y los retransmisores

Nombre delparámetro Valor establecido Detalles

_Enterprise Server_ClientRegister_ProxyServer

Establece el nombre de host que seutiliza para acceder al proxy.

Valor predeterminado:NingunoTipo: SerieRango de valores: N/AObligatorio: No

_Enterprise Server_ClientRegister_ProxyPort

Establece el puerto que utiliza elservidor del proxy.

Valor predeterminado:NingunoTipo: NuméricoRango de valores: N/AObligatorio: No

_Enterprise Server_ClientRegister_ProxyUser

Establece el nombre de usuario que seutiliza para autenticarse con el proxysi éste requiere autenticación.

Valor predeterminado:NingunoTipo: SerieRango de valores: N/AObligatorio: No(dependiendo del métodode autenticación)


https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Configuration%20Settings

Tabla 8. Valores de configuración del proxy para el servidor y losretransmisores (continuación)

Nombre delparámetro Valor establecido Detalles

_Enterprise Server_ClientRegister_ProxyPass

Establece la contraseña que se utilizapara autenticarse con el proxy si ésterequiere autenticación.

Valor predeterminado:NingunoTipo: SerieRango de valores: N/AObligatorio: No(dependiendo del métodode autenticación)

_Enterprise Server_ClientRegister_ProxySecureTunnel

Si se establece, define si el proxy estáobligado a intentar la ejecución entúnel o no. De forma predeterminada,el proxy no intenta la ejecución entúnel.

Valor predeterminado:falseTipo: BooleanoRango de valores:false | trueObligatorio: No

_Enterprise Server_ClientRegister_ProxyAuthMethodsAllowed

Restringe el conjunto de métodos deautenticación que se pueden utilizar.Puede especificar más de un valorseparado por una coma. Para obtenerinformación sobre las restricciones queafectan a los métodos de autenticacióncompatibles cuando se utiliza FIPS,consulte “Establecimiento de unaconexión proxy en el servidor” en lapágina 175.

Valor predeterminado:Ninguno (Cualquiera)Tipo: SerieRango del valores:basic|digest|negotiate|ntlmObligatorio: No

_Enterprise Server_ClientRegister_ProxyUseForDownstreamComm

Si se establece en 1, este valor indicaque todas las comunicaciones ensentido descendente en el entorno deIBM Endpoint Manager pasan a travésdel proxy.

Valor predeterminado: 0Tipo: NuméricoRango de valores: 0 | 1Obligatorio: No

_Enterprise Server_ClientRegister_ProxyExceptionList

Especifica los sistemas, por ejemplo, elretransmisor padre, los dominios y lassubredes que debe alcanzar elretransmisor sin pasar a través delproxy. Utilice el formato siguiente:

"localhost, 127.0.0.1, hostname1,hostname2, IP_Addr_A, IP_Addr_B,domain_Z, domain_Y, ..."

De forma predeterminada, lascomunicaciones internas no se desvíanal proxy. Para mantener estecomportamiento, asegúrese de que seincluye localhost, 127.0.0.1 en lalista de excepciones cuando seespecifica un valor para este valor.Nota: Asegúrese de leer Capítulo 12,“Configuración de una conexiónproxy”, en la página 169 para obtenermás información sobre la utilizaciónde la lista de excepciones de proxy enun retransmisor a través de losejemplos.

Valor predeterminado:localhost, 127.0.0.1(las comunicacionesinternas no sedesvían al proxy)Tipo: SerieRango de valores: N/AObligatorio: No


Para obtener más información sobre cómo especificar los valores de proxy,consulte “Establecimiento de una conexión proxy en el servidor” en la página175.

6. Pulse Aceptar para enviar los valores de configuración.

Nota: Si existe un proxy HTTP entre un retransmisor y un cliente o unretransmisor hijo, asegúrese de seguir las instrucciones que se proporcionan en“Habilitación del sondeo del cliente” en la página 174 para habilitar lascomunicaciones en sentido descendente.

Siga estos pasos adicionales si desea permitir que el retransmisor descarguearchivos de Internet a través del proxy:1. Abra la consola y vaya a la sección Equipo en el dominio Todo el contenido.2. Seleccione el sistema donde se ha instalado el retransmisor.3. Pulse con el botón derechos el equipo y seleccione Editar valores.4. Seleccione Añadir para crear los siguientes valores personalizados:

_BESGather_Download_CheckInternetFlag = 1_BESGather_Download_CheckParentFlag = 0

5. Pulse Aceptar para activar los valores de configuración.


Configuración de una conexión proxy en un clientePara establecer la conexión proxy en el cliente, siga estos pasos:1. Abra la consola y vaya a la sección Equipo en el dominio Todo el contenido.2. Seleccione el sistema donde se ha instalado el cliente.3. Pulse con el botón derechos el equipo y seleccione Editar valores.4. Seleccione Añadir para crear un valor personalizado.5. Especifique el Nombre del parámetro y el Valor establecido tal como se

describen en la tabla siguiente:

Tabla 9. Valores de configuración del cliente proxy

Nombre del parámetro Valor establecido Detalles

_BESClient_Comm_ProxyServer

Establece el nombre de host que seutiliza para acceder al proxy.

Valor predeterminado:NingunoTipo: SerieRango de valores:N/AObligatorio: Sí

_BESClient_Comm_ProxyPort

Establece el puerto que se utiliza paracomunicarse con el proxy.

Valor predeterminado:NingunoTipo: NuméricoRango de valores:N/AObligatorio: No



Tabla 9. Valores de configuración del cliente proxy (continuación)


_BESClient_Comm_ProxyUser

Establece el nombre de usuario que seutiliza para autenticarse con el proxy siéste requiere autenticación.

Valor predeterminado:NingunoTipo: SerieRango de valores:N/AObligatorio: No(dependiendo delmétodo deautenticación)

_BESClient_Comm_ProxyPass

Establece la contraseña que se utilizapara autenticarse con el proxy si ésterequiere autenticación.

Valor predeterminado:NingunoTipo: SerieRango de valores:N/AObligatorio: No(dependiendo delmétodo deautenticación)

_BESClient_Comm_ProxyManualTryDirect

Especifica si se pueden utilizarconexiones directas. Este valor se aplicasi la conexión al proxy utiliza el nombrede host o la dirección IP y el número depuerto que se han especificado en_BESClient_Comm _ProxyServer y_BESClient_Comm _ProxyPort. Estándisponibles los siguientes valores:

0 No intenta una conexión directa.

1 Intenta una conexión directa sino puede establecerse unaconexión proxy.

2 Intenta primero la conexióndirecta.

Valor predeterminado:0Tipo: NuméricoRango de valores:0-2Obligatorio: No

Nota: En los sistemas Linux, durante la ejecución, el IBM Endpoint Managerbusca y, si se especifica, utiliza la configuración almacenada en el archivo deconfiguración del cliente. Si la configuración solicitada no está especificada enel archivo de configuración del cliente, el producto busca la configuración en elarchivo de configuración del servidor, o en el archivo de configuración delretransmisor. Tenga en cuenta este comportamiento cuando defina laconfiguración del proxy en el servidor o retransmisor de IBM EndpointManager.Si el cliente está instalado en un sistema Windows donde Internet Explorer seha configurado para utilizar un proxy, de forma predeterminada, IBM EndpointManager utiliza la configuración de Internet Explorer para comunicarse con elproxy. La tabla siguiente muestra los valores adicionales y los comportamientosque puede especificar en una plataforma Windows:


Tabla 10. Valores de configuración adicionales del cliente proxy en los sistemas Windows


_BESClient_Comm_ProxyAutoDetect

Especifica si el sistema utiliza los valoresde configuración del proxy que seespecifican para Internet Explorer. Estándisponibles los siguientes valores:

0 Utiliza los valores que seespecifican en _BESClient_Comm_ProxyServer y_BESClient_Comm ProxyPort.

1 Utiliza los valores deconfiguración de InternetExplorer.

Cuando la conexión con elretransmisor es satisfactoria, elproxy resultante se bloqueapara las comunicacionesposteriores, y los valores deservidor proxy y puerto deproxy se guardan en la clave deregistro HKLM\Software\BigFix\EnterpriseClient\GlobalOptions comoAutoProxyServer yAutoProxyPort.

Importante: Asegúrese de que al menosun usuario haya iniciado la sesión en elcliente para poder obtener los valores deconfiguración de Internet Explorer.

Valorpredeterminado: 1Tipo: BooleanoRango de valores:0-1Obligatorio: No

_BESClient_Comm_ProxyAutoDetectTryDirect

Especifica si se pueden utilizarconexiones directas cuando el sistemautiliza los valores de configuración delproxy que se especifican para InternetExplorer. Este valor sólo es válido si_BESClient_Comm _ProxyAutoDetect = 1.Están disponibles los siguientes valores:

0 No intenta una conexióndirecta.

1 Intenta una conexión directa sino puede establecerse unaconexión proxy.

2 Intenta primero la conexióndirecta.

Valorpredeterminado: 1Tipo: NuméricoRango de valores:0-2Obligatorio: No

AutoProxyRawProxyList Especifica una lista delimitada porespacios en blanco de proxies a los queintenta conectarse.

Nota: Este valor se guarda en el registrocon la clave siguienteHKLM\Software\BigFix\EnterpriseClient\GlobalOptions.

Valorpredeterminado:NingunoTipo: SerieRango de valores:N/AObligatorio: No


Tabla 10. Valores de configuración adicionales del cliente proxy en los sistemasWindows (continuación)


AutoProxyRawBypassList Especifica una lista delimitada porespacios en blanco de URL con los quese pone en contacto directamente sinpasar a través del proxy. Puede utilizar"*" como comodín.

Nota: Este valor se guarda en el registrocon la clave siguienteHKLM\Software\BigFix\EnterpriseClient\GlobalOptions.

Valorpredeterminado:NingunoTipo: SerieRango de valores:N/AObligatorio: No

6. Pulse Aceptar para activar los valores.


Prácticas recomendadas cuando se define una conexión proxyTenga en cuenta las siguientes sugerencias y recomendaciones para evitar losproblemas más comunes:v Después de establecer la comunicación a través del proxy en un servidor de

Windows, utilice las herramientas de diagnóstico de IBM Endpoint Managerpara verificar que el servidor puede acceder correctamente a Internet.

v Consulte el archivo GatherDB.log que se encuentra en la carpeta BESServer\GatherDBData para verificar que el servidor puede recopilar datos deInternet.

v Compruebe en las reglas del cortafuegos si hay tipos de archivos bloqueados. Eneste caso, si el contenido que se debe recopilar de un sitio contiene al menos unarchivo de este tipo, no se recopilará todo el contenido del sitio.

v Asegúrese de que la contraseña especificada en ProxyPass en el servidor, o en_Enterprise Server_ClientRegister_ProxyPass en el cliente o el retransmisor,no haya caducado.

v Asegúrese de que el proxy permita la descarga de archivos arbitrarios deInternet (por ejemplo, que no bloquee las descargas de .exe ni los archivos conextensiones desconocidas).

v La mayoría de los archivos en IBM Endpoint Manager se descargan debigfix.com o microsoft.com utilizando el puerto HTTP 80. No obstante, serecomienda permitir que el servicio de proxy descargue de cualquier ubicaciónutilizando HTTP, HTTPS o FTP, porque algunas descargas pueden utilizar estosprotocolos.

v Asegúrese de que el proxy se omita para la red interna y las comunicaciones decomponente a componente, ya que puede interferir con el funcionamiento delservidor de IBM Endpoint Manager y el proxy es ineficaz en estos casos. Utiliceel valor ProxyExceptionList, si es necesario, para excluir los sistemas locales dela comunicación a través del proxy.

v El valor ProxyExceptionList se ha introducido en IBM Endpoint Managerversión 9.0.835.0 para los sistemas Windows y Linux. Si utiliza IBM EndpointManager versión 9.0 y tiene problemas para utilizar el contenido que descargaarchivos del servidor local, actualice a IBM Endpoint Manager versión 9.0.835.0o posterior.



v En el servidor de IBM Endpoint Manager instalado en un sistema Linux,durante la ejecución, el archivo de configuración del cliente se lee antes que elarchivo de configuración del servidor. Debe actualizar los valores comunes enambos componentes para evitar conflictos.

v De forma predeterminada, las conexiones HTTP y HTTPS exceden el tiempo deespera después de 10 segundos, incluido el tiempo de resolución de DNS.Cuando ocurre esto, se registra el error 28 de HTTP. En el entorno de trabajo queutilice, si el servidor proxy o servidor DNS tarda más tiempo en establecer laconexión TCP, puede aumentar el número de segundos de tiempo de esperaeditando el valor de _HTTPRequestSender_Connect_TimeoutSecond. El valor de_HTTPRequestSender_Connect_TimeoutSecond afecta a todos los IBM EndpointManager, incluidos la consola y el cliente, que se ejecutan en la máquina para laque se ha establecido este valor. El valor no afecta a ningún otro componente deIBM Endpoint Manager que se ejecuta en otras máquinas del despliegue. Comopráctica recomendada, tenga cuidado al aumentar este valor y trate demantenerlo tan bajo como sea posible para evitar la apertura de demasiadossockets, con el riesgo subsiguiente de agotarlos e interrumpir el servicio.

Para obtener más información sobre la configuración del proxy, consulteConfiguración del servidor proxy.


https://www.ibm.com/developerworks/mydeveloperworks/wikis/home/wiki/Tivoli%20Endpoint%20Manager/page/Proxy%20Server%20Settings?lang=en

Capítulo 13. Ejecución de una copia de seguridad yrestauración

Puede planificar copias de seguridad periódicas (normalmente de noche) de losarchivos de la base de datos y el servidor de Endpoint Manager, para reducir elriesgo de pérdida de productividad o de datos cuando se produce un problemamediante la restauración la copia de seguridad más reciente.

No obstante, tenga en cuenta que cuando ejecuta una recuperación tras desastre,restaura una copia de seguridad de un estado operativo anterior de EndpointManager en el sistema del servidor o en otro sistema. Dependiendo de cuándo sehaya hecho la copia de seguridad, puede perder los datos o cambios más recientes.

Importante: Después de restaurar los datos de la última copia de seguridad, elservidor de Endpoint Manager puede reiniciarse en un estado anterior con unadiscrepancia entre su buzón y el de cada retransmisor. En este caso, el servidor deEndpoint Manager debe sincronizarse con los retransmisores que han continuadoprocesando solicitudes; de lo contrario, los retransmisores pueden ignorar lassolicitudes del servidor. Para volver a alinear los buzones, envíe algunas acciones alos clientes hasta que las versiones de buzón sean las mismas.

También puede restaurar un servidor DSA de Endpoint Manager individualcuando se produce una anomalía irrecuperable.

Nota: No restaure el servidor DSA anómalo completamente desde la copia deseguridad. Debido a la complejidad de la replicación de DSA, se recomiendainstalar un nuevo servidor con el mismo FQDN y seguir estos procedimientos:Recuperación de DSA en Windows y Recuperación de DSA en Linux.

Si todos los servidores DSA se pierden, siga el procedimiento de restauración delservidor de Endpoint Manager, Procedimiento de recuperación del servidor enWindows y Procedimiento de recuperación del servidor en Linux.

En sistemas Windows

Si ha realizado la copia de seguridad de los archivos de la base de datos y delservidor de Endpoint Manager, cuando sea necesario, puede restaurar el entornode Endpoint Manager en un sistema Windows.

Copia de seguridad del servidor1. Utilizando el Administrador corporativo de SQL Server, establezca un plan de

mantenimiento de copias de seguridad nocturno para las bases de datosBFEnterprise y BESReporting. Varias copias de seguridad permiten una mayorflexibilidad de recuperación. Se recomienda realizar una copia de seguridad enun sistema remoto para permitir una mayor tolerancia a errores.

2. Realice una copia de seguridad de los siguientes archivos y carpetas que utilizael servidor de Endpoint Manager:v [carpeta del servidor IEM]\BESReportsData\ArchiveData -- Informes web

archivados.v [carpeta del servidor IEM]\BESReportsServer\wwwroot\ReportFiles --

Archivos de soporte de los informes web personalizados.


v [carpeta del servidor IEM]\Encryption Keys -- Claves de cifrado privadas(si se utiliza el cifrado a nivel de mensajes).

v [carpeta del servidor IEM]\wwwrootbes\Uploads -- Contiene paquetespersonalizados que se han subido al sistema para su distribución a losclientes.

3. Si alguno de los siguientes archivos y carpetas, que utiliza el servidor deEndpoint Manager, pueden volver a crearse automáticamente en el servidor sise produce una anomalía, realice una copia de seguridad de los mismos paragarantizar una recuperación más rápida.v [carpeta del servidor IEM]\Mirror Server\Inbox\bfemapfile.xml.

Información necesaria para que los agentes de IBM Endpoint Managerpuedan obtener acciones y Fixlets.

v [carpeta del servidor IEM]\wwwrootbes\bfsites. Información necesariapara que los agentes de Endpoint Manager puedan obtener acciones yFixlets.

v [carpeta del servidor IEM]\wwwrootbes\bfmirror\bfsites. Informaciónnecesaria para que los agentes de Endpoint Manager puedan obteneracciones y Fixlets.

v [carpeta del servidor IEM]\wwwrootbes\bfmirror\downloads. Contiene lacaché de descarga.

4. Realice una copia de seguridad de las credenciales del sitio web, los certificadosde licencia, las credenciales de publicación y el archivo de cabecera.Los archivos license.pvk, license.crt y publisher.pvk son fundamentalespara la seguridad o la operación de Endpoint Manager. Si se pierden losarchivos de clave privada (pvk), no pueden recuperarse.El archivo de cabeceraes un archivo importante que se debe utilizar para la recuperación. Contieneinformación sobre la configuración del servidor de Endpoint Manager. Estearchivo puede exportarse a través de la ficha Administración del encabezado dela herramienta de administración.

5. Si tiene una configuración LDAP, realice los pasos siguientes para efectuar unacopia de seguridad de la copia descifrada de la clave de firma del servidor[carpeta del servidor de IEM]\EncryptedServerSigningKey.pvk:a. Copie el archivo [carpeta del servidor de IEM]\

EncryptedServerSigningKey.pvk en una carpeta de copia de seguridad.b. Vaya a la carpeta de copia de seguridad.c. Pulse aquí para descargar la herramienta de clave de servidor.d. Descargue la herramienta de clave de servidor desde el enlace siguiente:

https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Server%20signing%20key%20Tool.

e. Ejecute el mandato siguiente para descifrar la clave de firma del servidor:ServerKeyTool.exe decrypt UnencryptedServerKey.pvk

Recuperación del servidor1. Utilizando el equipo del servidor de Endpoint Manager anterior o un nuevo

equipo, instale SQL Server (utilice la misma versión de SQL Server que se hautilizando anteriormente). Recuerde habilitar la autenticación de modalidadmixta para la nueva instalación de SQL si está utilizándola en el servidor deEndpoint Manager primario.

2. Si está restaurando el servidor a un sistema nuevo, ejecute los pasos siguientes:


https://www.ibm.com/developerworks/mydeveloperworks/files/form/anonymous/api/library/754a26d3-b254-4fe9-a9fb-3baacc34ac34/document/b706923a-de27-4c31-871f-279f80e1745b/media/ServerKeyTool.zip

https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Server%20signing%20key%20Tool



a. Asegúrese de que se puede acceder al nuevo sistema servidor de EndpointManager en la red utilizando el mismo URL que está contenido en elarchivo de cabecera. (Por ejemplohttp://192.168.10.32:52311/cgi-bin/bfgather.exe/actionsite O BIEN http://bigfixserver.company.com:52311/cgi-bin/bfgather.exe/actionsite).

b. Copie en una carpeta del nuevo servidor la información que copió en elservidor original y la herramienta de clave de firma del servidor,ServerKeyTool.exe.

Nota: Para evitar problemas cuando los clientes de Endpoint Manager seconectan al servidor de Endpoint Manager antes de que se restaurecompletamente, asegúrese de que el servidor de Endpoint Manager no estédisponible en la red hasta que finalice la recuperación.

3. Restaure las bases de datos BFEnterprise y BESReporting a partir de la copia deseguridad.

4. Restaure los archivos y las carpetas copiados creando la estructura dedirectorios.

5. Vaya a la carpeta donde ha guardado la clave de firma del servidor descifraday la herramienta de clave de firma del servidor.

6. Ejecute el siguiente mandato para cifrar la clave de firma del servidor:ServerKeyTool.exe encrypt UnencryptedServerKey.pvk

7. Copie la clave cifrada EncryptedServerSigningKey.pvk en el directorioC:\Program Files\BigFix Enterprise\BES Server.

8. Instale el componente del servidor de Endpoint Manager utilizando el archivode cabecera y especificando la misma vía de acceso utilizada en la opción deinstalación original.

9. Si necesita volver a firmar todo el contenido existente mediante la nueva clave,vaya al directorio del servidor de Endpoint Manager y ejecute BESAdmin.exe/rotateServerSigningKey.

Nota: Si ha habilitado el protocolo HTTPS, debe restaurar los valores de servidorpara Web Reports.

Verificación de los resultados de la restauración

Para asegurarse de que el servidor de Endpoint Manager se haya restaurado, sigaestos pasos:1. Compruebe los diagnósticos de Endpoint Manager para verificar que se hayan

iniciado todos los servicios.2. Inicie una sesión en la consola de Endpoint Manager y verifique que los inicios

de sesión funcionen y que la información de base de datos se haya restaurado.3. Asegúrese de que los clientes de Endpoint Manager y los retransmisores de

Endpoint Manager se hayan conectado al servidor cuando esté disponible yque le notifiquen datos correctamente. La recuperación completa con lanotificación de todos los agentes puede tardar desde unos pocos minutos amuchas horas (dependiendo del tamaño del despliegue y de cuánto tiempolleve el servidor sin estar disponible). Como mínimo, algunos agentes debenestar notificando información actualizada en menos de una hora.

4. Después de verificar la notificación de algunos agentes al servidor, envíe unaacción en blanco: Herramientas > Realizar acción personalizada a todos lossistemas. La acción en blanco no realiza cambios en los equipos de agente, perolos agentes notifican que han recibido la acción en blanco.

Capítulo 13. Ejecución de una copia de seguridad y restauración 187


5. Inicie una sesión en los informes web y compruebe que se hayan restauradodatos.

Nota: Si se ha definido un origen de datos remoto en la configuración de WebReports, Web Reports sólo se conecta al origen de datos si vuelve a especificarlas credenciales de origen de datos en la página Administración >Configuración de datos > Editar de Web Reports.

Recuperación de DSA

Cuando se recupera un servidor DSA perdido, todos los retransmisores deEndpoint Manager de nivel superior (y, por lo tanto, el despliegue completo)deben apuntar previamente al servidor DSA restante. Se recomienda dejar todoslos retransmisores y clientes notificando al servidor DSA operativo durante esteprocedimiento de recuperación. Si los valores del retransmisor existentes no lopermiten, aísle el servidor que se está restaurando en la red para que sólo elservidor DSA operativo puede conectarse a él.1. Si el servidor DSA maestro falla, ejecute el siguiente procedimiento en la base

de datos SQL BFEnterprise para promocionar el servidor DSA secundario amaestro durante la restauración y la replicación del servidor anómalo.declare @ServerID varchar(32)select @ServerID = convert(varchar(32),ServerID) from DBINFOexecute [BFEnterprise].[dbo].[update_adminfields] ’Z:masterDatabaseServerID’,

@ServerID

De esta forma, puede instalar un nuevo servidor DSA y puede ejecutar laherramienta de administración en el servidor DSA secundario durante larestauración del servidor anómalo.

2. En el servidor DSA existente, suprima el ID del servidor DSA anómalo de labase de datos.a. En primer lugar, vea cuál es el ID del servidor DSA existente ejecutando la

siguiente sentencia SQL.select ServerID from DBINFO

b. Muestre los ID de los servidores DSA:select * from REPLICATION_SERVERS

c. Después de identificar el ID del servidor anómalo, ejecute el siguienteprocedimiento:execute BFEnterprise.dbo.delete_replication_server <ID>

3. Restaure el sistema operativo del servidor y el software de la base de datos enun estado prístino sin restos del servidor de Endpoint Manager o la base dedatos de Endpoint Manager.

4. Restaure los siguientes elementos de la copia de seguridad:v [carpeta del servidor IEM]\BESReportsServer\wwwroot\ReportFiles

v [carpeta del servidor IEM]\Encryption Keys (puede restaurarseopcionalmente copiándola del servidor secundario, o utilizarse una nuevaclave generada por la herramienta de administración)

v [carpeta del servidor IEM]\UploadManagerData (opcional, para larecuperación rápida de datos de SUA si el servidor perdido era el origen deSUA)

v [carpeta del servidor IEM]\wwwrootbes\bfmirror\downloads\ActionURLs

v [carpeta del servidor IEM]\wwwrootbes\bfmirror\downloads\sha1(opcional, para la recuperación rápida de los archivos en la memoria caché)


v Archivo cert.pem para Web Reports, si se utiliza HTTPSv Base de datos BESReporting en SQL Server

5. Instale el servidor de Endpoint Manager utilizando el instalador y elencabezado existente. Para obtener información adicional, consulte“Instalación de servidores de Windows adicionales” en la página 69.

6. Establezca los siguientes valores del registro:Para sistemas Windows de 32 bits, acceda a [HKLM\Software\BigFix\Enterprise Server\FillDB] o para sistemas Windows de 64 bits, acceda a[HKLM\Software\Wow6432Node\BigFix\Enterprise Server\FillDB] y defina losvalores siguientes:"PerformanceDataPath"[REG_SZ] = "[IEM Server folder]\FillDB\FillDBperf.log""UnInterruptibleReplicationSeconds"[DWORD] = 14400 (decimal)ReplicationDatabase=<nombre_base_datos>ReplicationUser=<usuario_base_datos>ReplicationPassword=<contraseña_base_datos>

7. Reinicie el servicio BES FillDB.8. Instale el cliente y la consola de Endpoint Manager.9. Cuando finalice la replicación, ejecute el siguiente procedimiento en la base de

datos SQL para promocionar el servidor de Endpoint Manager que se acabade restaurar a servidor maestro.declare @ServerID varchar(32)select @ServerID = convert(varchar(32),ServerID) from DBINFOexecute [BFEnterprise].[dbo].[update_adminfields] ’Z:masterDatabaseServerID’,

@ServerID

10. Vuelva a instalar y configurar los plugins. La información de configuraciónpuede recopilarse del servidor DSA operativo actualmente, o de las notas deinstalación y los detalles de configuración mantenidos por el administrador.

11. Establezca los siguientes valores de registro y reinicie el servicio BES FillDB:Vaya a [HKLM\Software\Wow6432Node\BigFix\Enterprise Server\FillDB] y, acontinuación, establezca los valores siguientes:"PerformanceDataPath"[REG_SZ] = """UnInterruptibleReplicationSeconds"[DWORD] = 120 (decimal)

12. Inicie la herramienta de administración y actualice el intervalo de replicaciónen el servidor restaurado al nivel que desee. Normalmente, este valor debecoincidir con el intervalo establecido en el otro servidor DSA.

Nota: Dependiendo del tamaño del despliegue, el proceso de replicaciónpuede tardar varios días en completarse. Para validar su finalización, busqueun mensaje Replication Completed en el archivo FillDBperf.log. Otra formade comprobar que los datos se han sincronizado en ambos despliegues esconectar una consola de Endpoint Manager aparte a cada servidor DSA ycomparar el contenido.

En sistemas Linux

Si ha realizado la copia de seguridad de los archivos de la base de datos y delservidor de Endpoint Manager, cuando sea necesario, puede restaurar el entornode Endpoint Manager en un sistema de Linux.

Copia de seguridad del servidor

Para realizar una copia de seguridad del servidor de Endpoint Manager, siga estospasos:


1. Detenga los servicios de Endpoint Manager utilizando los siguientes mandatos:/etc/init.d/besfilldb stop/etc/init.d/besgatherdb stop/etc/init.d/besserver stop/etc/init.d/beswebreports stop/etc/init.d/besclient stop

2. Detenga la base de datos de DB2 utilizando el mandato db2stop.3. Realice una copia de seguridad de las bases de datos BFENT y BESREPOR

utilizando los siguientes mandatos:db2 backup db BFENTdb2 backup db BESREPOR

De manera opcional, añada la ruta absoluta con los mandatos:db2 backup db BFENT to /AbsolutePathExampledb2 backup db BESREPOR to /AbsolutePathExample

4. Realice una copia de seguridad manual de las siguientes carpetas:/var/opt/BESClient/var/opt/BESServer/var/opt/BESWebReportsServer

y los siguientes archivos:/etc/opt/BESClient/actionsite.afxm/etc/opt/BESServer/actionsite.afxm/etc/opt/BESWebReportsServer/actionsite.afxm

5. En /etc/init.d, realice una copia de seguridad de los siguientes archivos:besclientbesfilldbbesgatherdbbesserverbeswebreports

6. Realice una copia de seguridad de los certificados de licencia, las credencialesdel sitio y los archivos de encabezado.Los archivos license.pvk y license.crt son fundamentales para la seguridad yla operación de Endpoint Manager. Si se pierden los archivos de clave privada(pvk), no pueden recuperarse.El archivo de cabecera es un archivo importante que se debe utilizar para larecuperación. Contiene información sobre la configuración del servidor deEndpoint Manager. Para copiar el archivo de cabecera, copie el archivo/etc/opt/BESServer/actionsite.afxm en un directorio de seguridad con elnombre masthead.afxm, o abra el archivo de cabecera desde un navegador,http://nombre_host:52311/masthead/masthead.afxm, y guárdelo en el directoriode seguridad.

Recuperación del servidor1. Detenga todos los procesos de Endpoint Manager y las bases de datos.2. Elimine los archivos rpm de Endpoint Manager.3. Elimine las siguientes carpetas:

/var/opt/BESClient/var/opt/BESServer/var/opt/BESWebReportsServer/opt/BESWebReportsServer

y los siguientes archivos:


/etc/opt/BESClient/actionsite.afxm/etc/opt/BESServer/actionsite.afxm/etc/opt/BESWebReportsServer/actionsite.afxm/etc/init.d/besclient/etc/init.d/besfilldb/etc/init.d/besgatherdb/etc/init.d/besserver/etc/init.d/beswebreports

4. Elimine las bases de datos BFENT y BESREPOR ejecutandodb2 drop db BFENTdb2 drop db BESREPOR

5. Instale Endpoint Manager para registrar los archivos rpm de EndpointManager.

6. Detenga los procesos de Endpoint Manager y las bases de datos instaladas.7. Desinstale las bases de datos BFENT y BESREPOR.8. Restaure los archivos y las carpetas guardados previamente:

/var/opt/BESClient/var/opt/BESServer/var/opt/BESWebReportsServer/opt/BESWebReportsServer

/etc/opt/BESClient/actionsite.afxm/etc/opt/BESServer/actionsite.afxm/etc/opt/BESWebReportsServer/actionsite.afxm/etc/init.d/besclient/etc/init.d/besfilldb/etc/init.d/besgatherdb/etc/init.d/besserver/etc/init.d/beswebreports

9. Restaure las bases de datos BFENT y BESREPOR de la siguiente manera:db2 restore db BFENTdb2 restore db BESREPOR

Si se han guardado con una ruta absoluta, utilice el siguiente mandato:db2 restore db BFENT from /AbsolutePathExampledb2 restore db BESREPOR from /AbsolutePathExample

10. Inicie las bases de datos y, a continuación, los procesos de Endpoint Manager.11. Inicie una sesión en la consola. Si aparece el siguiente error: La conexión con

el servidor no ha podido realizarse. Mensaje de diagnóstico: errorinesperado del servidor: parámetro de secuencia erróneo, suprima la cachéde la consola en el disco donde se ha instalado la consola buscando la serieEnterprise Console. En este directorio, elimine el directorio cuyo nombrecoincida con el nombre de host del servidor de Endpoint Manager y, acontinuación, inicie la sesión de nuevo.

Verificación de los resultados de la restauración

Para asegurarse de que el servidor de Endpoint Manager se haya restaurado, sigaestos pasos:1. Compruebe los diagnósticos de Endpoint Manager para verificar que se hayan

iniciado todos los servicios.2. Inicie una sesión en la consola de Endpoint Manager y verifique que los inicios

de sesión funcionen y que la información de base de datos se haya restaurado.3. Asegúrese de que los clientes de Endpoint Manager y los retransmisores de

Endpoint Manager se hayan conectado al servidor cuando esté disponible yque le notifiquen datos correctamente. La recuperación completa con la


notificación de todos los agentes puede tardar desde unos pocos minutos amuchas horas (dependiendo del tamaño del despliegue y de cuánto tiempolleve el servidor sin estar disponible). Como mínimo, algunos agentes debenestar notificando información actualizada en menos de una hora.

4. Después de verificar la notificación de algunos agentes al servidor, envíe unaacción en blanco: Herramientas > Realizar acción personalizada a todos lossistemas. La acción en blanco no realiza cambios en los equipos de agente, perolos agentes notifican que han recibido la acción en blanco.

5. Inicie una sesión en los informes web y compruebe que se hayan restauradodatos.

Nota: Si se ha definido un origen de datos remoto en la configuración de WebReports, Web Reports sólo se conecta al origen de datos si vuelve a especificarlas credenciales de origen de datos en la página Administración >Configuración de datos > Editar de Web Reports.

Recuperación de DSA

Cuando se recupera un servidor DSA perdido, todos los retransmisores deEndpoint Manager de nivel superior (y, por lo tanto, el despliegue completo)deben apuntar previamente al servidor DSA restante. Se recomienda dejar todoslos retransmisores y clientes notificando al servidor DSA operativo durante esteprocedimiento de recuperación. Si los valores del retransmisor existentes no lopermiten, aísle el servidor que se está restaurando en la red para que sólo elservidor DSA operativo puede conectarse a él.1. Si el servidor DSA maestro falla, ejecute el siguiente procedimiento en la base

de datos SQL BFEnterprise para promocionar el servidor DSA secundario amaestro durante la restauración y la replicación del servidor anómalo.db2

set schema dboselect serverid from DBINFO (take count of SERVERID)set current function path dbocall update_adminFields(’Z:masterDatabaseServerID’,’<serverid>’) - Sustituya

SERVERID por el valor de la consulta anterior

De esta forma, puede instalar un nuevo servidor DSA y puede ejecutar laherramienta de administración en el servidor DSA secundario durante larestauración del servidor anómalo.

2. En el servidor DSA existente, suprima el ID del servidor DSA anómalo de labase de datos.a. En primer lugar, vea cuál es el ID del servidor DSA existente ejecutando la

siguiente sentencia SQL.select ServerID from DBINFO

b. Muestre los ID de los servidores DSA:select * from REPLICATION_SERVERS

c. Después de identificar el ID del servidor anómalo, ejecute el siguienteprocedimiento:call dbo.delete_replication_server(ID)

3. Restaure el sistema operativo del servidor y el software de la base de datos enun estado prístino sin restos del servidor de Endpoint Manager o la base dedatos de Endpoint Manager.

4. Restaure los siguientes elementos de la copia de seguridad:v /var/opt/BESWebReportsServer/


v [carpeta del servidor IEM]/Encryption Keys (puede restaurarseopcionalmente copiándola del servidor secundario, o utilizarse una nuevaclave generada por la herramienta de administración)

v [carpeta del servidor IEM]/UploadManagerData (opcional, para larecuperación rápida de datos de SUA si el servidor perdido era el origen deSUA)

v [carpeta del servidor IEM]/wwwrootbes/bfmirror/downloads/ActionURLs

v [carpeta del servidor IEM]/wwwrootbes/bfmirror/downloads/sha1(opcional, para la recuperación rápida de los archivos en la memoria caché)

v Archivo cert.pem para Web Reports, si se utiliza HTTPSv Base de datos BESReporting en SQL Server

5. Instale el servidor de Endpoint Manager utilizando el instalador y elencabezado existente. Para obtener información adicional, consulte“Instalación de servidores de Linux adicionales (DSA)” en la página 122.

6. Establezca las siguientes palabras clave en el archivo besserver.config yreinicie el servicio BES FillDB:PerformanceDataPath = <nombre_archivo_Performance_Data_Path>UnInterruptibleReplicationSeconds = 14400ReplicationDatabase=<nombre_base_datos>ReplicationUser=<usuario_base_datos>ReplicationPassword=<contraseña_base_datos>

donde <nombre_archivo_Performance_Data_Path> puede ser/var/opt/BESServer/FillDBData/FillDBPerf.log.

7. Reinicie el servicio FillDB:service besfilldb start

8. Instale el cliente y la consola de Endpoint Manager.9. Cuando finalice la replicación, ejecute el siguiente procedimiento en la base de

datos SQL para promocionar el servidor de Endpoint Manager que se acabade restaurar a servidor maestro.db2

set schema dboselect serverid from DBINFO (take count of SERVERID)set current function path dbocall update_adminFields(’Z:masterDatabaseServerID’,’<serverid>’) - Sustituya

SERVERID por el valor de la consulta anterior

10. Vuelva a instalar y configurar los plugins. La información de configuraciónpuede recopilarse del servidor DSA operativo actualmente, o de las notas deinstalación y los detalles de configuración mantenidos por el administrador.

11. Establezca las siguientes palabras clave en el archivo besserver.config yreinicie el servicio BES FillDB:PerformanceDataPath = ""UnInterruptibleReplicationSeconds = 120

12. Inicie la herramienta de administración y actualice el intervalo de replicaciónen el servidor restaurado al nivel que desee. Normalmente, este valor debecoincidir con el intervalo establecido en el otro servidor DSA.

Nota: Dependiendo del tamaño del despliegue, el proceso de replicaciónpuede tardar varios días en completarse. Para validar su finalización, busqueun mensaje Replication Completed en el archivo FillDBperf.log. Otra formade comprobar que los datos se han sincronizado en ambos despliegues esconectar una consola de Endpoint Manager aparte a cada servidor DSA ycomparar el contenido.


Capítulo 14. Actualización en sistemas Windows

Asegúrese de actualizar el servidor de Endpoint Manager y todas las consolas deEndpoint Manager al mismo tiempo (las consolas con una versión anterior oposterior que la versión del servidor no pueden conectarse al servidor o la base dedatos).

Otros componentes de Endpoint Manager (los clientes de Endpoint Manager y losretransmisores de Endpoint Manager) pueden funcionar con la versión actualizadadel servidor de Endpoint Manager sin problemas. No obstante, se recomiendaactualizar los clientes de Endpoint Manager y los retransmisores de siempre quesea posible para aprovechar las nuevas funciones.

Para actualizar un entorno DSA consulte “Actualización manual” en la página 197.

Nota: Sólo puede retrotraerse a una versión anterior de Endpoint Manager si noha habilitado la opción de seguridad mejorada. Después de habilitarla en suentorno, no puede retrotraerse a una versión anterior de Endpoint Manageraunque la inhabilite.

Rutas de actualización a V9.2

En las tablas siguientes, se describen las rutas de actualización a IBM EndpointManager V9.2:v Actualización del servidor

Tabla 11. Actualización del servidor

Actualización desde Actualización de Windows

7.x No

8.x Sí, solamente en sistemas Windows conarquitectura de 64 bits.

9.0 Sí, solamente en sistemas Windows conarquitectura de 64 bits.

9.1 Sí, solamente en sistemas Windows conarquitectura de 64 bits.

Nota: A partir de version 9.2 Parche 3, la actualización sólo está soportada parala versión 9.X.

v Actualización del cliente

Tabla 12. Actualización del cliente

Actualización desdeActualización deWindows

Actualización deUNIX

Actualización deMac

7.x Sí Sí Sí

8.x Sí Sí Sí

9.0 Sí Sí Sí

9.1 Sí Sí Sí


Antes de la actualización

Siga estos pasos antes de actualizar los componentes de Endpoint Manager:1. Cierre todas las consolas de IBM Endpoint Manager.2. Realice una copia de seguridad del servidor de IBM Endpoint Manager y de la

base de datos.3. Actualice las bases de datos SQL. La base de datos SQL 2000 ya no está

soportada.4. Realice una copia de seguridad de license.pvk,license.crt y masthead.afxm

en otra ubicación del servidor de Endpoint Manager o en una llave USB.5. Aumente el intervalo de réplica para impedir que la réplica falle de forma

repetida durante la actualización. Para obtener más información, consulte laGuía de configuración.

6. Actualice los componentes de Endpoint Manager siguiendo este orden:a. Servidores y consolas. Las versiones de estos componentes deben coincidir

y se deben actualizar al mismo tiempo.b. Retransmisoresc. Clientes

Las versiones de los servidores, retransmisores y clientes no es necesario quecoincidan y la actualización de estos componentes se puede realizar enmomentos diferentes. Los clientes más antiguos pueden continuar enviandoinformes a los retransmisores o servidores más recientes pero es posible que notengan todas las funciones del nuevo release.

Nota: Las configuraciones de proxy de Endpoint Manager existentes definidasen el servidor se migran automáticamente al comportamiento y los valores dela configuración del proxy V9.2. Para obtener más información sobre los valoresde configuración del proxy de Endpoint Manager V9.2, consulte Capítulo 12,“Configuración de una conexión proxy”, en la página 169.

Si la configuración del proxy existente explota BESGather_Service, durante lamigración se le solicita que escriba la contraseña del usuario que haespecificado para BESGather_Service. El proceso de migración utiliza estacontraseña para acceder a Internet Explorer y correlacionar los valores deconfiguración del proxy con el conjunto de claves de registro utilizadas en V9.2,que se describen en la Tabla 8 en la página 178.

7. Para los servidores DSA, en primer lugar, actualice un servidor de DSA paraasegurarse de que la actualización se ha realizado correctamente y, acontinuación, los otros servidores DSA.

8. Después de la actualización, ejecute la herramienta de administración deEndpoint Manager para actualizar los datos con la firma SHA-2, actualizar unabase de datos remota y establecer los estándares de seguridad NIST, si esnecesario.

Nota:

v En los despliegues más grandes, la actualización del servidor puede tardarvarios minutos.

v El proceso posterior a la actualización de su despliegue puede ser lento debido aque durante la actualización se produce un tiempo de inactividad que puederetrasar los informes de clientes, y el servidor de IBM Endpoint Manager puedetardar varias horas en procesar este trabajo pendiente una vez completada laactualización.


Actualización manual

Utilice la actualización manual, en lugar de la actualización de Fixlet, cuandoactualice un entorno de varios servidores DSA o un servidor de Endpoint Managerque utiliza una base de datos remota.

Nota: Durante la actualización de un servidor DSA, asegúrese de que no hayaotros servicios en ejecución en ningún otro servidor DSA para evitar que laactualización del sistema sea inestable cuando se inicie el proceso de replicación enéste.

Actualización del Generador de instalación1. En el sistema donde ha instalado el Generador de instalación de IBM Endpoint

Manager, descargue y ejecute el nuevo Generador de instalación de IBMEndpoint Manager desde http://support.bigfix.com/bes/install/downloadbes.html.

2. Pulse Sí cuando se le solicite si desea realizar la actualización y siga lasinstrucciones del programa de instalación.

Actualización del servidor1. Copie la carpeta de instalación del servidor de IBM Endpoint Manager (la

ubicación predeterminada es %PROGRAM FILES%\BigFix Enterprise\BESInstallers\Server) en el equipo del servidor de IBM Endpoint Manager.

2. Ejecute el programa de instalación del servidor de IBM Endpoint Manager(setup.exe) en el equipo del servidor de IBM Endpoint Manager.

Nota: Si tiene una base de datos remota, revise el artículo http://www-01.ibm.com/support/docview.wss?uid=swg21506063 antes de realizar laactualización.

3. Siga las instrucciones del programa de instalación para realizar la actualización.Consulte C:\besserverupgrade.log para obtener información sobre resoluciónde problemas.

4. Para actualizar el servidor de Trend Core Protection Module para el release 8.0,consulte http://www-01.ibm.com/support/docview.wss?uid=swg21506219.

Actualización de la consola1. Copie la carpeta de instalación de la consola de IBM Endpoint Manager (la

ubicación predeterminada es %PROGRAM FILES%\BigFix Enterprise\BESInstallers\Console) en todos los sistemas que ejecuten la consola de IBMEndpoint Manager.

2. Ejecute el programa de instalación de la consola de IBM Endpoint Manager(setup.exe) en todos los sistemas que ejecutan actualmente la consola de IBMEndpoint Manager.

Actualización de los retransmisores

Los retransmisores de IBM Endpoint Manager se pueden actualizar desde laconsola de IBM Endpoint Manager aplicando el Fixlet Retransmisor de Windowsactualizado a todos los retransmisores pertinentes.

Capítulo 14. Actualización en sistemas Windows 197






Actualización de los clientesv Los clientes de IBM Endpoint Manager pueden actualizarse individualmente.

Para ello, copie la carpeta de instalación del cliente de IBM Endpoint Manager(la ubicación predeterminada es C:\Archivos de programa\BigFixEnterprise\BES Installers\Client) en cada sistema que ejecute el cliente deIBM Endpoint Manager y, a continuación, ejecute setup.exe.

v Los clientes de IBM Endpoint Manager también pueden actualizarse utilizandola herramienta de despliegue del cliente de Tivoli Endpoint Manager, con unregistro en script o con otra tecnología de despliegue. Ejecute el nuevo programade instalación del cliente de IBM Endpoint Manager en el sistema que tiene elcliente de IBM Endpoint Manager antiguo.

Actualización de Web Reports

Para actualizar Web Reports autónomos, ejecute BigFix-BES-Server-9.2.xxx.x.exe,que detecta la instalación de Web Reports y permite actualizarlo automáticamente.

Si Web Reports está instalado en el servidor de Endpoint Manager, se actualizajunto con el servidor de Endpoint Manager.

Nota: Si tiene una base de datos remota, ejecute la actualización como un usuariocon permisos de DBO en la base de datos.


Capítulo 15. Actualización en sistemas Linux

Asegúrese de actualizar el servidor de Endpoint Manager y todas las consolas deIBM Endpoint Manager al mismo tiempo (las consolas con una versión anterior oposterior que la versión del servidor no pueden conectarse al servidor o la base dedatos).

Otros componentes de IBM Endpoint Manager (los clientes de IBM EndpointManager y los retransmisores de IBM Endpoint Manager) pueden funcionar con laversión actualizada del servidor de IBM Endpoint Manager sin problemas. Noobstante, se recomienda actualizar los clientes de IBM Endpoint Manager y losretransmisores de siempre que sea posible para aprovechar las nuevas funciones.

Para actualizar un entorno DSA consulte “Actualización manual” en la página 200.

Nota: Sólo puede retrotraerse a una versión anterior de Endpoint Manager si noha habilitado la opción de seguridad mejorada. Después de habilitarla en suentorno, no puede retrotraerse a una versión anterior de Endpoint Manageraunque la inhabilite.

Rutas de actualización a V9.2

En las tablas siguientes, se muestran las rutas de actualización a IBM EndpointManager V9.2:v Actualización del servidor

Tabla 13. Actualización del servidor

Actualización desde Actualización de UNIX

7.x No

8.x No

9.0 Sí

9.1 Sí

Nota: A partir de version 9.2 Parche 3, la actualización sólo está soportada parala versión 9.X.

v Actualización del cliente

Tabla 14. Actualización del cliente

Actualización desdeActualización deWindows

Actualización deUNIX

Actualización deMac

7.x Sí Sí Sí

8.x Sí Sí Sí

9.0 Sí Sí Sí

9.1 Sí Sí Sí


Antes de la actualización

Siga estos pasos antes de actualizar los componentes de Endpoint Manager:1. Cierre todas las consolas de IBM Endpoint Manager.2. Realice una copia de seguridad del servidor de IBM Endpoint Manager y de la

base de datos.3. Realice una copia de seguridad de license.pvk,license.crt y masthead.afxm

en otra ubicación del servidor de Endpoint Manager o en una llave USB.4. Si su servidor se ha configurado en un entorno DSA, aumente el intervalo de

réplica para impedir que la réplica falle de forma repetida durante laactualización. Para obtener más información, consulte la Guía de configuración.

5. Actualice los componentes de Endpoint Manager siguiendo este orden:a. Servidores y consolas (la consola y el servidor deben tener la misma versión

y se deben actualizar al mismo tiempo).b. Retransmisoresc. Clientes

Las versiones de los servidores, retransmisores y clientes no es necesario quecoincidan y la actualización de estos componentes se puede realizar enmomentos diferentes. Los clientes más antiguos pueden continuar enviandoinformes a los retransmisores o servidores más recientes pero es posible que notengan todas las funciones del nuevo release.

Nota: Las configuraciones de proxy de Endpoint Manager existentes se migranautomáticamente al comportamiento y los valores de la configuración del proxyV9.2. Para obtener más información sobre los valores de configuración delproxy de Endpoint Manager V9.2, consulte Capítulo 12, “Configuración de unaconexión proxy”, en la página 169.

6. Para los servidores DSA, en primer lugar, actualice un servidor de DSA paraasegurarse de que la actualización se ha realizado correctamente y, acontinuación, los otros servidores DSA.

Nota:

v En los despliegues más grandes, la actualización del servidor puede tardarvarios minutos.

v Tras una actualización, el despliegue puede ser lento porque el tiempo deinactividad de la actualización puede crear un trabajo pendiente de informes decliente, y el servidor de IBM Endpoint Manager puede tardar varias horas enprocesar este trabajo pendiente una vez completada la actualización.

Actualización manual

Utilice la actualización manual, en lugar de la actualización de Fixlet, cuandoactualice un entorno de varios servidores DSA.

Nota: Durante la actualización de un servidor DSA, asegúrese de que no hayaotros servicios en ejecución en ningún otro servidor DSA para evitar que laactualización del sistema sea inestable cuando se inicie el proceso de replicación enéste.


Actualización del servidor1. Copie la imagen instalable del servidor de IBM Endpoint Manager en el equipo

del servidor de Endpoint Manager y extráigala en una carpeta.2. En el equipo del servidor de Endpoint Manager, ejecute el script de

actualización del servidor de Endpoint Manager:./install.sh -upgrade [-opt BES_LICENSE_PVK=<vía+license.pvk>]

[-opt BES_LICENSE_PVK_PWD=<contraseña>]

donde:

-opt BES_LICENSE_PVK=<vía+license.pvk>Especifica el archivo de claves privado (nombre_archivo.pvk). Estearchivo de claves privado y su contraseña son necesarios paraactualizar la licencia del producto y realizar las actualizaciones de firmade SHA-256 necesarias en la base de datos de Endpoint Manager.

Nota: La notación <vía+licencia.pvk> utilizada en la sintaxis delmandato equivale a vía_acceso_de_archivo_de_licencia/license.pvk.

-opt BES_LICENSE_PVK_PWD=<contraseña>Especifica la contraseña asociada con el archivo de clave privada(nombre_archivo.pvk).

El script del servidor install.sh actualiza todos los componentes que detectaen el servidor local.

Nota: Para obtener información sobre resolución de problemas, consulte losarchivos /var/log/BESInstall.log y /var/log/BESAdminDebugOut.txt.

Actualización de la consola1. Copie la carpeta de instalación de la consola de Endpoint Manager (el valor

predeterminado es: /var/opt/BESInstallers/Console) en todos los sistemasWindows que ejecutan la consola de Endpoint Manager.

2. Ejecute el programa de instalación de la consola de Endpoint Manager(setup.exe) en todos los sistemas Windows que ejecutan actualmente la consolade Endpoint Manager.

Nota: La consola de Endpoint Manager no se ejecuta en los sistemas Linux.

Actualización de los retransmisores

Los retransmisores de IBM Endpoint Manager se pueden actualizar desde laconsola de IBM Endpoint Manager aplicando el Fixlet Retransmisor de Red HatEnterprise Linux actualizado a todos los retransmisores pertinentes.

Actualización de los clientesv Para actualizar por separado los clientes de Endpoint Manager, copie la imagen

instalable del cliente de Endpoint Manager en cada sistema donde se ejecuta elcliente de Endpoint Manager y luego ejecute el programa de instalación de estamanera:rpm -U xxx.rpm

donde xxx es el nombre de la imagen instalable del cliente.v Los clientes de Endpoint Manager también pueden actualizarse utilizando la

herramienta de despliegue del cliente de Endpoint Manager, con un script de

Capítulo 15. Actualización en sistemas Linux 201

inicio de sesión o con otra tecnología de despliegue. Sólo tiene que ejecutar elnuevo programa de instalación del cliente de Endpoint Manager en el equipocon el cliente de Endpoint Manager antiguo.

Actualización de Web Reports

Para actualizar un servidor de Web Reports, ejecute el script de actualización delservidor install.sh:./install.sh -upgrade


Apéndice A. Archivos de registro de componentes

Estos son los archivos de registro de los componentes de Endpoint Manager:

Registro de auditoría del servidor: el servidor mantiene un registro de auditoríaen %PROGRAM FILES%\BigFix Enterprise\BES Server\server_audit.log y registralos siguientes tipos de sucesos de auditoría:AuditStream() << "approver \"" << checkResult.user<< "\" approved an activity performed by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was made a reader for custom site \""<< parameters.siteName.GetString() << "\"" << "by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was removed as a reader from custom site \""<< parameters.siteName.GetString() << "\"" << "by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was made a writer for custom site \""<< parameters.siteName.GetString() << "\"" << "by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was removed as a writer from custom site \""<< parameters.siteName.GetString() << "\"" << "by " << "user "{name}" ({id})";AuditStream() << "role "{name}"" << " was created by " << "user "{name}" ({id})";AuditStream() << "role "{name}"" << " was deleted by " << "user "{name}" ({id})";AuditStream() << "role "{name}"" << " has been given " << ( it->second== UserRoleSitePrivileges::SiteWriter ? "write" : it->second == UserRoleSitePrivileges::SiteReader ? "read" : "ownership" ) << " privileges on " << SiteAuditText( it->first )<< " by " << UserAuditText( user );AuditStream() << "user "{name}" ({id})" << " has been added to " << "role "{name}"" <<" by " << "user "{name}" ({id})";AuditStream() << "ldap group "{name}" (DN={dn})" << " has been added to " << "role"{name}"";AuditStream() << "site {site}" << " removed from " << "role "{name}"" << " by " <<"user "{name}" ({id})";AuditStream() << "site {site}" << " added to " << "role "{name}"" << " by " << "user"{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " added to " << "role "{name}"" << " by " <<"user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " removed from " << "role "{name}"" <<

" by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was assigned to " << "role "{name}"" <<" by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " was removed from " << "role "{name}"" <<" by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " privileges updated by " << "user "{name}" ({id})" << ": "<< PrivilegesAuditText( iface.db, userInfo, isMasterOperator, canCreateCustomContent,showOtherUsersActions, unmanagedAssetPrivilege, loginPermission, approverRoleID );AuditStream() << "ldap user \"{name}\" (DN={dn})" << " created by " << "user "{name}"({id})";AuditStream() << "user "{name}" ({id})" << " password changed by " << "user "{name}"({id})";AuditStream() << "user "{name}" ({id})" << " changed their own password";AuditStream() << "user "{name}" ({id})" << " was removed by " << "user "{name}" ({id})";AuditStream() << "user "{name}" ({id})" << " management rights updated by " << "user"{name}" ({id})";AuditStream() << oldUserAuditText << " converted to ldap user " << "ldap user \"{name}\" (DN={dn})" << " by " << initiator;AuditStream() << "role "{name}"" << " was modified by " << "user "{name}" ({id})" <<": " << PrivilegesAuditText( iface.db, role.UserRolePrivileges() );AuditStream() << "user "{name}" ({id})" << " created by " << "user "{name}" ({id})" << ": "AuditStream() << "ldap user \"{name}\" (DN={dn})" << " created based on membershipof role(s): " << roleNames.Ref();

Registro de servidor raíz de BES: C:\Program Files (x86)\BigFix Enterprise\BESServer\BESRelay.log


Registro de Gather: http://127.0.0.1:52311/cgi-bin/bfenterprise/BESGatherMirrorNew.exe

Registro FillDB: C:\Program Files (x86)\BigFix Enterprise\BESServer\FillDBData\FillDB.log

Registro de GatherDB: C:\Program Files (x86)\BigFix Enterprise\BESServer\GatherDBData\GatherDB.log

Registro de retransmisor: C:\Program Files (x86)\BigFix Enterprise\BESRelay\logfile.txt

Registro de cliente: el cliente registra su actividad actual en un archivo de registrocon la fecha actual como el nombre de archivo con el formato[year][month][day].log. Si un registro activo alcanza 512K de tamaño, se moveráa un archivo de copia de seguridad (.bkg) y se iniciará un nuevo registro para eldía actual. Si el registro alcanza 512K de nuevo, la copia de seguridad sobrescribirála copia de seguridad existente. Los registros activos y de copia de seguridad sesuprimirán después de diez días. Estas son las ubicaciones predeterminadas de losregistros de cliente de Endpoint Manager para cada sistema operativo.v Clientes Windows: C:\Program Files\BigFix Enterprise\BES

Client\__BESData\__Global\Logs

v Clientes UNIX y Linux: /var/opt/BESClient/__BESData/__Global/Logsv Clientes Mac: /Library/Application Support/Bigfix/BES Agent/__BESData/

__Global/Logs

El directorio del archivo de registro del servicio de plugin del servidor BES esC:\Program Files\BigFix Enterprise\BES Server\Applications\Logs.


Apéndice B. Soporte

Para obtener más información sobre este producto, consulte los siguientes recursos:v IBM Knowledge Centerv Sitio de asistencia técnica de IBM Endpoint Managerv Wiki de IBM Endpoint Managerv Base de conocimientov Foros y comunidades


http://www-01.ibm.com/support/knowledgecenter/SS63NW_9.2.0/com.ibm.tivoli.tem.doc_9.2/welcome/IEM92_landing.html

http://www.ibm.com/support/entry/portal/Overview/Software/Tivoli/Tivoli_Endpoint_Manager

https://www.ibm.com/developerworks/mydeveloperworks/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Home


http://www.ibm.com/developerworks/forums/category.jspa?categoryID=506

Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU.

Puede que IBM no ofrezca en otros países los productos, servicios o característicasque se describen en este documento. Consulte a su representante local IBM paraobtener información sobre los productos y servicios que están disponibles en suárea en la actualidad. Las referencias a programas, productos o servicios de IBM nopretenden establecer o implicar que sólo puedan utilizarse los productos,programas o servicios de IBM. En su lugar, se puede utilizar cualquier producto,programa o servicio funcionalmente equivalente que no infrinja ninguno de losderechos de propiedad intelectual de IBM. Sin embargo, es responsabilidad delusuario evaluar y verificar el funcionamiento de cualquier producto, programa oservicio que no sea de IBM.

IBM puede tener patentes o solicitudes de patentes pendientes que cubran el temaprincipal descrito en este documento. La posesión de este documento no le otorganinguna licencia sobre dichas patentes. Puede enviar sus consultas sobre licencias,por escrito, a:

IBM Director of LicensingIBM CorporationNorth Castle Drive, MD-NC119Armonk, NY 10504-1785Estados Unidos de América

Para las consultas de licencias relativas a información sobre el juego de caracteresde doble byte (DBCS), póngase en contacto con el Departamento de propiedadintelectual de IBM en su país o envíe las consultas, por escrito, a:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokio 103-8510, Japón

El siguiente párrafo no se aplica al Reino Unido ni a ningún otro país dondeestas disposiciones estén en contradicción con la legislación local:INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍAS DE NINGÚN TIPO, NIEXPLÍCITAS NI IMPLÍCITAS, INCLUIDAS PERO SIN LIMITARSE A LASMISMAS, LAS GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN,COMERCIALIZACIÓN O IDONEIDAD PARA UN FIN CONCRETO. Algunosestados no permiten la renuncia a garantías explícitas o implícitas en determinadastransacciones, por lo que puede que esta declaración no sea aplicable en su caso.

Esta información podría contener imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información aquí contenida; estoscambios se incorporarán en nuevas ediciones de la publicación. IBM puede realizarmejoras y/o cambios en el producto productos y/o en el programa o programasdescritos en esta publicación en cualquier momento y sin previo aviso.


Todas las referencias hechas en este documento a sitios web que no son de IBM seproporcionan únicamente para su información y no representan en modo algunouna recomendación de dichos sitios web. Los materiales de estos sitios web noforman parte de los materiales de IBM para este producto, y el uso que se haga deestos sitios web será responsabilidad del usuario.

IBM puede utilizar o distribuir cualquier información que se le proporcione en laforma que considere adecuada, sin incurrir por ello en ninguna obligación para conel remitente.

Los propietarios de licencias de este programa que deseen obtener informaciónsobre el mismo con el fin de permitir: (i) el intercambio de información entreprogramas creados independientemente y otros programas (incluido éste) y (ii) eluso mutuo de la información que se ha intercambiado, deben ponerse en contactocon:

IBM Corporation2Z4A/10111400 Burnet RoadAustin, TX 78758, Estados Unidos

Dicha información puede estar disponible, sujeta a los términos y condicionesadecuados, incluido en algunos casos el pago de una tarifa.

IBM proporciona el programa bajo licencia que se describe en esta información ytodo el material bajo licencia disponible bajo los términos del acuerdo IBMCustomer Agreement, IBM International Program License Agreement o decualquier acuerdo equivalente entre las partes.

Los datos sobre rendimiento aquí incluidos se han determinado en un entornocontrolado. Por lo tanto, los resultados obtenidos en otros entornos operativospueden variar considerablemente. Algunas mediciones pueden haberse realizadoen sistemas a nivel de desarrollo y no existe ninguna garantía de que estasmediciones serán las mismas en los sistemas de disponibilidad general. Además, esposible que algunas mediciones se haya estimado mediante extrapolación. Losresultados reales pueden variar. Los usuarios de este documento deben verificarlos datos aplicables para su entorno específico.

La información referente a productos no IBM se ha obtenido de los proveedores dedichos productos, sus anuncios publicados o de otras fuentes disponiblespúblicamente. IBM no ha probado esos productos y no puede confirmar laprecisión del rendimiento, compatibilidad ni ninguna otra afirmación referente aproductos que no sean de IBM. Las preguntas sobre las posibilidades de losproductos no IBM deben dirigirse a los proveedores de dichos productos.

Todas las declaraciones relativas a la dirección o intenciones futuras de IBMpueden cambiar o ser retiradas sin aviso, y representan sólo propósitos y objetivos.

Todos los precios de IBM que se muestran son precios de distribuidorrecomendados por IBM, corresponden al momento actual y están sujetos a cambiossin aviso previo. Los precios de los distribuidores pueden ser diferentes.

Esta información sólo se proporciona a efectos de planificación. La informaciónincluida en este documento puede cambiar antes de que los productos descritosestén disponibles.


Esta información contiene ejemplos de datos e informes utilizados en operacionescomerciales diarias. Para ilustrarlos de la forma más completa posible, los ejemplosincluyen nombres de personas, empresas, marcas y productos. Todos estosnombres son ficticios y cualquier parecido con los nombres y las direccionesutilizados por una empresa real es mera coincidencia.

LICENCIA DE COPYRIGHT:

Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,que ilustran técnicas de programación en diversas plataformas operativas. Puedecopiar, modificar y distribuir estos programas de ejemplo de cualquier forma sinrealizar ningún pago a IBM, con el fin de desarrollar, utilizar, comercializar odistribuir programas de aplicación para la interfaz de programación deaplicaciones para la plataforma operativa para la que se han escrito los programas.Estos ejemplos no se han probado exhaustivamente bajo todas las condiciones.IBM, por lo tanto, no puede garantizar ni dar a entender la fiabilidad, utilidad ofuncionamiento de estos programas. Los programas de ejemplo se proporcionan"TAL CUAL", sin garantía de ningún tipo. IBM no se responsabiliza de ningúndaño resultante de la utilización de los programas de ejemplo.

Cada copia o parte de estos programas de ejemplo o cualquier trabajo derivadodebe incluir un aviso de copyright como el siguiente:

Algunas partes de este código proceden de los programas de ejemplo de IBMCorp. Sample Programs.

© Copyright IBM Corp. _especifique el año o los años_. Todos los derechosreservados.

Marcas registradasIBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comercialesregistradas de International Business Machines Corp., registrada en muchasjurisdicciones en todo el mundo. Otros nombres de productos y servicios puedenser marcas registradas de IBM u otras compañías. En la web encontrará una listaactual de marcas registradas de IBM, en www.ibm.com/legal/copytrade.shtml.

Adobe, Acrobat, PostScript y todas las marcas comerciales basadas en Adobe sonmarcas registradas de Adobe Systems Incorporated en Estados Unidos o en otrospaíses.

IT Infrastructure Library es una marca registrada de la agencia Central Computerand Telecommunications Agency, que forma parte de la Office of GovernmentCommerce británica.

Intel, el logotipo de Intel, Intel Inside, el logotipo de Intel Inside, Intel Centrino, ellogotipo de Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium y Pentiumson marcas registras de Intel Corporation o sus subsidiarias en Estados Unidos yen otros países.

Linux es una marca registrada de Linus Torvalds en Estados Unidos o en otrospaíses.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcasregistradas de Microsoft Corporation en Estados Unidos o en otros países.

Avisos 209

http://www.ibm.com/legal/us/en/copytrade.shtml

ITIL es una marca registrada y una marca registrada de comunidad de Minister forthe Cabinet Office, registrada en la Oficina de patentes y marcas registradas deEE.UU.

UNIX es una marca registrada de The Open Group en Estados Unidos y en otrospaíses.

Java™ y todas las marcas registradas y logotipos basados en Java son marcascomerciales o marcas registradas de Oracle y/o sus filiales.

Cell Broadband Engine es una marca registrada de Sony Computer Entertainment,Inc. en Estados Unidos o en otros países, desde donde se utiliza bajo licencia.

Linear Tape-Open, LTO, el logotipo de LTO, Ultrium y el logotipo de Ultrium sonmarcas registradas de HP, IBM Corp. y Quantum en Estados Unidos y en otrospaíses.

Términos y condiciones de la documentación del productoSe otorga permiso para el uso de estas publicaciones si se cumplen estos términosy condiciones.

Validez

Estos términos y condiciones se añaden a los términos de uso del sitio web deIBM.

Utilización personal

Puede reproducir estas publicaciones para su uso personal, no comercial, siempreque se conserven todos los avisos sobre derechos de propiedad. No puededistribuir, mostrar o realizar trabajos derivados de estas publicaciones, ni ningunade sus partes, sin el consentimiento expreso de IBM.

Uso comercial

Puede reproducir, distribuir y visualizar estas publicaciones únicamente en suempresa siempre que se conserven todos los avisos de propiedad. No puederealizar ninguna tarea que derive de estas publicaciones ni reproducir, distribuir ovisualizar estas publicaciones o una parte de las mismas fuera de su empresa, sinel consentimiento explícito de IBM.

Derechos

A excepción de lo especificado expresamente en este permiso, no se concedeningún otro permiso, licencia o derecho, ni explícito ni implícito, para lainformación o los datos, el software ni ninguna otra propiedad intelectual quecontenga.

IBM se reserva el derecho de retirar los permisos que se hayan proporcionadosiempre que, bajo su discreción, el uso de las publicaciones sea perjudicial para susintereses o, según determine IBM, no se estén siguiendo adecuadamente lasinstrucciones detalladas anteriormente.


No se puede descargar, exportar o reexportar si no es en total cumplimiento contodas las leyes y reglamentos aplicables, incluidas las leyes y reglamentos de losEE.UU. en materia de exportación.

IBM NO PROPORCIONA NINGUNA GARANTÍA SOBRE EL CONTENIDO DEESTAS PUBLICACIONES. LAS PUBLICACIONES SE PROPORCIONAN "TALCUAL" Y SIN NINGÚN TIPO DE GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA,INCLUIDAS, AUNQUE SIN LIMITARSE A, LAS GARANTÍAS DECOMERCIALIZACIÓN, NO CONTRAVENCIÓN Y ADECUACIÓN A UNPROPÓSITO DETERMINADO.

Avisos 211

��

Impreso en España