«

»

migRaven.one – Neuerungen

Inhaltsverzeichnis

1. Neuerungen in migRaven.one (migRaven Version 6.0)

migRaven.one wurde gegenüber der Vorgänger-Version 5 wesentlich erweitert. Das war notwendig, um migRaven für künftige Aufgaben zu rüsten.

Besonders soll der Nutzer darin unterstützt werden, die bereits durch AD-Scan und Migrations-Projekte gespeicherten Daten auszuwerten. Die Reporting- und Analysefunktionen wurden und werden erweitert.

Zusätzlich zum Migration Client wurde ein Web Client entwickelt, mit dem es möglich ist, die Daten der Datenbank nach verschiedenen Gesichtspunkten auszuwerten.

In der Datenbank haben Sie die Daten der gescannten Domänen (mit Nutzern, Gruppen, Mitgliedschaften und Computern), und die im Laufe der durchgeführten Projekte gescannten Shares und Verzeichnisse (mit den zugehörigen Berechtigungen und Dateinamen). Über diese Daten können Sie mit dem Web Client Auswertungen vornehmen.

Der Web Client soll nicht nur den Administratoren zur Verfügung stehen. Die Admins können Data Owner (Abteilungsadministratoren) berechtigen, die Daten ihrer Abteilungen auszuwerten.

Künftig sollen die Daten in der Datenbank dauerhaft genutzt werden. So wird es möglich, Berechtigungsstände längerfristig zu speichern, zu dokumentieren und auszuwerten. Daran wird aber noch gearbeitet. Gegenwärtig wird mit einer neuen Programmversion auch die Datenbank neu installiert, sodass Domänen und Fileserverdaten neu gescannt werden müssen.

Mehrere neue Dienste steuern die Prozesse im Hintergrund. Dadurch wird es möglich, mehrere Web Clients parallel zu betreiben.

2. Komponenten

2.1. Die Programme (Front-Ends)

migRaven.one besteht aus drei Programmen:

Nr. Programm Beschreibung Dienstname
1 Installer Er installiert alle Komponenten, nur nicht den ResourceScanService. migRavenInstall
2 Migration Client Der Migration Client migriert Berechtigungen in einen Windows Share. Quellen können sein ein Windows Share, ein Novell Server oder Berechtigungsdaten aus einer Tabelle. migRaven
3 Web Client Dieser bietet Auswertungen der durch den Migration Client gesammelten Daten an. Er kann auch von Data Ownern (Bereichsadministratoren) genutzt werden. migRavenWeb

2.1.1. migRaven Installer

Die migRavenInstall.msi installiert die migRavenInstall.exe und legt für diese das Icon „migRavenInstall“ auf dem Desktop an.

Mit diesem Installer können Sie die meisten Komponenten automatisch installieren.
Bei der Lizenz-Abfrage müssen Sie den Lizenz-Key und ihre Email-Adresse angeben.
Die Installation des Web Client setzt voraus, dass Sie zuvor den Internet Information Services installiert haben.

Nicht installieren kann der Installer den ResourceScanService. Dieser wird im Migration Client erstellt.

Mit dem Installer können die hier installierten Komponenten auch wieder deinstalliert werden.
Es werden dann auch der Lizenz-Key und die Datenbank entfernt. Sie sollten die Deinstallation daher nur nutzen, wenn Sie migRaven komplett entfernen wollen.
Ein neuer Installer erkennt die vorhandenen Komponenten und ermöglicht das Update auf die neue Version.

Der Installer selbst kann durch erneuten Aufruf der migRavenInstall.msi oder über die Systemverwaltung deinstalliert werden.

2.1.2. Migration Client (Desktop-App)

Der Migration Client ist die Weiterentwicklung der migRaven Version 5. Er bleibt das Migrationstool, mit dem Berechtigungsmigrationen durchgeführt werden. Beim Scannen der Domänen und von Projektshares werden zahlreiche Informationen gesammelt, wie Objektdaten, Berechtigungen, Verzeichnisstrukturen und Dateigrößen.
Daraus ist der Gedanke geboren, die Daten für die Auswertung durch den Administrator zugänglich zu machen.

Bei der ersten Ausführung des Migration Clients muss nach dem AD-Scan ein migravenResourcenScanHost installiert werden.

2.1.3. Web Client (Data Owner Client, Web App)

Der Web Client ist eine neue Entwicklung, die es ermöglichen soll, die gescannten AD- und Projekt-Daten auszuwerten und zu analysieren. Dazu werden die Daten aus der migRaven-Datenbank herangezogen.

Voraussetzung ist ein eigener Internet Information Services (IIS).

Der Web Client bietet zahlreiche Analyse-Funktionen, mit denen die gescannten AD-Daten und Verzeichnis-Informationen ausgewertet werden können.

Im Migration Client ist es möglich, Data Owner einzurichten. Das sind ausgewählte Mitarbeiter aus Fachabteilungen, die Berechtigungen auf die Datenbank-Daten ihres Fachbereichs erhalten. Diese Data Owner können mit dem Web Client die gescannten Daten ihres Fachbereichs analysieren.
Es ist möglich, mehrere Web Clients zu betreiben und damit mehreren Data Ownern diese Auswertungen zu ermöglichen.

2.2. Die Dienste

Folgende Dienste benötigt migRaven:

Nr. Dienst Beschreibung Dienstname Port
1 Datenbank Sie enthält die gescannten AD- und Projekt-Daten migRavenDB – aikuxGraph
2 Datenbankdienst Er koordiniert den Zugriff auf die Datenbank. migRavenDBServiceHost 10291
3 Core-Service Er kontrolliert das Vorhandensein aller notwendigen Dienste und steuert ihre Zusammenarbeit. migRavenCoreServiceHost 8999
4 AD-Scan-Service Er führt den im Migration Client angestoßenen AD-Scan durch und übergibt die Daten an den Datenbankdienst. migRavenADScanServiceHost 8099
5 Resource Scan Service Er führt den im Migration Client für ein Projekt veranlassten Scan eines Shares oder Verzeichnisses durch und übergibt die Daten an den Datenbankdienst. migRavenResourceScanServiceHost 8077

Wichtig bei den Diensten ist, dass sie in der richtigen hier dargestellten Reihenfolge gestartet werden. Die Ports müssen in vorhandenen Firewalls gegebenenfalls freigeschaltet werden.

 

Diensteverwaltung

Die Diensteverwaltung mit den migRaven-Diensten. Hier zu erkennen, der migRavenResourceScanServiceHost, also der letzte, läuft unter dem angegebenen Account, nicht unter dem lokalen Systemkonto.

2.2.1. Datenbank

2.2.1.1. Die Datenbank: migRavenDB – aikuxGraph

Dieser Dienst ist nicht neu. Es ist die seit Langem von migRaven verwendete Graphdatenbank Neo4J, natürlich in der aktuellen Version.
Kern von migRaven bleibt die Graphdatenbank, in der die AD-Objekte und Projekt-Daten gespeichert werden.
Diese Daten müssen beim Versions-Wechsel nicht mehr gelöscht werden. Künftig werden sie fortgeschrieben und ermöglichen so die Berechtigungs-Entwicklung über längere Zeiträume zu dokumentieren und auszuwerten.
Gesteuert wird die Datenbank durch einen Dienst, den migRavenDBServiceHost.

2.2.1.2. Systemvoraussetzungen

Die Datenbank benötigt unbedingt ein 64bit-Windows und das aktuelle 64bit-Java.
migRaven ist ein Datenbankprogramm mit einer sehr schnellen Datenbank.
Für die Datenbank ist eine schnelle Platte, am besten eine SSD, und viel Speicher zum Cachen, mind. 8 GB, notwendig.
Zu wenig Arbeitsspeicher, eine langsame Festplatte und eine virtuelle Maschine bremsen die Datenbank aus.

2.2.1.3. Backup und Restore

Mit folgendem Befehl kann die Datenbank gesichert werden:

„C:\Program Files\migRavenDB\bin\Neo4j-Backup.bat“ -host localhost -to d:/temp/backup

Bei d:/temp/backup können Sie Ihr gewünschtes Zielverzeichnis angeben.

Damit werden die Daten Ihres Datenbank-Unterverzeichnisses „graph.db“ gesichert. Es enthält Ihre AD- und Projektdaten.

Für die Rücksicherung beenden Sie den Dienst „migRavenDB – aikuxGraph“ und ersetzen die Daten im Unterverzeichnis „graph.db“ durch die gesicherten Dateien. Dann muss der Dienst wieder gestartet werden.

2.2.1.4. Zugriff auf die Datenbank über einen Webbrowser

Mit einem beliebigen Webbrowser und der URL
http://servername:7474  oder  http://ip-adresse:7474
kann auf die Datenbank zugegriffen werden.
Mit dem Usernamen „migRavenDBReader“ und Password „migR75%“ (Eingabe ohne Anführungszeichen) können Sie lesende Befehle ausführen.

Beim Migration Client finden Sie unter „1.2.6.4. migRaven Report API“ Informationen und Beispielabfragen zu dieser Schnittstelle.

2.2.2. Datenbank-Dienst

Der Datenbankservice-Dienst:  migRavenDBServiceHost
Dieser Dienst ist neu. Er steuert den Zugriff auf die Datenbank.

Wie die Datenbank ist dieser Dienst einmalig.

2.2.3. Konfigurations-Service

Der Konfigurationsdienst:  migRavenCoreServiceHost
Dieser neue Dienst kontrolliert, ob alle notwendigen Dienste vorhanden sind.

Der Dienst ist einmalig.

2.2.4. AD-Scan-Service

Der AD-Scanner-Dienst:  migRavenADScanServiceHost
Dieser neue Dienst scannt die in migRaven ausgewählten Domänen.

Die genannten Dienste werden automatisch durch den Installer installiert und gestartet.

Im Migration Client können weitere AD-Scan-Services für andere Domänen Controller angelegt werden.

2.2.5. Resource*-Scan-Service

Der Fileserver-Scanner-Dienst: migRavenResourceScanServiceHost

Dieser Dienst scannt innerhalb eines migRaven-Projekts den angegebenen Quellshare bzw. das Quellverzeichnis mit Unterverzeichnissen.

Er wird ausschließlich im Migration Client installiert und gestartet, nicht durch den Installer.

Für jeden Fileserver kann ein Resource-Scan-Service installiert werden.

*Wir verwenden für diesen Dienst die englische Schreibweise von „Resource“, nicht die deutsche „Ressource“.

3. Installation

Bei der ersten migRaven.one-Version werden alle Komponenten auf dem gleichen Server installiert.
Für spätere Versionen ist die Möglichkeit vorgesehen, Komponenten auf verschiedene Server bzw. Rechner zu verteilen.
Das ist nützlich, wenn man z.B. die migRaven-Datenbank auf eine schnelle Platte eines anderen Servers auslagern will.

Wenn Sie den Web Client verwenden wollen, müssen Sie als Erstes einen Internet Information Services (IIS) installieren.

3.1. Internet Information Services (IIS) installieren

Der IIS ist nur bei Nutzung des Web Clients notwendig.

Voraussetzung für die Nutzung des Webclients ist ein installierter eigener IIS.
Optimal wird er dort installiert, wo sich auch die migRaven-Datenbank befindet.
Er stellt das Bindeglied dar zwischen Web Client und Datenbank und versorgt den Web Client mit den Daten aus der Datenbank.

Er sollte vor der Nutzung des Installers aktiviert werden, da sonst der Web Client durch den Installer nicht eingerichtet werden kann.

Der IIS wird in der Systemsteuerung aktiviert. Unter „Programme deinstallieren“, „Windows-Features aktivieren und deaktivieren“ werden
die Internetinformationsdienste aktiviert.
Zu den Standardeinstellungen sind drei weitere Einstellungen zu setzen:

Unter „WWW-Dienste“ und „Allgemeine HTTP-Features“ benötigen wir den „Statischen Inhalt“,
unter „WWW-Dienste“ und „Anwendungsentwicklungsfeatures“ das „ASP.NET 4.6“ (oder höher) und
unter „WWW-Dienste“ und „Sicherheit“ die „Windows-Authentifizierung“.

Mit der OK-Bestätigung wird der IIS installiert

 

Einstellungen im Internetinformationservices
Internetinformationsdienste WWW-Dienste Allgemeine HTTP-Features Statischer Inhalt
Anwendungsentwicklungsfeatures ASP.NET 4.6 (oder höher)
Sicherheit Windows-Authentifizierung

IIS Konfiguration

3.2. migRavenInstall

Mit dem Installer werden fast alle Komponenten automatisch auf dem gleichen Server installiert.
Nur der ResourceScanService wird nicht durch den Installer installiert, sondern im Migration Client.

 

3.2.1. Install

Beim Install werden die aufgeführten Dienste in der erforderlichen Reihenfolge installiert und gestartet:

Nr. Schritt Beschreibung
1 Database Die Datenbank wird als Dienst installiert und gestartet
2 DB Service Der Datenbankdienst steuert den Zugriff auf die Datenbank.
3 Core Service Der CoreService kontrolliert und koordiniert die Dienste.
4 AD Scan Service Der AD Scan Service wird später die im Migration Client ausgewählten Domänen scannen.
5 migRaven Client Der Migration Client ist das zentrale Programm. Es können Domänen und Shares
bzw. Verzeichnisse gescannt und Berechtigungen migriert werden. Dabei sammelt
migRaven Daten, die mit dem WebClient analysiert werden können.
6 License Hier müssen Sie Ihren Lizenzkey und Ihre E-Mail-Adresse eingeben.
7 migRavenWeb Mit dem optionalen Web Client können Sie die gesammelten AD- und
Projektdaten auswerten.

Voraussetzung ist ein installierter Internet Information Services. Bei dieser Installation wird im IIS eine migRaven-Webseite angelegt und erforderliche Einstellungen vorgenommen.

Installer

Installation der Komponenten mit dem migRavenInstaller

3.2.2. Uninstall

Uninstall deinstalliert alle mit dem Installer installierten Komponenten, wirklich alle.
Es werden auch die Lizenz-Datei (mr.cfg) und der Inhalt der Datenbank gelöscht!
Es bleiben nur der Web Client und der Installer selbst, die manuell in der Systemverwaltung deinstalliert werden können.

3.2.3. Update

Der Installer einer neueren Version erkennt die vorhandenen Komponenten der Vorgängerversion und bietet Ihnen einen zusätzlichen „Update“-Button an.

3.2.4. mögliche Probleme bei der Installation mit dem Installer

WebClient wird nicht installiert, WebClient-Symbol ist rot durchkreuzt.
IIS nicht oder nicht komplett installiert und konfiguriert. -> IIS-Installation

3.3. Für die angelegte „migRaven Website“ die Kernelmodus-Authentifizierung ausschalten

Dieser Punkt ist nur bei Nutzung des Web Clients notwendig.

Der Installer legt für den Web Client im IIS eine Seite mit dem Namen „migRaven Website“ an.

Diese finden wir unter Computerverwaltung (als Administrator starten),
„Dienste und Anwendungen“ und „Internetinformationsdienste (IIS)-Manager“.

Rechts daneben öffnet sich das Fenster „Verbindungen“.

Wir öffnen den Baum und finden unter Sites die „migRaven Website“.
Eine eventuell vorhandene „Default Web Site“ sollte entfernt werden.

Für die „migRaven Website“ müssen wir die Kernelmodus-Authentifizierung ausschalten.

Dazu ist nur ein Häkchen zu entfernen. Das konnten wir programmtechnisch noch nicht realisieren. Daher müssen Sie es manuell tun.

Gehen Sie zur „migRaven Website“.
Im Fenster rechts daneben wählen wir das Icon „Authentifizierung“ mit Doppelklick an.
Wir klicken die „Windows-Authentifizierung“ an und wählen rechts die „Erweiterte Einstellungen“.
Bei „Kernelmodus-Authentifizierung aktivieren“ muss das Häkchen entfernt werden,
damit wird die Kernelmodus-Authentifizierung ausgeschaltet.

OK und Computerverwaltung beenden

Kernelmodus-Authentifizierung ausschalten

Kernelmodus-Authentifizierung ausschalten

 

3.4. Remote Services und Firewalls

Für unsere Remote Services benutzen wir die Ports 8077, 8099, 8999 und 10291. Verwenden Sie auf Ihren Servern oder zwischen Ihnen Firewalls, ist eine Kommunikation zwischen den Diensten gegebenenfalls nicht möglich. In diesem Fall geben Sie die genannten Ports in den betroffenen Firewalls bitte frei.

3.5. Migration Client: migRavenResourceScanServiceHost installieren

Der ResourceScanService ist Voraussetzung, um Projekte zu erstellen.
Solange er nicht läuft, werden die Projekt-Startbuttons (G,R,N,I) nur grau angezeigt und können nicht gestartet werden.

3.5.1. Voraussetzung: Das Recht „Anmelden als Dienst“

Sie bzw. der angegebene Account müssen das Recht haben, Dienste anmelden zu dürfen.
Eingestellt wird das unter „Lokale Sicherheitsrichtlinie“ (als Administrator starten),
– Sicherheitseinstellungen
– Lokale Richtlinien
– Zuweisen von Benutzerrechten
– Rechts auf „Anmelden als Dienst“ doppelklicken.
Sind Sie bzw. der Account nicht in der Liste, müssen Sie Ihr bzw. das angegebene Account-Konto hinzufügen.

 

Anmelden als Dienst

Anmelden als Dienst

3.5.2. migRavenResourceScanServiceHost installieren

Der ResourceScanService ist die einzige Komponente, die nicht durch den Installer installiert wird.
Dieser Dienst wird im Migration Client, unter Konfiguration, Remote Services, Resource Scan Services eingerichtet, installiert und gestartet.

Dazu steht folgende Funktionen bereit:

New Resource Service    Einen neuen ResourceScanService anlegen

Mit „New Resource Scan Service“ wird ein Fenster geöffnet, in dem der Rechnername (oder IP-Adresse), auf dem der Dienst laufen soll,
eingetragen wird. Mehr als ein Resource Scan Service auf einem Rechner ist nicht möglich.
Der Port 8077 kann verändert werden. Das sollte man aber nur machen, wenn der Port schon anderweitig vergeben ist.
Es folgt Ihr Administrator-Account (mit Domäne) für den Rechner und das Passwort.

Nach erfolgreicher Validierung wird der Dienst mit den Aktionsbuttons „Install“ und „Start“ installiert und hochgefahren.

Folgende Aktionen sind für die Installation, das Aktualisieren bzw. zum Entfernen des Dienstes durchzuführen:

 

Funktion Aktionen Beschreibung
Installation Install
Start
Dienst wird installiert
und gestartet
Aktualisieren Aktualisieren Der Eintrag des Dienstes in der Datenbank wird aktualisiert.
Deinstallation Stop
Uninstall
Delete
Dienst wird gestoppt,
deinstalliert und
aus der DB entfernt

3.5.3. Mögliche Probleme beim migRavenResourceScanServiceHost

Der Dienst migRavenResourceScanServiceHost lässt sich nicht starten.
Das angegebene Konto muss das Recht haben, Dienste anzumelden. Dieser Dienst wird nicht mit dem lokalen Systemkonto angemeldet, sondern mit dem bei der Einrichtung angegebenen Konto. Dieses Konto müssen Sie bei den „Lokalen Sicherheitsrichtlinien“ für das „Anmelden als Dienst“ eintragen.

4. Migration Client (Desktop App)

4.1. Start

Der Migration Client muss mit Administrator-Rechten gestartet werden.

4.1.1. Mögliche Probleme beim Start des Migration Client

 

Der Migration Client startet nicht.
Kontrollieren Sie bitte im Task-Manager die CPU-Auslastung des „migRaven“-Prozesses. Ist die Auslastung 0% kommt migRaven wohl nicht mehr hoch. Ursache kann sein, dass nicht alle Dienste gestartet sind oder nicht in der richtigen Reihenfolge. Beenden Sie den „migRaven“-Prozess und kontrollieren Sie, ob alle Dienste (außer dem migRavenResourceScanServiceHost) installiert wurden.

 

Der Migration Client startet nicht, nachdem Sie den ResourceScanService installiert haben. Sie hatten migRaven abgebrochen, da das Working beim Start des ResourceScanServices nicht fertig werden wollte.
Der beim Einrichten des ResourceScanService angegebene Account muss das Recht haben, einen Dienst anzumelden. Der Account ist einzutragen in den lokalen Sicherheitsrichtlinien unter „Anmelden als Dienst“.
Danach muss der scheinbar laufende ResourceScanService beendet und neu gestartet werden.

 

Mit folgendem Batch können Sie alle Dienste beenden und in richtiger Reihenfolge wieder starten.
net stop migRavenResourceScanServiceHost
net stop migRavenADScanServiceHost
net stop migRavenCoreServiceHost
net stop migRavenDBServiceHost
net stop aikuxGraph
pause
net start aikuxGraph
net start migRavenDBServiceHost
net start migRavenCoreServiceHost
net start migRavenADScanServiceHost
net start migRavenResourceScanServiceHost
pause

Die Pausen ermöglichen Ihnen, die Ausschriften zu kontrollieren.

4.2. AD-Scan

Als Erstes müssen die Domänen gescannt werden.

Mit dem Button „Add..“(1) öffnet sich das Fenster „Add Active Directory Statistics“.
Das oberste langgestreckte Feld endet mit einem Pfeil nach unten (v). Mit Anklicken dieses Feldes (2) erscheint eine Rechnerliste.
Darin steht zumindest der aktuelle Rechnername. Diesen wählen wir aus und bestätigen den „Discover“-Button (3).

Es wird eine Liste der gefundenen Domänen angezeigt. Wählen Sie die Domänen aus (4), deren Benutzer und Gruppen auf den Shares, die Sie migrieren wollen, Berechtigungen haben bzw. erhalten sollen.
Mit „Save“ (5) wird die Liste geschlossen. „Scan“ scannt (6) die ausgewählten Domänen.

AD-Scan

Schritte zum AD-Scan

4.2.1. Mögliche Probleme beim AD-Scan

Es kann keine Verbindung hergestellt werden.
Verwenden Sie Firewalls auf oder zwischen Ihren Servern? Dann müssen Sie die Ports 8077, 8099, 8999 und 10291 auf den Firewalls zwischen Migration Client, dem zu scannenden Server und den betroffenen Diensten freischalten.

 

Der Scan erscheint Ihnen sehr langsam.
Sehen Sie in den Task-Manager. Wenn der Prozess „Antimalware Service Executable“ eine hohe CPU-Auslastung hat, bremst dieser den AD-Scan. „Antimalware Service Executable“ ist Bestandteil des Defender. Durch Ausschalten des Echtzeitschutz in den
Einstellungen des Defender können Sie diese Bremse deaktivieren.

4.3. Konfiguration

Neben der Gruppenkonfiguration für den Migration Client, wie wir sie von migRaven 5 kennen, sind zwei Abschnitte hinzugekommen.
Im Abschnitt „Rollen/Accounts“ werden Rechte für die Nutzung des Web Clients definiert.
Im Abschnitt „Remote Services“ können Sie sich über die Konfiguration der Dienste (AD Scan Services, Resource Scan Services,…) informieren, zusätzliche Dienste anlegen und überflüssige löschen.

 

Nr. Bezeichnung Beschreibung
1 Gruppen Konfiguration der Berechtigungsgruppen
Type Gruppentyp und Ablage-OU werden festgelegt.
Name Der Aufbau des Namens der Berechtigungsgruppen wird festgelegt.
List-Recht Für welche Ebenen sollen Listgruppen erstellt und berechtigt werden.
Rechte Sie können festlegen, welche Rechte angezeigt werden sollen, und wie die Suffixe für die Berechtigungsgruppen aussehen sollen. Maximal 4 Stellen sind möglich.
Novell Hier werden die Zugangsdaten für den Novell-Server gespeichert, falls Sie eine Novell-Migration durchführen wollen.
2 Rollen/Accounts Für die Bereichsadministratoren werden Rechte und Nutzer festgelegt.
Role Designer Es werden die Rechte vergeben für die 7 verfügbaren Data Owner-Rollen.
Manage Accounts Den angelegten Rollen können Accounts (Nutzer) zugeordnet werden.
3 Remote Services Konfiguration der Dienste.
Central Services Für Core und Database Service werden die Parameter angezeigt. Eine Veränderung ist nicht möglich.
Active Directory Scan Services Die vorhandenen AD Scan Services werden angezeigt. Weitere können (auf anderen Servern) angelegt bzw. entfernt werden.
Resource Scan Services Vor dem ersten Projekt muss hier ein Resource Scan Service eingerichtet werden.
Die vorhandenen Resource Scan Services werden angezeigt. Weitere können (auf anderen Servern) angelegt bzw. entfernt werden.

4.3.1. Gruppenkonfiguration

Bei der Gruppenkonfiguration hat sich nur beim Reiter „Rechte“ etwas geändert. Die Sichtbarkeit wurde auf die Rechte „Read and Execute“ und „Modify Plus“ reduziert. Nur diese beiden Spalten werden eingeblendet, sodass nur diese Rechte vergeben werden können. Im Normalfall sind diese beiden Rechte ausreichend. Und Fullcontrol-Rechte sollten nur auf dem übergeordneten Share vergeben werden. Wollen Sie doch weitere Rechte vergeben, müssen diese unter dem Reiter „Rechte“ sichtbar gemacht werden.

 

4.3.2. Rollen/Accounts

In diesem Abschnitt können Sie Rechte für die Nutzung des Web Clients definieren. Das erfolgt in zwei Schritten.

4.3.2.1. Role Designer

Im ersten Schritt sind 8 Rollen namentlich vordefiniert:

 

Vordefinierte Rollen
Enterprise Administrator Hat alle Rechte.
Data Owner Erhält Rechte für seinen Bereich.
Deputy Data Owner Stellvertreter des Data Owner.
Requester Normaler Nutzer oder Bereichsleiter zur Kontrolle der Berechtigungen.
Revision Revision, Wirtschaftsprüfer, Steuerprüfer
Administrator 1 Helpdesk
Administrator 2 z.b.V.
Administrator 3 z.b.V.

Diesen Rollen können Sie hier differenzierte Rechte erteilen.
Vorrangig werden Rechte auf Menüpunkte des Web Clients gegeben, die entsprechend ein- bzw. ausgeblendet werden.
Dem Enterprise Administrator wurden schon alle Rechte gegeben, er kann den WebClient in vollem Umfang nutzen. Er kann als einziger alle Bereiche einsehen.

Wichtig:
Dieser Eintrag wird erst wirksam, wenn Sie in der Kopfzeile bei „Comment (Required):“ einen Kommentar eintragen und rechts mit „Save Changes“ den Eintrag bestätigen. Dieses Kommentarfeld ist sehr nützlich. Sie können hier hinterlegen, z.B. auf wessen Veranlassung der Nutzer als Data Owner berechtigt wurde.

Rolle_Account2

Für Data Owner sollte nicht der Action-Parameter „Live/_Directories“ gesetzt werden. Mit dem kann er alles sehen.

Hier werden für die Data Owner zwar die Rechte festgelegt, nicht aber die Verzeichnisbereiche, die sie einsehen dürfen. Das erfolgt in der Projektverwaltung, beschrieben im Abschnitt 4.4.2.

4.3.2.2. Manage Accounts

Im zweiten Schritt werden den Rollen Nutzer zuordnet.
Es können jeder Rolle mehrere Accounts zugeordnet werden.
Am besten tragen Sie sich als Enterprise Administrator ein, um den Web Client im Anschluss testen zu können.

Nach den ersten Buchstaben zeigt migRaven Ihnen eine Liste der infrage kommenden Accounts. Der ausgewählte Account wird mit „Add Account“ bestätigt. Das reicht aber nicht. In der Kopfzeile muss der Eintrag mit einem Kommentar und „Save Changes“ bestätigt werden.
MamageAccount
Auch dieser Eintrag muss unbedingt in der Kopfzeile mit einem Kommentar und „Save Change“ bestätigt werden.

4.3.3. Remote Services

4.3.3.1. Central Services

Die zentralen Dienste sind:

  • Core Service
  • Database Service

Hier werden Parameter und Installationsorte dieser beiden Dienste angezeigt. Diese Dienste können hier aktualisiert werden, d.h. der Eintrag des Dienstes in der Datenbank wird aktualisiert.

4.3.3.2. Active Directory Scan Services

Hier werden Parameter und Installationsorte des AD-Scan-Dienstes angezeigt.
Es ist für Folgeversionen die Möglichkeit geplant, mehrere dieser Dienste zu installieren, auf verschiedenen Rechnern und für verschiedene Domänen.

Wenn der aktuelle Account auf dem Zielserver bzw. Domain Controller nicht die notwendigen Berechtigungen hat, kann durch Abwählen des „Use Local Account“ ein anderer berechtigter Account angegeben werden.

4.3.3.3. Resource Scan Services

Resource Scan Services werden nur hier angelegt und angezeigt.
Es ist für Folgeversionen die Möglichkeit geplant, mehrere dieser Dienste zu installieren, auf verschiedenen Servern.
Es ist notwendig, für diesen Server einen administrativen Account anzugeben, der die Rechte hat, auf dem angegebenen Server Verzeichnisse anzulegen und zu berechtigen.

4.3.3.3.1. Mögliche Probleme beim ResourceScanServices

Start des Resource Scan Service wird nicht fertig.
Resource Scan Services werden nicht mit dem lokalen Systemkonto angemeldet, sondern mit dem bei der Konfiguration angegebenen Account. Wenn der Resource Scan Service nicht startet, prüfen Sie, ob der angegebene Account das Recht hat, sich als Dienst anzumelden. Siehe „3.4.1. Voraussetzung: Das Recht ‚Anmelden als Dienst‘ „.

4.4. Projekterstellung

4.4.1. Projektstart

Scantiefe
Die Scantiefe kann nicht mehr begrenzt werden. migRaven liest Verzeichnisse und Dateien bis in die tiefste Ebene. Dies ist notwendig, um bei den Analysefunktionen richtige Ergebnisse in Bezug auf Datenvolumen, Datei- und Verzeichnisanzahl und Berechtigungstiefe zu ermitteln.

Scan Status
Der Scan Status gibt den aktuellen Arbeitsschritt wieder.
Beim „Scanning…“ werden die Verzeichnisse und Daten des Quellpfades gelesen.
Beim „Saving…“ werden die Daten in die Datenbank geschrieben.
Bei Anzeige von „Save Complete“ ist der Scan des Quellverzeichnisses erfolgreich abgeschlossen. Sie können sich jetzt mit „View“ (Lupe) die Pfade und Berechtigungen ihres Quellpfades ansehen.

4.4.2. Einen Nutzer als Data Owner auf einen Share oder ein Verzeichnis berechtigen

Zu Beginn eines jeden Redesign- und GPO-Projektes wird der Quellpfad eingelesen. Nach dem Einlesen landen die Daten in der Datenbank. Das sind Verzeichnisnamen, Berechtigte, Berechtigungen, Dateinamen und -größen. Diese Daten können jetzt Data Ownern zu Verfügung gestellt werden.

Dazu muss ein Administrator im View- oder Design&Work-Modus auf das zu berechtigende Verzeichnis gehen, und mit der rechten Maustaste das Kontextmenü öffnen. Mit der untersten Funktion „Data owner auswählen…“ kann der Administrator Nutzern Data Owner-Rechte auf das Verzeichnis (einschließlich der Unterverzeichnisse) geben.

Damit werden Nutzern keine Eigentümer- oder NTFS-Rechte auf Verzeichnisse erteilt. Es geht einzig und allein darum, Nutzern Leserechte auf gescannte Daten in der migRaven-Datenbank zu geben. Der berechtigte Nutzer erhält so die Möglichkeit die Verzeichnis- und Dateieigenschaften unter dem berechtigten Verzeichnis mit den im Web Client vorgegebenen Abfragen zu analysieren. Das bezieht sich auf die Daten in der migRaven-Datenbank. In der Datenbank befinden sich neben den anfangs gescannten AD-Daten zu jedem Projekt Verzeichnis- und Dateieigenschaften, aber keine Dateiinhalte.

Bei besonderen Funktionen, wie dem File Browser, verlassen wir uns nicht auf den Datenbankinhalt. Dann wird das Quellverzeichnis nochmal gescannt, um aktuelle Daten anzeigen zu können.

4.5. Mögliche Probleme bei Projektstart und -ausführung

Projektbuttons sind grau und damit nicht startbar.
RemoteScanService ist nicht eingerichtet und gestartet. Das erfolgt im Magration Client unter Konfiguration -> Remote Services -> Resource Scan Service.

 

Beim Projektstart kann keine Verbindung zum Quellpfad hergestellt werden. Scan beginnt nicht.
Haben Sie die notwendigen Zugriffsrechte? Sie benötigen neben den NTFS-Rechten auch unbedingt Freigaberechte.
Verwenden Sie Firewalls auf oder zwischen Ihren Servern? Dann müssen Sie die Ports 8077, 8099, 8999 und 10291 auf den Firewalls zwischen Migration Client, dem zu scannenden Server und den betroffenen Diensten freischalten.
Beides nicht der Fall, dann versuchen Sie es noch einmal. Die Antwortzeit anderer Server, gerade auch virtueller Maschinen, kann größer sein, als migRaven sie erwartet.

 

Scanning…  seit einer Stunde, und sie sind nicht sicher, ob das Projekt noch läuft.
Von den gescannten Verzeichnissen landen die Daten in einem aktuellen Verzeichnis unter
c:\ProgramData\migRaven\ResourceScanService\Export\. Solange sich der Datenbestand vergrößert, wird noch gescannt.
Beim „Saving…“ werden die Daten in die Datenbank geschrieben. Diese befindet sich unter
c:\Program Files\migRavenDB\data\databases\graph.db\.

 

5. Web Client (Data Owner Client, Web App)

5.1. Voraussetzungen

Der Web-Client benötigt einen eigenen Internet Information Service (IIS).
Bei Firefox-Nutzern ist die Intranet-Authentifizierung zu aktivieren.

5.1.1. Internet Information Service (IIS)

Der IIS muss vor der dem migRaven-Installer installiert werden.
Beschrieben wird das unter „Internet Information Services (IIS) installieren„.

Für den IIS sind die Parameter „Statischer Inhalt“, „ASP.Net 4.6“ (oder höher) und „Windows-Authentifizierung“ zu setzen.

5.1.2. migRaven Website

Diese Webseite wird bei der Installation der Web App „migRavenWeb“ durch den Installer angelegt.
Das erfolgt automatisch. Daher nur zur Information, wo Sie die Parameter zur Webseite finden.

Sie finden die „migRaven Website“ folgendermaßen:
Computerverwaltung als Admin starten
Dienste und Anwendungen
Internetinformationsdienste (IIS)-Manager
im 2.Fenster rechts daneben:
Baum öffnen
Sites öffnen
Unter „migRaven Website“ finden Sie die eingestellten Parameter.
Eine ggfs. vorhandene „Default Web Site“ sollten Sie löschen.

5.1.3. „Kernelmodus-Authentifizierung aktivieren“ ausschalten

Für die angelegte Webseite muss die Kernelmodus-Authentifizierung ausgeschaltet werden.

Das ist bei der Installation unter Punkt 3.3. beschrieben.

5.1.4. Firefox NTLM Authentifizierung

Aus Sicherheitsgründen erfolgt bei Firefox die automatische Authentifizierung am Intranet, also an der eigenen Domäne auf den eigenen Windows-Servern, im Gegensatz zu andern Web-Browsern, nicht automatisch.
Diese NTLM und Kerberos Authentifizierung muss bei Firefox erst aktiviert werden.

Am Beispiel für die Domäne „test.local“ sind dazu folgende Arbeitsschritte notwendig:

1. In Firefox ist „about:config“ (ohne Leerzeichen) in die Adresszeile einzugeben.

Sie kommen damit in eine Art Konfigurations-Modus. Daher ist bei den folgenden Schritten äußerste Vorsicht geboten.

2. Suchen Sie folgende vier Parameter und tragen Sie die angegebenen Werte ein, anstelle von „test.local“ Ihre Domäne.

 

NTLM Authentifizierung in Firefox aktivieren
network.negotiate-auth.allow-non-fqdn true (wichtigster Eintrag)
network.automatic-ntlm-auth.allow-non-fqdn true
network.automatic-ntlm-auth.trusted-uris test.local
network.negotiate-auth.trusted-uris test.local

Mehrere Einträge können kommasepariert angegeben werden.

Nach dem Neustart des Browsers erfolgt beim Firefox eine automatische Authentifizierung an Ihrem Intranet über Ihren Internetserver.

5.2. Start des Web Client

Aufruf des Webclients
Aufgerufen wird der Web Client in einem Webbrowser mit http://servername. Die Angabe mit IP-Adresse, localhost oder 127.0.0.1 funktionieren nicht.
Als Webbrowser empfehlen wir Crome und Firefox. In MS Edge und Internet Explorer funktioniert der Client bedingt.

Der komplette Servername wird in der Adresszeile angegeben, z.B. http://b-srv250.test.local/  oder kurz  //b-srv250.

 

WebClient

 

5.3. Auswertungen

Auswertung der migRaven-Daten
Beachten Sie, es können nur die AD-Daten angezeigt und ausgewertet werden, deren Domänen Sie mit migRaven gescannt haben, bzw. nur die Verzeichnis- und Berechtigungsdaten, die mit migRaven-Projekten gelesen wurden. Nur bei speziellen Funktionen, wie dem File Browser, greift migRaven auf das Quellverzeichnis zu um aktuelle Informationen zu liefern.

5.3.1. Home

Unter Home werden dem Data Owner Projektdaten angezeigt. Aber nur die Projektdaten (d.h. Shares bzw. Verzeichnisse), auf die der Nutzer im Migration Client als Data Owner eingetragen wurde.

5.3.1.1. Die Pfade

Im Migration Client kann der Administrator für Shares bzw. Verzeichnisse Data Owner eintragen. Diese Berechtigung gilt für Unterverzeichnisse und Daten.
Dieser Data Owner hat nichts mit dem Eigentümer zu tun.

Unter Home sehen Sie, je nach Berechtigung, alle Projekte bzw. nur Ihre Verzeichnisse.
Sie können sich durch die Verzeichnisstruktur bewegen.
In der rechten Spalte sehen Sie zu jedem Verzeichnis ein kleines Säulendiagramm, das die Altersverteilung wiedergibt.
Das erfolgt nach folgenden Zeitintervallen:
– Weniger als 30 Tage
– 1-6 Monate
– 6-12 Monate
– 1-2 Jahre
– 2-4 Jahre
– 4-6 Jahr
– 6-8 Jahre
– 8 und mehr Jahre
Dieses Diagramm gibt Ihnen einen visuellen Eindruck, wie alt die Daten im Verzeichnis sind.
Mit einem Schalter können Sie zwischen Dateianzahl und Dateigröße umschalten. D.h. im ersten Fall werden die Säulen nach der Dateianzahl pro Zeitintervall skaliert, im zweiten Fall nach der Dateigröße.
Beim Überfahren der Säulen, erhalten Sie die exakten Werte für Dateianzahl und -größe. Zusätzlich wird der auf dem Datenträger belegt Platz angegeben.

5.3.1.2. Detailinfos

Wenn Sie im linken Fenster einen Pfad markieren, werden Ihnen im rechten Fenster verschiedene Informationen zu diesem Pfad angezeigt.

Berechtigungen
Sie können sich die Berechtigungen für den Pfad anzeigen lassen. Es wird zwischen „Vererbten Berechtigungen“ und „Expliziten Berechtigungen“ unterschieden.

MimeTypes
Hier werden die Dateien nach den Mimetypes, also nach dem Dateityp, unterschieden und die Anzahl und Größe angezeigt.

Altersinformationen
Hier wird, wie beim Säulendiagramm, die Altersverteilung der Dateien wiedergegeben, mit Dateianzahl, -größe und Größe auf dem Datenträger.

Dateibesitzer
Hier werden Dateianzahl und -größe nach Eigentümern angezeigt.

5.3.1.3. File Browser

Bei den drei Reitern mit Dateiinformationen werden rechts Buttons angezeigt, über die Sie zum File Browser gelangen.
Die Auflistung wird erst mit Betätigen des „Start“-Buttons gestartet. Gegebenenfalls müssen Sie Namen und Password eines berechtigten Accounts angeben. Hier werden nicht nur Datenbankinhalte geholt, hier wird das angeforderte Verzeichnis aktuell gelesen, einschließlich der Unterverzeichnisse und Dateien. Dadurch erhalten Sie wirklich aktuelle Informationen.
Links unten zeigt ein Kreis an, dass die Daten noch gelesen werden.
Wenn die Liste komplett ist, können Sie die Liste durch Anklicken eines Spaltenkopfes nach dieser Spalte sortieren.

5.3.2. Analytics

5.3.2.1. AD-Statistics

Oben links können Sie eine der gescannten Domänen auswählen.

Zu dieser werden statistische Daten zu Benutzern, Administratoren, Computern und Gruppen angezeigt.

Durch Klick auf die Gruppen werden alle Gruppennamen eigeblendet, mit Anzahl der Mitglieder und Mitgliedschaften. Zu jeder Gruppe können Sie sich weitere Details anzeigen lassen, wie GUID, SAM AccountName und Beschreibung. Über den Button „In Active Directory View öffnen“ erfahren Sie die Namen der Mitglieder und Mitgliedschaften.

Interessant ist sicher auch, sich alle verwaisten Gruppen anzeigen zu lassen. Das sind die Gruppen, die weder Mitglieder haben noch selbst Mitglied einer Gruppe sind.

5.3.2.2. Administratability – Administrierbarkeitsanalyse

Hier werden in einem Säulendiagramm pro Verzeichnisebene (Tiefe) die Anzahl der expliziten Berechtigungen angezeigt.

Umso weiter oben die Berechtigungen – umso besser.

Umso tiefer sich explizite Berechtigungen befinden, umso aufwendiger und unübersichtlicher ist das System und umso mehr Listgruppen sind erforderlich.

5.3.2.3. AD-View

Beim AD-View können Sie sich für ein AD-Objekt, also einen User, eine Gruppe oder einen Computer Mitgliedschaften und Mitglieder (nur bei Gruppen) anzeigen lassen.

Durch Anklicken eines angezeigten Objektes (am Button mit dem Stift) werden für dieses Objekt Mitglieder und Mitgliedschaften angezeigt.

Besonders interessant ist, dass nicht nur direkte Mitglieder und Mitgliedschaften angezeigt werden, sondern auch indirekte, also Mitglieder, die einige Ebenen tiefer liegen, bzw. übergeordnete Gruppen, die mehrere Ebenen höher angeordnet sind.

5.3.2.4. AD-Search

Beim AD-Search können Sie sich für ein AD-Objekt zahlreiche Details anzeigen lassen. Dazu zählen z.B. SID, Distinguished name, User Principal Name, GUID und das Datum der letzten Anmeldung.

5.4. Mögliche Probleme beim WebClient

Sie können die Webseite nicht starten.
– IIS ist nicht installiert.
– Unter Internetinformationsdienste müssen die Einstellungen „Statischer Inhalt“, „ASP.NET 4.6“ (oder höher) und „Windows-Authentifizierung“ ausgewählt sein.
– „ASP.NET 4.6“ gibt es auch unter .NET Framework 4.6 Advanced Services. Das zu aktivieren reicht nicht. Mind. „ASP.NET 4.6“ muss unter dem IIS (Internetinformationsdienste, WWW-Dienste, Anwendungsentwicklungsfeatures) aktiviert werden.
– „Kernelmodus-Authentifizierung aktivieren“ ist nicht ausgeschaltet, im IIS für die „migRaven WebSite“.
– Bei Firefox muss die NTLM Authentifizierung eingeschaltet sein.
– Aufruf mit http://servername erforderlich. IP-Adresse, localhost und 127.0.0.1 funktionieren nicht.

 

Es wird die migRaven-Webseite angezeigt, aber ohne Daten.
– Sie müssen in der Projektverwaltung (im View- oder Design&Work-Modus) für Shares oder Verzeichnisse als Data Owner eingetragen sein.
– In der Rollenverwaltung (Konfiguration) müssen dem Data Owner Aktionen (unter Analytics) zugeordnet und in der Kopfzeile mit Kommentar und „Save Changes“ gespeichert sein.
– Unter „Manage Accounts“ muss Ihr Account der Data Owner-Rolle zugewiesen sein.