ESET Remote Administrator 6 安裝及操作手冊 版本 : 1.3 日期 : 2015-07-14
修訂記錄 版本作者日期修訂內容 1.0 Vinje May 28, 2015 New Version 1.1 Vinje May 28, 2015 Update 參 : 加入電腦順序 1.2 Vinje June 18, 2015 內容修改 1.3 Vinje July 14, 2015 內容修改 i
目錄 壹 系統需求... 2 一 架構說明... 2 二 硬體需求 :... 2 三 網路需求 :... 3 貳 安裝步驟... 4 一 ERA 主機安裝... 4 二 ERA 初始設定... 9 登入 Web Console... 9 啟用授權... 9 設定預設原則... 10 [ 關於原則設定 ]... 11 參 加入電腦... 12 一 滙入 AD 組織架構... 12 二 使用 IP LIST 或直接新增電腦... 12 三 使用 RD SENSOR... 13 肆 新增網域使用者為 ERA 管理員... 14 伍 ERA AGENT 安裝及部署... 16 一 客戶端可以上網情況, 可以直接利用伺服器工作部署 AGENT 或是使用 LIVE INSTALLER 安裝 AGENT... 16 1. 伺服器工作部署... 16 2. Live Installer 安裝... 19 二 客戶端不能上網狀況... 20 3. 本機安裝... 20 4. 網路磁碟遠端安裝 (Share Folder)... 20 5. 利用 AD 進行軟體安裝 ( 相關做法請參閱微軟相關說明 )... 20 陸 移除第三方軟體... 21 柒 安裝 ESET 安全產品... 23 備註 : 遠端部署疑難排除... 28 i
壹 系統需求 一 架構說明 Internet 圖例防毒軟體 ERA Agent TCP/3128 Proxy Cache TCP/2222 TCP/3128 TCP/443,2223 TCP/2222 ERA Server 在同一個 LAN 內,ERA 伺服器可以對外存取,ERA Agent 使用 (TCP/2222) 定期與 ERA 伺服器溝通 ( 加密 ), 防毒軟體的授權與更新則是透過 ERA 伺服器的 Proxy (TCP/3128) 進行 二 硬體需求 : 作業系統 :Windows Server 2003 SP2 以上版本資料庫 :Microsoft SQL Server 2008 R2 和更新版本建議不要使用已有安裝 MS SQL 的主機記憶體 :4GB 硬碟空間 :40GB 網路 : 主機必須能夠對外存取 (TCP/80 及 TCP/443,For 更新及下載使用 ), 若主機有安裝或設定兩張網卡, 請保留要讓用戶端連接使用的那一張網卡, 其它先停用, 避免安裝時取得不正確的網路設定 ( 有可能會造成 Proxy Server 的 IP 設定錯誤 ) 其他元件 : Java Runtime Environment (JRE).Net Framework 3.5 (Windows Server 2008 以上版本從新增角色裡安裝 ) Windows Installer 4.5(Windows 2003 Server 需要安裝 ) 2
三 網路需求 : 3
貳 安裝步驟 一 ERA 主機安裝 由於此版本 ESET 建議使用 HTTP Proxy 來取代過去更新使用 Mirror 的方式, 所以建議將 Apache HTTP Proxy 裝上 4
按下一步 輸入授權金鑰或稍後再輸入 按下一步 5
設定管理者密碼 ( 請記住這組帳號密碼, 之後登入 Web Console 會使用到 ) 輸入 CA 憑證資訊 按安裝 6
完成 安裝 WinPcap 授權內容 7
安裝 完成 安裝完成 8
二 ERA 初始設定 登入 Web Console 使用瀏覽器開啟 https://server-ip/era 輸入使用者名稱及密碼 ( 預設為 administrator, 密碼為安裝時所設定的密碼 ) 啟用授權 新增授權 9
設定預設原則 安裝 ERA 伺服器時如果有選擇安裝 Apache HTTP Server, 預設在全部群組裡會有 5 個跟 HTTP Proxy 有關的預設原則 建議在系統安裝完成後先增加下列兩個原則 Remote Administrator Agen- 應用程式報告 - 報告所有已安裝的應用程式 Remote Administrator Agent- 連線 - 每隔 60 秒進行連線 ( 建議只在測試除錯時使用 ) 10
檢查 Proxy 伺服器的 IP 是否正確 ( 這會影響到用戶端的啟動授權及更新動作 ) 合併原則 [ 關於原則設定 ] 套用到用戶端的原則通常是將多個原則合併到一個最終原則的結果 我們建議您將多個一般原則 ( 例如, 更新伺服器等一般設定 ) 指派給在群組樹狀結構中位於較高層級的群組 較為特定的原則 ( 例如裝置控制設定 ) 應指派至群組樹狀結構中的較深層級 在合併時, 較低層級的原則通常會覆寫較高層級原則的設定 ( 除非使用原則旗標 ( 套用或強制 ) 進行不同定義 ) 如果您決定稍後將現有的原則移除, 在移除原則時, 用戶端電腦的配置不會自動還原為其原始設定 系統會根據套用至用戶端的最後原則保留該配置 若動態群組套用了變更電腦設定的特定原則, 則當電腦成為該群組的成員時也會發生相同情況 即使電腦離開動態群組仍會保留這些設定 因此, 我們建議您透過預設設定建立原則, 並將其指派給根群組 ([ 全部 ]), 使這些設定在發生上述情況時還原至預設值 如此一來, 當電腦離開已變更設定的動態群組時, 電腦會接受預設設定 旗標您可以為原則中的每個設定都設定旗標 旗標會定義原則處理設定的方式 : 套用 - 具有此旗標的設定將會傳送至用戶端 不過, 當合併原則時, 則會由較新的原則覆寫 當原則套用至用戶端電腦且特殊設定具有此旗標時, 無論用戶端上的本機配置為何都會變更該設定 系統不會強制執行設定, 因此可在稍後由其他原則變更 強制 - 含強制旗標的設定具有優先權, 無法由較新的原則覆寫 ( 即使較新的原則含有強制旗標 ) 這可確保此設定在合併期間不會由較新的原則變更 11
參 加入電腦 ERA 可以使用下列方式新增電腦 一 滙入 AD 組織架構 當此 ERA 伺服器有 Join AD Domain 時, 系統會利用 AD 將網域的組織電腦同步至 ERA 伺服器 安裝完成後預設有一個伺服器工作 [ 靜態群組同步化 ], 編輯此工作 輸入網域控制站相關帳號密碼 完成後即會進行 AD 同步工作 二 使用 IP List 或直接新增電腦 利用 csv 清單滙入電腦 12
選擇滙入或直接在名稱欄位輸入電腦名稱 or IP 位址 三 使用 RD Sensor RD Sensor 安裝好預設會自動啟用, 在登入 Web Console 後, 點選儀表板裡的惡意電腦 13
新增 新增電腦 肆 新增網域使用者為 ERA 管理員 日後可以使用網域使用者登入 ERA Web Console 先使用預設的 administrator 帳號登入 Web Console, 進到存取權限 新增對應的網域安全性群組 14
選擇群組 SID 後即會帶出相關的名稱及說明 給予相對應的權限 完成 之後就可以用網域使用者登入 ERA Web Console 15
伍 ERA Agent 安裝及部署 一 客戶端可以上網情況, 可以直接利用伺服器工作部署 Agent 或是 使用 Live Installer 安裝 Agent 1. 伺服器工作部署 在新增的電腦上選擇 [ 部署代理程式 ] 輸入工作名稱, 勾選 [ 完成後立即執行工作 ] 16
選擇目標輸入使用者名稱密碼 ( 用戶端管理者權限帳號密碼 ) 伺服器名稱或 IP 位址選擇憑證 (Agent), 按完成即進行安裝程序 17
部署後可以到伺服器工作裡 代理程式部署 [ 工作名稱 ] 詳情 可以看到部署情況 18
2. Live Installer 安裝在 ERA Web Console 裡, 左方面板最下方, 點選代理程式 Live Installer 輸入主機 IP, 選擇憑證, 點選取得安裝程式即可下載下載的檔案為 zip 壓縮檔案, 解壓縮後為一批次檔 ( 含憑證 ), 執行即可安裝 Agent 此批次檔案內容關於 Agent 的部份是到 ESET 的主機下載 ( 節錄部分如下 ) ) set url=http://repository.eset.com/v1/com/eset/apps/business/era/agent/v6/6.1.444.0 /Agent_x64.msi if defined IsArch_x86 ( set url=http://repository.eset.com/v1/com/eset/apps/business/era/agent/v6/6.1.444.0 /Agent_x86.msi ) 如果內部有 http server, 也可以先將 Agent 安裝程式放在 Http server 上, 再修改此設定, 這樣可以避免對外的網路流量過大 19
安裝完成後用戶端可以在工作管理員裡看到 ERAAgent.exe 的程序 Web Console 裡可以看到此電腦已經有回報也在管理中 由於此種安裝方式, 會由伺服器將工作派給用戶端, 用戶端收到工作指令後再上網下載安 裝程式進行安裝, 所以依據不同環境可能進行安裝的使用時間也不一定 二 客戶端不能上網狀況 這種情況下我們需要先製作自解壓縮檔, 將安裝檔案及相關憑證封裝成一安裝檔案 ( 請參閱 ERAAgent 自解安裝檔設定手冊 ), 下列各安裝方式可以依據不同環境進行安裝部署 3. 本機安裝 4. 網路磁碟遠端安裝 (Share Folder) 5. 利用 AD 進行軟體安裝 ( 相關做法請參閱微軟相關說明 ) 遠端部署上若有任何問題請參閱 < 備註 : 遠端部署疑難排除 > 20
陸 移除第三方軟體 Agent 安裝好後, 請按下列步驟移除原有防毒, 派送安裝 ESET 防毒 系統管理員 用戶端工作 軟體解除安裝 新增 新增目標 選取目標電腦 ( 群組 ) 21
選擇群組目標 選擇移除第三方防毒軟體 執行完成, 重開機 22
柒 安裝 ESET 安全產品 在預設情況下,ERA Agent 在執行安裝軟體時會使用 HTTP Proxy, 所以就算用戶端無法 上網也可以經由 HTTP Proxy 進行下載安裝 新增工作 輸入工作名稱 工作類別 ESET 安全性產品 工作 軟體安裝 23
選擇目標 勾選 [ 我同意應用程式使用者授權 ] 選擇授權點選安裝存放庫中的套件 選擇要安裝的套件 ( 此方式用戶端是經由 HTTP Proxy 自動連線到 ESET 網站下載安裝程式 ) 因為預設的原則要求 Agent 使用 HTTP Proxy 24
若選擇 [ 直接由套件 URL 安裝 ], 需要輸入您放置安裝程式的路徑 (URL) 此種方式不能自動判斷安裝 32bit or 64bit 版本 ERA 伺服器安裝時若有選擇安裝 HTTP Proxy 元件, 可以將安裝 MSI 檔案放在下列路徑 : C:\Program Files\Apache HTTP Proxy\htdocs 然後 [ 直接由套件 URL 安裝 ] 要輸入 http://server-ip:3128/<package-name>.msi 如要加速用戶端回應速度, 可以 [ 傳送喚醒呼叫 ], 此動作會從 ERA 伺服器送出通知告訴 25
Agent 進行回報的動作 可以查看工作詳情 可以看到用戶端已經安裝好了也回傳狀態 26
27
備註 : 遠端部署疑難排除 部署代理程式時, 您可能會碰到問題 如果發生此狀況且部署失敗, 可能有很多原因 本 區段內容將協助您 : 瞭解造成代理程式部署失敗的原因 根據下表找出可能的原因 解決問題, 並執行成功的部署 1. 如果要瞭解代理程式部署為何失敗, 請瀏覽至 [ 報告 ] > [ 自動 ], 選取 [ 過去 30 天代 理程式的部署工作資訊 ], 然後按一下 [ 立即產生 ] 這時會顯示提供部署資訊的表格 [ 進度 ] 欄會顯示關於代理程式部署失敗原因的錯誤訊 息 如果您需要更多詳情, 請變更 ERA 伺服器追蹤記錄的簡化設定 瀏覽至 [ 管理 ] > [ 伺服器設定 ] > [ 進階設定 ] > [ 記錄 ], 然後從下拉式功能表選取 [ 錯誤 ] 再次執行代理程式部署, 若失敗, 請在 ERA 伺服器追蹤記錄檔中, 查看位於檔案底端的最新記錄項目 您也會發現一些處理方法的相關建議 最新的 ERA 伺服器記錄檔位於下列位置 : C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\trace.log 2. 下表包含代理程式部署失敗的原因 : 錯誤訊息 無法連線拒絕存取未找到存放庫中的套件 可能原因 無法連線到網路上的用戶端無法解析用戶端的主機名稱防火牆封鎖通訊防火牆上的連接埠 2222 與 2223 未開放 ( 用戶端與伺服器上 ) 尚未設定管理員帳戶密碼存取權限不足 ADMIN$ 系統管理共用無法使用 IPC$ 系統管理共用無法使用 [ 使用簡易檔案共用 ] 已啟用存放庫的連結不正確存放庫無法使用存放庫未包含所需套件 28
3. 根據可能的原因的逐步進行適當的疑難排解 : 無法連線到網路上的用戶端 - 請從 ERA 伺服器 Ping 用戶端, 若有得到回應, 請嘗試遠 端登入用戶端電腦 ( 例如透過遠端桌面 ) 無法解析用戶端的主機名稱 - DNS 問題的可能解決方案包含 ( 但不限於 ): 關於所使用的 nslookup 命令, 其所屬 IP 位址與主機名稱係出自具有代理程式部署問題的伺服器和 / 或用戶端 結果應符合該電腦的資訊 例如, 主機名稱的 nslookup 應解析為 ipconfig 命令在有問題主機上顯示的 IP 位址 nslookup 命令必須在用戶端與伺服器上執行 手動檢查 DNS 記錄是否有重複的項目 防火牆封鎖通訊 - 檢查伺服器與用戶端的防火牆設定, 以及兩台電腦之間存在的任何其他 防火牆 ( 如果適用的話 ) 防火牆連接埠 2222 和 2223 未開放 - 同上, 確定已為兩台電腦 ( 用戶端與伺服器 ) 間的 所有防火牆, 開放上述的連接埠 尚未設定管理員帳戶密碼 - 為管理員帳戶設定適當的密碼 ( 不要使用空白密碼 ) 存取權限不足 - 建立代理程式部署工作時嘗試使用網域管理員的憑證 如果用戶端電腦屬 於工作群組, 請使用該特定電腦上的本機管理員帳戶 ADMIN$ 系統管理共用無法使用 - 用戶端電腦必須啟用共用資源 ADMIN$, 請確定在其他 共用 之間存在此共用資源 ([ 開始 ] > [ 控制台 ] > [ 系統管理工具 ] > [ 電腦管理 ] > [ 共用資料夾 ] > [ 共用 ]) IPC$ 系統管理共用無法使用 - 請從用戶端的命令提示字元發出下列命令以確定用戶端可存取 IPC: net use \\servername\ipc$ 其中 servername 是 ERA 伺服器名稱 [ 使用簡易檔案共用 ] 已啟用 - 如收到 拒絕存取 錯誤訊息, 且所使用的環境混合網域與 工作群組, 則針對所有發生代理程式部署問題的電腦, 停用其 [ 使用簡易檔案共用 ] 或 [ 使 用共用精靈 ] 功能 例如, 在 Windows 7 中執行下列步驟 : 按一下 [ 開始 ] > 在 [ 搜尋 ] 方塊中輸入資料夾, 29
接著按一下 [ 資料夾選項 ] 按一下 [ 檢視 ] 索引標籤, 並在 [ 進階設定 ] 方塊中向下捲動 清 單, 接著取消選取 [ 使用共用精靈 ] 旁邊的核取方塊 存放庫的連結不正確 - 在 ERA Web Console 中瀏覽至 [ 系統管理員 ] > [ 伺服器設定 ], 然 後按一下 [ 進階設定 ] > [ 存放庫 ], 並確定存放庫的 URL 是正確的 未找到存放庫中的套件 - 此錯誤訊息通常在沒有與 ERA 存放庫連線時顯示 檢查您的網 際網路連線 附註 : 對於較新的 Windows 作業系統 (Windows 7 Windows 8 等 ), 必須啟動管理員使用 者帳戶, 才能執行代理程式部署工作 若要啟動管理員使用者帳戶 : 1. 開啟系統管理命令提示字元 2. 輸入下列命令 :net user administrator /active:yes Linux 與 Mac OS 如果無法在 Linux 或 Mac OS 上部署代理程式, 則問題通常與 SSH 有關 檢查用戶端 電腦, 確定 SSH Daemon 正在執行中 修正後, 請再次執行代理程式部署 30