«

»

Migration Client (Desktop App) – Neuerungen

Der neue Migration Client wird durch zusätzliche Dienste unterstützt. Die Neuerungen beziehen sich einerseits auf diese Dienste und andererseits auf die Möglichkeit, Bereichsadministratoren Zugriffsrechte auf die gescannten Daten ihres Bereichs zu geben.

1. Start.

Der Migration Client muss mit Administrator-Rechten gestartet werden.

1.1. Mögliche Probleme beim Start des Migration Client

Der Migration Client startet nicht.
Kontrollieren Sie bitte im Task-Manager die CPU-Auslastung des „migRaven“-Prozesses. Ist die Auslastung 0% kommt migRaven wohl nicht mehr hoch. Ursache kann sein, dass nicht alle Dienste gestartet sind oder nicht in der richtigen Reihenfolge. Beenden Sie den „migRaven“-Prozess und kontrollieren Sie, ob alle Dienste (außer dem migRavenResourceScanServiceHost) installiert wurden.

 

Der Migration Client startet nicht, nachdem Sie den ResourceScanService installiert haben. Sie hatten migRaven abgebrochen, da das Working beim Start des ResourceScanServices nicht fertig werden wollte.
Der beim Einrichten des ResourceScanService angegebene Account muss das Recht haben, einen Dienst anzumelden. Der Account ist einzutragen in den lokalen Sicherheitsrichtlinien unter „Anmelden als Dienst“.
Danach muss der scheinbar laufende ResourceScanService beendet und neu gestartet werden.

 

Mit folgendem Batch können Sie alle Dienste beenden und in richtiger Reihenfolge wieder starten.
net stop migRavenResourceScanServiceHost
net stop migRavenADScanServiceHost
net stop migRavenCoreServiceHost
net stop migRavenDBServiceHost
net stop aikuxGraph
pause
net start aikuxGraph
net start migRavenDBServiceHost
net start migRavenCoreServiceHost
net start migRavenADScanServiceHost
net start migRavenResourceScanServiceHost
pause

Die Pausen ermöglichen Ihnen, die Ausschriften zu kontrollieren.

2. AD-Scan

Als Erstes müssen die Domänen gescannt werden.

Mit dem Button „Add..“(1) öffnet sich das Fenster „Add Active Directory Statistics“.
Das oberste langgestreckte Feld endet mit einem Pfeil nach unten (v). Mit Anklicken dieses Feldes (2) erscheint eine Rechnerliste.
Darin steht zumindest der aktuelle Rechnername. Diesen wählen wir aus und bestätigen den „Discover“-Button (3).

Es wird eine Liste der gefundenen Domänen angezeigt. Wählen Sie die Domänen aus (4), deren Benutzer und Gruppen auf den Shares, die Sie migrieren wollen, Berechtigungen haben bzw. erhalten sollen.
Mit „Save“ (5) wird die Liste geschlossen. „Scan“ scannt (6) die ausgewählten Domänen.

AD-Scan

Schritte zum AD-Scan

2.9. Mögliche Probleme beim AD-Scan

Es kann keine Verbindung hergestellt werden.
Verwenden Sie Firewalls auf oder zwischen Ihren Servern? Dann müssen Sie die Ports 8077, 8099, 8999 und 10291 auf den Firewalls zwischen Migration Client, dem zu scannenden Server und den betroffenen Diensten freischalten.

 

Der Scan erscheint Ihnen sehr langsam.
Sehen Sie in den Task-Manager. Wenn der Prozess „Antimalware Service Executable“ eine hohe CPU-Auslastung hat, bremst dieser den AD-Scan. „Antimalware Service Executable“ ist Bestandteil des Defender. Durch Ausschalten des Echtzeitschutz in den
Einstellungen des Defender können Sie diese Bremse deaktivieren.

3. Konfiguration

Neben der Gruppenkonfiguration für den Migration Client, wie wir sie von migRaven 5 kennen, sind zwei Abschnitte hinzugekommen.
Im Abschnitt „Rollen/Accounts“ werden Rechte für die Nutzung des Web Clients definiert.
Im Abschnitt „Remote Services“ können Sie sich über die Konfiguration der Dienste (AD Scan Services, Resource Scan Services,…) informieren, zusätzliche Dienste anlegen und überflüssige löschen.

Nr. Bezeichnung Beschreibung
1 Gruppen Konfiguration der Berechtigungsgruppen
Type Gruppentyp und Ablage-OU werden festgelegt.
Name Der Aufbau des Namens der Berechtigungsgruppen wird festgelegt.
List-Recht Für welche Ebenen sollen Listgruppen erstellt und berechtigt werden.
Rechte Sie können festlegen, welche Rechte angezeigt werden sollen, und wie die Suffixe für die Berechtigungsgruppen aussehen sollen. Maximal 4 Stellen sind möglich.
Novell Hier werden die Zugangsdaten für den Novell-Server gespeichert, falls Sie eine Novell-Migration durchführen wollen.
2 Rollen/Accounts Für die Bereichsadministratoren werden Rechte und Nutzer festgelegt.
Role Designer Es werden die Rechte vergeben für die 7 verfügbaren Data Owner-Rollen.
Manage Accounts Den angelegten Rollen können Accounts (Nutzer) zugeordnet werden.
3 Remote Services Konfiguration der Dienste.
Central Services Für Core und Database Service werden die Parameter angezeigt. Eine Veränderung ist nicht möglich.
Active Directory Scan Services Die vorhandenen AD Scan Services werden angezeigt. Weitere können (auf anderen Servern) angelegt bzw. entfernt werden.
Resource Scan Services Vor dem ersten Projekt muss hier ein Resource Scan Service eingerichtet werden.
Die vorhandenen Resource Scan Services werden angezeigt. Weitere können (auf anderen Servern) angelegt bzw. entfernt werden.

3.1. Gruppenkonfiguration

Bei der Gruppenkonfiguration hat sich nur beim Reiter „Rechte“ etwas geändert. Die Sichtbarkeit wurde auf die Rechte „Read and Execute“ und „Modify Plus“ reduziert. Nur diese beiden Spalten werden eingeblendet, sodass nur diese Rechte vergeben werden können. Im Normalfall sind diese beiden Rechte ausreichend. Und Fullcontrol-Rechte sollten nur auf dem übergeordneten Share vergeben werden. Wollen Sie doch weitere Rechte vergeben, müssen diese unter dem Reiter „Rechte“ sichtbar gemacht werden.

3.2. Rollen/Accounts

In diesem Abschnitt können Sie Rechte für die Nutzung des Web Clients definieren. Das erfolgt in zwei Schritten.

3.2.1. Role Designer

Im ersten Schritt sind 8 Rollen namentlich vordefiniert:

Vordefinierte Rollen
Enterprise Administrator Hat alle Rechte.
Data Owner Erhält Rechte für seinen Bereich.
Deputy Data Owner Stellvertreter des Data Owner.
Requester Normaler Nutzer oder Bereichsleiter zur Kontrolle der Berechtigungen.
Revision Revision, Wirtschaftsprüfer, Steuerprüfer
Administrator 1 Helpdesk
Administrator 2 z.b.V.
Administrator 3 z.b.V.

Diesen Rollen können Sie hier differenzierte Rechte erteilen.
Vorrangig werden Rechte auf Menüpunkte des Web Clients gegeben, die entsprechend ein- bzw. ausgeblendet werden.
Dem Enterprise Administrator wurden schon alle Rechte gegeben, er kann den WebClient in vollem Umfang nutzen. Er kann als einziger alle Bereiche einsehen.

Wichtig:
Dieser Eintrag wird erst wirksam, wenn Sie in der Kopfzeile bei „Comment (Required):“ einen Kommentar eintragen und rechts mit „Save Changes“ den Eintrag bestätigen. Dieses Kommentarfeld ist sehr nützlich. Sie können hier hinterlegen, z.B. auf wessen Veranlassung der Nutzer als Data Owner berechtigt wurde.

Rolle_Account2

Für Data Owner sollte nicht der Action-Parameter „Live/_Directories“ gesetzt werden. Mit dem kann er alles sehen.

Hier werden für die Data Owner zwar die Rechte festgelegt, nicht aber die Verzeichnisbereiche, die sie einsehen dürfen. Das erfolgt in der Projektverwaltung, beschrieben im Abschnitt 4.4.2.

3.2.2. Manage Accounts

Im zweiten Schritt werden den Rollen Nutzer zuordnet.
Es können jeder Rolle mehrere Accounts zugeordnet werden.
Am besten tragen Sie sich als Enterprise Administrator ein, um den Web Client im Anschluss testen zu können.

Nach den ersten Buchstaben zeigt migRaven Ihnen eine Liste der infrage kommenden Accounts. Der ausgewählte Account wird mit „Add Account“ bestätigt. Das reicht aber nicht. In der Kopfzeile muss der Eintrag mit einem Kommentar und „Save Changes“ bestätigt werden.
MamageAccount
Auch dieser Eintrag muss unbedingt in der Kopfzeile mit einem Kommentar und „Save Change“ bestätigt werden.

3.3. Remote Services

3.3.1. Central Services

Die zentralen Dienste sind:

  • Core Service
  • Database Service

Hier werden Parameter und Installationsorte dieser beiden Dienste angezeigt. Diese Dienste können hier refresht werden.

3.3.2. Active Directory Scan Services

Hier werden Parameter und Installationsorte des AD-Scan-Dienstes angezeigt.
Es ist für Folgeversionen die Möglichkeit geplant, mehrere dieser Dienste zu installieren, auf verschiedenen Rechnern und für verschiedene Domänen.

Wenn der aktuelle Account auf dem Zielserver bzw. Domain Controller nicht die notwendigen Berechtigungen hat, kann durch Abwählen des „Use Local Account“ ein anderer berechtigter Account angegeben werden.

3.3.3. Resource Scan Services

Resource Scan Services werden nur hier angelegt und angezeigt.
Es ist für Folgeversionen die Möglichkeit geplant, mehrere dieser Dienste zu installieren, auf verschiedenen Servern.
Es ist notwendig, für diesen Server einen administrativen Account anzugeben, der die Rechte hat, auf dem angegebenen Server Verzeichnisse anzulegen und zu berechtigen.

3.3.3.9. Mögliche Probleme beim ResourceScanServices

Start des Resource Scan Service wird nicht fertig.
Resource Scan Services werden nicht mit dem lokalen Systemkonto angemeldet, sondern mit dem bei der Konfiguration angegebenen Account. Wenn der Resource Scan Service nicht startet, prüfen Sie, ob der angegebene Account das Recht hat, sich als Dienst anzumelden. Siehe „3.4.1. Voraussetzung: Das Recht ‚Anmelden als Dienst‘ „.

4. Projekterstellung

4.1. Projektstart

Scantiefe
Die Scantiefe kann nicht mehr begrenzt werden. migRaven liest Verzeichnisse und Dateien bis in die tiefste Ebene. Dies ist notwendig, um bei den Analysefunktionen richtige Ergebnisse in Bezug auf Datenvolumen, Datei- und Verzeichnisanzahl und Berechtigungstiefe zu ermitteln.

Scan Status
Der Scan Status gibt den aktuellen Arbeitsschritt wieder.
Beim „Scanning…“ werden die Verzeichnisse und Daten des Quellpfades gelesen.
Beim „Saving…“ werden die Daten in die Datenbank geschrieben.
Bei Anzeige von „Save Complete“ ist der Scan des Quellverzeichnisses erfolgreich abgeschlossen. Sie können sich jetzt mit „View“ (Lupe) die Pfade und Berechtigungen ihres Quellpfades ansehen.

4.2. Einen Nutzer als Data Owner auf einen Share oder ein Verzeichnis berechtigen

Zu Beginn eines jeden Redesign- und GPO-Projektes wird der Quellpfad eingelesen. Nach dem Einlesen landen die Daten in der Datenbank. Das sind Verzeichnisnamen, Berechtigte, Berechtigungen, Dateinamen und -größen. Diese Daten können jetzt Data Ownern zu Verfügung gestellt werden.

Dazu muss ein Administrator im View- oder Design&Work-Modus auf das zu berechtigende Verzeichnis gehen, und mit der rechten Maustaste das Kontextmenü öffnen. Mit der untersten Funktion „Data owner auswählen…“ kann der Administrator Nutzern Data Owner-Rechte auf das Verzeichnis (einschließlich der Unterverzeichnisse) geben.

Damit werden Nutzern keine Eigentümer- oder NTFS-Rechte auf Verzeichnisse erteilt. Es geht einzig und allein darum, Nutzern Leserechte auf gescannte Daten in der migRaven-Datenbank zu geben. Der berechtigte Nutzer erhält so die Möglichkeit die Verzeichnis- und Dateieigenschaften unter dem berechtigten Verzeichnis mit den im Web Client vorgegebenen Abfragen zu analysieren. Das bezieht sich auf die Daten in der migRaven-Datenbank. In der Datenbank befinden sich neben den anfangs gescannten AD-Daten zu jedem Projekt Verzeichnis- und Dateieigenschaften, aber keine Dateiinhalte.

Bei besonderen Funktionen, wie dem File Browser, verlassen wir uns nicht auf den Datenbankinhalt. Dann wird das Quellverzeichnis nochmal gescannt, um aktuelle Daten anzeigen zu können.

4.9. Mögliche Probleme bei Projektstart und -ausführung

Projektbuttons sind grau und damit nicht startbar.
RemoteScanService ist nicht gestartet oder muss refresht werden. (Konfiguration -> Remote Services -> Resource Scan Services)

 

Beim Projektstart kann keine Verbindung zum Quellpfad hergestellt werden. Scan beginnt nicht.
Haben Sie die notwendigen Zugriffsrechte? Sie benötigen neben den NTFS-Rechten auch unbedingt Freigaberechte.
Verwenden Sie Firewalls auf oder zwischen Ihren Servern? Dann müssen Sie die Ports 8077, 8099, 8999 und 10291 auf den Firewalls zwischen Migration Client, dem zu scannenden Server und den betroffenen Diensten freischalten.
Beides nicht der Fall, dann versuchen Sie es noch einmal. Die Antwortzeit anderer Server, gerade auch virtueller Maschinen, kann größer sein, als migRaven sie erwartet.

 

Scanning…  seit einer Stunde, und sie sind nicht sicher, ob das Projekt noch läuft.
Von den gescannten Verzeichnissen landen die Daten in einem aktuellen Verzeichnis unter
c:\ProgramData\migRaven\ResourceScanService\Export\. Solange sich der Datenbestand vergrößert, wird noch gescannt.
Beim „Saving…“ werden die Daten in die Datenbank geschrieben. Diese befindet sich unter
c:\Program Files\migRavenDB\data\databases\graph.db\.