Hallo zusammen,
wir planen das Update auf die neuste Version.
Mir wurde dabei mitgeteilt, dass danach jeder Agent erneut für TLS registriert werden müsste.
Da wir mit dem Agentenupdater plus Zertifikat arbeiten verwundert mich diese Aussage.
Ich möchte ungern bei der Anzahl an vorhandenen System dieses nachträglich händisch durchführen.
Wie ist die richtige Vorgehensweise?
Was musstet ihr unternehmen?
MfG
Nico
Nein, nur falls du TLS nutzen möchtest als Verschlüsselung. Es gibt hier kein “muss”.
Im Endeffekt musst dir ein Script gesteuerten Ansatz überlegen wie du das durchführst falls TLS verwendet werden soll.
Hallo Andreas,
danke für das schnelle Feedback.
Bin nicht abgeneigt TLS zu nutzen.
Da wir auf unseren Server VMs keine Softwareverteilung nutzen kann ich leider keine Aktion starten die einen Script anstoßen würde.
Einen Anmeldescript per GPO zu verteilen macht für mich auch keinen Sinn.
Hast du oder jemand anderes eine Idee wie sowas ausgerollt werden könnte?
Hatte auf den Agentenupdater gehofft das er diese Aufgabe übernimmt.
Oder verwendet ihr TLS einfach nicht?
Du kannst das Registrieren unter Windows relativ easy mit PowerShell Remote durchführen, wenn das “erlaubt” ist, das ist ja nur ein parametrisiertes Kommando.
Ansonsten via Ansible, PDQDeploy, SCCM oder was es so an Automatisierungstools sonst so gibt.
Danke für die vielen Infos.
Ich werde wohl per GPO einen Powershell Script per Aufgabenplanung laufen lassen.
In 2.2 soll die TLS-Registrierung auch über die automatischen Agent-Updates funktionieren.
Nico,
ich stehe vor selbigen Problem beim Update auf 2.1.
Für Windows Hosts geht das vielleicht, habe es gerade mit dem Agenten Befehl ausprobiert. Natürlich müsste bei Dir psexec nutzbar sein.
Hoffe so kann ich es bei meiner Umstellung machen:
psexec \mein-host “C:\Program Files (x86)\checkmk\service\cmk-agent-ctl.exe” register --server meinserver.de --site meine_site --user user --password password --hostname mein-host
Das Ganze für alle Hosts in eine Batche packen und der Aufwand wäre etwas gemindert.
Gruß Uwe
Hallo Robert,
wir wollen in den nächsten Wochen beim Hauptsystem von 2.0.X auf 2.1 und dann zur 2.2 gehen.
Bei einem anderen System (2.0 -->2.1) hatte ich ja enormen händischen Aufwand, da ich die TLS-Registrierung der Agenten angestoßen hatte.
In 2.2 soll die TLS-Registrierung auch über die automatischen Agent-Updates funktionieren.
Dein Hinweis macht Hoffnung diesen Weg zu gehen:
Das geht noch nicht - Planung 2.3 
Ob ich TLS bei 2.1 oder erst 2.2 einschalte macht keinen Unterschied soweit ich das bei meinen letzten Systemen gesehen habe.
Danke Andreas!!
Da ich updaten möchte, steht für mich die Frage??
KANN ich TLS (verschlüsselte Kommunikation Server ↔ Agent) irgendwie ausschalten??
Den dadurch laufe ich ja wieder in die Falle und muss nach dem Update auf 2.0 -->2.1 die Agenten händisch behandeln?
Gibt es einen Weg das Update einzuspielen, - ABER TLS erst ab Version 2.3 zu nutzen? Gruß Uwe
Die ist so lange aus bis du die auf jedem Client aktiviert hast.
Also besser gesagt wenn du nur updatest dann laufen alle Agenten erstmal weiter wie bisher.
Das händisch behandeln musst du dann wenn du TLS verwenden willst sonst nicht.
Ich weiß nicht was bei deinem ersten Update Test da schief lief das du alle Agenten anfassen musstest. Die Meldung, dass TLS aus ist kannst du per Regel ja deaktivieren (also nicht mehr Warn machen).
Ja, der Check dazu lässt sich parametrisieren, so dass keine Warning bei ausgeschaltetem TLS erfolgt.
Es ist auch möglich, den ganzen Agent-Controler cmk-agent-ctl auszuschalten.
