ESET REMOTE ADMINISTRATOR 6download.eset.com/manuals/eset_era_63_era_deploy_va_csy.pdf · 2016-01-25 · 7 4. Proces nasazení ERA Appliance Vyberte si hypervizor a postupujte podle

ESETREMOTEADMINISTRATOR 6Administrační příručka

Klikněte sem pro stažení nejnovější verze příručky

http://go.eset.eu/manual?prod_abb=era&prod_version=63&doc_name=era_admin&lng_abb=csy

ESET REMOTE ADMINISTRATOR 6Copyright 2016 ESET, spol. s r.o.ESET Remote Administrator 6 byl vyvinut společností ESET, spol. s r.o.

Pro více informací navštivte www.eset.cz.Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádnýmprostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemnéhopovolení společnosti ESET, spol. s r.o.ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v tétopublikaci bez předchozího upozornění.

Technická podpora: www.eset.cz/podpora

REV. 25/01/2016

http://www.eset.cz

http://www.eset.cz/podpora

Obsah

.......................................................4ERA Virtual Appliance1.

.......................................................5Předpoklady2.

....................................................................................................5Doporučená konfigurace2.1

.......................................................6Podporované hypervizory3.

.......................................................7Proces nasazení ERA Appliance4.

....................................................................................................7vSphere4.1..............................................................................9ERA VAgentHost Appliance4.1.1

....................................................................................................11VMware Workstation/Player4.2

....................................................................................................12Microsoft Hyper-V4.3

....................................................................................................14Oracle VirtualBox4.4

.......................................................17Prvotní konfigurace ERA Virtual Appliance5.

....................................................................................................17ERA Server Appliance5.1

....................................................................................................19ERA Proxy Appliance5.2

....................................................................................................21ERA MDM Appliance5.3

.......................................................24ERA certifikáty6.

.......................................................25Ruční konfigurace ERA VA7.

.......................................................31Řešení problémů8.

.......................................................32ERA Virtual Appliance FAQ9.

.......................................................35DNS servisní záznam10.

4

1. ERA Virtual ApplianceERA Virtual Appliance (ERA VA) nabízíme pro uživatele, kteří chtějí ESET Remote Administrator provozovat vevirtuálním prostředí. Navíc ERA Virtual Appliance představuje nejjednodušší a nejrychlejší způsob pro zprovozněníESET Remote Administrator ve vaší síti.

ERA Virtual Appliance je připravena pro nasazení do většiny virtuálních prostředí. Podporuje nativní hypervizory (VMware vSphere/ESXi a Microsoft Hyper-V) stejně tak hostované hypervizory běžící na desktopovém operačnímsystému (VMware Workstation, VMware Player a Oracle VirtualBox). Pro seznam podporovaných hypervizorůpřejděte do této kapitoly.

ERA Virtual Appliance je dostupná jako OVA soubor (Open Virtualization Appliance). Appliance je dostupná nawebových stránkách společnosti ESET v sekci Stáhnout > Firmy > Remote Administrator 6 . Kliknutím na rozbaltecelou kategorii a dále vyberte Virtual Appliances. Před samotným stažením se rozhodněte, zda potřebujeteERA_Appliance.ova nebo ERA_VAgentHost.ova.

ERA_Appliance.ova – obsahuje několik druhů ERA appliance. Prostřednictvím tohoto souboru můžete nasadit:ERA Server – virtuální počítač, na kterém běží ERA Server včetně všech potřebných součástía ESET Rogue Detection Sensor.ERA Proxy – virtuální počítač, na kterém běží ERA Proxy. Tato komponenta agregujepožadavky od ERA Agentů a hromadně je přeposílá na ERA Server. ERA Proxy můžetenasadit do vzdálených poboček a zvýšit tak propustnost sítě. Tato appliance dále obsahujeESET Rogue Detection Sensor.ERA MDM – virtuální počítač, na kterém běží komponenta pro správu mobilních zařízení.Pokud nechcete do internetu vypublikovat celý ERA Server, můžete z internetu zpřístupnitpouze ERA MDM. Tímto způsobem budete mít stále možnost spravovat mobilní zařízení, ikdyž nejsou ve vaší interní síti, při současné vysoké míře zabezpečení ERA serveru.

ERA_VAgentHost.ova – obsahuje ERA VAgentHost Appliance a je určen pro nasazení do vSphere/ESXi. Abystemohli postupovat podle těchto kroků je potřeba, abyste byli připojení k vCenter Serveru,nikoli ESXi serveru.

OVA soubor je šablona s operačním systémem CentOS 6.7. Pro nasazení OVA souboru postupujte podle těchto krokův závislosti na použitém hypervizoru. Po nasazení ERA_Appliance.ova do virtuálního prostředí a jejím spuštění sezobrazí možnost pro výběr appliance, kterou chcete používat. Po vybrání typu vás průvodce provede prvotníkonfigurací. Po dokončení konfigurace máte hotové prostředí s ESET Remote Administrator, případně jehokomponentami.

Předtím než se pustíte do samotného procesu nasazení se ujistěte, zda splňuje vaše infrastruktura všechny předpoklady pro úspěšné nasazení a provoz ESET Remote Administrator.

Po nasazení appliance a provedení prvotní konfigurace se můžete přihlásit do ERA Web Console. Pro více informací amožnostech, které konzole nabízí přejděte do uživatelské příručky popisující používání ESET Remote Administrator.

Poznámka: ESET nabízí ERA virtuální appliance, ale neposkytuje technickou podporu k použitému operačnímusystému a není zodpovědný za jeho údržbu ani jeho částí. ERA Virtual Appliance je navržena tak, aby její nasazení apoužívání bylo co nejjednodušší a je založena na veřejně dostupném operačním systému, který obsahujekomponenty třetích stran. Správa a aktualizace těchto komponent je výhradně na uživateli ERA Virtual Appliance.Operační systém doporučujeme pravidelně aktualizovat a minimalizovat tak bezpečnostní problémy (to platí také vpřípadě, kdy ERA provozujete na Windows infrastruktuře).

http://www.eset.com/cz/stahnout/firmy/

http://www.eset.com/int/download/thank-you-eset-remote-administrator-virtual/file/13847/


http://help.eset.com/evs/1/en-US/index.html

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs.htm

5

2. PředpokladyPro nasazení ERA Virtual Appliance musí váš systém a infrastruktura splňovat následující předpoklady:

Musíte používat podporovaný hypervizor.

Pokud používáte VMware Workstation/Player nebo Oracle VirtualBox, musíte jej provozovat na podporovanémoperačním systému.

V BIOSu hostitelského systému musíte mít aktivní technologii VT. V závislosti na výrobci základní desky se funkcemůže jmenovat VT, Vanderpool Technology, Virtualization Technology, VMX nebo Virtual Machine Extensions.Toto nastavení zpravidla naleznete v BIOSu v sekci bezpečnost (security).

Ujistěte se, že síťový adaptér virtuálního počítače je nastaven v režimu Bridged (případně NAT). V průběhu prvotníkonfigurace ERA VA můžete zadat podrobné informace o síti stejně jako doméně potřebné pro úspěšný běh úlohy Synchronizace statické skupiny.

Pokud máte síťový adaptér nakonfigurovaný do režimu NAT a chcete mít ERA dostupné z internetu, musíte nastavitport forwarding. Potřebné porty jsou zobrazeny na úvodní obrazovce ERA VA po dokončení prvotní konfigurace.

Důležité: Pro zabránění ztráty dat a chybě v konfiguraci doporučujeme vytvořit snapshot virtuálního počítače sERA ihned po jeho spuštění, po provedení prvotní konfigurace a po synchronizaci s Active Directory. Protože ERAneprovádí zálohování databáze, zálohujte ji ručně nebo celý stroj prostřednictvím snapshotu.

Při konfiguraci ERA Proxy, ERA MDM a ERA VAgentHost jsou vyžadovány ERA certifikáty. Musíte již tedy mítrozběhaný ERA Server abyste mohli potřebné certifikáty vygenerovat, které jsou používány pro šifrováníkomunikace mezi jednotlivými komponentami ERA infrastruktury.

2.1 Doporučená konfigurace

V závislosti na velikosti vaší sítě a počtu klientů, kteří se budou k ERA virtuální appliance připojovat, můžete upravitjejí nastavení pro plynulý běh.

Následující hodnoty platí pro virtuální appliance ERA Server, ERA Proxy a ERA MDM:

Minimální konfigurace:1 - 1000 klientů -> 2 jádra, 2 GB RAM

Doporučená konfigurace:1 - 1000 klientů -> 4 jádra, 4 GB RAM1000 - 10 000 klientů -> 8 jader, 8 GB RAM (vyžaduje ruční úpravu MySQL)

DŮLEŽITÉ: Pokud plánujete spravovat více než 10 000 klientů, doporučujeme ERA Server/Proxy/MDM nainstalovatna fyzický stroj.

Následující hodnoty platí pro virtuální appliance ERA VAgentHost Appliance:

Minimální konfigurace:1 - 1000 virtuálních počítačů -> 2 jádra, 2 GB RAM

Doporučená konfigurace:1 - 10 000 virtuálních počítačů -> 4 jádra, 8 GB RAM

http://kb.eset.com/esetkb/index?page=content&id=SOLN3726

6

3. Podporované hypervizoryERA Virtual Appliance (ERA VA) (ERA_Appliance.ova a ERA_VAgentHost.ova) je založena na vmx-07 virtual hardwarefamily type. Podporované hypervizory jsou uvedeny v tabulce níže:

Hypervizor VerzeERA ServerAppliance

ERA ProxyAppliance

ERA MDMAppliance

ERAVAgentHostAppliance

VMware vSphere/ESXi 5.0 a novější x *** *** x

VMware Workstation 9 a novější x *** *** N/A

VMware Player 7 a novější x *** *** N/A

Microsoft Hyper-V Server 2012 a 2012 R2 x *** *** N/A

Oracle VirtualBox 4.3.24 a novější x *** *** N/A

Poznámka: *** Pro prvotní konfiguraci ERA VA je vyžadován DHCP server. V opačném případě nebudete schopnivybrat typ ERA VA. Po dokončení konfigurace ERA VA již není DHCP vyžadováno a stroji můžete přiřadit statickou IPadresu.

Důležité: Abyste mohli provést prvotní konfiguraci ERA VA prostřednictvím webového rozhraní, je potřeba abyDHCP server přiřadil virtuálnímu počítači IP adresu. Pokud v síti nemáte DHCP server, můžete prostřednictvím .ovasouboru nasadit pouze ERA Server a bude nutné jej nakonfigurovat ručně.



7

4. Proces nasazení ERA ApplianceVyberte si hypervizor a postupujte podle dalších kroků:

vSphere

VMware Workstation/Player

Microsoft Hyper-V

Oracle VirtualBox

4.1 vSphere

Nasazení ERA VA prostřednictvím vSphere klienta

1. Připojte se prostřednictvím vSphere klienta přímo ke svému vCenter nebo ESXi serveru.

2. V hlavním menu klikněte na File > Deploy OVF Template.

3. Klikněte na tlačítko Browse a vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET aklikněte na tlačítko Open.

4. Klikněte na tlačítko Next v části OVF Template Details.

5. Přečtěte si a odsouhlaste licenční ujednání koncového uživatele (EULA).

6. Dále postupujte podle instrukcí na obrazovce a vyplňte následující informace týkající se nového virtuálníhopočítače:

Name and LocationHost/ClusterResource PoolStorageDisk FormatNetwork Mapping

7. Po kliknutí na tlačítko Next se zobrazí souhrn konfigurace a kliknutím na tlačítko Finish spustíte proces vytvořenívirtuálního stroje.

8. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následujícíobrazovka


http://www.eset.com/cz/stahnout/firmy/detail/family/259/#offline,,,26,,

8

Po úspěšné instalaci ESET Remote Administrator můžete přejít ke konfiguraci. V následujících kapitolách vámukážeme doporučené kroky, které byste měli provést po instalaci ESET Remote Administrator.

Nejprve si v internetovém prohlížeči otevřete ERA Web Console a přihlaste se.

Seznamte se s ERA Web ConsolePřed tím, než se pustíte do prvotního nastavení, se seznamte s ERA Web Console – rozhraním, které budete používatpro vzdálenou správu bezpečnostních produktů ESET.

Po otevření ERA Web Console doporučujeme přejít na záložku Administrace > Průvodce nastavením. Tento průvodcevám pomůže s prvotními kroky.

Vytvořte nové uživatele a potřebné sady oprávnění

V průběhu instalaci se vytvoří výchozí účet Administrator. Tento účet nedoporučujeme používat na každodenníčinnosti a raději si vytvořte nový uživatelský účet a přiřaďte mu potřebnou sadu oprávnění.

Přidejte klienty, servery a mobilní zařízení do své ERA infrastrukturyJiž v průběhu instalace ESET Remote Administrator můžete prohledat vaši síť a najít počítače v síti. Nalezené počítačese následně zobrazí v ERA na záložce Počítače. Pokud v této části žádné počítače nevidíte, spusťte úlohusynchronizace statické skupiny.

Nasaďte na klienty ERA AgentaNa nalezené klienty nasaďte ERA Agenta. ERA Agent je důležitá součást, která zajišťuje komunikaci mezi ESETRemote Administrator a klienty.

Nainstalujte a aktivujte bezpečnostní produkt ESETPro zajištění ochrany klientů a vaší sítě nainstalujte bezpečnostní řešení ESET prostřednictvím úlohy Instalaceaplikace.

Vytvořte a upravte skupinyDoporučujeme seskupit klienty do skupin, statických nebo dynamických na základě mnoha kritérií. To vám usnadnísprávu klientů a pomůže vám udržet přehled o vaší síti.

http://help.eset.com/era_admin/63/cs-CZ/fs_opening_web_console.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html??fs_getting_to_know_web_console.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_post_installation_tasks.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?access_rights.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_using_ad_sync.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_agent_deploy.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_product_installation.htm


http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_add_comuters_to_groups.htm

9

Vytvořte novou politikuPolitiky představují účinný nástroj, pokud chcete na klientech vynutit specifickou konfiguraci bezpečnostníhoproduktu ESET. Pomocí politik nemusíte jednotlivé produkty ESET konfigurovat ručně, ale konfiguraci vynutítehromadně na všech klientech. Po vytvoření nové politiky s vlastní konfigurací ji můžete přiřadit skupině (statickénebo dynamické) a politika se aplikuje na všechny počítače v dané skupině.

Přiřaďte politiku skupiněJak je uvedeno výše, aby byly vytvořené politiky platné, je nutné ji přiřadit skupině. Politika se aplikuje na všechnypočítače ve vybrané skupině ve chvíli, kdy se ERA Agent připojí k ERA Serveru.

Nastavte si upozornění na důležité změny v sítí a vytvořte si vlastní přehledyPro zajištění dokonalého přehledu o klientských stanicích a stavu vaší sítě doporučujeme nastavit si upozornění nadůležité incidenty v síti. Tato upozornění si můžete nechat zasílat například na e-mail nebo si je zobrazit vpřehledech.

Poznámka: Doporučujeme nastavit vCenter Roles and Permissions ve VMware tak, aby ostatní uživatelé neměnilipřístup k ERA virtuálnímu stroji. Tím zabráníte neoprávněným zásahům do konfigurace ERA virtuálního stroje. Přístupk ESET Remote Administrator přidělíte jednotlivým uživatelům prostřednictvím ERA Web Console. Pro více informacío uživatelských oprávněních přejděte do této kapitoly.

4.1.1 ERA VAgentHost Appliance

Nasazení ERA VAgentHost Appliance prostřednictvím vSphere klienta

1. Připojte se prostřednictvím vSphere klienta přímo ke svému vCenter serveru (nepřipojujte se přímo v ESXiserveru).

2. V hlavním menu klikněte na File > Deploy OVF Template.

3. Klikněte na tlačítko Browse a vyberte ERA_VAgentHost.ova soubor stažený z webových stránek společnosti ESET aklikněte na Open.

4. Klikněte na tlačítko Next v části OVF Template Details.

5. Přečtěte si odsouhlaste licenční ujednání koncového uživatele (EULA).

6. Dále postupujte podle instrukcí na obrazovce a vyplňte následující informace týkající se nového virtuálníhoklienta:

Name and LocationHost/ClusterResource PoolStorageDisk FormatNetwork Mapping

7. V sekci Properties vyplňte níže uvedené položky (ostatní hodnoty jsou volitelné):

Hostname – název ERA VAgentHost appliance,Password – heslo pro přístup do ERA VM, které se zároveň nastaví jako root heslo v operačním systému CentOS,ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke které se má ERA VAgentHostpřipojovat,ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem nebo ERA proxy (standardně2222),Certification Authority - Base64 – vložte exportovaný veřejný klíč certifikační autority v Base64 formátu. Pro víceinformací přejděte do této kapitoly,Proxy Certificate - Base64 – vložte exportovaný certifikát proxy v Base64 formátu, Pro více informací přejděte dotéto kapitoly,Agent Certificate - Base64 – vložte exportovaný certifikát agenta v Base64 formátu, Pro více informací přejdětedo této kapitoly.

http://help.eset.com/era_admin/63/cs-CZ/index.html?fs_create_new_policy.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?admin_ntf_notifications

http://help.eset.com/era_admin/63/cs-CZ/index.html?reports.htm



http://www.eset.com/cz/stahnout/firmy/detail/family/259/

10

8. Po kliknutí na tlačítko Next se zobrazí souhrn konfigurace. Ujistěte se, že jste veškeré parametry nastavili správně.Později již nebude možné jednoduše je změnit. Kliknutím na tlačítko Finish spustíte proces vytvoření virtuálníhostroje.

11

9. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout.

4.2 VMware Workstation/Player

Nasazení ERA VA do VMware Workstation/Player

Před pokračováním se ujistěte, že používáte nejnovější verzi VMware Player. Síťový adaptér nastavte do režimuBridged nebo NAT.

Poznámka: Aby byl virtuální stroj s ERA dostupný z internetu musíte mít správně nastaven port forwarding narouteru.

1. V hlavním okně klikněte na Soubor > Otevřít virtuální počítač.

2. Vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET a klikněte na Otevřít.

3. Zadejte název nového virtuálního stroje, případně vyberte složku, do které chcete stroj uložit, a klikněte natlačítko Importovat.


5. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následujícíobrazovka



12

Na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to beperformed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svéhointernetového prohlížeče a zobrazte si webové rozhraní, prostřednictvím kterého proveďte prvotní konfiguraciappliance.

Poznámka: Abyste mohli provést prvotní konfiguraci ERA VA prostřednictvím webového rozhraní, je potřeba abyDHCP server přiřadil virtuálnímu počítači IP adresu. Pokud v síti nemáte DHCP server, můžete prostřednictvím .ovasouboru nasadit pouze ERA Server a bude nutné jej nakonfigurovat ručně.

4.3 Microsoft Hyper-V

Nasazení ERA VA do Microsoft Hyper-V

1. Rozbalte ERA_Appliance.vhd.zip soubor stažený z webových stránek společnosti ESET například prostřednictvím7-Zip.

2. Připojte se k Hyper-V.

3. Vytvořte nový virtuální stroj jako generaci 1, přiřaďte mu alespoň 4 jádra a 4 GB RAM a jako disk použijte stažený.vhd disk.

4. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následujícíobrazovka:

http://www.eset.com/cz/stahnout/firmy/detail/family/259/#offline,,,26,27,

http://www.eset.com/cz/stahnout/firmy/detail/family/259/#offline,,,26,27,

13




















14




4.4 Oracle VirtualBox

Nasazení ERA VA do VirtualBox

Před pokračováním se ujistěte, že používáte nejnovější verzi VirtualBox. Síťový adaptér nastavte do režimu Bridgednebo NAT.

Poznámka: Aby byl virtuální stroj s ERA dostupný z internetu musíte mít správně nastaven port forwarding narouteru.

1. V hlavním okně klikněte na Soubor vyberte možnostImportovat appliance.

2. Klikněte na tlačítko Procházet a vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET aklikněte na Otevřít.

3. Klikněte na tlačítko Další.

4. Prohlédněte si souhrnné nastavení virtuálního stroje a klikněte na tlačítko Importovat.


6. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následujícíobrazovka:






15




















16







17

5. Prvotní konfigurace ERA Virtual ApplianceERA VA můžete pohodlně nakonfigurovat prostřednictvím webového rozhraní. Abyste mohli provést prvotníkonfiguraci ERA VA prostřednictvím webového rozhraní, je potřeba aby DHCP server přiřadil virtuálnímu počítači IPadresu. Pokud v síti nemáte DHCP server, můžete prostřednictvím .ova souboru nasadit pouze ERA Server a budenutné jej nakonfigurovat ručně.

Nejprve vyberte z rozbalovacího menu typ appliance, kterou chcete nasadit, a následně proveďte prvotníkonfiguraci. Pro více informací postupujte podle níže uvedených kroků:

ERA Server Appliance

ERA Proxy Appliance

ERA MDM Appliance

5.1 ERA Server Appliance

V této kapitole uvádíme postup konfigurace Virtual Appliance jako ERA Server. Konfigurační stránka je rozdělena nadvě části Application a Networking properties. Abyste mohli pokračovat dále, je nutné vyplnit všechny povinnéparametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte čas při pozdějšíruční konfiguraci.

Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA Server.

Povinné položky pro konfiguraci ERA Server Appliance:

Password – toto heslo je důležité! Nastaví se jako root heslo v operačním systému CentOS, heslo do ERA databáze,ERA Web Console k výchozímu účtu Administrator a certifikační autoritě ERA.

18

Sice to není nutné, ale doporučujeme vyplnit také nepovinné parametry. Například vyplněním informací o připojenído domény si ušetříte čas při budou konfiguraci a bude vám rovnou fungovat synchronizace s Active Directory.

Dále můžete pomocí možnosti Enable HTTP forward proxy aktivovat Apache HTTP Proxy, komponentu která dokážedo cache ukládat aktualizační a instalační balíčky, čímž nahrazuje mirror. Tuto komponentu můžete aktivovat taképozději podle kroků uvedených ve FAQ.

Ujistěte se, že jste veškeré parametry nastavili správně. Později již nebude možné jednoduše změnit a akcidokončete kliknutím na tlačítko Submit.

Následně se zobrazí tato informace:

Poznámka: Tuto stránku neaktualizuje. Prohlížeč nebo záložku s touto stránku zavřete a vraťte zpět do konzoleERA VA.

Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace oserveru. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port, nakterém běží ERA Web Console ve formátu https://[nazev_nebo_ip_adresa_serveru]:8443.

19

Do internetového prohlížeče zadejte zobrazené údaje a přihlaste se do ERA Web Console. Pro více informací amožnostech, které konzole nabízí přejděte do uživatelské příručky popisující používání ESET Remote Administrator.

5.2 ERA Proxy Appliance

V této kapitole uvádíme postup konfigurace Virtual Appliance jako ERA Proxy. Konfigurační stránka je rozdělena nadvě části Application a Networking properties. Abyste mohli pokračovat dále, je nutné vyplnit všechny povinnéparametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte čas při pozdějšíruční konfiguraci.

Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA Proxy.

Povinné položky pro konfiguraci ERA Proxy Appliance:

Password – heslo pro přístup do virtuální počítače ERA komponenty, které se zároveň nastaví jako root heslo voperačním systému CentOS.

ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke kterému se má ERA MDM nebo ERAVAgentHost připojovat.

ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem nebo ERA proxy (standardně2222).

Certification authority Base64 – vložte exportovaný veřejný klíč certifikační autority v Base64 formátu. Pro víceinformací přejděte do této kapitoly.

Proxy Certificate Base64 – vložte exportovaný certifikát proxy v Base64 formátu, Pro více informací přejděte dotéto kapitoly.

Agent Certificate Base64 – vložte exportovaný certifikát agenta v Base64 formátu, Pro více informací přejděte dotéto kapitoly.

http://help.eset.com/era_install/6/cs-CZ/index.html?fs_opening_web_console.htm


20




Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace oproxy. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port. ERA Proxyje nyní připravena k použití.

21

5.3 ERA MDM Appliance

V této kapitole uvádíme postup konfigurace Virtual Appliance jako ERA MDM. Konfigurační stránka je rozdělena nadvě části Application a Networking properties. Abyste mohli pokračovat dále, je nutné vyplnit všechny povinnéparametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte čas při pozdějšíruční konfiguraci.

Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA MDM.

Povinné položky pro konfiguraci ERA MDM Appliance:

Password – heslo pro přístup do virtuální počítače ERA komponenty, které se zároveň nastaví jako root heslo voperačním systému CentOS.

ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke kterému se má ERA MDM nebo ERAVAgentHost připojovat.

ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem nebo ERA proxy (standardně2222).

Certification authority Base64 – vložte exportovaný veřejný klíč certifikační autority v Base64 formátu. Pro víceinformací přejděte do této kapitoly.

Proxy Certificate Base64 – vložte exportovaný certifikát proxy v Base64 formátu, Pro více informací přejděte dotéto kapitoly.

Agent Certificate Base64 – vložte exportovaný certifikát agenta v Base64 formátu, Pro více informací přejděte dotéto kapitoly.

22




Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace oMDM. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port, na kterémběží ERA MDM ve formátu https://[nazev_nebo_ip_adresa_serveru]:9980.

23

Do internetového prohlížeče zadejte zobrazené údaje a ověřte, že Mobile Device Connector běží. Pokud bylonasazení úspěšné, zobrazí se následující informace:

24

6. ERA certifikátyPři nasazování ERA virtuální appliance typu ERA Proxy, ERA MDM nebo ERA VAgentHost jsou vyžadovány ERAcertifikáty. Musíte již tedy mít rozběhaný ERA Server abyste mohli potřebné certifikáty vygenerovat, které jsoupoužívány pro šifrování komunikace mezi komponentami ERA infrastruktury.

Certifikáty v Base64 formátu si stáhnete prostřednictvím ERA Web Console. Pro jejich získání přejděte na záložku Administrace > Certifikáty, vyberte certifikát a následně možnost Exportovat jako Base64. Hash certifikátu si můžeterovnou zkopírovat nebo stáhnout do souboru pro pozdější použití.

Poznámka: Komponenty ERA infrastruktury nasazované jako virtuální appliance akceptují pouze certifikáty vBase64 formátu. Pokud používáte pro ověřování komunikace vlastní certifikáty a nemáte je v Base64, bude nutné jeexportovat v tomto formátu. Případně certifikáty můžete převést podle těchto kroků: http://linux.die.net/man/1/base64 nebo https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html. Příklad:

'cat ca.der | base64 > ca.base64.txt' a 'cat agent.pfx | base64 > agent.base64.txt'

http://help.eset.com/era_admin/63/cs-CZ/index.html?admin_certificates.htm

http://help.eset.com/era_admin/63/cs-CZ/index.html?admin_cert_peers.htm

http://linux.die.net/man/1/base64

http://linux.die.net/man/1/base64

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html

25

7. Ruční konfigurace ERA VARuční konfiguraci musíte provést v případě, kdy nemáte v síti DHCP server, který by stroji přidělit IP adresu. Upravtetedy konfigurační soubor ovf.xml podle svých představ. Pro úpravu konfigurace postupujte podle následujícíchkroků:

Poznámka: Tímto způsobem je možné nasadit pouze ERA Server.

Přejděte do režimu úprav stisknutím klávesy Enter, zadejte výchozí heslo eraadmin a opět stiskněte klávesuEnter.

Vyberte možnost Exit console akci potvrďte stisknutím klávesy Enter.

26

Do terminálu zadejte příkaz nano ovf.xml a potvrďte stisknutím klávesy Enter.

Prostřednictvím editoru nano upravte OVF šablonu serveru. Přímo v konfiguračním.

Poznámka: Vysvětlení jednotlivých parametrů naleznete přímo v konfigurační šabloně (anglicky). Níže uvádímevzorovou konfiguraci s připojením do domény a síťového adaptéru.

Zadejte Fully qualified hostname pro tento virtuální stroj.

Definujte heslo pro přístup do VM, databáze, certifikační autoritě a do Web Console.

Nastavte jazyk, ve kterém chcete zapsat data do databáze. Pro češtinu zadejte cs-CZ.

27

Zadejte Workgroup nebo NetBIOS jméno pro tento virtuální stroj.

Pokud chcete rovnou provést synchronizaci s Active Directory, zadejte doménu a další níže uvedenéparametry. V opačném případě ponechte tyto parametry prázdné.

Doménový řadič pro tento server – pokud DNS server nepřeloží název serveru, zadejte jako DNS server IPadresu doménového řadiče.

Administrátorský účet pro připojení do domény.

Heslo k účtu administrátora, pod kterým se připojujete do domény.

V případě potřeby zadejte rovnou název SNMP serveru, na který se budou zasílat SNMP trapy.

Rozhodněte se, zda chcete aktivovat Apache HTTP Proxy (True, False).

28

Pokud nepoužíváte DHCP, zadejte IP adresu, masku a bránu.

V případě DHCP specifikujte doménový server pro tento virtuální stroj (IP adresa) – doména z FQDN sepoužije pro krátký DNS název.

Volitelně zadejte alternativní doménový server pro tento virtuální stroj (IP adresa).

Pomocí kláves Ctrl+X ukončete editor nano. Při ukončení budete vyzváni k uložení změn. Změny uložtestisknutím klávesy Y. Pokud nechcete změny uložit, stiskněte klávesu N nebo Ctrl+C.

Pomocí klávesy Enter potvrďte uložení změn do ovf.xml souboru.

29

Appliance restartujte pomocí příkazu shutdown -r now.

Po spuštění appliance do internetového prohlížeče zadejte zobrazené údaje v konzoly a přihlaste se do ERA WebConsole. Pro více informací a možnostech, které konzole nabízí přejděte do uživatelské příručky popisující používáníESET Remote Administrator.

Poznámka: Pomocí příkazu ls si zobrazíte seznam užitečných souborů a skriptů:





30

Pokud se vám nedaří napojení do domény, podívejte se do souboru:help-with-domain.txt

Seznam souborů, které je nutné upravit při napojení do domény, naleznete v souboru:configure-domain.sh

Pro opětovný pokus o připojení ERA VA do domény spusťte skript:rejoin-domain.sh

Porty na firewallu povolíte prostřednictvím souboru:firewall-ports.sh

Instalační protokol ERA VA:appliance-configuration-log.txt

Pro více informací přejděte do kapitoly řešení problémů ERA VA.

31

8. Řešení problémůNa níže uvedených řádcích uvádíme seznam souborů, do kterých byste se měli podívat v případě, kdy řešíte nějakýproblém související s ERA VA.

Pokud proces nasazení ERA VA selhal, virtuální počítač nerestartujte a podívejte se do protokolu:/root/appliance-configuration-log.txt

Instalační protokol ERA Serveru:/var/log/eset/RemoteAdministrator/EraServerInstaller.log

Poznámka: Protokoly dalších ERA komponent naleznete ve stejném umístění. Pouze se liší název složky vzávislosti na komponentě.

Zkontrolujte trace protokoly ERA serveru:trace.log, status.html a last-error.html naleznete ve složce /var/log/eset/RemoteAdministrator/Server/

Poznámka: Protokoly dalších ERA komponent naleznete ve stejném umístění. Pouze se liší název složky vzávislosti na komponentě.

Výpisy o pádu procesu ERA serveru naleznete ve složce:/var/opt/eset/RemoteAdministrator/Server/Dumps/

Pokud jste konfigurovali appliance ručně přejděte do této kapitoly a ověřte, zda jste všechny parametry nastavilisprávně.

32

9. ERA Virtual Appliance FAQOtázka: Jak zjistím, jaké komponenty mám na ERA Virtual Appliance nainstalované a v jaké verzi?Odpověď: Seznam všech komponent včetně verze naleznete na úvodní obrazovce ERA VA. Informace naleznete takév detailech konkrétního počítače v ERA Web Console.

Otázka: Jak aktualizuji ERA Virtual Appliance na novou verzi?Odpověď: Pro aktualizaci všech komponent použijte klientskou úlohu Aktualizace součástí ESET RemoteAdministrator.

Otázka: Jak aktivuji Apache HTTP Proxy ve Virtual Appliance??Odpověď: Pokud jste Apache HTTP Proxy neaktivovali v průběhu nasazení appliance, můžete to provést kdykolipozději pomocí následujících kroků:

1.echo /opt/apache/bin/apachectl start >> /root/http-forward-proxy.sh

2.echo /opt/apache/bin/htcacheclean -d60 -i -p/var/cache/apache2 -l10000000000 >> /root/http-forward-proxy.sh

3.echo iptables -A INPUT -p tcp --dport 3128 -j ACCEPT >> /root/firewall-ports.sh

4.echo ip6tables -A INPUT -p tcp --dport 3128 -j ACCEPT >> /root/firewall-ports.sh

5.reboot

Po provedení těchto kroků nastartujete Apache HTTP Proxy a povolíte port 3128 ve firewallu. Následně vytvořteodpovídající politiku pro všechny ESET produkty / součásti ERA infrastruktury tak, aby komunikace těchtokomponent procházela do internetu prostřednictvím Apache HTTP Proxy. Pro více informací přejděte do ESETDatabáze znalostí.

Otázka: Jak nastavit LDAP pro synchronizaci statických skupin na ERA Virtual appliance?Odpověď: Pokud připojení do domény selže, obvykle je to chybně zadanými údaji v konfiguračním souboru Virtualappliance (ovf.xml). Pro více informací přejděte do Databáze znalostí.

Otázka: Mám problém s ESET Remote Administrator 6.x na Hyper-V Server 2012 R2. Po přihlášení do ERA WebConsole zobrazí virtuální stroj chybu "Unable to handle Kernel NULL pointer dereference at (null)".Odpověď: V nastavení virtuálního počítače deaktivujte dynamické přiřazování paměti.

http://help.eset.com/era_install/63/cs-CZ/index.html?client_tasks_upgrade_components.htm

http://help.eset.com/era_install/63/cs-CZ/index.html?client_tasks_upgrade_components.htm




33

Otázka: Je potřeba do ERA Virtual Appliance doinstalovat další komponenty?Odpověď: Ne, ERA Virtual Appliance je samostatný hotový produkt. Nasadíte jej a nakonfigurujete. Jedná se onejjednodušší a nejrychlejší cestu pro zprovoznění ESET Remote Administrator, pokud používáte podporovanýhypervizor.

Otázka: Jak změním parametry pro připojení do databáze?Odpověď: Parametry jsou definovány v souboru StartupConf iguration.ini, který naleznete ve složce /etc/opt/eset/RemoteAdministrator/Server.

Otázka: Zapomněl jsem heslo do ERA Virtual Appliance. Jak jej mohu obnovit?Odpověď: Nejprve nastartujte virtuální počítač v tzv. Single-User Mode, postupovat můžete podle tohoto návoduhttp://www.cyberciti.biz/faq/grub-boot-into-single-user-mode/. Následně můžete prostřednictvím shellu změnitheslo příkazem passwd. Případně heslo můžete získat ze souboru /etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini.

Otázka: Je možné uvést virtuální appliance do výchozí stavu, pokud se například nasazení nezdařilo, nebo je nutnéprovést nový deployment celého virtuálního stroje?Odpověď: ERA VA obnovíte do výchozí stavu spuštěním skriptu ./root/clear-previous-installation-helper.sh. Porestartování virtuálního počítače můžete provést novou konfiguraci opět prostřednictvím webového rozhraní.

Otázka: Mám ERA VA nasazenou na Hyper-V Serveru, ale ESET RD Sensor nedetekuje počítače. Co mám dělat?Odpověď: Aby ESET RD Sensor správně fungoval, musíte mít aktivovanou možnost falšování MAC adresy (MACaddress spoofing).

http://www.cyberciti.biz/faq/grub-boot-into-single-user-mode/

34

Otázka: Jak změním port, na kterém běží ERA Virtual Appliance?Odpověď: Změnu portů proveďte v následujících souborech a následně skript spusťte:/etc/tomcat6/server.xml

/root/firewall-ports.sh

Otázka: Provozuji ERA VA na Oracle VirtualBox, ale mám problémy se spouštěním virtuálního stroje a jeho stabilitou.Existuje nějaké řešení?Odpověď: Můžete zkusit upravit počet procesů, které má virtuální stroj přidělen. V nastavení virtuálního strojepřejděte na záložku Systém > Procesor a snižte počet procesů.

35

10. DNS servisní záznamNastavení DNS záznamu:

1. Na svém DNS serveru (DNS serveru na doménovém řadiči) přejděte na Ovládací panely > Nástroje pro správu.

2. Vyberte DNS.

3. Ve Správci DNS přejděte do větve Zóny dopředného vyhledávání a v části _tcp vytvořte nový záznam Umístěníslužby - Service Location (SRV).

4. Podle DNS pravidel použijte podtržítko ( _ ) v názvu služby (použijte unikátní záznam služby, například _era).

5. Do pole Protokol zadejte: _tcp.

6. Jako číslo portu zadejte port 2222. Pokud jste port měnili, zadejte vlastní hodnotu.

7. Do pole hostitel nabízející tuto službu zadejte plně specifikované doménové jméno počítače (FQDN), nakterém běží ERA Server.

8. Klikněte na tlačítko OK > Hotovo pro uložení záznamu – nově vytvořený záznam se zobrazí v seznamu.

Ověření DNS záznamu:

1. Přihlaste se na jakýkoli počítač v doméně a otevřete příkazový řádek (cmd.exe).

2. Zadejte příkaz nslookup a potvrďte klávesou Enter.

3. Zadejte příkaz set querytype=srv a potvrďte klávesou Enter.

4. Zadejte _era._tcp.domain.name a potvrďte klávesou Enter. Nyní by se měl zobrazit správný záznam.

Poznámka: Postup je stejný pro ERA běžící na Windows i Linuxu.

Poznámka: Pokud nainstalujete ESET Remote Administrator Server na jiný stroj, nezapomeňte změnit hodnotuhostitel nabízející tuto službu na nové plně specifikované doménové jméno počítače (FQDN).

Documents

ESET REMOTE ADMINISTRATOR 6download.eset.com/manuals/eset_era_63_era_deploy_va_csy.pdf · 2016-01-25 · 7 4. Proces nasazení ERA Appliance Vyberte si hypervizor a postupujte podle