ESET Remote Administrator

Transkript

ESET Remote Administrator - Installation and Upgrade Guide

ESET
REMOTE
ADMINISTRATOR 6
Instalační, aktualizační a migrační příručka
Klikněte sem pro stažení nejnovější verze příručky
Tato příručka je dostupná také v online podobě na portále help.eset.com
ESET REMOTE ADMINISTRATOR 6
Copyright 2016 ESET, spol. s r.o.
ESET Remote Administrator 6 byl vyvinut společností ESET, spol. s r.o.
Pro více informací navš tivte www.eset.cz.
Vš echna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným
prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného
povolení společnosti ESET, spol. s r.o.
ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této
publikaci bez předchozího upozornění.
Technická podpora: www.eset.cz/podpora
REV. 12.10.2016
Obsah
3.3.1.1
Předpoklady
..................................................................................71
pro instalaci ERA Serveru na Windows
1. Instalace/Aktualizace
.......................................................5
3.3.2
Požadavky
..............................................................................72
na Microsoft SQL Server
1.1 Funkce
....................................................................................................5
3.3.3
Instalace
..............................................................................72
a konfigurace MySQL
3.3.4
Vlastní
..............................................................................73
databázový uživatel
Instalace
..............................................................................73
ERA Agenta na Windows
1.2 Architektura
....................................................................................................6
1.2.1
ERA Server
..............................................................................7
3.3.5
1.2.2
ERA Web
..............................................................................8
Console
3.3.5.1
Asistovaná
..................................................................................74
instalace ERA Agenta
1.2.3
ERA Agent
..............................................................................9
3.3.5.2
Offline
..................................................................................74
instalace ERA Agenta
1.2.4
ERA Proxy
..............................................................................9
3.3.5.3
Odinstalace
..................................................................................74
ERA Agenta
1.2.4.1
Kdy
..................................................................................10
se vyplatí použít ERA Proxy?
3.3.6
Instalace
..............................................................................75
ERA Web Console na Windows
1.2.5
ESET Rogue
..............................................................................11
Detection Sensor
3.3.7
Instalace
..............................................................................75
ERA Proxy na Windows
1.2.6
ESET Mobile
..............................................................................12
Device Connector
3.3.7.1
Předpoklady
..................................................................................76
pro instalaci ERA Proxy na Windows
1.2.7
Apache
..............................................................................12
HTTP Proxy
3.3.8
Instalace
..............................................................................76
ESET RD Sensor na Windows
3.3.8.1
Požadavky
..................................................................................77
pro instalaci ESET RD Sensor na Windows
3.3.9
Instalace
..............................................................................77
Mobile Device Connector
3.3.9.1
Předpoklady pro instalaci Mobile Device Connector
na..................................................................................78
Windows
3.3.9.2
Aktivace
..................................................................................80
3.3.9.3
Licencování
..................................................................................80
iOS zařízení
3.3.9.4
Požadavky
..................................................................................81
na HTTPS certifikát
1.3 Scénáře
....................................................................................................14
nasazení
1.3.1
Jeden
..............................................................................15
server (malá firma)
1.3.2
Firma..............................................................................16
se vzdálenými pobočkami
1.3.3
Enterprise
..............................................................................17
prostředí
1.3.4
Příklady
..............................................................................18
vzorového nasazení (Windows)
1.3.5
Rozdíl mezi Apache HTTP Proxy, Mirror Toolem a
přímou
..............................................................................20
konektivitou do internetu
1.3.5.1
Kdy
..................................................................................21
se vyplatí používat Apache HTTP Proxy?
1.3.5.2
Kdy
..................................................................................21
se vyplatí používat Mirror Tool?
1.4 Škálovatelnost
....................................................................................................22
ERA infrastruktury
1.5 Podporované
....................................................................................................23
produkty a jazyky
........................................................................81
certifikátu pro MDM
3.3.9.4.1 Import HTTPS
3.3.10
Instalace
..............................................................................83
Apache HTTP Proxy na Windows
3.3.11
Mirror
..............................................................................86
tool
3.4 Komponenty
....................................................................................................88
instalované na Linux
3.4.1
Instalace
..............................................................................88
na Linux krok za krokem
1.6 Srovnání
....................................................................................................24
s ERA 5
3.4.2
Instalace
..............................................................................89
a konfigurace MySQL
2. Systémové
.......................................................26
požadavky
3.4.3
Konfigurace
..............................................................................90
ODBC ovladače
3.4.4
Instalace
..............................................................................90
ERA Server na Linuxu
3.4.4.1
Předpoklady
..................................................................................92
pro instalaci ERA Serveru na Linuxu
3.4.5
Instalace
..............................................................................94
ERA Agenta na Linuxu
3.4.5.1
Předpoklady
..................................................................................95
pro instalaci ERA Agenta na Linuxu
3.4.6
Instalace
..............................................................................95
ERA Web Console na Linuxu
3.4.6.1
Předpoklady
..................................................................................96
pro instalaci ERA Web Console na Linuxu
3.4.7
Instalace
..............................................................................96
ERA Proxy na Linuxu
2.1 Podporované
....................................................................................................26
operační systémy
2.1.1
Windows
..............................................................................26
2.1.2
Linux..............................................................................28
2.1.3
OS X ..............................................................................29
2.2 Podporovaná Desktop Provisioning
....................................................................................................29
prostředí
2.3 Hardware
....................................................................................................30
3.4.7.1
Předpoklady
..................................................................................98
pro instalaci ERA Proxy na Linuxu
2.4 Databáze
....................................................................................................30
3.4.8
Požadavky
..............................................................................98
pro instalaci ESET RD Sensor na Linux
2.5 Podporované
....................................................................................................31
verze Apache Tomcat
3.4.9
Instalace
..............................................................................99
Mobile Device Connector na Linuxu
2.6 Podporované
....................................................................................................31
internetové prohlížeče
3.4.9.1
Předpoklady pro instalaci Mobile Device Connector
na
..................................................................................100
Linuxu
3.4.10
Instalace
..............................................................................101
Apache HTTP Proxy na Linuxu
3.4.11
Instalace
..............................................................................103
Squid HTTP Proxy na Ubuntu Server 14.10
3.4.12
Mirror
..............................................................................104
tool
3.4.13
Failover
..............................................................................106
Cluster - Linux
3.4.14
Jak aktualizovat, přeinstalovat nebo odinstalovat ERA
komponenty
..............................................................................108
na Linuxu
2.7 Síť....................................................................................................31
2.8 Používané
....................................................................................................31
porty
3. Instalace
.......................................................33
3.1 Instalace
....................................................................................................34
na Windows
3.1.1
Instalace
..............................................................................35
ERA serveru pomocí all-in-one balíčku
3.1.2
Instalace
..............................................................................42
ERA Proxy pomocí all-in-one balíčku
3.1.3
Instalace
..............................................................................47
ERA Mobile Device Connector
3.1.4
Instalace
..............................................................................50
na Windows SBS / Essentials
3.1.5
Vlastní
..............................................................................53
certifikáty
3.1.6
Odinstalace
..............................................................................64
komponent
3.1.7
Failover
..............................................................................65
Cluster - Windows
3.2 Instalace
....................................................................................................66
na Microsoft Azure
3.3 Komponenty
....................................................................................................66
instalované na Windows
3.3.1
Instalace
..............................................................................68
ERA Server na Windows
3.5 Komponenty
....................................................................................................108
instalované na OS X
3.5.1
Instalace
..............................................................................108
ERA Agenta na OS X
3.6 Databáze
....................................................................................................109
3.6.1
Záloha
..............................................................................109
ERA databáze
3.6.2
Aktualizace
..............................................................................110
databázového serveru
3.6.3
Migrace
..............................................................................110
ERA databáze
3.6.3.1
Proces
..................................................................................110
migrace SQL serveru
3.6.3.2
Proces
..................................................................................119
migrace MySQL serveru
3.7 ISO
....................................................................................................119
obraz
3.8 DNS
....................................................................................................120
servisní záznam
3.9 Instalace
....................................................................................................120
ERA v offline prostředí
4. Aktualizace,
.......................................................122
přeinstalace a migrace
4.1 Aktualizace
....................................................................................................122
ERA komponent
4.1.1
Aktualizace
..............................................................................125
ERA komponent v offline prostředí
4.1.2
Aktualizace
..............................................................................125
bezpečnostního produktu
4.2 Migrace
....................................................................................................126
z ERA 4/5
4.2.1
1. scénář:
..............................................................................128
migrace ze starého serveru na nový
4.2.2
2. scénář:
..............................................................................130
migrace v rámci jednoho serveru
4.2.3
3. scénář: současný běh ERA 4/5 a ERA6 na jednom
serveru
..............................................................................133
4.3 Migrace
....................................................................................................136
ze starého serveru na nový
4.3.1
Čistá
..............................................................................137
instalace – stejná IP adresa
4.3.2
Čistá
..............................................................................137
instalace – odlišná IP adresa
4.3.3
Migrace
..............................................................................138
databáze – stejná IP adresa
4.3.4
Migrace
..............................................................................139
databáze – odlišná IP adresa
4.3.5
Odinstalace
..............................................................................140
ERA serveru
4.4 Aktualizace
....................................................................................................140
Apache HTTP Proxy
4.4.1
Aktualizace Apache HTTP Proxy na Windows pomocí
all-in-one
..............................................................................140
instalačního balíčku
4.4.2
Ruční
..............................................................................142
aktualizace Apache HTTP Proxy na Windows
4.5 Aktualizace
....................................................................................................143
Apache Tomcat
4.5.1
Aktualizace Apache Tomcat na Windows pomocí
all-in-one
..............................................................................143
instalačního balíčku
4.5.2
Ruční
..............................................................................144
aktualizace Apache Tomcat na Windows
4.5.3
Aktualizace
..............................................................................145
Apache Tomcat na Linuxu
4.6 Změna názvu nebo IP adresy ERA
....................................................................................................146
Serveru
5. Prvotní
.......................................................147
kroky
5.1 Otevření
....................................................................................................148
ERA Web Console
5.2 Interval připojení ERA Agenta /
replikace
....................................................................................................149
dat
6. Řešení
.......................................................151
problémů
6.1 Nejčastější
....................................................................................................151
instalační problémy
6.2 Protokoly
....................................................................................................154
6.3 Diagnostický
....................................................................................................156
nástroj
6.4 Problém po aktualizaci/migraci ERA
serveru
....................................................................................................158
6.5 Protokolování
....................................................................................................159
MSI
7. ESET
.......................................................160
Remote Administrator API
8. FAQ.......................................................161
9. End-User
.......................................................165
License Agreement (EULA)
1. Instalace/Aktualizace
ESET Remote Administrator (ERA) je aplikace, která umožňuje spravovat bezpečnostní produkty ESET na stanicích,
serverech i mobilních zařízeních z jednoho centrálního místa v síti. Prostřednictvím ESET Remote Administrator
můžete vzdáleně instalovat bezpečnostní řešení ESET na zařízení, spravovat jejich konfiguraci a rychle reagovat na
nové problémy a hrozby v síti.
ESET Remote Administrator neposkytuje ochranu proti škodlivému kódu, tu zajišťuje bezpečnostní produkt ESET
nainstalovaný na cílovém zařízení. V závislosti na platformě se může jednat například o ESET Endpoint Security nebo
ESET File Security pro Microsoft Windows Server.
ESET Remote Administrator 6 je založen na těchto principech:
1. Centrální správa – celou vaši síť můžete konfigurovat i sledovat z jednoho místa,
2. Škálovatelnost – systém můžete nasadit v malých sítích stejně tak je navržen pro běh ve velkých podnikových
prostředích. Snadno jej upravíte vaší rostoucí infrastruktuře.
ESET Remote Administrator podporuje novou generaci bezpečnostních produktů ESET, ale poskytuje také částečnou
zpětnou kompatibilitu pro starší verze produktů.
Poznámka: Tato příručka popisuje veškeré možnosti instalace a obsahuje scénáře pro enterprise prostředí. Pro
SMB, sítě do 250 stanic na platformě Windows, máme připravenou zjednodušenou verzi instalační příručky.
Nápověda ESET Remote Administrator vás seznámí s produktem. Doporučujeme vám nejprve prostudovat níže
uvedené kapitoly a seznámit se s nejčastěji používanými součástmi ESET Remote Administrator:
·
·
·
·
·
·
·
·
Architektura ESET Remote Administrator
Migrační nástroj
Instalace a nasazení ERA Agenta
ESET License Administrator
Nasazení ERA Agenta prostřednictvím GPO nebo SCCM
První kroky po instalaci ESET Remote Administrator
Průvodce nastavením
Administrace
1.1 Funkce
ESET Remote Administrator ve verzi 6 přináší ve srovnání s verzí 5 mnoho vylepšení. Mezi nejdůležitější patří:
· Nezávislost na platformě – ERA Server můžete provozovat na Windows i Linuxu.
· Průvodce nastavením je součástí ERA Web Console a provede vás prvotním nastavením.
· Webová konzole se stala hlavním uživatelským rozhraním pro ovládání ESET Remote Administrator. Pro přístup k ní
potřebujete pouze internetový prohlížeč – dostupná je odkudkoli a z libovolného zařízení.
· Správa licence – ESET Remote Administrator 6 stejně jako nové produkty ESET využívá nový licenční systém a každý
produkt musí být aktivován. Pro více informací přejděte do kapitoly Správa licence nebo online příručky ESET
License Administrator.
· Nástěnka je součástí ERA Web Console a na jednom místě vám poskytujete detailní informace o stavu vaší sítě. V
části Administrace naleznete všechny důležité nástroje pro vzdálenou správu bezpečnostních produktů ESET.
· ERA Agent – zajišťuje komunikaci mezi počítačem a serverem, musí tedy být nainstalován na každém počítači,
který chcete vzdáleně spravovat.
· Oznámení – nechte si zasílat upozornění na důležité události v síti nebo využijte přehledy pro získání detailních
informací o své síti.
ESET Remote Administrator ve verzi 6.4 přináší tyto novinky:
5
· Průvodce prvotním spuštěním
· Vylepšený proces nasazení Improved deployment process allows you to deploy ERA Agent and ESET endpoint at
·
·
·
·
the same time
Přepracován systém registrace mobilních zařízení
Přidána možnost importovat data z CSV souboru
Grafické změny v all-in-one instalačním balíčku
ERA virtuální appliance běží na operačním systému CentOS 7
1.2 Architektura
ESET Remote Administrator 6, nová generace produktu pro vzdálenou správu bezpečnostních produktů ESET, je zcela
odlišný od předchozí verze 5. Z důvodu odlišné architektury neexistuje zpětná kompatibilita se starým ESET Remote
Administrator, ovšem částečně je možné starší klientské produkty ESET prostřednictvím nové konzole spravovat.
Nové nejsou pouze produkty, ale také licenční systém.
Pro úspěšné nasazení bezpečnostního produktu ESET na platformě Windows i Linux je potřeba nainstalovat tyto
komponenty:
· ERA Server
· ERA Web Console
· ERA Agent
Následující komponenty jsou volitelné, ale ve velkých sítích je doporučujeme nainstalovat pro dosažení
maximálního výkonu:
·
·
·
·
·
6
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
1.2.1 ERA Server
ESET Remote Administrator Server (ERAS) je výkonná součást celé infrastruktury, která zpracovává veškerá data od
klientů připojených k serveru. Přenos dat z klienta na ERA Server zajišťuje ERA Agent, případně agregovaně ERA
Proxy. Pro úspěšné zpracování dat vyžaduje ERA Server stálé připojení do databáze, ve které jsou data uchovávána.
Pro zajištění maximálního výkonu doporučujeme ERA Server a databázový server instalovat na rozdílné stroje.
7
1.2.2 ERA Web Console
ERA Web Console je webové rozhraní určené pro vzdálenou správu bezpečnostních produktů ESET ve vaší síti.
Poskytuje přehled o všech klientech v síti a umožňuje vzdáleně nasadit bezpečnostní řešení ESET na počítače, které
zatím nejsou z ERA Web Console spravovány. ERA Web Console otevřete v jakémkoli z podporovaných
internetových prohlížečů. Pokud máte webový server dostupný z internetu, můžete ESET Remote Administrator
spravovat prakticky odkudkoli z libovolného zařízení s internetovým prohlížečem.
8
1.2.3 ERA Agent
ERA Agent je nezbytnou součástí ESET Remote Administrator. Klienti nekomunikují s ERA Serverem přímo, ale
výměnu dat zajišťuje ERA Agent. ERA Agent sbírá informace z klienta a odesílá je na ERA Server, a naopak přijímá
úlohy, které ERA Server odeslal klientovi – ty jsou odeslány ERA Agentovi, který je předá klientovi.
Pro zjednodušení nasazení a správy bezpečnostních produktů na klientských stanicích je ERA Agent součástí ESET
Remote Administrator od verze 6. Jedná se o velmi modulární a nezatěžující službu zajišťující veškerou komunikaci
mezi ERA Serverem a koncovým produktem ESET, případně operačním systémem. Počítače, na kterých je
nainstalován ERA Agent, rozpoznáte v ERA Web Console podle příznaku 'spravován'. ERA Agenta můžete
nainstalovat na jakýkoli počítač bez ohledu na to, zda je na něm nainstalován bezpečnostní produkt ESET.
Výhody tohoto řešení:
· Jednoduché nasazení – ERA Agenta můžete nasadit na stanice stejně jako jakýkoli jiný software,
· On-place security management – předdefinováním bezpečnostních scénářů snížíte reakční dobu při výskytu
hrozeb,
· Off-line security management – ERA Agent reaguje dynamicky na změny bezpečnostního stavu bez nutnosti
kontaktování ERA Serveru.
1.2.4 ERA Proxy
ERA Proxy představuje odlehčenou verzi ERA Serveru. Tento typ serveru je vhodné použít pro zajištění vysoké
škálovatelnosti celé ERA infrastruktury. ERA Proxy shromažďuje data, která odesílají ERA Agenti z jednotlivých
klientských stanic, zabalí je a následně hromadně přepošle na ERA Server. Tím ušetříte nejen síťový provoz, ale počet
dotazů do databáze. ERA Proxy je možné připojit k další ERA Proxy, která je až následně připojena k ERA Serveru. Vše
záleží na konfiguraci vaší sítě.
Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
ERA Proxy zajišťuje pasivní distribuci konfigurace (skupin, politik, úloh atp.) jednotlivým agentům. Přeposílání
těchto dat je zajišťováno automaticky bez účasti ERA Serveru.
9
ERA Proxy, včetně jejich komponent, je možné konfigurovat výhradně prostřednictvím politik z ERA Serveru. To
znamená, že na stanici s ERA Proxy musí být nainstalovaný ERA Agent, který zajistí úspěšné doručení konfigurace z
ERA Serveru všem komponentám ERA Proxy.
Poznámka: Pro správnou funkci ERA Proxy musí být na počítači kromě ERA Proxy nainstalován také ERA Agent
připojený k ERA Serveru nebo nadřazené ERA Proxy.
ERA Proxy je vhodné použít v následujících případech:
· Ve středně velkých a korporátních sítích (s počtem klientů více než 10 000) díky ERA Proxy snížíte síťový provoz k
hlavnímu ERA Serveru. Klienti, resp. ERA Agenti z klientských stanic nebudou komunikovat přímo s ERA Serverem,
ale nadřazenou ERA Proxy, která zabalí shromážděné požadavky a odešle je na ERA Server.
· Využít ERA Proxy můžete také v případě, kdy má firma více poboček. Zvýšíte tím propustnost sítě, což oceníte
především u vzdálených poboček s pomalým připojením k internetu.
Poznámka: Typický scénář nasazení ERA Proxy naleznete v této kapitole.
1.2.4.1 Kdy se vyplatí použít ERA Proxy?
ERA Proxy doporučujeme do vaší sítě nasadit v následujících případech:
· Pokud jste o velkou podnikovou síť s tisíci klienty.
· Pokud má vaše firma vzdálené pobočky.
V obou případech použitím proxy zajistíte agregaci komunikace mezi ERA Agenty a ERA Serverem, čímž snížíte
zatížení na síťový provoz a zvýšíte výkon ERA Serveru. Další informace naleznete ve kapitole scénáře nasazení.
10
1.2.5 ESET Rogue Detection Sensor
Rogue Detection Sensor (RD Sensor) je nástroj, který vyhledává zařízení v síti. RD Sensor je součást ESET Remote
Administrator navržená pro zjišťování zařízení v síti. Představuje pohodlný způsob pro přidání nových počítačů do
ESET Remote Administrator bez nutnosti jejich ručního zadávání. Každé nalezené zařízení v síti zobrazí ERA Web
Console v přehledu Nalezené počítače, odkud můžete zařízení následně přidat do konzole.
RD Sensor pasivně naslouchá a informace o nalezených zařízeních odesílá na ERA Server. ERA Server následně
vyhodnotí, zda je nalezené zařízení neznámé nebo je již spravováno.
Každé zařízení v síti (doméně, LDAP, síti Windows) je přidáno do seznamu zařízení ERA Serveru automaticky
prostřednictvím synchronizační úlohy. RD Sensor představuje vhodný způsob pro nalezení počítačů, které nejsou v
doméně či jiné síťové infrastruktuře, a chcete je přidat do ERA. RD Sensor si pamatuje počítače, které již objevil a
neodesílá duplicitní informace.
11
1.2.6 ESET Mobile Device Connector
ESET Mobile Device Connector je součást ERA infrastruktury, prostřednictvím které připojíte Android a iOS zařízení
do ESET Remote Administrator. V případě iOS zařízení jde o instalaci nativního MDM profilu, na OS Android je
potřeba pro vzdálenou správu nainstalovat aplikaci ESET Endpoint Security pro Android.
1.2.7 Apache HTTP Proxy
Apache HTTP Server je nakonfigurován jako forward proxy s aktivní cache. HTTP proxy do cache ukládá aktualizace
virové databáze i instalační balíčky a nahrazuje komponentu mirror z dřívější verze ESET Remote Administrator.
Výhody Apache HTTP Proxy jsou následující:
· Do cache dokáže ukládat
- aktualizace virové databáze,
- aktivační úlohy (do cache se ukládá komunikace s aktivačními servery – žádosti o získání licence),
- data v ERA repozitáři,
- aktualizace programových komponent,
a distribuovat je klientům ve vaší síti.
· Minimalizuje množství dat stažených z internetu.
· Ve srovnání s Mirror toolem, který stahuje všechna data z aktualizačních serverů ESET, Apache HTTP Proxy do cache
ukládá výhradně data, která jsou potřeba (vyžádali si je komponenty ERA nebo bezpečnostní produkty ESET).
Pokud bezpečnostní produkt ESET začne stahovat aktualizaci virové databáze, Apache HTTP Proxy stahovaný
soubor ze aktualizační serverů ESET uloží do své cache. Až se začne aktualizovat produkt ESET na další stanici,
aktualizaci obdrží z cache a nebude ji stahovat znovu z internetu.
Níže uvedené schéma demonstruje použití proxy serveru (Apache HTTP Proxy) pro distribuci ESET komunikace
jednotlivým komponentám ERA a bezpečnostním produktů ESET ve vaší síti.
12
Upozorňujeme, že ERA Proxy a Apache HTTP Proxy jsou dva rozdílné produkty. ERA Proxy agreguje data od ERA
Agentů a přeposílá je hromadně do ERA Server. Na obrázku níže je znázorně použití ERA Proxy ve vzdálené lokalitě,
které se připojuje k ERA Serveru v centrále (HQ), kde běží Apache HTTP Proxy.
Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
Využití proxy chain můžete Apache HTTP Proxy připojit k nadřazené proxy. Mějte na paměti, že ERA nepodporuje
proxy chaining s aktivní autentifikací. Kdykoli můžete použít vlastní transparentní proxy – nicméně v tomto případě
bude pravděpodobně nutné upravit její konfiguraci.
13
Poznámka: Pro stahování aktualizací virové databáze v offline prostředí použijte Mirror tool, který můžete
provozovat na Windows a Linuxu.
1.3 Scénáře nasazení
V následujících kapitolách si ukážeme vzorové nasazení ESET Remote Administrator v rozdílných síťových prostředích.
Doporučený scénář pro nasazení ESET Remote Administrator
Počet klientů
1000 5000
klientů
5000 - 10 000 10 000 - 50 50 000 - 100
klientů
000 klientů 000 klientů
100 000+
klientů**
ERA Server a databázový server na OK
stejném stroji
Použití MS SQL Express
OK
OK
OK
Ne
Ne
Ne
OK
OK
Ne
Ne
Ne
Použití MS SQL
OK
OK
OK
OK
OK
OK
Použití MySQL
OK
OK
OK
Ne
Ne
Ne
Použití ERA Virtual Appliance
OK
OK
Ne
Ne
Použití virtuální appliance
OK
OK
Není
Ne
doporučeno
OK
Volitelné
Ne
Ne
Použití ERA Proxy
Volitelné
Volitelné Volitelné
Volitelné
Doporučený interval replikace v
60 sekund* 5 minut 20 minut
průběhu prvotního nasazení
Doporučený interval replikace pro 20 minut 20 minut 20 minut
standardní provoz
20 minut
Ano (jedna
ERA Proxy na
20.000
klientů)
20 minut
Ano (jedna
ERA Proxy na
20.000
klientů)
20 minut
14
Do 1000
klientů
60 minut
60 minut
240 minut
(agent-proxy) (agent***
proxy)***
* Výchozí interval replikace ERA Agenta. Pro jeho změnu přejděte do této kapitoly.
** Doporučené požadavky na hardware naleznete v této kapitole.
*** Doporučený interval replikace mezi ERA Proxy a ERA Agent.
Další informace naleznete v těchto kapitolách:
· Jeden server (malá firma)
· Vzdálené pobočky s proxy
· Enterprise prostředí
1.3.1 Jeden server (malá firma)
Pro správu malých sítí (1000 klientů a méně) postačí nainstalovat ERA Server a všechny související komponenty
(webový server, databázový server atp.) na jeden stroj. Všichni spravovaní klienti jsou k ERA Serveru připojení
prostřednictvím ERA Agenta. Administrátor si může zobrazit ERA Web Console zobrazit z libovolného z
podporovaných internetových prohlížečů z jakéhokoli zařízení v síti nebo otevřením ERA Web Console přímo na ERA
Serveru.
Doporučený scénář pro nasazení v SMB prostředí
Počet klientů
Do 1000
klientů
ERA Server a databázový server na
stejném stroji
OK
Použití MS SQL
OK
Použití MySQL
OK
OK
15
Počet klientů
Do 1000
klientů
OK
OK
Použití ERA Proxy
Volitelné
Doporučený interval replikace pro
standardní provoz
60 sekund*
20 minut
1.3.2 Firma se vzdálenými pobočkami
Pro středně velké sítě (10 000 klientů a více) je pro snížení síťového provozu k dispozici ERA Proxy. ERA Agenti jsou v
tomto případě připojeni k ERA Proxy, která zpracovává veškerou komunikaci mezi vzdálenými ERA Agenty a ERA
Serverem. Toto řešení je vhodné v případě, kdy máte vzdálené pobočky, které nemají rychlé připojení k internetu.
Stále máte možnost připojit vzdálené ERA Agenty přímo v hlavnímu serveru.
Doporučený scénář pro nasazení ve středně velkých prostředích
Počet klientů
1000 - 5000 5000 - 10 000
klientů
klientů
10 000 - 50 000
klientů
stejném stroji
OK
OK
Ne
OK
OK
Ne
Použití MS SQL
OK
OK
OK
Použití MySQL
OK
OK
Ne
OK
Není
doporučeno
Ne
16
Počet klientů
1000 - 5000 5000 - 10 000
klientů
klientů
10 000 - 50 000
klientů
OK
OK
Volitelné
Použití ERA Proxy
Volitelné
Volitelné
Volitelné
standardní provoz
5 minut
20 minut
20 minut
20 minut
20 minut
60 minut
1.3.3 Enterprise prostředí
Ve velkých enterprise prostředích (100 000 klientů a více) doporučujeme nainstalovat další komponenty ERA. Jedním
z nich je RD Sensor, který vám pomůže s nalezením počítačů v síti. Další součástí jsou ERA Proxy, které snižují zatížení
sítě – velké množství klientů se nepřipojuje přímo v ERA Serveru, ale právě prostřednictvím ERA Proxy. Stále můžete
mít klienty, kteří se mohou připojovat přímo k hlavnímu serveru. SQL databáze může být v tomto případě nasazena
na failover cluster pro zajištění redundance.
17
Doporučený scénář pro nasazení v enterprise prostředí
Počet klientů
50 000 - 100 000 100 000+
klientů
klientů**
stejném stroji
Ne
Ne
Ne
Ne
Použití MS SQL
OK
OK
Použití MySQL
Ne
Ne
Ne
Ne
Ne
Ne
Použití ERA Proxy
Ano (jedna ERA Ano (jedna ERA
Proxy na 20.000 Proxy na 20.000
klientů)
klientů)
20 minut
standardní provoz
60 minut (agent- 240 minut
proxy)***
(agent-proxy)
***
20 minut
* Doporučený interval replikace mezi ERA Proxy a ERA Agentem.
1.3.4 Příklady vzorového nasazení (Windows)
Pro zajištění maximálního výkonu doporučujeme pro databázi ESET Remote Administrator použít Microsoft SQL
Server. ESET Remote Administrator je rovněž kompatibilní s MySQL, ale při velkém množství data (klientů, nástěnek,
hrozeb atp.) může docházet ke snížení výkonu. Na stejném hardware Microsoft SQL Server databáze pojme 10krát
více klientů než MySQL.
Z diagnostických důvodů se v databázi uchovává posledních 30 protokolů z klienta. Microsoft SQL Server využívá
velké množství RAM pro cache dat databáze, proto doporučujeme mít alespoň tolik paměti, kolik Microsoft SQL
Server databáze zabírá na disku.
Neexistuje žádný přesný výpočet na zjištění, jaké množství dat si ESET Remote Administrator alokuje, protože to
závisí na konfiguraci sítě. Níže uvádíme výsledky testů z běžných síťových prostředí:
· Testovací scénář – maximálně 5 000 klientů připojujících se k ERA Serveru
· Testovací scénář – maximálně 100 000 klientů připojujících se k ERA Serveru
Pro zajištění optimální konfigurace vyhovující vašim potřebám, doporučujeme provést test s malým počtem
klientům na slabším hardware. Na základě naměřených dat následně zjistíte potřebné systémové požadavky.
TESTOVACÍ SCÉNÁŘ (5 000 KLIENTŮ)
Hardware/software
·
·
·
·
·
18
Windows Server 2003 R2, x86 architektura procesoru
Microsoft SQL Server Express 2008 R2
Intel Core2Duo E8400 @3 GHz
3 GB RAM
Seagate Barracuda 7200rpm, 500GB, 16MB cache, Sata 3.0 Gb/s
Výsledek
· Odezva ERA Web Console je do 5 sekund
· Průměrná spotřeba paměti:
o Apache Tomcat 200 MB
o ERA Server 200 MB
o SQL Server 2 GB
· Výkon replikace serveru: 10 replikací za sekundu
· Velikost databáze na disku 2 GB (5 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto případě byl použit SQL Server Express 2008 R2. Navzdory omezením (10GB databáze, 1CPU a využití 1GB
RAM) byla tato konfigurace funkční a dostatečný výkonná. Použití SQL Server Express je doporučeno pro servery, ke
kterým se bude připojovat nejvýše 5 000 klientů. Nejprve můžete použít Microsoft SQL Server Express a provést
upgrade plnou verzi Microsoft SQL Server v případě, že budete potřebovat větší databázi. Mějte na paměti, že starší
verze Microsoft SQL Server Express (<2008 R2) mají limit databáze na 4GB.
Výkon replikace serveru představuje interval replikace klientů. 10 replikací za sekundu představuje výkon 600
replikací za minutu. V ideálním případě by měl být interval replikace při 5 000 klientech nastaven na 8 minut. Jelikož
to může způsobit 100% vytížení serveru, je potřeba nastavit delší interval. V tomto případě doporučujeme interval
nastavit na 20-30 minut.
TESTOVACÍ SCÉNÁŘ (100 000 KLIENTŮ)
Hardware/software
·
·
·
·
·
·
Windows Server 2012 R2 Datacenter, x64 architektura procesoru
Microsoft SQL Server 2012
Intel Xeon E5-2650v2 @2.60GHz
64 GB RAM
Síťový adaptér Intel NIC/PRO/1000 PT Dual
2x Micron RealSSD C400 256GB SSD disky (jeden pro systém a aplikace, druhý pro datové soubory SQL Serveru)
Výsledek
Odezva ERA Web Console je do 30 sekund
· Průměrná spotřeba paměti:
o Apache Tomcat 1 GB
o ERA Server 2 GB
o SQL Server 10 GB
· Výkon replikace serveru: 80 replikací za sekundu
· Velikost databáze na disku 10 GB (100 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto případě byly nainstalovány všechny komponenty (Apache Tomcat + Web Console, ERA Server, SQL Server)
na jeden stroj pro otestování kapacity ERA Serveru.
Velké množství klientů povede k většímu využití paměti i pevného disku ze strany Microsoft SQL Server. Pro
optimální výkon SQL Server do cache v paměti načítá celou databázi. To samé platí pro cache Apache Tomcat (ERA
Web Console) a ERA Serveru – to vysvětluje velkou spotřebu paměti v tomto příkladu.
Výkon ERA Serveru je v tomto případě 80 replikací za sekundu, resp. 288 000 za hodinu. V ideálním případě by měl
být interval replikace při 100 000 klientech nastaven na přibližně 30 minut, což představuje vytížení 200 000 replikací
za hodinu. Jelikož to může způsobit 100% vytížení serveru, doporučujeme nastavit interval replikace na 1 hodinu, což
představuje vytížení 100 000 replikací za hodinu.
Využití sítě závisí na množství protokolů získaných z klientů. V tomto testu se jednalo o 20 kB za replikaci, tedy 80
replikací za sekundu představuje 1600 kB/s, resp. 12,5 Mbit/s.
V tomto scénáři jsme použili jeden server. Vytížení CPU a sítě bude nižší distribucí požadavků/replikací mezi další
ERA Proxy. To je vhodné pro snížení zátěže zejména v případě klientů ve vzdálených lokalitách. Interval replikace
proxy na server můžete provádět mimo pracovní dobu, kdy rychlost připojení ze vzdálených lokalit bude výrazně
vyšší.
19
1.3.5 Rozdíl mezi Apache HTTP Proxy, Mirror Toolem a přímou konektivitou do internetu
Produkty ESET vyžadují konektivitu do internetu k tomu, aby si mohly stahovat aktualizace virové databáze (level i
nano) a programových modulů, stejně tak pro fungování technologie ESET LiveGrid a ověřování licence vůči
aktivačním serverům. Neaktivovaný produkt si nebude stahovat aktualizace virové databáze.
ESET Remote Administrator Agent stahuje veškeré instalační balíčky z online ESET repozitáře. Po dokončení instalace
je potřeba produkt ESET aktivovat, což znamená, že se musí spojit s aktivačním serverem pro ověření licenčních
údajů. Následně si program z internetu stahuje aktualizace virové databáze a programových komponent.
ESET LiveGrid představuje důležitou úlohu pro zabezpečení počítače a především jeho ochranu před novými
hrozbami.
Největší dopad na síťový provoz mají aktualizace produktu. Za měsíc si každý ESET produkt stáhne přibližně 23,9 MB
dat (aktualizace virové databáze a programových komponent).
LiveGrid data (přibližně 22,3 MB) a soubor s informací o verzi virové databáze (maximálně 11 KB) není možné ukládat
do cache.
Snížit zatížení na síťový provoz a distribuovat aktualizace virové databáze i instalační balíčky ve své síti můžete
použitím Apache HTTP Proxy nebo Mirror Toolu.
Komunikace produktů ESET
Komunikace
Frekvence
Dopad na síťový Komunikace
Možnost
provoz
prostřednictvím cachování
proxy
komunikace1
Mirror2
Funkčnost v
offline prostředí
Nasazení ERA
Agenta (push
instalace /
online balíček)
Jednou
Přibližně
50 MB/klient7
ANO
ANO
NE
ANO (GPO /
SSCM, upravený
instalační
balíček)3
Instalace
Jednou
bezpečnostního
produktu (z
repozitáře)
Přibližně 100
MB/klient4
ANO
ANO
NE
ANO (GPO /
SSCM, instalace z
URL)3
Aktualizace
virové
databáze /
programových
modulů
23,9 za měsíc7
ANO
ANO
ANO
ANO (Offline
Mirror Tool,
vlastní HTTP
server)5
6+krát denně
Ověření verze
~8krát denně
virové databáze8
3,7 MB za měsíc8 ANO
NE
-
-
Aktivace /
4krát denně
kontrola licence
zanedbatelný
ANO
NE
NE
ANO (offline
licenční soubor
získaný na ESET
License
Administrator)6
LiveGrid
cloudová
reputace
11 MB za měsíc
ANO
NE
NE
NE
20
Neustále
1. Výhody cachování komunikace prostřednictvím Apache HTTP Proxy máme popsány v této kapitole.
2. Efektivitu použití Mirror Toolu máme uvedenou v této kapitole.
3. Pro nasazení ERA Agenta i bezpečnostního produktu ESET můžete ve velkých sítích použít doménovou politiku
nebo GPO.
4. Při použití cache se z internetu instalační balíček stáhne pro konkrétní verzi operačního systému pouze jednou.
5. Při použití Mirror toolu je následně potřeba stažená data umisťovat do sdílené složky nebo je distribuovat
prostřednictvím HTTP serveru, například Apache Tomcat.
6. Offline licenční klíč si na portále ESET License Administrator můžete vygenerovat jako vlastník licence nebo
bezpečnostní administrator.
7. Prvotní aktualizace virové databáze může být větší. Její velikost záleží na starší instalační balíčku (starší balíček
nemůže obsahovat aktuální verzi virové databáze a programových modulů). Doporučujeme nejprve bezpečnostní
produkt nainstalovat na jeden stroj, nechat jej z aktualizovat. Tím se soubory uloží do cache a další aktualizace již
budou probíhat z vaší sítě a rychleji.
8. Při každé kontrole virové databáze se stahuje a zpracovává soubor update.ver. Velikost souboru je přibližně 11
kB. Standardně bezpečnostní produkty ESET kontrolují dostupnost aktualizací každou hodinu. V tomto scénáři
předpokládáme, že firemní počítač je zapnut 8 hodině denně.
Poznámka: Apache HTTP Proxy do cache neukládá aktualizace pro produkt ESET ve verzích 4 a 5. Takové stanice
aktualizujte z Mirror Toolu, nebo na některé z nich vytvořte mirror server.
1.3.5.1 Kdy se vyplatí používat Apache HTTP Proxy?
Komponentu Apache HTTP Proxy se vyplatí používat ve chvíli, kdy máte ve své síti alespoň 37 stanic.
Na vzorku 1000 počítačů jsme testovali účinnost Apache HTTP Proxy. V první fázi byly produkty ESET nasměrované
přímo na aktualizační servery ESET, v druhé jsme využili Apache HTTP Proxy pro cachování aktualizací. Závěr je
následující:
· Každý ESET produkt si za měsíc stáhl v průměru 23,9 MB dat (aktualizace virové databáze). Dohromady tedy z
internetu stáhlo přibližně 24 GB dat.
· Při použití Apache HTTP Proxy dosáhl celkový objem dat stažených z internetu pouhých 900 MB.
V tabulce níže uvádíme porovnání objemu stažených dat v závislosti na počtu klientů:
Počet stanic
25 36
50
100
500
1000
Přímá konektivita do internetu (MB/měsíc) 375 900
1250 2500 12500 25000
Konektivita prostřednictvím Apache HTTP
Proxy (MB/měsíc)
60
30 50
150
600
900
Další informace naleznete v kapitole efektivní použití Apache HTTP Proxy.
1.3.5.2 Kdy se vyplatí používat Mirror Tool?
Pokud provozujete offline prostředí zcela odříznuté od internetu, pro distribuci aktualizací v lokální síti
doporučujeme používat Mirror Tool. Pomocí tohoto nástroje si vytvoříte lokální kopii aktualizačních serverů se
všemi level i nano aktualizacemi. To je rozdíl oproti Apache HTTP Proxy, který do cache ukládá pouze chybějící
aktualizace, které si klienti vyžádali (například nano 3).
Na stejném vzorku počítačů, jako v předchozí kapitole, jsme otestovali efektivitu Mirror Toolu. Za měsíc bylo z
internetu staženo 5500 MB dat. Množství stažených dat se zvyšujícím množstvím počítačů již dále nerostlo. Pokud
bychom se bavili o online síti, stále se jedná o výraznou úsporu v množství stažených dat z internetu, ale Mirror Tool
nedosahuje efektivity Apache HTTP Proxy.
Počet stanic
25
Přímá konektivita do internetu (MB/měsíc) 375
36
50
100
500
1000
900
1250
2500
12500 25000
21
Mirror Tool (MB/měsíc)
5500
5500
5500
5500
5500
5500
Poznámka: V sítích nad 1000 počítačů již neroste množství stažených dat z internetu přímo úměrně se zvyšujícím se
počtem stanic.
1.4 Škálovatelnost ERA infrastruktury
Jste SMB uživatel?
ESET Remote Administrator můžete provozovat na jednom serveru. Pro správu malé sítě máme připravenu
zjednodušenou verzi této příručky.
Před instalací ESET Remote Administrator se prosím seznamte s architekturou produktu a zjistěte, co ovlivňuje výkon
ERA Serveru a SQL databáze:
qHardware použitý pro ERA Server
Minimální hardwarové požadavky máme uvedeny v této kapitole. Pro zajištění optimálního výkonu ERA Serveru
doporučujeme prostudovat praktické příklady nasazení a systémové prostředky přidělit serveru adekvátně také na
základě níže uvedených informací.
Výpočet pro SMB prostředí
Počet klientů
ERA Server + SQL databázový server
Počet CPU a jader
RAM (GB)
HDD (GB)
Do 1000
1 x 2***
4
100
1000 - 5000
1x 4
4- 8
150
5000 - 10 000
1x 4
4- 8
200
Tato doporučená nastavení platí v kombinaci s nastaveným vhodným intervalem replikace.
Výpočet pro středně velké sítě a enterprise prostředí
Počet
klientů
ERA Server
SQL databázový server*
ERA Proxy**
CPU
RAM
(GB)
HDD (GB) CPU
RAM
(GB)
HDD (GB) Počet
CPU
RAM
(GB)
HDD (GB)
10 000 50 000
2 x 4***
8 - 16
20 - 40
4
8 - 16
300
2- 3
2- 4
8
20 - 40
50 000 100 000
2x 8
16 - 32
40 - 80
8
16 - 32
500
3- 6
2- 4
8
20 - 40
32+
40 - 80
8+
32+*
500+*
6+
2- 4
8
20 - 40
100 000+ 4 x 8
Tato doporučená nastavení platí v kombinaci s nastaveným vhodným intervalem replikace.
* MS SQL Server provozovaný na samostatném serveru
** ERA Proxy vyžaduje také databázový server
*** 2x4 představuje dva čtyřjádrové procesory s frekvencí ~2,66 GHz
22
q SQL databázový server
Požadavky na databázový server máme uvedeny v této kapitole. Na vás už je rozhodnutí, zda databázový server
budete provozovat na stejném serveru jako ESET Remote Administrator, nebo využijete dedikovaný databázový
server. Při správě více než 10 000 klientů doporučujeme použít dedikovaný SQL databázový server.
Databáze
SMB zákazník
Enterprise zákazník
MS SQL Express
X
(volitelně)
MS SQL Server
X
MySQL
X
Limit počtu klientů
Windows
5 000
X
X
Žádný (až 100 000)
X
X
10 000
X
Linux
X
q Síťová architektura a rychlost připojení k internetu
Požadavky na síťové prostředí máme uvedeny v této kapitole. Doporučujeme také prostudovat rozdíly mezi Apache
HTTP Proxy, Mirror Toolem a přímou konektivitou.
q Interval připojení/replikace ERA Agenta
Tento parametr přímo ovlivňuje výkon ERA Serveru. Doporučené hodnoty naleznete v této kapitole. Pro změnu
použijte předpřipravené politiky nebo si vytvořte novou.
Při přetížení serveru může docházet k zamítání požadavků na připojení ERA Agentů a k vyřízení jejich požadavků
dojde se zpožděním. K této situaci může dojít například v případě, kdy se k serveru připojuje 20 000 stanic, ale server
dokáže obsloužit pouze 10 000 klientů.
1.5 Podporované produkty a jazyky
Prostřednictvím ESET Remote Administrator můžete nasadit, aktivovat a spravovat tyto bezpečnostní produkty ESET:
Správa prostřednictvím ESET Remote Administrator 6
Verze
Způsob aktivace
ESET Endpoint Security pro Windows
6.x & 5.x
6.x - licenční klíč
5.x - uživatelské jméno/heslo
ESET Endpoint Antivirus pro Windows
6.x & 5.x
ESET Endpoint Security pro OS X
ESET Endpoint Antivirus pro OS X
ESET Endpoint Security pro Android
ESET File Security pro Windows Server
ESET Mail Security pro Microsoft Exchange Server
ESET File Security pro Microsoft Windows Server
ESET NOD32 Antivirus 4 Business Edition pro Mac OS X
ESET NOD32 Antivirus 4 Business Edition pro Linux Desktop
ESET Mail Security pro Microsoft Exchange Server
ESET Mail Security pro IBM Lotus Domino
ESET Security pro Microsoft Windows Server Core
ESET Security pro Microsoft SharePoint Server
ESET Security pro Kerio
ESET File/Mail/Gateway Security pro Linux/FreeBSD
ESET NOD32 Antivirus Business Edition
ESET Smart Security Business Edition
6.x
6.x
2.x
6.x
6.x
4.5.x
4.x
4.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.2.76
4.2.76
6.x - licenční klíč
5.x - uživatelské jméno/heslo
Licenční klíč
Licenční klíč
Licenční klíč
Licenční klíč
Licenční klíč
Uživatelské jméno/heslo
23
Poznámka: Starší verze firemních produktů neuvedených v tabulce výše není možné spravovat prostřednictvím
ESET Remote Administrator 6.
Poznámka: Informace o životním cyklu produktů ESET pro firemní zákazníky naleznete v Databázi znalostí.
Podporované jazyky
Jazyk
Czech (Czech Republic)
English (United States)
Arabic (Egypt)
Chinese Simplified
Chinese Traditional
Croatian (Croatia)
French (France)
French (Canada)
German (Germany)
Greek (Greece)
Italian (Italy)
Japanese (Japan)
Korean (Korea)
Polish (Poland)
Portuguese (Brazil)
Russian (Russia)
Spanish (Chile)
Spanish (Spain)
Slovak (Slovakia)
Turkish (Turkey)
Kód
cs-CZ
en-US
ar-EG
zh-CN
zh-TW
hr-HR
fr-FR
fr-CA
de-DE
el-GR
it-IT
ja-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
tr-TR
1.6 Srovnání s ERA 5
V tabulce níže uvádíme hlavní rozdíly mezi ESET Remote Administrator 5 a 6.
Součást
Verze 6
Verze 5
Konzole
Webová
Samostatná aplikace (Windows)
Komponenty
Server, Web Console (vyžaduje Java a Server a konzole (Windows program
Apache Tomcat), Agent, Proxy, Rogue GUI)
Detection Sensor, Mobile Device
Connector, Apache HTTP Proxy pro
cachování aktualizací
Nalezení počítačů
Pomocí součásti Rogue Detection
Sensor
Prostřednictvím úlohy Network
Search Task
Vzdálená instalace bezpečnostního
produktu
Instalaci zajišťuje ERA Agent
Přímá prostřednictvím push instalace
Způsoby vzdálené instalace
Push instalace, WMI, online balíček
(.bat/.ssh), GPO, SCCM, Logon skript
Push instalace, SSH, WMI, GPO, Logon
skript
24
Podporované firemní produkty verze Ano
6
Ne
Politiky
Zcela přepracovaná konfigurační
šablona, která je stejná jako v
produktu na koncové stanici. Politiky
jsou si rovny a záleží na jejich pořadí.
Konfigurační editor se stromovou
strukturu, která je rozdílná od
nastavení v produktu na koncové
stanici. Princip uplatňování politik se
řídí Active Directory.
Skupiny
Statické a dynamické skupiny. Každá Statické a parametrické skupiny
počítač je členem jedné statické
skupiny. Zařazení do dynamické
skupiny zajišťuje ERA Agent.
Přehledy
Bohaté možnosti pro tvorbu přehledů
na základě dat, které reportuje ERA
Agent a ERA Server. Možnost exportu
do CSV, PS a PDF včetně zasílání na email.
Mirror
Apache HTTP Proxy jako transparetní Lokální aktualizační mirror zajišťuje
proxy s cachovací funkcí, případně
ERA Server.
offline tool.
Podporovaná platforma
Windows, Linux, OS X a virtuální
Windows
prostředí. K dispozici také virtuální
appliance. Replikace serverů již není
podporována.
Databáze
MSSQL Express (výchozí), MSSQL,
MySQL
Pro reporty je vyhrazeno webové
rozhraní, které nabízí předdefinované
přehledy. Možnost exportu do HTML,
ZIP a PDF.
ODBC-connected MSAccess (výchozí),
MSSQL, MySQL, Oracle
25
2. Systémové požadavky
V této části uvádíme hardwarové a softwarové požadavky, které musí váš server i síť splňovat pro instalaci a korektní
běh ESET Remote Administrator.
2.1 Podporované operační systémy
V následující kapitole jsou uvedeny verze operační systémů na platformě Windows, Linux a OS X, které jsou
podporovány jednotlivými komponenty ESET Remote Administrator.
2.1.1 Windows
V následující tabulce jsou uvedeny operační systémy Windows, na které je možné jednotlivé komponenty ESET
Remote Administrator nainstalovat.
Operační systém
Server
Windows Home Server 2003 SP2
Windows Home Server 2011 x64
Agent
Proxy
X
X
RD Sensor
MDM
X
X
Windows Server 2003 x86 SP2
Windows Server 2003 x86 R2 SP2
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2008 x64 R2 CORE
Windows Server 2008 x86
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2012 x64 CORE
Windows Server 2012 x64 R2
Windows Server 2012 x64 R2 CORE
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Microsoft SBS 2003 x86 SP2 **
Microsoft SBS 2003 x86 R2 **
Microsoft SBS 2008 x64
Microsoft SBS 2008 x64 SP2 **
Microsoft SBS 2011 x64 Standard
Microsoft SBS 2011 x64 Essentials
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Server
Agent
Proxy
RD Sensor
MDM
Operační systém
X
X
Windows XP x86 SP3
Windows XP x64 SP2
X
X
X
X
Windows Vista x86 SP2
Windows Vista x64 SP2
X
X
X
X
X
X
Windows 7 x86 SP1
Windows 7 x64 SP1
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 8 x86
X*
X
X*
X
X*
26
Windows 8 x64
X*
X
X*
X
X*
Windows 8.1 x86
Windows 8.1 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 10 x86
Windows 10 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
* Instalace serverových ERA komponent na desktopový operační systém nemusí být v souladu s licenční politikou
společnosti Microsoft. Informaci si ověřte v licenčním ujednání, případně kontaktujte svého dodavatele softwaru. V
malých sítích/SMB může být vhodnější ERA Server nainstalovat na linux nebo využít virtuální appliance.
** ESET Remote Administrator nepodporuje Microsoft SQL Server Express, který je součástí Microsoft Small Business
Server (SBS). Pokud chcete na svém SBS provozovat ERA databázi, proveďte nejprve aktualizaci Microsoft SQL Server
na novější verzi. Pro více informací přejděte do kapitoly Instalace na Windows SBS / Essentials.
Na starších operačních systémech, například Windows Server 2003, nemusí být plně podporováno šifrování
protokolů. V takovém případě se použije TLSv1.0 místo novější TLSv1.2 (TLSv1.0 je považován za méně bezpečné než
jeho novější verze). Taková situace může nastat v případě, kdy operační systém TLSv1.2 podporuje, ale klient nikoli.
Pokud chcete komunikaci více zabezpečit, doporučujeme aktualizovat operační systém na serveru i klientech
(minimálně na Windows Server 2008 R2 na serveru, resp. Windows Vista na klientech).
Poznámka: Na desktopový operační systém můžete nainstalovat VMware Player nebo Oracle VirtualBox a nasadit
do něj Virtual appliance. To vám umožní provozovat ESET Remote Administrator na ne-serverovém operačním
systému a bez nutnosti vlastnit virtuální prostředí VMware ESXi.
27
2.1.2 Linux
V následující tabulce jsou uvedeny linuxové distribuce, na které je možné jednotlivé komponenty ESET Remote
Administrator nainstalovat.
Operační systém
Server
Agent
Proxy
RD Sensor
MDM
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
CentOS 5 x86
CentOS 5 x64
CentOS 6 x86
CentOS 6 x64
CentOS 7 x86
CentOS 7 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SLED 11 x86
SLED 11 x64
SLED 12 x86
SLED 12 x64
SLES 11 x86
SLES 11 x64
SLES 12 x86
SLES 12 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
OpenSUSE 13 x86
OpenSUSE 13 x64
X
X
X
X
X
X
X
X
X
X
Debian 7 x86
Debian 7 x64
Debian 8 x86
Debian 8 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Fedora 19 x86
Fedora 19 x64
Fedora 20 x86
Fedora 20 x64
Fedora 23 x86
Fedora 23 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Ubuntu 12.04 LTS x86 Desktop
Ubuntu 12.04 LTS x86 Server
RHEL 5 x86
RHEL 5 x64
RHEL Server 6 x86
RHEL Server 6 x64
RHEL Server 7 x86
RHEL Server 7 x64
28
2.1.3 OS X
V následující tabulce jsou uvedeny operační systémy OS X, na které je možné jednotlivé komponenty ESET Remote
Administrator.
Operační systém
OS X 10.7 Lion
OS X 10.8 Mountain Lion
OS X 10.9 Mavericks
OS X 10.10 Yosemite
OS X 10.11 El Capitan
Agent
X
X
X
X
X
Poznámka: OS X je podporován je podporován pouze klientskou částí. Na OS X můžete nainstalovat pouze ERA
Agenta a bezpečnostní produktu ESET.
2.2 Podporovaná Desktop Provisioning prostředí
Desktop Provisioning představuje způsob, jak co nejrychleji a nejpohodlněji poskytnout uživateli počítač.
Provisioned desktopy jsou nabízeny jako fyzické i virtuální. ESET Remote Administrator podporuje většinu těchto
prostředí za předpokladu, že má stanice persistentní systémový disk. Seznam podporovaných virtualizovaných
prostředí a streaming OS (Citrix provisioning services) naleznete na konci této kapitoly.
Níže uvádíme základní rozdíly mezi provisioned desktopem, který využívá persistentní a non-persistentní systémový
disk.
Persistentní plocha
Non-persistentní plocha
V persistením prostředí jsou uchovávána veškerá
uživatelská data, nastavení a instalované aplikace. V
tomto prostředí bude ERA Agent i bezpečnostní produkt
ESET korektně fungovat.
V non-persistentních prostředních je uživatelské
nastavení zahozeno automaticky po jeho odhlášení. To
znamené, že vždy přichází ke zcela čistému systému, které
neobsahuje žádná uživatelská nastavení.
Důležité: Architektura ERA nepodporuje nonpersistentní disky. Systémový disk stroje, na kterém je
produkt ESET instalován musí být persistentní. V opačném
případě nebude ERA Agent ani bezpečnostní produkt
fungovat správně.
Podporované hypervizory
·
·
·
·
·
·
Citrix XenServer
Microsoft Hyper-V
VMware vSphere
VMware ESXi
VMware Workstation
VMware View
Podporovaná rozšíření hypervizorů
· Citrix VDI-in-a-box
· Citrix XenDesktop
29
Nástroje
(shodné pro virtuální i fyzické prostředí)
· Microsoft SCCM
· Windows Server 2012 Server Manager
2.3 Hardware
Pro plynulý běh ESET Remote Administrator byl měl váš systém splňovat následující požadavky:
Operační paměť
Pevný disk
Procesor
Síťové připojení
4 GB RAM
Alespoň 20 GB volného místa
dvoujádrový, 2.0 GHz a rychlejší
1 Gbit/s
2.4 Databáze
ESET Remote Administrator podporuje následující typy databáze:
· Microsoft SQL Server (Express i non-Express edice) 2008, 2008 R2, 2012, 2014
· MySQL (verze 5.5 a novější, pro optimální běh doporučujeme verzi 5.6)
V průběhu instalace ERA Serveru a ERA Proxy je potřeba nastavit připojení k databázovému serveru. Při použití allin-one nstalačního balíčku můžete nainstalovat rovnou Microsoft SQL Server 2014 Express. Pokud již máte vlastní
Microsoft SQL Server, musí splňovat níže uvedené požadavky. Mějte na paměti, že nejstarší podporovaná verze je
Microsoft SQL Server 2008.
Hardwarové požadavky na databázový server:
Operační paměť
1 GB RAM
Pevný disk
Alespoň 10 GB volného místa
Rychlost procesoru
x86 procesor: 1.0 GHz
x64 procesor: 1.4 GHz
Poznámka: Pro plynulý běh doporučujeme procesor s taktem 2.0 GHz a vyšším.
Typ procesoru
x86 procesor: Pentium III-kompatibilní a rychlejší
x64 procesor: AMD Opteron, AMD Athlon 64, Intel Xeon s podporou Intel EM64T, Intel
Pentium IV s podporou EM64T
Další informace
· Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB a není možné jej
instalovat na doménový kontrolér. Z důvodu tohoto limitu nedoporučujeme Microsoft SQL Server Express
používat ve velkých sítích. Pokud používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat
na jiný server, případně neinstalovat SQL Server Express a použít jinou databázi (například již existující MSSQL
nebo MySQL).
· Pokud chcete aby ERA Server/ERA Proxy používal pro přístup k databázi již existující uživatelský účet, musíte mu
přidělit potřebná oprávnění. Dále je nutné před zahájením instalace vytvořit ručně ERA databázi a nastavit
danému uživateli oprávnění pro přístup.
· Pokud používáte MySQL, pro korektní běh ESET Remote Administrator je potřeba upravit konfiguraci
databázového serveru (Windows, Linux).
· MariaDB není podporována.
· ERA Server, ERA Proxy ani ERA Mobile Device Connector neprovádí zálohu databáze. Doporučujeme tedy databázi
zálohovat ručně pro zabránění ztráty dat.
30
2.5 Podporované verze Apache Tomcat
ERA Web Console je připravena pro běh na webovém serveru Apache Tomcat 6.x a novější. Podporována je 32 i
64bitová verze.
Mějte na paměti, že ESET Remote Administrator nepodporuje alpha/beta/RC verze Apache Tomcat.
2.6 Podporované internetové prohlížeče
Níže uvádíme seznam webových prohlížečů, ve kterých ERA Web Console fungouje korektně. Pro správné fungování
musíte mít povolen JavaScript a cookies.
Webový prohlížeč
Verze
Mozilla Firefox
Microsoft Internet Explorer
Microsoft Edge
Google Chrome
Safari
Opera
20+
10+
25+
23+
6+
15+
Poznámka
Nemusí plně fungovat v režimu kompatibility.
2.7 Síť
Základním předpokladem pro plnohodnotné fungování ESET Remote Administrator a všech jeho částí je přímé
konektivita do internetu (na aktivační servery i ESET repozitář). V tomto případě je jedno, zda pro přístup do
internetu využíváte proxy server.
Pro vzdálené nasazení ERA Agenta prostřednictvím push technologie přímo ze serveru musí být cílová stanice ve
stejné síti, ideálně ve stejné doméně, a musí být splněny všechny předpoklady.
Cílová stanice musí mít přímou viditelnost na ERA Server, případně podřízenou ERA Proxy.
Používané porty
Pro korektní fungování všech komponent ERA infrastruktury musíte mít na firewallu povoleny potřebné porty.
2.8 Používané porty
Níže jsou uvedeny porty, které při síťové komunikaci používají jednotlivé komponenty ESET Remote Administrator.
Ostatní komunikace je zajišťována nativními procesy operačního systému (například NetBIOS přes TCP/IP).
ERA Server
Protokol
Port
Použití
Popis
TCP
2222
ERA Server naslouchá
Komunikace mezi ERA Agenty a ERA Server
TCP
2223
ERA Server naslouchá
Komunikace mezi ERA Web Console a ERA Server,
používán pro asistovanou instalaci.
ERA Web Console běžící na Apache Tomcat
Protokol
Port
Použití
Popis
TCP
443
Naslouchá
HTTP SSL ERA Web Console
31
ERA Proxy
Protokol
Port
Použití
Popis
TCP
2222
Naslouchá
Komunikace mezi ERA Agenty a ERA Proxy
Apache HTTP Proxy
Protokol
Port
Použití
Popis
TCP
3128
Naslouchá
HTTP Proxy (aktualizační cache)
Protokol
Port
Použití
Popis
TCP
1237
Naslouchá
Pro funkci vzdáleného probuzení klienta na IPv4
UDP
1238
Naslouchá
Pro funkci vzdáleného probuzení klienta na IPv6
ERA Agent
Vzdálené nasazení ERA Agenta na Windows
Protokol
Port
Použití
Popis
TCP
139
Cílový port z pohledu ERA
Server
Použití administrativních sdílení ADMIN$
TCP
445
Server
Přímý přístup ke sdíleným prostředkům
prostřednictvím TCP/IP při vzdálené instalaci
(alternativa k TCP 139)
UDP
137
Server
Překlad jmen při vzdálené instalaci
UDP
138
Server
Procházení při vzdálené instalaci
Protokol
Port
Použití
Popis
TCP
9977
Vnitřní komunikace mezi MDC a ERA Agentem
TCP
9978
Vnitřní komunikace mezi MDC a ERA Agentem
TCP
9980
Registrace mobilních zařízení
Port pro registraci mobilních zařízení
TCP
9981
Komunikace s MDC
Port, na kterém komunikují mobilní zařízení
TCP
5223
Pro komunikaci se službou Apple Push Notification
TCP
2195
Pro posílání oznámení na servery APN
TCP
2196
Pro službu zpětné vazby APN
TCP
443
Pro možnost přepnutí na Wi-Fi, nemůže-li zařízení
navázat spojení se servery APN na portu 5223
Předdefinované porty 2222 a 2223 můžete změnit, pokud jsou již používány jinou aplikací.
Poznámka: Pro zabránění konfliktům se ujistěte, že uvedené porty nejsou používány jinými programy. Ujistěte se
také, že máte uvedené porty povolené na firewallech ve vaší síti.
32
3. Instalace
Informace o aktualizaci ERA komponent naleznete v této kapitole.
Instalátor ESET Remote Administrator je v několika formách dostupný na webové stránce společnosti ESET v sekci
Stáhnout > Firmy > Remote Administrator 6. Stáhnout si můžete:
·
·
·
·
All-in-one instalační balíček (zip soubor),
Samostatné instalační soubory jednotlivých komponent pro Windows i Linux,
ISO obraz obsahující všechny výše uvedené instalační soubory ESET Remote Administrator,
Virtuální appliance (OVA soubor).
Poznámka: ERA virtuální apppliance je určena uživatelům, kteří chtějí ESET Remote Administrator provozovat ve
virtuálním prostředí a nechtějí se zatěžovat instalací jednotlivých komponent. Pro více informací přejděte do příručky
pro nasazení ERA VA.
Další možnosti instalace:
· Instalace na Microsoft Azure
Upozornění: Pokud se rozhodnete změnit název případně IP adresu stroje, na kterém běží ERA Server, budete
muset vygenerovat nový serverový certifikát.
Souhrn jednotlivých způsobů instalací
Podrobné informace naleznete v kapitole škálovatelnost ERA infrastruktury.
Níže uvedená tabulka vám pomůže při rozhodování, jakým způsobem ESET Remote Administrator nainstalovat.
Tip č.1: ERA v cloudu provozujte pouze v případě, že máte kvalitní připojení k internetu.
Tip č.2: SMB zákazníkům doporučujeme použít all-in-one instalační balíček.
Způsob
instalace
All-in-one na
Windows
Server
All-in-one na
Windows
Desktop
Virtuální
appliance
Microsoft
Azure VM
Po
komponentec
h na linux
Po
komponentec
h na Windows
Zákazník
Migrace
SMB
Enterp
rise
Ano
X
X
X
X
X
X
X
X
Ne
Prostředí pro instalace ERA
Připojení k
internetu
Žádný Dedikov Sdílený Virtualiz Serve Žádné Dobr Špatn
serve aný
server
ační
r
é
é
r
server
platform v
a
cloud
u
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
33
3.1 Instalace na Windows
ESET Remote Administrator je možné nainstalovat mnoha způsoby, záleží pouze na vašem prostředí a vašich
požadavcích. Nejjednodušší cestou je použití all-in-one instalačního balíčku, prostřednictvím kterého nainstalujete
všechny potřebné součástí na jeden server.
Ve většině instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. V následujících kapitolách máme popsány
jednotlivé možnosti instalace.
· Instalace balíčku (all-in-one instalace)
· Instalace krok za krokem
· Instalace na Windows Small Business Server (SBS) / Essentials
· Instalace jednotlivých komponent
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro individuální instalaci budete potřebovat
následující komponenty.
Komponenty jádra
· ERA Server
· ERA Web Console
· ERA Agent
Volitelné komponenty
·
·
·
·
·
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Pro aktualizaci ESET Remote Administrator na nejnovější verzi postupujte podle tohoto článku v Databázi znalostí.
34
3.1.1 Instalace ERA serveru pomocí all-in-one balíčku
All-in-one balíček je dostupný pouze pro operační systém Windows. Prostřednictvím instalačního průvodce si
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci ERA Serveru
postupujte podle následujících kroků:
Instalaci máme zpracovanou také jako video návod a podrobné informace naleznete v Databázi znalostí:
1. Pro instalaci ERA 6 vyberte v prvním kroku průvodce možnost ESET Remote Administrator Server.
Důležité: Pozornost věnujte výběru jazyku. Ve vybraném jazyce budou do databáze zapsána veškerá
předdefinovaná data (názvy skupin, politik, přehledů atp.) a nelze jej poté změnit.
35
2. Doporučujeme neměnit výběr komponent a nainstalovat všechny, které jsou standardně vybrány.
MICROSOFT SQL SERVER EXPRESS:
· Pokud již používáte databázový server (Microsoft SQL Server nebo MySQL), instalaci této komponenty
odškrtněte.
· Pokud se při instalaci ESET Remote Administrator rozhodnete pro Microsoft SQL Server Express, nebude
možné instalaci dokončit na doménovém řadiči. To platí také pro případ, že používáte Microsoft SBS. Pokud
používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat na jiný server nebo při
instalaci nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní MSSQL nebo MySQL
Server pro instalaci ERA databáze). Více informací naleznete v této kapitole.
DŮLEŽITÉ – APACHE HTTP PROXY NENÍ VHODNÝ PRO VŠECHNY UŽIVATELE:
· Pokud k instalaci vyberte Apache HTTP Proxy, automaticky dojde k vytvoření politik, které produkt do
internetu nasměřují přes tuto proxy, a jejich aplikování na všechna zařízení. Pomocí této komponenty snížíte
vytížení do internetu, protože Apache HTTP Proxy bude do cache ukládat aktualizace virové databáze a
instalační balíčky. V případě, že máte v firmě velké množství mobilní uživatelů, kteří cestují mimo firmu,
případně si nejste jisti, zda tuto komponentu potřebujete, její instalaci nevybírejte. Apache HTTP Proxy
můžete nianstalovat kdykoli později.
· Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
36
3. V případě výskytu chyb se ujistěte, že splňujete všechny požadavky pro instalaci.
V případě, že máte nedostatek místa na disku, zobrazí se následující upozornění:
4. Po ověření požadavků se spustí samotná instalace.
5. Zadejte platný licenční klíč, který jste obdrželi po nákupu bezpečnostního řešení ESET. Pokud máte klasické
licenční údaje (uživatelské jméno a heslo), převeďte si je prostřednictvím portálu ESET License Administrator.
Případně vyberte možnost Aktivovat později a seznamte se s dalšími možnostmi Aktivace.
6. Pokud jste ponechali výchozí parametry instalace a nainstalovali Microsoft SQL Server Express, provede se
automatické připojení do databáze a můžete pokračovat krokem 10.
37
7. Pokud již máte vlastní databázový server (MySQL nebo MSSQL), zadejte potřebné údaje pro připojení a klikněte
na tlačítko Další. V případě, že používáte existující databázi ERA, zobrazí se výzva, zda chcete použít stávající
databázi nebo ji odstranit a provést čistou instalaci.
Poznámka: Standardně instalační balíček ERA Server/ERA Proxy vyžaduje zadání SA účtu (MS SQL) nebo účtu
roota (MySQL) pro přístup do databáze. Je to z důvodu, aby mohl založit novou databázi a uživatele era_user,
který bude mít přístup do nově vytvořené databáze. Pokud však nechcete/nemůžete při instalaci definovat tento
administrátorský účet, můžete použít vlastního uživatele, který bude mít přístup k ERA databázi. V tomto případě
je potřeba aby uživatel měl přiřazena níže uvedená oprávnění/role. Dále je nutné před samotnou instalací
vytvořit databázi, kterou ERA bude využívat.
a. Databáze: MySQL Server/MS SQL Server/MS SQL Server via Windows Authentication
b. ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
Server/SQL Server Native Client 10.0/ODBC Driver 11 for SQL Server
c. Název serveru: název nebo IP adresa databázového serveru
d. Port používaný pro připojení k serveru
e. Přihlašovací údaje databázového administrátora
Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
kliknout na Ne a nechat instalátor vytvořit vlastního uživatele, který bude mít pouze přístup k databázi ERA.
Pokud vyberte možnost Ne, vyberte možnost Vytvořit nového uživatele nebo Použít existujícího uživatele a
zadejte vlastní uživatelský účet.
38
8. V dalším kroku budete vyzváni k zadání hesla pro výchozí účet Administrator pro přístup do ERA Web Console.
39
9. Dále vytvořte certifikační autoritu ESET Remote Administrator. Volitelně specifikujte informace o certifikátu, ale
není to potřeba. Heslo není nutné definovat. Pokud jej zadáte, zapamatujte si jej!
10. Po kliknutí na tlačítko Další bude plně automaticky pokračovat instalace ERA Serveru a dalších komponent.
40
11.Po dokončení instalace se zobrazí informace "ESET Remote Administrator Server byl úspěšně nainstalován" a
zároveň se zobrazí odkaz pro otevření ERA Web Console. Průvodce ukončete kliknutím na tlačítko Dokončit.
Pokud instalace selže:
· Podívejte se do instalačního protokolu, který se vytvořil ve složce logs, ze které jste spustili all-in-one instalační
balíček. Například:
C:\Users\Administrator\Downloads\x64\logs\
· Informace vedoucí k dokončení instalace k hledejte v kapitole řešení problémů.
41
3.1.2 Instalace ERA Proxy pomocí all-in-one balíčku
VAROVÁNÍ: ERA Server a ERA Proxy není možné provozovat na stejném serveru!
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci ERA Proxy
1. Spusťte instalační balíček a vyberte možnost ESET Remote Administrator Proxy.
2. Odsouhlaste licenční ujednání a vyberte komponenty, které chcete nainstalovat. Pokud nemáte vlastní
databázový server, můžete nainstalovat Microsoft SQL Server 2014 Express, který je součástí instalačního balíčku.
Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB. Nainstalovat můžete
také RD Sensor.
42
automatické připojení do databáze a můžete pokračovat krokem 10.
3. V opačném případě nastavte připojení k databázi:
43
Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
4. Zadejte údaje pro připojení proxy k ESET Remote Administrator – název serveru nebo IP adresu a port.
44
5. Vyberte klientský certifikát a zadejte heslo k certifikátu. Volitelně přidejte veřejný klíč certifikační autority. Ta je
nutná pouze v případě použití nepodepsaných certifikátů.
6. Kromě ERA Proxy se nainstaluje také ERA Agent.
45
46
3.1.3 Instalace ERA Mobile Device Connector
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci Mobile Device
Connector postupujte podle následujících kroků:
Upozornění: Abyste mohli mobilní zařízení spravovat ať jsou kdekoli, je potřeba do internetu publikovat porty
Mobile Device Connector.
Poznámka: Mějte na paměti, že komunikace mobilního zařízení s komponentou Mobile Device Connector má
dopad na datový balíček uživatele.
1. Spusťte instalační balíček a vyberte možnost Mobile Device Connector.
2. Odsouhlaste licenční ujednání a vyberte komponenty, které chcete nainstalovat. Pokud nemáte vlastní
databázový server, můžete nainstalovat Microsoft SQL Server 2014 Express, který je součástí instalačního balíčku.
Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB.
3. V dalším kroku vyberte SSL certifikát, který se bude používat pro ověření HTTPS komunikace:
47
4. Zadejte název serveru. Doporučujeme použít veřejnou IP adresu nebo veřejný DNS záznam, prostřednictvím
kterého jsou schopna zařízení server kontaktovat z internetu.
Důležité: Název MDM serveru musí odpovídat záznamu uvedeném v CN HTTPS certifikátu. V opačném případě
nedojde k ověření komunikace, aplikace ESET Endpoint Security pro Android se nepřipojí a iOS zařízení odmítne
instalaci MDM profilu. Pokud máte v HTTPS certifikátu definovanou IP adresu, zadejte ji v průběhu instalace MDC. V
případě, že v HTTPS certifikátu máte definován FQDN (například mdm.mojefirma.cz), do pole název serveru zadejte v
průběhu instalace plně kvalifikované doménové jméno. Máte-li použit zástupný znak (například *.mycompany.com),
do pole název serveru můžete zadat například mdm.mycompany.com.
48
automatické připojení do databáze a můžete pokračovat krokem 7. V opačném případě nastavte připojení k
databázi:
Poznámka: Doporučujeme použít stejný databázový server, kterou používá ERA Server. Instalační balíček si
automaticky vytvoří potřebnou databázi (era_mdm_db).
6. Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
7. Dále zadejte název server, na kterém běží ERA server a port (standardně 2222).
8. Dále vyberte způsob instalace:
· Asistovaná instalace – v průběhu instalace se certifikáty stáhnou z ERA Serveru automaticky (potřebujete znát
přístupové údaje do ERA Web Console),
1. Zadejte Název serveru (nebo IP adresu) a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA
Web Console.
2. Kliknutím na tlačítko Ano potvrďte certifikát.
3. Vyberte cestu pro instalaci MDM (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
49
· Offline instalace – v tomto případě potřebujete mít exportován klientský certifikát, případně veřejný klíč
certifikační autority, pokud používáte vlastní.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát, případně zadejte také heslo k certifikátu. Pokud
používáte vestavěnou ERA certifikační autoritu není nutné vybrat její certifikát.
Poznámka: Pokud používáte vlastní certifikáty (odlišné od těch vygenerovaných při instalaci ESET Remote
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném nedojde ke spojení s ERA
Serverem.
10.Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do
adresního řádku zadejte adresu https://nazev_vaseho_serveru:registracni_port (například https://eramdm:9980).
Pokud instalace byla úspěšná, měla by se zobrazit následující zpráva:
11. Aktivujte MDM prostřednictvím ERA Remote Administrator.
3.1.4 Instalace na Windows SBS / Essentials
Předpoklady
Pro instalaci ESET Remote Administrator na Windows Small Business Server se ujistěte se, zda počítač splňuje
požadavky pro instalaci, zejména ty softwarové.
Poznámka: Níže uvedené verze Microsoft SBS obsahují Microsoft SQL Server Express ve verzi, kterou ESET Remote
Administrator nepodporuje:
Microsoft SBS 2003 x86 SP2
Microsoft SBS 2003 x86 R2
Microsoft SBS 2008 x64 SP2
Pokud používáte některou z výše uvedených verzí Windows Small Business Server a chcete instalovat ERA databázi
na Microsoft SBS, musíte nejprve aktualizovat Microsoft SQL Server Express na novější verzi (minimálně 2008 R2).
o Pokud nechcete instalovat Microsoft SQL Express na SBS, přejděte na krok 1.
o Pokud máte Microsoft SQL Express na SBS nainstalován, ale nepoužíváte jej, databázi odinstalujte a přejděte na
krok 1.
50
o Pokud používáte Microsoft SQL Server Express ve verzi, která je standardně dostupná na SBS, přemigrujte
databázi na SQL Express ve verzi, kterou podporuje ERA Server. Zazálohujte původní databázi, odinstalujte ji,
nainstalujte aktuální Microsoft SQL Server Express, resp. verzi kterou podporuje ERA a na závěr obnovte obsah
původní databáze.
Instalace
1. Stáhněte si na webových stránkách společnosti ESET all-in-one balíček ERA. Naleznete jej se v sekci Stáhnout >
Firmy > Remote Administrator 6.
2. Rozbalte stažený soubor, přejděte do složky installers a spusťte instalační balíček – v našem případě
SQLEXPR_x64_ENU.
· Pro spuštění průvodce instalací vyberte v zobrazeném dialogovém okně možnost New installation or add features
to an existing installation.
Poznámka: V průběhu instalace nastavte režim autentifikace na Mixed mode (SQL Server authentication and
Windows authentication).
Poznámka: Pro instalaci ERA Serveru na SBS musíte povolit TCP/IP připojení k SQL Serveru.
3. Instalaci ESET Remote Administrator spusťte pomocí balíčku Setup.exe.
4. Při výběru komponent odškrtněte možnost Microsoft SQL Server Express a klikněte na tlačítko Instalovat.
51
5. Pokračujte instalací ERA Serveru.
52
3.1.5 Vlastní certifikáty
Komunikace jednotlivých komponent ERA infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná
ERA certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a
ty následně použít pro ověřování komunikace.
Poznámka: Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním
systému může být postup odlišný.
Vyžadované serverové role:
· Active Directory Certificate Services (AD CS).
· Active Directory Domain Services.
1. Otevřete Management Console a přidejte snap-in Certificates:
· Přihlaste se na server jako administrátor.
· Pomocí příkazu mmc.exe otevřete konzolu pro správu.
· V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou
zkratku CTRL+M).
· Vyberte položku Certificates a likněte na tlačítko Add.
53
· Vyberte Computer Account a klikněte na tlačítko Next.
· Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish.
· Akci dokončete kliknutím na OK.
2. Vytvořte Custom Certificate Request:
· Ve stromové struktuře přejděte do větve Certificates (Local Computer) > Personal.
· Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced Operations > Create Custom Request...
54
· V průvodci vydáním certifikátu klikněte na tlačítko Next.
· Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačíkto Next.
· Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10.
Pokračujte kliknutím na tlačítko Next.
55
· Rozbalte sekci Details a klikněte na tlačítko Properties.
· Na záložce General zadejte Friendly name, volitelně popis.
· Na záložce Subject:
V sekci Subject name vyberte z rozbalovacího jména Type položku Common Name. Jako hodnotu zadejte era server
a klikněte na tlačítko Add. Následně se v pravém poli zobrazí informace CN=era server. Pokud vytváříte žádost o
vydání certifikátu (CSR) pro ERA Agenta nebo ERA Proxy, jako Common Name zadejte era agent, resp. era proxy.
56
Poznámka: V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server", "agent"
nebo "proxy".
V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a
klikněte na tlačítko Add
· Na záložce Extensions rozbalte sekci Key usage. Do seznamu Select options přidejte Digital signature, Key
agreement, Key encipherment. Odškrtněte možnost Make these key usages critical.
57
· Na záložce Private Key:
Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP).
Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).
58
Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key
exportable.
Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení.
Pokračujte kliknutím na tlačítko OK. Zobrazí se informace o certifikátu, klikněte na tlačítko Next. Klikněte na tlačítko
Browse a umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte
vybranou možnost Base 64.
Žádost vygenerujete kliknutím na tlačítko Finish.
3. Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí.
· Otevřete Server Manager, klikněte na Tools > Certification Authority.
· Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu
vyberte Properties. Přejděte na záložku Policy Module a klikněte na tlačítko Properties.... Ujistěte, že jste
nastavili Set the certificate request status to pending. Dále musíte mít vybranou možnost The administrator must
explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může
vyžadovat restart Active Directory CA služby.
59
· Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu
vyberte > All Tasks > Submit new request.... Vyberte žádost (CSR soubor), který jste získali v kroku 2.
· Certifikát se přidá do seznamu Pending Requests. Vyberte konkrétní CSR a z menu Action vyberte možnost All
Tasks > Issue.
4. Exportujte Issued Custom Certificate do .pfx souboru.
· V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z
kontextového menu vyberte možnost All Tasks > Export Binary Data...
· V okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na
Save binary data to a file a potvrďte kliknutím na OK.
60
· V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na
tlačítko Save.
5. Importujte .tmp soubor.
· Ze stromové struktury vyberte Certificate (Local Computer) > Personal. Z kontextového menu vyberte možnost All
Tasks > Import...
· Klikněte na tlačítko Next...
· Klikněte na tlačítko Browse... a vyberte uložený .tmp binární soubor. Dále vyberte vyberte možnost Place all
certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next.
· Certifikát importujete kliknutím na tlačítko Finish.
6. Exportujte certifikát včetně privátního klíče do .pfx souboru.
· Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který
chcete exportovat v kontextovém menu klikněte na All Tasks > Export...
· V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě,
kdy je umožněn export privátního klíče.)
· V sekci Export File Format vyberte možnost To include all certificates in the certification path, select the Include
all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.
61
· Zadejte heslo, které bude chránit privátní klíč a pokračujte kliknutím na tlačítko Next.
· Vyberte umístění, kam chcete certifikát v .pfx formátu uložit. Pokračujte kliknutím na tlačítko Next a Finish.
62
7. Nyní již můžete nakonfigurovat ERA komponenty tak, aby dané certifikáty používaly.
Poznámka: Podle stejných kroků můžete vygenerovat certifikát pro ERA Agenta i ERA Proxy.
Nakonfigurujte ERA Server tak, aby používal váš .pfx certifikát.
Pokud chcete aby váš certifikát používal ERA Agent nebo další komponenta ERA infrastruktury, musíte provést její
opravnou instalaci. V průběhu opravné instalace vyberte exportovaný .pfx certifikát a následně zadejte heslo, které
jste si nastavili. Dále vyberte certifikační autoritu, kterou byl daný certifikát vydán.
63
3.1.6 Odinstalace komponent
Pro odinstalaci komponent ERA infrastruktury můžete použít all-in-one instalační balíček. Spusťte jej a vyberte
možnost Odinstalovat komponenty ESET Remote Administrator. V případě potřeby si můžete přepnout průvodce do
češtiny.
Poznámka: Před odinstalováním Mobile device connectoru si přečtěte princip licencování iOS zařízení.
Odsouhlaste licenční ujednání koncového uživatele a na další obrazovce vyberte komponenty, které chcete
odinstalovat.
64
Poznámka: Pro odebrání všech komponent může být vyžadován restart serveru.
3.1.7 Failover Cluster - Windows
Níže uvádíme postup pro instalaci ESET Remote Administrator v prostředí Failover Cluster provozovaného na
Windows:
1. Vytvořte Failover Cluster. Měl by mít sdílený disk, IP adresu a jméno.
a. Návod pro vytvoření failover clusteru na Windows Server 2012
b. Návod pro vytvoření failover clusteru na Windows Server 2008
2. Ve správci clusteru definujte název a IP adresu pro roli ERA Server.
Poznámka: Role jsou dostupné na Windows Server 2012. Pokud používáte Windows Server 2008, použijte Služby a
aplikace.
3. Připojte sdílený disk k uzlu1 a nainstalujte na něj ERA Server. V průběhu instalace vyberte možnost, že jedná o
instalaci na cluster. Dále jako úložiště pro data aplikace vyberte daný sdílený disk a zadejte správnou IP adresu
nebo název serveru, který jste definovali v kroku 2.
4. Zastavte službu ERA Server na uzlu1 a připojte sdílený disk k uzlu2. Proveďte instalaci ERA Serveru. Opět v
průběhu instalace vyberte možnost, že se jedná o instalaci na cluster a data aplikace uložte na sdílený disk. Údaje
pro připojení do databáze a certifikáty ponechte beze změny.
5. Na firewallu povolte všechny potřebné porty.
6. Ve správci clusteru vytvořte roli (Conf igure Role > Select Role > Generic service) pro službu ERA Server – ze
seznamu dostupných služeb vyberte ESET Remote Administrator. Při konfiguraci je nutné dodržet stejnou IP
adresu/název serveru, který jste použili v kroku 2,3 a 4.
7. Na oba uzly nainstalujte ERA Agenta. ERA Agenta nasměrujte na roli ERA Serveru definovanou v kroku 2, nikoli
localhost. V průběhu instalace nevybírejte možnost, že se jedná o instalaci na cluster a data uložte na lokální disk,
nikoli sdílený.
65
8. Do clusteru není možné nainstalovat ERA databázi ani ERA Web Console.
Poznámka: ERA Server není možné na Failover Cluster nainstalovat prostřednictvím all-in-one instalační balíčku.
Na Failover Cluster nainstalujte jednotlivé komponenty ERA infrastruktury samostatně. ERA Web Console
nainstalujte na jiný stroj v síti a následně upravte soubor C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0
\webapps\era\WEB-INF\classes\sk\eset\era\g2webconsole\server\modules\conf ig\EraWebServerConf ig.properties.
Najděte řádek server_address=localhost a hodnotu nahraďte IP adresou role ERA Server.
3.2 Instalace na Microsoft Azure
ESET Remote Administrator je dostupný na Azure Marketplace. Pokud využíváte cloudovou platformu Azure, jedná
se o a rychlý a snadný způsob, jak zprovoznit ESET Remote Administrator.
Více informací naleznete v Databázi znalostí:
· Začínáme používat ESET Remote Administrator na Azure
· FAQ: ESET Remote Administrator VM pro Microsoft Azure
· Jak nasadit a nainstalovat ESET Remote Administrator na Microsoft Azure?
3.3 Komponenty instalované na Windows
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro individuální instalaci budete potřebovat
následující komponenty.
Komponenty jádra
· ERA Server
· ERA Web Console
· ERA Agent
·
·
·
·
·
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Pro aktualizaci ESET Remote Administrator na nejnovější verzi využijte klientskou úlohu pro aktualizaci součástí ERA.
Návod popisující ruční aktualizaci krok za krokem naleznete v Databázi znalostí.
Pokud chcete spustit instalační balíček v jiném jazyce než výchozí angličtině, je potřeba spustit konkrétní MSI balíček
s transformací. Níže uvádíme příklad pro spuštění instalační balíčku ERA Agenta ve slovenštině:
66
Jako parametr transformace použijte odpovídající jazykový kód:
Jazyk
Czech (Czech Republic)
English (United States)
Arabic (Egypt)
Chinese Simplified
Chinese Traditional
Croatian (Croatia)
French (France)
French (Canada)
German (Germany)
Greek (Greece)
Italian (Italy)
Japanese (Japan)
Korean (Korea)
Polish (Poland)
Portuguese (Brazil)
Russian (Russia)
Spanish (Chile)
Spanish (Spain)
Slovak (Slovakia)
Turkish (Turkey)
Kód
cs-CZ
en-US
ar-EG
zh-CN
zh-TW
hr-HR
fr-FR
fr-CA
de-DE
el-GR
it-IT
ja-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
tr-TR
67
3.3.1 Instalace ERA Server na Windows
Pro instalaci ERA Serveru na Windows postupujte podle následujících kroků:
1. Z webových stránek společnosti ESET si v sekci Stáhnout > Firmy > ESET Remote Administrator 6 > Standalone
installers stáhněte požadovaný balíček.
2. Ujistěte se, že počítač splňuje požadavky pro instalaci.
3. Po spuštění instalační balíčku odsouhlaste licenční ujednání koncového uživatele.
4. Pokud instalujete na Failover Cluster, vyberte možnost Toto je instalace na cluster a zadejte vlastní cestu k
datovým souborům aplikace. Data musí být uložena na sdíleném úložišti clusteru, ke kterému mají přístup
všechny uzly clusteru. V opačném případě ponechte toto pole prázdné.
5. Zadejte platný licenční klíč nebo vyberte možnost Aktivovat později.
6. Vyberte možnost Spustit službu pod účtem. Pod tímto účtem se spustí služba ESET Remote Administrator.
Dostupné možnosti:
· Účet Network service
· Uživatelem definovaný: doména/jméno_uživatele
7. Nastavte připojení k databázi. Do databáze jsou ukládána všechna data, od přihlašovacích údajů k ERA
WebConsole po protokoly z klientů.
· Databáze: MySQL/MS SQL
· ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
·
·
·
·
68
Název databáze: ponechte prázdné, pokud chcete použít výchozí název
Název serveru: název nebo IP adresa databázového serveru
Port používaný pro připojení k serveru
Přihlašovací údaje databázového administrátora
Poznámka: ERA Server může ukládat do databáze během jednoho připojení velké množství dat. Proto je nutné pro
korektní fungování ERA nastavit MySQL tak, aby přijímal tyto velké pakety. Pro více informací přejděte do kapitoly
Řešení nejčastějších problémů.
Následně dojde k ověření připojení k databázi. V případě úspěšného připojení můžete pokračovat dalším krokem.
8. Vyberte databázového uživatele, který má přístup k databázi ESET Remote Administrator. Můžete použít
existujícího uživatele nebo vytvořit nového.
9. Nastavte si heslo pro přístup k ERA Web Console.
10.ESET Remote Administrator používá pro ověření komunikace mezi klientem a serverem certifikáty. Vybrat
můžete své vlastní certifikáty nebo nechat ERA Server vygenerovat nové certifikáty.
69
11.Volitelně zadejte informace o certifikační autoritě a nastavte. Certifikační autoritu ESET Remote Administrator
vytvořte kliknutím na tlačítko Další. Pokud si nastavíte vlastní heslo, zapamatujte si jej!
Již během instalace můžete provést synchronizaci statických skupin. K dispozici máte na výběr (Nesynchronizovat,
Synchronizovat se sítí Windows, Synchronizovat s Active Directory). Pokračujte kliknutím na tlačítko Další.
V případě potřeby vyberte pro instalaci ERA Serveru jinou složku.
Instalaci zahajte kliknutím na tlačítko Instalovat.
DŮLEŽITÉ: Po dokončení instalace ERA Serveru nainstaluje také ERA Agenta. Ten zajistí sběr informací o výkonu
serveru a jejich zobrazení v ERA Web Console.
70
3.3.1.1 Předpoklady pro instalaci ERA Serveru na Windows
Pro instalaci ESET Remote Administrator na server s Windows musí počítač splňovat následující předpoklady:
· Musíte mít platnou licenci.
· Musíte mít dostupné a ve firewallu otevřené potřebné porty – seznam všech portů naleznete v této kapitole.
· Musíte mít nainstalovaný databázový server (Microsoft SQL Server nebo MySQL). Požadavky na databázový server
naleznete v této kapitole. Pokud nemáte databázový server, postupujte podle těchto kroků pro instalaci SQL
Serveru a provedení potřebné konfigurace.
· Musíte mít nainstalován Java Runtime Environment (JRE). Doporučujeme používat vždy nejnovější verzi.
· Pokud budete instalovat dodávaný Microsoft SQL Server Express 2008 R2/2014, musíte mít nainstalován Microsoft
.NET Framework 3.5. Pokud používáte Windows Server 2008 a novější, je nutné tuto součást nainstalovat
prostřednictvím Průvodce rolemi a funkcemi (viz obrázek níže). Pokud používáte Windows Server 2003, stáhněte si
.NET Framework 3.5 z tohoto odkazu: http://www.microsoft.com/en-us/download/details.aspx?id=21
Poznámka: Pokud se při instalaci ESET Remote Administrator rozhodnete pro Microsoft SQL Server Express,
nebude možné instalaci dokončit na doménovém řadiči. To platí také pro případ, že používáte Microsoft SBS. Pokud
používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat na jiný server nebo při instalaci
nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní MSSQL nebo MySQL Server pro
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databázi znalostí.
Poznámka: ERA Server ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
MySQL tak, aby přijímal tyto velké pakety. Pro více informací přejděte do kapitoly konfigurace MySQL.
71
3.3.2 Požadavky na Microsoft SQL Server
Pokud chcete provozovat ESET Remote Administrator s MS SQL databází, musíte mít nainstalovaný a správně
nakonfigurovaný Microsoft SQL Server:
· Microsoft SQL Server 2008 R2 a novější, případně Microsoft SQL Server 2008 R2 Express a novější. Při instalaci
vyberte pro autentifikaci Mixed mode.
· Pokud již máte Microsoft SQL Server nainstalován, nastavte Mixed mode (SQL Server authentication and Windows
authentication) podle těchto kroků z Databázë znalostí.
· Povolte TCP/IP připojení k SQL Serveru. Postup krok za krokem naleznete v Databázi znalostí.
Poznámka: Pro konfiguraci a správu Microsoft SQL Server potřebujete SQL Server Management Studio (SSMS).
Tento nástroj se standardně při použití MSSQL Express neinstaluje. Je potřeba jej stáhnout a nainstalovat ručně.
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databáze znalostí.
3.3.3 Instalace a konfigurace MySQL
Instalace
Instalační balíček MySQL pro Windows si stáhněte z webových stránek společnosti Oracle.
V průběhu instalace vyberte možnost Custom a k instalaci vyberte kromě MySQL Serveru také ODBC Connector.
Konfigurace
V textovém editoru si otevřete konfigurační soubor my.ini:
72
C:\ProgramData\MySQL\MySQL Server 5.7\my.ini
Najděte sekci [mysqld] a přidejte do ní následující řádky:
max_allowed_packet=33M
· Pro MySQL 5.6.20 a 5.6.21 (verzi MySQL zjistíte například pomocí příkazu mysql
--version ):
o innodb_log_file_size nastavte alespoň na hodnotu 200 MB (například innodb_log_file_size=200M)
· Pro MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group – součin (*) obou parametrů musí být větší nebo roven 200
MB.
Minimální hodnota pro innodb_log_files_in_group je 2. Příklad:
innodb_log_file_size=100M
innodb_log_files_in_group=2
Změny v souboru uložte a službu MySQL server restartujte, například pomocí níže uvedených příkazů (název služby
závisí na použité verzi MySQL, například verze 5.7 = MySQL57 atp.):
net stop mysql57
net start mysql57
Ověřte, zda služba MySQL server běží, například pomocí níže uvedeného příkazu:
sc query mysql57
3.3.4 Vlastní databázový uživatel
Standardně instalační balíček ERA Server/ERA Proxy vyžaduje zadání SA účtu (MS SQL) nebo účtu roota (MySQL) pro
přístup do databáze. Je to z důvodu, aby mohl založit novou databázi a uživatele era_user, který bude mít přístup do
nově vytvořené databáze. Pokud však nechcete/nemůžete při instalaci definovat tento administrátorský účet,
můžete použít vlastního uživatele, který bude mít přístup k ERA databázi. V tomto případě je potřeba aby uživatel
měl přiřazena níže uvedená oprávnění/role. Dále je nutné před samotnou instalací vytvořit databázi, kterou ERA
bude využívat.
Poznámka: Níže jsou uvedeny minimální požadavky na databázového uživatele. Pokud uživatel nebude mít
přiřazena potřebná oprávnění, instalace selže, případně nebude ERA fungovat.
· Přístupová oprávnění MySQL:
ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE VIEW, DELETE, DROP,
EXECUTE, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE, TRIGGER. Více informací přístupových právech MySQL
naleznete v Databázi znalostí společnosti Oracle.
· Role Microsoft SQL Server:
ERA uživatel musí mít přiřazenou roli db_owner. Více informací o jednotlivých rolích Microsoft SQL Serveru
naleznete v Databázi znalostí společnosti Microsoft.
3.3.5 Instalace ERA Agenta na Windows
Tato kapitola popisuje lokální instalaci ERA Agenta. Další možnosti instalace jsou popsány v administrační příručce a
databázi znalostí.
Pro instalaci ERA Agenta na Windows postupujte podle následujících kroků:
2. Spusťte instalační balíček a odsouhlaste licenční ujednání koncového uživatele.
3. V dalším kroku zadejte IP adresu/název server a port (standardně 2222).
Důležité: Do pole adresa serveru zadejte jednu z hodnot, která je uvedena v certifikátu serveru v poli adresa. V
opačném případě v trace logu uvidíte hlášku 'Received server certificate is not valid'. Pokud máte vygenerován
hvězdičkový certifikát (*), adresu serveru, ke kterému se připojujete můžete zadat v libovolném formátu.
4. Dále vyberte způsob instalace:
73
· Offline instalace – v tomto případě potřebujete mít exportován klientský certifikát agenta a veřejný klíč
certifikační autority. Použít můžete rovněž vlastní certifikáty.
3.3.5.1 Asistovaná instalace ERA Agenta
Tato kapitola doplňuje předchozí a popisuje kroky, které je nutné provést při asistované instalaci ERA Agenta.
Zadejte IP adresu/název serveru a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA Web Console.
1. Kliknutím na tlačítko Ano potvrďte použití certifikátu.
2. Pokud vyberete možnost Nevytvářet počítač, v ERA Web Console se zobrazí ve skupině Ztráty a nálezy až při
prvním připojení. Případně rovnou vyberte statickou skupinu, do které chcete počítač umístit.
3. Vyberte cestu pro instalaci ERA Agenta (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
3.3.5.2 Offline instalace ERA Agenta
Tato kapitola doplňuje předchozí a popisuje kroky, které je nutné provést při offline instalaci ERA Agenta.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát agenta, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu, není nutné zadávat její veřejný klíč.
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném případě se agent nepřipojí.
2. Vyberte cestu pro instalaci ERA Agenta (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
3.3.5.3 Odinstalace ERA Agenta
ERA agenta můžete odinstalovat několika způsoby.
Vzdálená odinstalace prostřednictvím ERA Web Console
1. Přihlaste se do ERA Web Console.
2. Na záložce Počítače vyberte požadovanou stanici a z kontextového menu vyberte možnost Nová úloha.
3. Zadejte název úlohy, volitelně popis.
4. Jako kategorii úloh vyberte ESET Remote Administrator.
5. Z rozbalovacího menu vyberte úlohu Ukončit správu (odinstalovat ERA Agenta).
6. Úlohu připravíte kliknutím na tlačítko Dokončit.
Poznámka: Více informací naleznete v sekci klientské úlohy.
Ruční odinstalace
1. Na konkrétní stanici klikněte na Start > Ovládací panely > Programy a funkce.
2. Najděte položku ESET Remote Administrator Agent a klikněte na Změnit.
3. Vyberte možnost Odstranit a postupujte podle kroků na obrazovce.
Důležité: Pokud máte odinstalaci chráněnou heslem, budete muset toto heslo zadat. Případně stanici přiřaďte
politiku, která neaktivuje použití hesla.
74
Řešení problémů
· Podívejte se do protokolu ERA Agenta.
Poznámka: Pro odinstalaci ERA Agenta není možné použít nástroj ESET Uninstaller.
Poznámka: Pokud standardní postup pro odinstalaci selže, ERA Agenta odstraňte ručně ( záznamy v registru,
soubory, složky a službu) v nouzovém režimu. Mějte na paměti, že pokud je stanici instalován bezpečnostní produkt
ESET, agenta chrání Self-Defense. Více informací naleznete v Databázi znalostí.
3.3.6 Instalace ERA Web Console na Windows
Pro instalaci ERA Web Console na Windows postupujte podle následujících kroků:
2. Ujistěte se, že jste nainstalovali:
· Java – ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy nejnovější
verzi.
· Apache Tomcat (v podporované verzi)
· a na pevném disku máte uložen soubor ERA Web Console (era.war).
3. Zkopírujte soubor era.war do Tomcat složky s webovými aplikacemi (standardně C:\Program Files (x86)\Apache
Sof tware Foundation\Tomcat 7.0\webapps\).
4. Vyčkejte několik minut než webový server archiv rozbalí, případně jej rozbalte ručně do složky webapps\era.
5. Restartujte službu Apache Tomcat.
6. V internetovém prohlížeči na daném stroji otevřete adresu https://localhost:8080/era/ – měla by se zobrazit
přihlašovací obrazovka ERA Web Console.
Poznámka: Pokud jste v průběhu instalace webového serveru nespecifikovali jiný HTTP port, Apache Tomcat běží
standardně na portu 8080. Pro konfiguraci HTTPS postupujte podle tohoto návodu.
3.3.7 Instalace ERA Proxy na Windows
Pro instalaci ERA Proxy na Windows postupujte podle následujících kroků:
Poznámka: Pokud instalujete na Failover Cluster, vyberte možnost Toto je instalace na cluster a zadejte vlastní
cestu k datovým souborům aplikace. Data musí být uložena na sdíleném úložišti clusteru, ke kterému mají přístup
všechny uzly clusteru. V opačném případě ponechte toto pole prázdné.
3. Vyberte možnost Spustit službu pod účtem. Pod tímto účtem se spustí služba ESET Remote Administrator.
Dostupné možnosti:
a. Účet Network service
b. Uživatelem definovaný: doména/jméno_uživatele
75
4. Nastavte připojení k databázi. Do databáze jsou ukládána všechna data, od přihlašovacích údajů k ERA Web
Console po protokoly z klientů.
a. Databáze: MySQL/MS SQL
c. Název serveru: Název nebo IP adresa databázového serveru
e. Název databáze
f. Přihlašovací údaje databázového administrátora
g. Přihlašovací údaje databázového uživatele s přístupem k ERA databázi
Následně dojde k ověření připojení k databázi. V případě úspěšného připojení můžete pokračovat na další krok.
4. Vyberte port, kterou bude proxy používat pro komunikaci. Standardně se používá port 2222.
5. Zadejte údaje pro připojení proxy k ESET Remote Administrator – název serveru nebo IP adresu a port serveru.
6. Vyberte klientský certifikát a zadejte heslo k certifikátu. Volitelně přidejte veřejný klíč certifikační autority. Ta je
nutná pouze v případě použití nepodepsaných certifikátů.
7. V případě potřeby vyberte pro instalaci ERA Proxy jinou složku. Instalaci zahajte kliknutím na tlačítko Instalovat.
8. Kromě ERA Proxy se nainstaluje také ERA Agent.
Poznámka: ERA Proxy nepodporuje asistovanou instalaci.
3.3.7.1 Předpoklady pro instalaci ERA Proxy na Windows
Pro instalaci ERA Proxy na Windows je nutné splnit následující předpoklady:
VAROVÁNÍ: ERA Server a ERA Proxy není možné provozovat na stejném serveru!
·
·
·
·
·
·
·
Nainstalovaný ERA Server a ERA Web Console (na serveru).
Vytvořený a stažený certifikát proxy.
Vytvořený a stažený veřejný klíč certifikační autority.
Musíte mít platnou licenci.
Nainstalovaný a nakonfigurovaný databázový server.
Nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Nainstalovaný ERA Agent pro správné fungování všech součástí.
Poznámka: ERA Agenta připojte jej přímo k ERA Serveru nebo nadřazené ERA Proxy.
3.3.8 Instalace ESET RD Sensor na Windows
Pro instalaci ESET RD Sensor na Windows postupujte podle následujících kroků:
2. Ujistěte se, že počítač splňuje požadavky pro instalaci,
3. Spusťte instalaci prostřednictvím instalačního balíčku.
4. Vyberte umístění, kam chcete RD Sensor uložit, a instalaci zahajte kliknutím na tlačítko Instalovat.
76
3.3.8.1 Požadavky pro instalaci ESET RD Sensor na Windows
Pro instalaci ESET RD Sensor na Windows je nutné splnit následující předpoklady:
·
·
·
·
Nainstalovaný WinPcap, alespoň ve verzi 4.1.0.
Síť musí být možné prohledávat (potřebujete mít otevřené porty, firewall nesmí blokovat příchozí komunikaci atp.)
Server musí být z lokálního počítače dosažitelný.
Na lokálním počítači nainstalovaný ERA Agent pro správné fungování všech součástí.
Poznámka: Protokol ESET RD Sensor pro případnou diagnostiku naleznete ve složce: C:\ProgramData\ESET\Rogue
Detection Sensor\Logs\
3.3.9 Instalace Mobile Device Connector
Mobile Device Connector můžete nainstalovat na jiný server, než na kterém běží ERA Server. Pokud tedy chcete
spravovat mobilní zařízení také ve chvíli, kdy jsou mimo vaši lokální síť, stačí do internetu vypublikovat pouze server,
na kterém je nainstalován MDM.
Upozornění: Abyste mohli mobilní zařízení spravovat ať jsou kdekoli, je potřeba do internetu publikovat porty
Mobile Device Connector.
Pro instalaci Mobile Device Connector na Windows postupujte podle následujících kroků:
3. Spusťte instalaci prostřednictvím instalačního balíčku a odsouhlaste licenční ujednání koncového uživatele
(EULA).
4. Klikněte na Procházet, vyberte HTTPS certifikát používaný pro komunikaci. Pokud je nastaveno, zadejte heslo k
certifikátu.
4. Zadejte název serveru. Doporučujeme zadat veřejný DNS název nebo veřejnou IP adresu, aby se k serveru mohla
zařízení připojovat odkudkoli.
Důležité: Název MDM serveru musí odpovídat záznamu uvedeném v CN HTTPS certifikátu. V opačném případě
nedojde k ověření komunikace, aplikace ESET Endpoint Security pro Android se nepřipojí a iOS zařízení odmítne
instalaci MDM profilu. Pokud máte v HTTPS certifikátu definovanou IP adresu, zadejte ji v průběhu instalace MDC. V
případě, že v HTTPS certifikátu máte definován FQDN (například mdm.mojefirma.cz), do pole název serveru zadejte v
průběhu instalace plně kvalifikované doménové jméno. Máte-li použit zástupný znak (například *.mycompany.com),
do pole název serveru můžete zadat například mdm.mycompany.com.
5. Nastavte připojení k databázi.
· Databáze: MySQL Server/MS SQL Server/MS SQL Server via Windows Authentication
· ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
·
·
·
·
Název databáze: ponechte prázdné, pokud chcete použít výchozí název
Název serveru: název nebo IP adresa databázového serveru
Port používaný pro připojení k serveru
Přihlašovací údaje databázového administrátora
Poznámka: Doporučujeme použít stejný databázový server, kterou používá ERA Server. Instalační balíček si
automaticky vytvoří potřebnou databázi (era_mdm_db).
6. Vyberte databázového uživatele, který má přístup k databázi MDM. Můžete použít existujícího uživatele nebo
vytvořit nového.
7. Zadejte název serveru (nebo IP adresu) na, kterém běží ERA Server a port (standardně 2222).
Dále vyberte způsob instalace:
77
1. Zadejte Název serveru (nebo IP adresu) a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA
Web Console.
2. Kliknutím na tlačítko Ano potvrďte certifikát.
certifikační autority, pokud používáte vlastní.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát, případně zadejte také heslo k certifikátu. Pokud
používáte vestavěnou ERA certifikační autoritu není nutné vybrat její certifikát.
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném nedojde ke spojení s ERA
Serverem.
Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do adresního
řádku zadejte adresu https://nazev_vaseho_serveru:registracni_port (například https://eramdm:9980). Pokud
instalace byla úspěšná, měla by se zobrazit následující zpráva:
Tuto adresu můžete použít také pro ověření dostupnosti MDM serveru nejen v rámci sítě, ale také z internetu. Pokud
server není dosažitelný, zkontrolujte nastavení firewallu a konfiguraci vaší sítě.
Po nainstalování Mobile Device Connector tuto komponentu aktivujte prostřednictvím ESET Remote Administrator.
3.3.9.1 Předpoklady pro instalaci Mobile Device Connector na Windows
Pro instalaci Mobile Device Connector na počítač s Windows musí počítač splňovat následující předpoklady:
· Pokud chcete mobilní zařízení spravovat i když budou mimo vaši lokální síť, potřebujete veřejnou IP adresu nebo
veřejný DNS záznam.
Poznámka: Název serveru je možné kdykoli prostřednictvím politiky změnit. V danou chvíli bude nutné nahrát
také nový HTTPS certifikát, který odpovídá nového názvu serveru.
· Musíte mít dostupné a ve firewallu otevřené potřebné porty – seznam všech portů naleznete v této kapitole.
· Nastavení firewallu – pokud z testovacích důvodů instalujete Mobile Device Connector na ne-serverový operační
systém (například Windows 7), vytvořte ve firewallu povolující pravidla:
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9980
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9981
C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, TCP port 2222
Poznámka: Cesty k .exe souborům mohou být odlišné, v závislosti na verzi operačního systému a složce, do které
jste komponenty ERA infrastruktury nainstalovali.
78
· Nainstalovaný a nakonfigurovaný databázový server (Microsoft SQL nebo MySQL).
· Dostatek operační paměti. Mobile Device Connector virtualizuje ERA Agenta pro každé mobilní zařízení. Souběžně
se však vytvoří nejvýše 48 samostatných procesů (ESET Remote Administrator MDMCore Module). V případě, že
máte větší počet zařízení, virtuální ERA Agenti se budou pravidelně střídat o systémové prostředky (RAM a CPU).
Požadavky na certifikát
nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní SQL nebo MySQL Server pro instalaci
MDC databáze).
Poznámka: ESET MDC ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
Důležité: Při instalaci musíte vybrat SSL certifikát v .pfx formátu, který je používán pro ověřování HTTP
komunikace. Doporučujeme použít certifikát vygenerovaný certifikační autoritou. Certifikáty podepsané samy sebou
totiž neakceptují všechna mobilní zařízení.
Poznámka: Certifikát podepsaný certifikační autoritou je potřeba společně s privátním klíčem sloučit
(prostřednictvím OpenSSL) do jednoho .pfx souboru:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Jedná se o standardní postup platný pro většinu serverů.
Důležité: Při offline instalaci vyberte exportovaný klientský certifikát, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu není nutné vybrat její veřejný klíč. Použít můžete vlastní
certifikáty.
79
3.3.9.2 Aktivace Mobile Device Connector
Po dokončení instalace Mobile Device Connector je potřeba tuto součást, stejně jakoukoli jinou ESET aplikaci,
aktivovat. To provedete pomocí jakékoli firemní licence (například ESET Secure Office) nebo přímo pomocí licence
pro ESET Endpoint Security pro Android.
1. Do ESET Remote Administrator přidejte licenci.
2. Mobile Device Connector aktivujte pomocí klientské úlohy pro aktivaci produktu.
3.3.9.3 Licencování iOS zařízení
Pro iOS zařízení nenabízí společnost ESET žádnou aplikaci. Vzdálená správa iOS zařízení je zajišťována pomocí
nativního MDM profilu. Přesto je potřeba každé spravované zařízení licencovat.
iOS zařízení aktivujte stejným způsobem jako bezpečnostní produkt ESET, tedy pomocí klientské úlohy pro aktivaci
produktu.
Licenci z iOS odeberete jedním z následujících způsobů:
· Odesíláním klientské úlohy pro ukončení správy (odinstalování ERA Agenta) na iOS zařízení.
· Odinstalováním komponenty MDC v rámci které zahodíte databázi.
· Ručním deaktivováním (prostřednictvím ERA nebo ELA portálu).
Zařízení, které není aktivováno nebude přijímat jiné, než aktivační úlohy, nebudou se na něj aplikovat politiky. Bude
zasílat pouze kritická upozornění.
Informace o aktivovaných zařízeních si uchovává Mobile Device Connector. Pokud při odinstalaci nebo migraci této
komponenty ponecháte databázi, po přeinstalování a jejím opětovném použití zůstanou zařízení stále aktivována.
Pro deaktivaci zařízení použijte klientskou úlohu na ukončení správy zařízení nebo jej můžete deaktivovat na portále
ESET License Administrator.
Pokud zařízení připojíte k jinému MDM serveru, z výše uvedených důvodů bude nutné zařízení znovu aktivovat.
80
3.3.9.4 Požadavky na HTTPS certifikát
Pro úspěšnou registraci iOS zařízení v ESET Mobile Device Connector musí MDM HTTPS server vracet celý řetězec
certifikátů včetně zprostředkující certifikační autority.
Z tohoto důvodu musí certifikát splňovat tyto náležitosti:
· HTTPS certifikát (pkcs#12/pfx kontejner) musí obsahovat celý řetězec certifikátů.
· Pokud je certifikát podepsán sám sebou, musí obsahovat kořenovou certifikační autoritu (CA).
· Pokud je certifikát podepsán třetí stranou a její veřejný klíč je uložen v důvěryhodných certifikačních
autoritách na zařízení i serveru, certifikát nemusí obsahovat kořenovou certifikační autoritu.
· V případě instalace na Windows, MDM nedokáže automaticky odesílat celý řetězec certifikátů. Pokud certifikát
není podepsán sám sebou, nastavte odesílání celého řetězce certifikátů.
· Certifikát musí mít definovaný rozsah platnosti (od - do).
· CommonName resp. subjectAltNames musí být stejný jako název MDM serveru.
Poznámka: Pokud je název MDM serveru hostname.mdm.domain.com, certifikát musí obsahovat název serveru v
některém z níže uvedených formátů:
· hostname.mdm.domain.com
· *.mdm.domain.com
Ale nemůžete použít:
· *
· *.com
· *.domain.com
Hvězdička (*) obecně nenahrazuje "tečkovou" část. Je to z důvodu, jakým způsobem iOS akceptuje certifikáty pro
MDM.
3.3.9.4.1 Import HTTPS certifikátu pro MDM
Pokud pro ověřování komunikace mezi mobilními zařízeními a komponentou ESET Mobile Device Connector
používáte HTTPS certifikát podepsaný vlastní certifikační autoritou, je potřeba importovat tento certifikát mezi
zprostředkující certifikační autority.
· Celý řetězec klíče musí být v pkcs12 kontejneru (.pfx souboru). Klíč musíte importovat na server, kde běží MDC
mezi Zprostředkující certifikační autority.
· Pomocí příkazu mmc.exe otevřete konzolu pro správu.
· V hlavním menu klikněte na Soubor > Přidat nebo odebrat modul snap-in… nebo stiskněte klávesovou zkratku
(CTRL+M).
81
· V seznamu dostupných rozšíření vyberte možnost Certifikáty a klikněte na tlačítko Přidat.
· V zobrazeném okně vyberte účet počítače a klikněte na tlačítko Další.
· Vyberte možnost Místní počítač a klikněte na Dokončit.
· Kliknutím na OK se vraťte do konzole.
· Ve stromové struktuře přejděte do větve Zprostředkující certifikační autority a z kontextového menu vyberte
možnost Všechny úlohy > Importovat.
82
· Vyberte MDM HTTPS certifikát a akci potvrďte kliknutím na tlačítko Importovat.
· Restartujte službu ESET Remote Administrator Mobile Device Connector.
Poznámka: Pokud tento krok neprovedete, MDM HTTPS server bude odesílat pouze serverový certifikát, nikoli
celý řetězec certifikátů včetně zprostředkující certifikační autority.
3.3.10 Instalace Apache HTTP Proxy na Windows
Komponentu HTTP Proxy můžete v kombinaci s ESET Remote Administrator 6 použít k distribuci aktualizací a
instalačních balíčků jednotlivým klientským stanicím. HTTP Proxy zajišťuje stejnou roli jako funkce mirror z
předchozích verzí ESET Remote Administrator 5 a dále ji rozšiřuje. Prostřednictvím HTTP Proxy můžete:
· Stahovat aktualizace virových databází a programových komponent na centrální místo v síti a distribuovat je
klientům ve vaší síti,
· Vytvořit cache pro instalační balíčky produktů ESET,
· Minimalizovat vytížení připojení k internetu.
Poznámka: Pokud nemůžete nebo nechcete použít Apache HTTP Proxy, využijte Mirror tool, který bude stahovat
aktualizace virové databáze. Tento nástroj je dostupný pro Windows a Linux.
Pro instalaci Apache HTTP Proxy na Windows postupujte podle následujících kroků:
Důležité: Pokud již Apache HTTP Proxy máte nainstalován a chcete jej aktualizovat, přejděte do kapitoly
aktualizace Apache HTTP Proxy.
2. Otevřete archiv ApacheHttp.zip a rozbalte jej do složky C:\Program Files\Apache HTTP Proxy
Poznámka: Pokud chcete Apache HTTP Proxy nainstalovat na jinou jednotku, případně do jiného umístění ukládat
cache, je potřeba provést změny v souboru httpd.conf.
83
3. Jako Správce otevřete příkazový řádek v umístění C:\Program Files\Apache HTTP Proxy\bin
4. Spusťte tento příkaz:
httpd.exe -k install -n ApacheHttpProxy
5. Přejděte do složky C:\Program Files\ApacheHttpProxy\conf , otevřete v textovém editoru soubor httpd.conf a
přidejte do něj následující řádky:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
6.
Spusťte službu proxy pomocí příkazu sc
7.
Ověřte, zda služba Apache HTTP Proxy běží (například pomocí services.msc konzole). Standardně je služba
nakonfigurována tak, aby se spouštěla automaticky.
start ApacheHttpProxy
Pomocí následujících kroků nastavte uživatelské jméno a heslo pro přístup k HTTP Proxy (doporučujeme):
1. Zastavte službu ApacheHttpProxy, například z příkazového řádku pomocí příkazu:
sc stop ApacheHttpProxy
2. Do souboru Apache HTTP Proxy\conf \httpd.conf přidejte následující řádky:
LoadModule
LoadModule
LoadModule
LoadModule
authn_core_module modules\mod_authn_core.dll
authn_file_module modules\mod_authn_file.dll
authz_groupfile_module modules\mod_authz_groupfile.dll
auth_basic_module modules\mod_auth_basic.dll
3. Do souboru Apache HTTP Proxy\conf \httpd.conf pod část <Proxy
*>
přidejte následující řádky:
AuthType Basic
AuthName "Password Required"
AuthUserFile password.file
AuthGroupFile group.file
Require group usergroup
4. Ve složce Apache HTTP Proxy\bin vytvořte pomocí příkazu htpasswd soubor password.file (během této akce
budete vyzváni k zadání hesla):
htpasswd.exe -c ..\password.file username
5. Ve složce ApacheHttpProxy\ ručně vytvořte soubore group.file a vložte do něj:
usergroup:username
6. Spusťte službu ApacheHttpProxy, například z příkazového řádku pomocí příkazu:
sc start ApacheHttpProxy
7. Správnost konfigurace otestujte zadáním následující adresy do internetového prohlížeče:
http://localhost:3128/index.html
Poznámka: Pokud chcete konfiguraci Apache HTTP Proxy dále upravit a do cache ukládat například jen komunikaci
produktů ESET, využijte následující odkazy:
· Cachování pouze ESET komunikace
· Proxy chaining
Pro zobrazení obsahu cache použijte níže uvedený příkaz:
C:\Apache_HTTP_Proxy_Install_Folder\bin>htcacheclean.exe -a -p"C:\ProgramData\Apache HTTP Proxy\cache"
84
Diskovou cache promažete pomocí nástroje htcacheclean. Tento nástroj můžete použít ručně nebo jako daemon.
Níže uvádíme doporučené nastavení (velikost cache 10 GB a limit pro soubory ~2000) - Standardně se hodnota zadává
v bajtech, změnit to můžete přidáním příznaku K (kilobajty) nebo M (megabajty).
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t -p"C:\ProgramData\Apache HTTP Proxy\cache" l10000M -L12000
Pro naplánování údržby cache každou hodinu použijte příkaz:
Příkaz najdete v online verzi této kapitoly.
Pokud máte povoleno cachování veškeré komunikace, doporučené nastavení je:
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t -p"C:\ProgramData\Apache HTTP Proxy\cache" l10000M
Příkaz najdete v online verzi této kapitoly.
Poznámka: Znak ^ na konci řádku ve výše uvedených příkazech slouží pro přechod na nový řádek. Pokud jej při
kopírování vynecháte, příkaz se neprovede.
Pro více informací přejděte do Databáze znalostí nebo dokumentace Apache Authentication and Authorization.
85
3.3.11 Mirror tool
Mirror tool je nástroj, který využijete pro aktualizaci virové databáze bezpečnostních produktů ESET v offline
prostředích. Prostřednictvím tohoto nástroje si můžete vytvořit lokální aktualizační mirror a z něj následně
aktualizovat klienty, kteří nemají přístup k internetu.
Poznámka: Mirror tool stahuje výhradně aktualizace virové databáze, nikoli programové komponenty (PCU).
Aktualizaci bezpečnostního produktu ESET na novou verzi je nutné provést ručně nebo využít úlohu instalace
aplikace.
Předpoklady
· Cílová složka musí být sdílená (Samba/Windows nebo HTTP/FTP služba).
· Musíte mít stažený offline licenční soubor, který v sobě obsahuje uživatelské jméno a heslo. Při generování offline
souboru na portále ESET License Administrator zaškrtněte možnost Zahrnout uživatelé jméno a heslo.
· Na počítači s operačním systémem Windows, na kterém poběží mirror tool, musíte mít nainstalován Visual C++
Redistributables for Visual Studio 2012.
· Ve stejné složce připraveny soubory:
Windows:
MirrorTool.exe
a updater.dll
Linux:
MirrorTool
a updater.so
Použití
· Seznam všech dostupných parametrů získáte po zadání příkazu MirrorTool
86
--help :
· Parameter --mirrorType je povinný a definuje typ aktualizací, které se budou stahovat.
· Parameter --intermediateUpdateDirectory je povinný a definuje cestu k dočasné složce, do které se budou
aktualizační soubory stahovat.
· Parameter --offlineLicenseFilename je povinný a definuje cestu k offline licenčnímu souboru.
· Parameter --outputDirectory je povinný a definuje cestu, ve které se vytvoří výsledný mirror.
· Pro vytvoření lokálního aktualizačního mirroru zadejte použijte například příkaz:
Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
Linux:
(Při kopírování celého příkazu do Terminálu použijte "\" pro přechod na nový řádek)
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory \
/tmp/mirrorTool/mirrorTemp --offlineLicenseFilename \
/tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Automatické stahování aktualizací
· Pro automatické stahování aktualizací a vytváření mirroru využijte Plánovač ve Windows nebo CRON na linuxu.
Případně prostřednictvím ERA Web vytvořte novou klientskou úlohu Spustit příkaz, zadejte výše uvedený příkaz
ke spuštění, cestu k MirrorTool.exe) a nastavte podmínku spuštění například prostřednictvím CRON výrazu
například takto"0 0 * * * ? *" (tím se aktualizace spustí každou hodinu).
· Klientským stanicím následně prostřednictvím politiky změňte nastavení aktualizací a nastavte ji tak, aby si klient
stahoval aktualizace ze složky s mirrorem.
87
3.4 Komponenty instalované na Linux
Ve většinu instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro instalaci individuální instalaci budete
potřebovat následující komponenty.
Návod pro instalaci jednotlivých komponent krok za krokem máme popsán v této kapitole.
Pro aktualizaci ESET Remote Administrator na nejnovější verzi využijte klientskou úlohu pro aktualizaci součástí ERA.
Návod popisující ruční aktualizaci krok za krokem naleznete v Databázi znalostí.
Komponenty jádra
· ERA Server
· ERA Web Console
· ERA Agent
·
·
·
·
·
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Mějte na paměti, že Fedora 22 a novější již nepoužívá příkaz yum . Pokud instalujete na tento operační systém,
příkazy yum v tomto návodu nahraďte příkazem dnf.
3.4.1 Instalace na Linux krok za krokem
V této části si ukážeme, jak krok za krokem nainstalovat ERA Server, ERA Web Console a ERA Agenta na Linux.
Instalace vyžaduje, abyste měli oprávnění pro použití příkazů sudo, resp. root.
Před zahájení instalace ověřte, zda máte nainstalován databázový server a máte k němu přístup. Pokud žádný
databázový server nemáte, musíte si jej nainstalovat. Postup instalace ERA si budeme ukazovat na již běžící MySQL.
Poznámka: Jednotlivé komponenty (Agent, Server, Web Console) naleznete na webových stránkách společnosti
ESET v sekci Stáhnout > Remote Administrator 6 > Standalone Installers.
Debian a Ubuntu distribuce
1. Nainstalujte závislosti pro ERA Server.
2. Přejděte do složky, kde máte stažený instalační skript ERA Server a nastavte jej tak, aby byl spustitelný:
chmod +x Server-Linux-x86_64.sh
3. Nakonfigurujte MySQL.
4. Nainstalujte a nakonfigurujte ODBC ovladač.
5. Upravte instalační parametry a spusťte instalaci ERA Serveru. Pro více informací přejděte do této kapitoly.
6. Nainstalujte balíčky java a tomcat, které jsou důležité pro běh ERA Web Console:
7. Nainstalujte ERA Web Console.
8. Nainstalujte ERA Agenta.
Poznámka: Pro konfiguraci běhu konzole na zabezpečeném HTTPS protokolu přejděte do Databáze znalostí.
88
3.4.2 Instalace a konfigurace MySQL
Instalace
Pokud již máte databázový systém nainstalován, přejděte do sekce Konfigurace.
MariaDB je výchozím databázový systém na některých linuxových distribucích. ESET Remote Administrator ve
stávající verzi MariaDB nepodporuje! Pro korektní běh musíte jako databázový server použít MySQL.
Pro nainstalování MySQL použijte příkaz:
sudo apt-get install mysql-server
Pokročilá instalace: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-apt-repo.html
CentOS, Red Hat a Fedora distribuce
sudo yum install mysql-server
Pokročilá instalace: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-yum-repo.html
OpenSUSE distribuce
sudo zypper install mysql-community-server
Ruční instalace
Instalační balíček MySQL Community Server edition si stáhněte ze stránek společnosti Oracle:
http://dev.mysql.com/downloads/
Konfigurace
V textovém editoru otevřete konfigurační soubor my.cnf (obdoba my.ini na Windows):
sudo nano /etc/mysql/my.cnf
(případně soubor naleznete ve složce /etc/my.cnf)
Najděte sekci [mysqld] a přidejte do ní následující řádky:
max_allowed_packet=33M
· Pro MySQL 5.6.20 a 5.6.21 (verzi MySQL zjistíte například pomocí příkazu mysql
--version ):
o innodb_log_file_size nastavte alespoň na hodnotu 200 MB (například innodb_log_file_size=200M)
· Pro MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group – součin (*) obou parametrů musí být větší nebo roven 200
MB.
Minimální hodnota pro innodb_log_files_in_group je 2. Příklad:
innodb_log_file_size=100M
innodb_log_files_in_group=2
Změny v souboru uložte a službu MySQL server restartujte:
sudo service mysql restart
Volitelně můžete níže uvedeným příkazem definovat oprávnění pro přístup k MySQL serveru:
/usr/bin/mysql_secure_installation
Zda služba běží ověříte příkazem:
sudo netstat -tap | grep mysql
Pokud služba MySQL server běží, měli byste vidět níže uvedený řádek. Mějte na paměti, že se jedná o příklad a číslo
procesu - PID (7668) může být odlišné:
tcp
0
0 localhost:mysql
*:*
LISTEN
7668/mysqld
89
3.4.3 Konfigurace ODBC ovladače
Instalace
Pro nainstalování MySQL ODBC (Open Database Connectivity) ovladače zadejte do terminálu příkaz:
sudo apt-get install libmyodbc libodbc1
sudo yum install mysql-connector-odbc
OpenSUSE distribuce
sudo zypper install myodbc-unixbox
Konfigurace
V textovém editoru otevřete soubor odbcinst.ini:
sudo nano /etc/odbcinst.ini
Vložte do souboru odbcinst.ini následující řádky, případně upravte cesty v parametru Driver a Setup:
[MySQL]
Description = ODBC for MySQL
Driver = /usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so
Setup = /usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so
FileUsage = 1
Pokud používáte 32-bitovou verzi Ubuntu, jako hodnotu Driver a Setup nastavte:
/usr/lib/i386-linux-gnu/odbc/
Poznámka: Cesta k ovladači se může lišit v závislosti na použité linuxové distribuci. Aktuální cestu ve vašem
systému zjistíte příkazem sudo find /usr -iname "*libmyobdc*"
ERA produkty vyžadují MySQL ovladač s podporou multi-threadingu. Tento požadavek splňuje ovladač unixODBC
(2.3.0 a novější). Pokud používáte starší verzi ovladače (verzi zjistíte pomocí příkazu odbcinst --version), je nutné
do souboru odbcinst.ini přidat parametr:
Threading = 0
Konfiguraci ODBC ovladače aktualizujete a do systému propíšete příkazem:
sudo odbcinst –i -d
-f /etc/odbcinst.ini
3.4.4 Instalace ERA Server na Linuxu
Instalaci komponent ERA Serveru provedete na Linuxu prostřednictvím Terminálu. Ujistěte se, že počítač splňuje
požadavky pro instalaci. Připravit si můžete instalační skript a následně jej spustit s oprávněním sudo.
Poznámka: Pro nainstalování ERA Serveru na SUSE Linux Enterprise Server (SLES) postupujte podle těchto kroků.
Příklad
sudo ./Server-Linux-x86_64.sh \
--skip-license \
--db-driver=MySQL \
--db-hostname=127.0.0.1 \
--db-port=3306 \
--db-admin-username=root \
--db-admin-password=Admin123 \
--server-root-password=Admin123 \
--db-user-username=root \
--db-user-password=Admin123 \
--cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL"
90
ERA Server se službou eraserver se nainstaluje do následujícího umístění:
/opt/eset/RemoteAdministrator/Server
Při instalaci můžete změnit následující parametry:
Atribut
Popis
--uninstall
--keep-database
Odinstaluje produkt
Během odinstalace zůstane databáze zachována
--locale
Lokální identifikátor (LCID) serveru (výchozí hodnota je "en_US"),
který určuje v jakém jazyce budou zapsána data do databáze.
Více informací naleznete v kapitole podporované jazyky.
Poznámka: Pro každou relaci ERA Web Console si můžete
nastavit jiný jazyk.
Instalátor přeskočí dotaz na vložení licenčních údajů
Instalátor přeskočí generování certifikátů (tento parametr
použijte společně s --server-cert-path)
Zadejte licenční klíč. Vložit jej můžete později.
Globální unikátní identifikátor produktu. Pokud není nastaven,
bude vygenerován.
Port ESET Remote Administrator (ERA) Server (standardně 2222)
Port ESET Remote Administrator Web Console (standardně 2223)
Heslo pro přihlášení do ERA Web Console k účtu "Administrator";
musí obsahovat alespoň 8 znaků
Typ použité databáze (možné hodnoty "MySQL Server",
"Microsoft SQL Server")
ODBC ovladač zajišťující připojení k databázi (například "MySQL
ODBC 5.3 ANSI Driver"). Přesný název ovladače naleznete v
souboru /etc/odbcinst.ini nebo pomocí příkazu odbcinst -q -d
Název nebo IP adresa databázového serveru
Port databázového serveru (standardně 3306)
Název databáze ERA serveru (standardně "era_db")
Jméno databázového administrátora (tyto údaje jsou používané
při instalaci pro vytváření a úpravu struktury databáze)
Heslo databázového administrátora
Jméno databázového uživatele ERA serveru (tyto údaje používá
ERA server pro připojení k databázi); nemělo by být delší než 16
znaků
Heslo databázového uživatele ERA serveru
Všechny názvy a IP adresy počítače, na který ERA Server
instalujete. Zadané názvy budou následně uvedeny v klientských
certifikátech.
Cesta k certifikátu serveru (tuto možnost použijte společně v
parametrem --skip-cert)
Heslo k certifikátu serveru
Heslo k certifikátu agenta
Heslo k certifikátu certifikační autority
Cesta k certifikátu certifikační autority
Běžný název certifikační autority (use "")
-
--skip-license
--skip-cert
--license-key
--product-guid
--server-port
--console-port
--server-root-password
--db-type
--db-driver
--db-hostname
--db-port
--db-name
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--cert-hostname
--server-cert-path
--server-cert-password
--agent-cert-password
--cert-auth-password
--cert-auth-path
--cert-auth-common-name
--cert-organizational-unit
--cert-organization
Vyžadováno
Ano
Ne
Ne
Ne
Ne
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
91
Atribut
Popis
--cert-locality
--cert-state
--cert-country
--cert-validity
Platnost certifikátu ve dnech nebo letech (společně s tímto
použijte argument --cert-validity-unit)
Jednotka platnosti certifikátu – možné hodnoty 'Years' a
'Days' (výchozí hodnota je 'Years')
Active Directory server
Jméno uživatele, který má oprávnění prohledávat AD
Heslo Active Directory uživatele
Strom Active Directory, který bude synchronizován. Pro
synchronizaci celého stromu použijte ""
--cert-validity-unit
--ad-server
--ad-user-name
--ad-user-password
--ad-cdn-include
Vyžadováno
Ne
Ne
Ne
Ne
Instalační protokol
Protokol může být užitečný při řešení problémů s instalací a naleznete jej v následujícím umístění:
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
Po dokončení instalace ověřte, zda služba ERA Server běží pomocí příkazu:
service eraserver status nebo systemctl status eraserver
DŮLEŽITÉ: Po dokončení intstalace ERA Serveru nainstaluje také ERA Agenta. Ten zajistí sběr informací o výkonu
serveru a jejich zobrazení v ERA Web Console.
3.4.4.1 Předpoklady pro instalaci ERA Serveru na Linuxu
Pro samostatnou instalaci ERA Serveru na Linuxu je nutné splnit následující předpoklady:
· Musíte mít platnou licenci.
· Nainstalovaný a nakonfigurovaný databázový server (Microsoft SQL nebo MySQL) s administrátorským účtem
(další uživatelský účet nemusí být vytvořen před instalací, instalátor jej dokáže vytvořit).
Poznámka: ERA Server ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
· Nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Poznámka: Pro bezproblémové připojení ERA Serveru k MySQL databázi doporučujeme nainstalovat unixODBC_23
balíček (nikoli výchozí unixODBC). To platí především pro SUSE Linux.
92
· Instalační balíček serveru musí být nastaven jako spustitelný.
chmod +x Server-Linux-x86_64.sh
· Musíte mít nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30 (příkazem openssl
version
zjistíte
aktuálně používanou verzi)
· Na linuxovém serveru bez grafického rozhraní je nutné pro správné zobrazování přehledů (serverová úloha
generování přehledu) nainstalovat xvfb balíček.
· Pro úspěšné nasazení ERA Agenta na Windows je nutné nainstalovat cifs-utils balíček.
· Musí mít nainstalovány knihovny Qt4 pro tisk do PDF a PS. Všechny Qt4 závislosti se doinstalují automaticky. Je
nutné nainstalovat verzi 4.8, nikoli 5.
Poznámka: V oficiálních repozitářích CentOS nemusíte najít všechny požadované balíčky. V takovém případě je
potřeba použít repozitář třetí strany (například EPEL) nebo si balíky na cílové stanici zkompilovat ručně. Více
informací naleznete v Databázi znalostí.
· Pro synchronizaci s Active Directory prostřednictvím protokolu Kerberos je nutné doinstalovat kinit + klist. Dále je
nutné správně Kerberos nakonfigurovat v souboru /etc/krb5.conf .
· Pro přihlášení do ERA Web Console prostřednictvím doménového účtu a NTML autentifikaci pro odesílání e-mailů
doinstalovat wbinfo + ntlm_auth.
· Pro synchronizaci s Active Directory doinstalovat ldapsearch.
· Pro odesílání SNMP trapů doinstalovat snmptrap. Mějte na paměti, že je nutné SMP dále nakonfigurovat.
· Na systémech s aktivovaným SELinux (CentOS, Fedora, RHEL) doinstalovat SELinux devel balíček. Mějte na paměti,
že SELinux může být v konfliktu s jinými aplikacemi a pro ERA Server není nezbytný.
Pro instalaci požadovaných závislostí můžete použít následující příkazy:
OpenSUSE distribuce
yum install mysql-connector-odbc
zypper install unixodbc
ODBC ovladač
apt-get install unixodbc
libmyodbc
myodbc-unixbox
xvfb
apt-get install xvfb
yum install xorg-x11-server-Xvfb
zypper install xorg-x11-serverextra
yum install cifs-utils
zypper install cifs-utils
cifs-utils
apt-get install cifs-utils
Qt4 WebKit knihovny
Více informací naleznete v Databázi
znalostí.
kinit+klist – volitelné, potřebné pro služby Active Directory
zypper install libqtwebkit4
apt-get install krb5-user
yum install krb5-workstation
zypper install krb5
yum install samba-winbind-clients
zypper install samba-winbind
apt-get install libqtwebkit4
wbinfo + ntlm_auth
apt-get install winbind
ldapsearch
apt-get install ldap-utils ldap- yum install openldap-clients
utils
cyrus-sasl-gssapi cyrus-sasl-ldap
libsasl2-modules-gssapi-mit
zypper install openldap2-client
cyrus-sasl-gssapi
cyrus-sasl-ldap-auxprop
snmptrap
apt-get install snmp
yum install net-snmp-utils netsnmp
zypper install net-snmp
SELinux devel – volitelné; SELinux může být v konfliktu s jinými aplikacemi a ERA Server je přímo nevyžaduje.
93
OpenSUSE distribuce
apt-get install selinux-policydev
yum install policycoreutils-devel
zypper install selinux-policydevel
yum install samba
samba-winbind-clients
zypper install samba samba-client
samba
apt-get install samba
3.4.5 Instalace ERA Agenta na Linuxu
Při připojení k ERA Serveru je nutné zadat --hostname a --port (při použití SRV záznamu není nutné specifikovat
port). Údaje pro připojení k serveru můžete zadat v některém z následujících formátů:
·
·
·
·
Název serveru a port
IPv4 adresa a port
IPv6 adresa a port
Servisní záznam (SRV záznam) – pro konfiguraci DNS zdrojového záznamu na linuxu musí být počítač v doméně, ve
které je doménový řadič zároveň DNS serverem. Pro více informací přejděte do kapitoly DNS zdrojový záznam.
SRV záznam musí mít prefix "_NAME._tcp", kdy 'NAME' představuje vaše vlastní pojmenování (například 'era').
Vzorový instalační skript:
./Agent-Linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222
Atribut
Popis
--skip-license
instalátor přeskočí dotaz na vložení licenčních údajů
--cert-path
cesta k exportovanému klientskému certifikátu
--cert-auth-path
cesta k exportované certifikační autoritě
--cert-password
heslo ke klientskému certifikátu
heslo k certifikační autoritě
--hostname
údaje pro připojení k ERA Serveru nebo ERA Proxy v jednom z podporovaných
formátů (název serveru, ipv4, ipv6, SRV záznam)
--port
port, na kterém naslouchá ERA Server nebo ERA Proxy (standardně 2222, resp.
1236)
Volitelné parametry
Atribut
Popis
--product-guid
GUID produktu (vygeneruje se, pokud není definováno)
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče certifikátu a
soukromého klíče používaných pro zabezpečení komunikace mezi ERA Serverem a
ERA Agenty. Použijte jeden z následujících parametrů: --cert-path nebo --certcontent .
Base64 kódovaný obsah DER kódovaného soukromého klíče certifikační autority
používané pro ověřování komunikace vzdálených klientů(Proxy nebo Server).
Použijte jeden z následujících parametrů: --cert-auth-path or --cert-authcontent options.
název serveru, na kterém běží ERA Server, a ke kterému se bude ERA Web
Console připojovat (pokud ponecháte prázdné, použije se hodnota zadaná
parametrem 'hostname')
--cert-content
--cert-auth-content
--webconsole-hostname
94
Atribut
Popis
--webconsole-port
port, na kterém komunikuje ERA Web Console s ERA Serverem (standardně 2223)
uživatel, který má přístup do ERA Web Console (standardně Administrator)
heslo k uživatelskému účtu, který má přístup ERA Web Console
--webconsole-user
--webconsole-password
Připojení a certifikáty
· Zadejte údaje pro připojení k ERA Serveru: --hostname, --port (port není potřeba, pokud je použit servisní
záznam; standardně '2222')
· Zadejte údaje pro asistovanou instalaci: --webconsole-port, --webconsole-user, --webconsole-password
· Vložte certifikát pro offline instalaci: --cert-path, --cert-password
· Při použití parametrů
--cert-path
a
--cert-auth-path
musíte mít exportované certifikáty ve formátu .pfx a .der.
Parametry hesla
Parametry pro typ hesla můžete zadat jako proměnné prostředí, soubor, načíst je ze stdin případně zadat jako prostý
text:
--password=env:SECRET_PASSWORD – SECRET_PASSWORD je proměnné prostředí, ve kterém je uloženo heslo
--password=file:/opt/secret – kde první řádek soubor /opt/secret obsahuje heslo
--password=stdin – instalátor si heslo přečte ze standardního vstupu
--password="pass:PASSWORD" je stejný jako --password="PASSWORD" a je povinný v případě, kdy aktuální heslo je
"stdin" nebo začíná "env:" , "file:" resp. "pass:"
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
Po dokončení instalace ověřte, zda ERA Agent běží pomocí příkazu:
sudo service eraagent status nebo systemctl status eraagent
3.4.5.1 Předpoklady pro instalaci ERA Agenta na Linuxu
Pro samostatnou instalaci ERA Agenta na Linuxu je nutné splnit následující předpoklady:
·
·
·
·
·
Vytvořený a na lokálním počítači stažený certifikát agenta.
Vytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Instalační balíček ERA Agenta musí být spustitelný (to provedete pomocí příkazu chmod +x).
Nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
3.4.6 Instalace ERA Web Console na Linuxu
Ujistěte se, že počítač splňuje předpoklady pro instalaci a postupujte podle následujících kroků:
1. Zkopírujte soubor era.war do Tomcat složky s webovými aplikacemi:
sudo cp era.war /var/lib/tomcat7/webapps/
CentOS, RedHat a Fedora distribuce
sudo cp era.war /var/lib/tomcat/webapps/
OpenSUSE distribuce
sudo cp era.war /usr/share/tomcat/webapps/
Případně můžete přímo rozbalit archiv era.war do složky /var/lib/tomcat/webapps/era/
2. Restartujte tomcat službu:
sudo service tomcat7 restart
95
CentOS, RedHat a Fedora distribuce
sudo service tomcat restart
OpenSUSE distribuce
sudo service tomcat restart
Po dokončení instalace by se po zadání níže uvedené adresy do internetového prohlížeče měla zobrazit přihlašovací
obrazovka ERA Web Console:
http://localhost:8080/era
na lokálním stroji, http://IP_ADRESA_NEBO_NAZEV_SERVERU:8080/era v případě
vzdáleného přístupu.
Poznámka: Pokud jste v průběhu instalace webového serveru nespecifikovali jiný HTTP port, Apache Tomcat běží
standardně na portu 8080. Pro konfiguraci HTTPS postupujte podle tohoto návodu.
3.4.6.1 Předpoklady pro instalaci ERA Web Console na Linuxu
Pro samostatnou instalaci komponent ERA Web Console na Linuxu je nutné splnit následující předpoklady:
· Java – ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy nejnovější verzi.
· Apache Tomcat (ve verzi 6 a novější)
· Připraven soubor ERA Web Console (era.war) na lokálním počítači.
Pro instalaci balíčků Java a Apache Tomcat můžete použít následující příkazy:
Balíček
Debian a Ubuntu
CentOS, Red-Hat a Fedora
Java
sudo apt-get install openjdk-7-jdk
yum install java-1.8.0-openjdk
Apache Tomcat
sudo apt-get install tomcat7
yum install tomcat7
3.4.7 Instalace ERA Proxy na Linuxu
2. Spusťte instalační skript pro instalaci ERA Proxy. Níže je uveden vzorový instalační skript.
Nastavení připojení
Cíl je nutné specifikovat jednou z následujících možností:
·
·
·
·
Název serveru
IPv4 adresa
IPv6 adresa
DNS zdrojový záznam – linuxový počítač musí být v doméně. Více informací naleznete v kapitole DNS zdrojový
záznam.
Specifikujte port: použijte 2222 pro ERA Server i ERA Proxy.
96
Příklad instalace
./Proxy-Linux-x86_64.sh \
--db-hostname=10.1.179.28 \
--db-name=era_6_db_proxy \
--db-admin-username=sa \
--db-admin-password=admin.1 \
--db-user-username=tester \
--db-user-password=Admin.1 \
--db-port=1433 \
--db-type="MS SQL Server" \
--db-driver=SQL \
--skip-license \
--hostname=10.1.179.30 \
--port=2222 \
--cert-path=/home/adminko/Desktop/proxy.pfx \
--cert-auth-path=/home/adminko/Desktop/CA-server.der \
--cert-password=root \
--server-root-password=jjf#jDjr
Změnit můžete následující parametry:
Atribut
Popis
--db-hostname
název nebo IP adresa databázového serveru (výchozí hodnota je
localhost )
název použité databáze (standardně era_db nebo era_proxy_db)
přihlašovací jméno databázového administrátora (používá se při
instalaci pro vytvoření a úpravu databáze; standardně root)
heslo databázového administrátora
databázový uživatel, který může přistupovat k ERA databázi (ERA
Proxy jej používá pro připojení k databázi); jméno by nemělo být
delší než 16 znaků
heslo uživatele databáze
port databáze (1433 pro MSSQL, 3306 pro MySQL; výchozí
hodnota je 3306)
použitý typ databáze (možné hodnoty: MySQL Server, MS SQL
Server ; výchozí hodnota je MySQL Server )
ODBC ovladač použitý pro připojení do databáze (například,
MySQL ODBC 5.3 ANSI Driver ; výchozí hodnota je MySQL . Přesný
název ovladače naleznete v souboru /etc/odbcinst.ini nebo
pomocí příkazu odbcinst -q -d)
nedotazovat se na licenci
název nebo IP adresa ERA Serveru, resp. nadřazené ERA Proxy
(výchozí hodnota je localhost)
port ERA Serveru (standardně 2222) nebo ERA Proxy
(standardně 1236)
port, který používá proxy (standardně 2222)
GUID produktu (vygeneruje se, pokud není definováno)
lokální cesta k certifikátu proxy
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče
certifikátu a soukromého klíče používaných pro zabezpečení
komunikace mezi ERA Serverem a ERA Agenty.
lokální cesta k certifikátu certifikační autority
Base64 kódovaný obsah DER kódovaného soukromého klíče
certifikační autority používané pro ověřování komunikace
vzdálených klientů(Proxy nebo Server)
heslo ke klientskému certifikátu ERA Agenta
--db-name
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--db-port
--db-type
--db-driver
--skip-license
--hostname
--port
--proxy-port
--product-guid
--cert-path
--cert-content
--cert-auth-path
--cert-auth-content
--cert-password
Vyžadováno
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano*
Ano*
Ano**
Ano**
Ano
97
Atribut
Popis
heslo k certifikační autoritě
databáze nebude při odinstalaci odstraněna
--keep-database
Vyžadováno
* Použijte jeden z následujících parametrů: --cert-path nebo --cert-content.
** Použijte jeden z následujících parametrů: --cert-auth-path nebo --cert-auth-content.
Po dokončení instalace ověřte, zda služba ERA Proxy běží pomocí příkazu:
sudo service eraproxy status
nebo systemctl
status eraproxy
Poznámka: Protokol ERA Proxy pro případnou diagnostiku naleznete ve složce: C:\ProgramData\ESET
\RemoteAdministrator\Proxy\EraProxyApplicationData\Logs\
3.4.7.1 Předpoklady pro instalaci ERA Proxy na Linuxu
Pro samostatnou instalaci komponent ERA Proxy na Linuxu je nutné splnit následující předpoklady:
·
·
·
·
·
·
·
·
·
Vytvořený a stažený certifikát proxy.
Vytvořený a stažený veřejný klíč certifikační autority.
Musíte mít platnou licenci.
Nainstalovaný a nakonfigurovaný databázový server.
Ninstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Nainstalovaný ERA Agent pro správné fungování všech součástí.
Instalační balíček ERA Proxy musí být nastaven jako spustitelný. (chmod +x Proxy-Linux-x86_64.sh)
Nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
3.4.8 Požadavky pro instalaci ESET RD Sensor na Linux
Pro instalaci ESET RD Sensor na Linux postupujte podle následujících kroků:
1. Ujistěte se, že počítač splňuje předpoklady pro instalaci:
o Síť musí být možné prohledávat (otevřené porty, firewall nesmí blokovat příchozí komunikaci atp.)
o Server musí být z lokálního počítače dosažitelný.
o Na lokálním počítači nainstalovaný ERA Agent pro správné fungování všech součástí.
o Instalační balíček RD Sensor musí být nastaven jako spustitelný:
chmod +x RDSensor-Linux-x86_64.sh
2. Spusťte instalaci prostřednictvím instalačního balíčku s oprávněním sudo:
sudo ./RDSensor-Linux-x86_64.sh
3. Přečtěte si a licenční ujednání. Pro pohyb v Terminálu použijte klávesu Mezerník.
Licenční ujednání odsouhlaste stisknutím klávesy Y. V opačném případě stiskněte klávesu N.
4. ESET RD Sensor se nainstaluje na počítač.
5. Po dokončení instalace ověřte, zda ESET RD Sensor běží pomocí příkazu:
sudo service rdsensor status
nebo systemctl
status rdsensor
6. Protokol Rogue Detection Sensor naleznete ve složce: /var/log/eset/RogueDetectionSensor/trace.log
98
Ano
-
3.4.9 Instalace Mobile Device Connector na Linuxu
Mobile Device Connector můžete nainstalovat na jiný server, než na kterém běží ERA Server. Pokud tedy chcete
spravovat mobilní zařízení také ve chvíli, kdy jsou mimo vaši lokální síť, stačí do internetu vypublikovat pouze server,
na kterém je nainstalován MDM.
Instalaci MDM provedete na Linuxu prostřednictvím Terminálu. Ujistěte se, že počítač splňuje požadavky pro
instalaci. Připravit si můžete instalační skript a následně jej spustit s oprávněním sudo.
Během instalace je nutné vybrat klientský certifikáty. Získat je můžete dvěma způsoby:
certifikační autority, pokud používáte vlastní. Případně můžete použít vlastní certifikáty.
Při instalaci musíte použít následující parametry:
HTTPS certifikát:
--https-cert-path=
--https-cert-password=
Klientský certifikát:
Pro asistovanou instalaci stačí uvést:
--webconsole-password=
Pro offline instalaci zadejte:
--cert-path=
--cert-password=
(heslo není vyžadováno pro výchozí certifikát vytvořený v průběhu instalace ERA Serveru)
Připojení k ERA Serveru (název serveru nebo IP adresa):
--hostname=
Pro vytvoření nové MySQL databáze je nutné zadat:
--db-type="MySQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
Pro vytvoření nové MSSQL databáze je nutné zadat:
--db-type="Microsoft SQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
Příklad instalace
sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \
--https-cert-path="./httpscert.pfx" \
--https-cert-password="123456789" \
--port=2222 \
--db-type="MySQL" \
--db-driver="MySQL" \
--db-admin-username="root" \
--db-admin-password=123456789 \
--db-user-password=123456789 \
--db-hostname="127.0.0.1" \
--webconsole-password=123456789 \
--hostname=username.LOCAL \
--mdm-hostname=username.LOCAL
99
Pro zobrazení všech dostupných parametrů použije parametr:
--help
/var/log/eset//mdminstaller.log
Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do adresního
řádku zadejte adresu https://nazev_serveru_vaseho_serveru:registracni_port (například https://eramdm:9980).
Pokud instalace byla úspěšná, měla by se zobrazit následující zpráva:
Tuto adresu můžete použít také pro ověření dostupnosti MDM serveru nejen v rámci sítě, ale také z internetu. Pokud
server není dosažitelný, zkontrolujte nastavení firewallu a konfiguraci vaší sítě.
3.4.9.1 Předpoklady pro instalaci Mobile Device Connector na Linuxu
Pro samostatnou instalaci MDM na Linuxu je nutné splnit následující předpoklady:
· Nainstalovaný a nakonfigurovaný databázový server (Microsoft SQL nebo MySQL) s administrátorským účtem
(další uživatelský účet nemusí být vytvořen před instalací, instalátor jej dokáže vytvořit).
· Na serveru nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
apt-get install unixodbc libmyodbc (Debian, Ubuntu distribuce)
yum install mysql-connector-odbc (CentOS, Red-Hat, Fedora distribuce)
zypper install unixodbc myodbc-unixbox (OpenSUSE distribuce)
Poznámka: Pro bezproblémové připojení MDC k MySQL databázi doporučujeme nainstalovat unixODBC_23 balíček
(nikoli výchozí unixODBC). To platí především pro SUSE Linux.
· Instalační balíček MDM musí být nastaven jako spustitelný.
chmod +x MDMCore-Linux-x86_64.sh
· Po dokončení instalace ověřte, zda služba MDMCore běží pomocí příkazu:
service mdmcore status
nebo systemctl
status mdmcore
· Musíte mít nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
· Dostatek operační paměti. Mobile Device Connector virtualizuje ERA Agenta pro každé mobilní zařízení. Souběžně
se však vytvoří nejvýše 48 samostatných procesů (ESET Remote Administrator MDMCore Module). V případě, že
máte větší počet zařízení, virtuální ERA Agenti se budou pravidelně střídat o systémové prostředky (RAM a CPU).
Poznámka: Pokud máte k MDC připojeno tisíce zařízení a MySQL databáze je obrovská, je potřeba upravit
parametr innodb_buf f er_pool_size. Pro více informací o optimalizaci databáze přejděte do Databáze znalostí
společnosti Oracle.
Poznámka: ESET MDC ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
100
Důležité: Při instalaci musíte vybrat SSL certifikát v .pfx formátu, který je používán pro ověřování komunikace.
Doporučujeme použít certifikát vygenerovaný certifikační autoritou. Certifikáty podepsané samy sebou totiž
neakceptují všechna mobilní zařízení.
Poznámka: Certifikát podepsaný certifikační autoritou je potřeba společně s privátním klíčem sloučit
(prostřednictvím OpenSSL) do jednoho .pfx souboru:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Jedná se o standardní postup platný pro většinu serverů.
Důležité: Při offline instalaci vyberte exportovaný klientský certifikát, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu není nutné vybrat její veřejný klíč. Použít můžete vlastní
certifikáty.
3.4.10 Instalace Apache HTTP Proxy na Linuxu
Komponentu HTTP Proxy můžete v kombinaci s ESET Remote Administrator 6 použít k distribuci aktualizací a
instalačních balíčků jednotlivým klientským stanicím. HTTP Proxy zajišťuje stejnou roli jako funkce mirror z
předchozích verzí ESET Remote Administrator 5 a dále ji rozšiřuje. Prostřednictvím HTTP Proxy můžete:
· Stahovat aktualizace virových databází a programových komponent na centrální místo v síti a distribuovat je
klientům ve vaší síti,
· Vytvořit cache pro instalační balíčky produktů ESET,
· Minimalizovat vytížení připojení k internetu.
Poznámka: Pokud nemůžete nebo nechcete použít Apache HTTP Proxy, můžete si ve své síti zprovoznit Mirror
tool, který bude stahovat aktualizace virové databáze. Tento nástroj je dostupný pro Windows a Linux.
Vyberte si postup, který vystihuje vaše potřeby a server:
1. Obecná instalace na Linux
2. Instalace na Ubuntu Server 14.10 a distribuce založené na Debianu
V této kapitole dále naleznete:
· Cachování pouze ESET komunikace
· Proxy chaining
Obecný postup instalace Apache HTTP Proxy na Linuxu
1. Nainstalujte Apache HTTP Server (minimálně ve verzi 2.4.10)
2. Ověřte, že jsou načteny níže uvedené moduly:
access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk
3. Do konfiguračního souboru main.conf přidejte parametry pro aktivaci cache:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Pokud složka /var/cache/apache2/mod_cache_disk neexistuje, vytvořte ji a přidělte ji oprávnění (r,w,x)
5. Do konfigurace přidejte parametry pro aktivaci proxy:
ProxyRequests On
ProxyVia On
101
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. V případě potřeby změňte port, na kterém proxy běží (standardně 3128)
7. Volitelně nastavte základní autentifikaci:
o Přidejte do konfigurace proxy tyto řádky:
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
o Vytvořte heslo pomocí příkazu htpasswd.exe
-c
o Ručně vytvořte soubor group.file a vložte do něj usergroup:username
8. Restartujte Apache HTTP Proxy
Instalace na Ubuntu server 14.10 a distribuce založené na Debianu
1. Nainstalujte nejnovější verzi Apache HTTP Server z repozitáře:
sudo apt-get install apache2
2. Načtěte moduly:
sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile
authz_host proxy proxy_http proxy_connect cache cache_disk
3. Otevřete si konfigurační soubor Apache:
sudo vim /etc/apache2/conf-available/caching.conf
a do konfiguračního souboru přidejte tyto řádky:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Pokud složka /var/cache/apache2/mod_cache_disk neexistuje, vytvořte ji:
sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk
5. Otevřete si konfigurační soubor Apache Proxy:
sudo vim /etc/apache2/conf-available/proxy.conf
a do konfiguračního souboru přidejte tyto řádky:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. Nastavte, aby se konfigurační soubory používaly:
sudo a2enconf caching.conf proxy.conf
102
7. Nastavte Apache HTTP Server tak, aby naslouchal na portu 3128. V souboru /etc/apache2/ports.conf najděte
řádek Listen 80 a nahraďte jej řádkem Listen 3128.
8. Volitelně nastavte základní autentifikaci:
o sudo vim /etc/apache2/conf-available/proxy.conf
· před </Proxy> vložte
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
· nainstalujte apache2-utils a vytvořte soubor s heslem (například uživatel: user, skupina: usergroup):
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
· vytvořte soubor skupiny:
sudo vim /etc/apache2/group.file
a vložte do něj řádek:
usergroup:user
9. Restartujte Apache HTTP Proxy
sudo service apache2 restart
Cachování pouze ESET komunikace:
Seznam příkazů máme uveden v online verzi této kapitoly.
Proxy chaining:
Do konfigurace přidejte následující řádek (heslo platí pouze pro zděděnou proxy):
ProxyRemote * http://IP_ADDRESS:3128
3.4.11 Instalace Squid HTTP Proxy na Ubuntu Server 14.10
Na Ubuntu Server můžete místo Apache HTTP Proxy použít Squid proxy. Pro nainstalování Squidu na Ubuntu Server
14.10 a další distribuce založené na Debianu postupujte podle následujících kroků:
1. Nainstalujte Squid3:
sudo apt-get install squid3
2. Otevřete konfigurační soubor /etc/squid3/squid.conf
a nahraďte #cache_dir ufs /var/spool/squid3 100 16
tímto cache_dir ufs /var/spool/squid3 5000 16 256
Poznámka: 5000 je velikost cache v MB.
256
max-size=200000000
3. Restartujte squid3 službu.
sudo service squid3 stop
sudo squid3 –z
4. Znovu otevřete konfigurační soubor
a přidejte http_access allow all
před http_access deny all
pro povolení přístupu všem klientům k proxy.
5. Restartujte squid3 službu.
sudo service squid3 restart
103
3.4.12 Mirror tool
Mirror tool je nástroj, který využijete pro aktualizaci virové databáze bezpečnostních produktů ESET v offline
prostředích. Prostřednictvím tohoto nástroje si můžete vytvořit lokální aktualizační mirror a z něj následně
aktualizovat klienty, kteří nemají přístup k internetu.
Poznámka: Mirror tool stahuje výhradně aktualizace virové databáze, nikoli programové komponenty (PCU).
Aktualizaci bezpečnostního produktu ESET na novou verzi je nutné provést ručně nebo využít úlohu instalace
aplikace.
Předpoklady
· Cílová složka musí být sdílená (Samba/Windows nebo HTTP/FTP služba).
· Musíte mít stažený offline licenční soubor, který v sobě obsahuje uživatelské jméno a heslo. Při generování offline
souboru na portále ESET License Administrator zaškrtněte možnost Zahrnout uživatelé jméno a heslo.
· Na počítači s operačním systémem Windows, na kterém poběží mirror tool, musíte mít nainstalován Visual C++
Redistributables for Visual Studio 2012.
· Ve stejné složce připraveny soubory:
Windows:
MirrorTool.exe
a updater.dll
Linux:
MirrorTool
a updater.so
Použití
· Seznam všech dostupných parametrů získáte po zadání příkazu MirrorTool
104
--help :
· Parameter --mirrorType je povinný a definuje typ aktualizací, které se budou stahovat.
· Parameter --intermediateUpdateDirectory je povinný a definuje cestu k dočasné složce, do které se budou
aktualizační soubory stahovat.
· Parameter --offlineLicenseFilename je povinný a definuje cestu k offline licenčnímu souboru.
· Parameter --outputDirectory je povinný a definuje cestu, ve které se vytvoří výsledný mirror.
· Pro vytvoření lokálního aktualizačního mirroru zadejte použijte například příkaz:
Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
Linux:
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory \
/tmp/mirrorTool/mirrorTemp --offlineLicenseFilename \
/tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Automatické stahování aktualizací
· Pro automatické stahování aktualizací a vytváření mirroru využijte Plánovač ve Windows nebo CRON na linuxu.
Případně prostřednictvím ERA Web vytvořte novou klientskou úlohu Spustit příkaz, zadejte výše uvedený příkaz
ke spuštění, cestu k MirrorTool.exe) a nastavte podmínku spuštění například prostřednictvím CRON výrazu
například takto"0 0 * * * ? *" (tím se aktualizace spustí každou hodinu).
· Klientským stanicím následně prostřednictvím politiky změňte nastavení aktualizací a nastavte ji tak, aby si klient
stahoval aktualizace ze složky s mirrorem.
105
3.4.13 Failover Cluster - Linux
Níže uvádíme postup pro instalaci ESET Remote Administrator na Red Hat high-availability cluster.
·
·
·
·
Podpora linuxového clusteru
Předpoklady
Možnosti instalace
Instalační kroky
Podpora linuxového clusteru
ESET Remote Administrator Server nebo ERA Proxy můžete nainstalovat na Red Hat Linux 6 cluster a novější. Failover
Cluster je podporován v aktivním/pasivním režimu vytvořený prostřednictvím rgmanager.
Předpoklady
· Aktivní/pasivní cluster musí být nainstalován a správně nakonfigurován. V jeden okamžik musí být aktivní pouze
jeden uzel clusteru, ostatní musí být v režimu standby. Load balancing není podporován.
· Sdílené úložiště – podporovány jsou iSCSI SAN, NFS a další řešení (jakákoli technologie nebo protokol, který
přistupuje k úložiště po blocích nebo souborech a úložiště namapuje tak, že se bude tvářit jako lokálně připojená
jednotka). Sdílené úložiště musí být dostupné ze všech aktivních uzlů clusteru a souborový systém musí být
korektně inicializován (například EXT3 nebo EXT4).
· Pro správu systému jsou vyžadovány následující HA rozšíření:
o rgmanager
o Conga
· rgmanager je tradiční Red Hat HA cluster stack a jedná se o povinnou komponentu.
· Grafické rozhraní Conga je volitelné. Failover Cluster můžete spravovat bez něj, ale doporučujeme jej nainstalovat
pro dosažení maximálního výkonu. V dalších krocích nápovědy, že jej máte nainstalované.
· Pro zabránění poškození dat musíte mít správně nakonfigurován fencing.
Pokud zatím neprovozujete cluster, můžete si na RedHatu vytvořit high-availability Failover Cluster (aktivní nebo
pasivní) podle kroků uvedených v dokumentaci k Red Hat Enterprise Linux 6 – správa clusteru.
Možnosti instalace
Na Red Hat Linux HA cluster můžete nainstalovat následující komponenty ESET Remote Administrator:
· ERA Server a ERA Agenta
· ERA Proxy a ERA Agenta
Poznámka: ERA Agent musí být nainstalován, v opačném případě se nespustí služba ERA cluster.
Poznámka: Do clusteru není možné nainstalovat ERA databázi ani ERA Web Console.
Na následujícím příkladu si ukážeme instalaci na cluster se dvěma uzly. Instalaci ESET Remote Administrator můžete
provést po vzoru toho návodu na uzel s libovolným množstvím uzlů. Pro přehlednost si uzly použité v příkladu
pojmenujeme jako uzel1 a uzel2.
Instalační kroky
1. Nainstalujte ERA Server nebo ERA Proxy a ERA Agenta na uzel1. V průběhu instalace ERA Agenta použijte
parametr --hostname= a jeho argument nastavte na localhost (nepoužívejte IP adresu nebo název konkrétního
uzlu). Případně použijte externí IP adresu nebo název rozhraní clusteru.
106
· Mějte na paměti, že certifikát ERA Serveru nebo ERA Proxy musí obsahovat IP adresu nebo název externího
rozhraní clusteru (nikoli lokální IP adresu uzlu).
· Pokud v průběhu instalace ERA Agenta použijete parametr --hostname=, můžete:
o Zadat externí IP adresu nebo název rozhraní clusteru.
o Alternativně můžete zadat localhost. V tomto případě musí certifikát ERA Serveru a ERA Proxy obsahovat
localhost.
2. Zastavte a deaktivujte služby ERA Agenta a ERA Serveru (případně ERA Proxy) pomocí následujících příkazů:
chkconfig eraagent off
chkconfig eraservice off
service eraagent stop
service eraservice stop
3. Připojte sdílené úložiště k uzlu1. V tomto příkladu máme sdílené úložiště připojené jako /usr/share/eracluster.
4. V /usr/share/eracluster vytvořte složky:
/usr/share/eracluster/etc/opt
/usr/share/eracluster/opt
/usr/share/eracluster/var/log
/usr/share/eracluster/var/opt
5. Přesuňte rekurzivně následující složky do cílových:
Zdrojová složka:
Cílová složka:
/etc/opt/eset
/usr/share/eracluster/etc/opt/
/opt/eset
/usr/share/eracluster/opt/
/var/log/eset
/usr/share/eracluster/var/log/
/var/opt/eset
/usr/share/eracluster/var/opt/
6. Vytvořte symbolické odkazy:
7. Odpojte sdílené úložiště (/usr/share/eracluster) od uzlu1 a připojte jej k uzlu2.
8. Na uzlu 2 vytvořte symbolické odkazy:
9. Zkopírujte skript eracluster_server nebo (eracluster_proxy) do složky /usr/share/cluster.
Skripty eracluster_server nebo (eracluster_proxy) naleznete v instalační složce ERA Serveru nebo ERA Proxy.
Další kroky budeme provádět prostřednictvím grafické rozhraní Conga:
10. Vytvořte servisní skupinu, například EraG2Service.
Služba ESET Remote Administrator cluster vyžaduje tři zdroje: IP adresu, souborový systém a skript.
11. Vytvořte potřebné zdroje služby.
Zadejte IP adresu, souborový systém a zdroj skriptu.
Souborový systém by měl odkazovat na sdílené úložiště.
Přípojný bod souborového systému by měl být nastaven na /usr/share/eracluster.
Parametr “Full Path to Script File” nastavte na /usr/share/cluster/eracluster_server, resp. /usr/share/cluster/
eracluster_proxy.
12. Přidejte výše uvedené zdroje do skupiny EraService.
107
3.4.14 Jak aktualizovat, přeinstalovat nebo odinstalovat ERA komponenty na Linuxu
Pokud potřebujete přeinstalovat nebo aktualizovat ERA komponenty na novější verzi, jednoduše spusťte znovu
instalační skript.
Pro odinstalaci ERA komponent spusťte instalační skript s parametrem --uninstall:
sudo ./Server-Linux-x86_64.sh --uninstall --keep-database
Důležité: Při odinstalaci bude odstraněna konfigurace a soubory databáze. Pro zabránění ztráty dat si vytvořte
SQL dump databáze nebo použijte parametr --keep-database.
Po odinstalování zkontrolujte, zda se odstranila:
· služba eraserver,
· složka /etc/opt/eset/RemoteAdministrator/Server/.
Poznámka: Před provedením odinstalace doporučujeme provést zálohu databáze pro případ, že byste potřebovali
obnovit data.
3.5 Komponenty instalované na OS X
Ve většinu instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp.
Poznámka: OS X je podporován je podporován pouze klientskou částí. Na OS X můžete nainstalovat pouze ERA
Agenta a bezpečnostní produktu ESET.
3.5.1 Instalace ERA Agenta na OS X
Pro instalaci ERA Agenta na OS X postupujte podle následujících kroků:
Pro samostatnou instalaci ERA Agenta na OS X je nutné splnit následující předpoklady:
1. Ujistěte se, že počítač splňuje požadavky pro instalaci:
· Nainstalovaný ERA Server a ERA Web Console (na serveru).
· Vytvořený a na lokálním počítači stažený certifikát agenta.
· Vytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Poznámka: Pokud se vám nedaří vzdálená instalace prostřednictvím ERA serveru, přejděte do kapitoly řešení
problémů.
2. Stáhněte si instalační .dmg balíček z webových stránek společnosti ESET.
3. Otevřete stažený .dmg balíček a z něj spusťte .pkg soubor.
4. V průběhu instalace zadejte parametry pro připojení k ERA serveru (IP adresa/název serveru a port – standardně
2222).
5. Vyberte klientský certifikát a veřejný klíč certifikační autority.
6. Instalaci dokončete kliknutím na tlačítko Instalovat.
7. Protokoly naleznete z ERA Agenta ve složce:
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
108
3.6 Databáze
ESET Remote Administrator ukládá data do externí databáze. Všechny potřebné tabulky a uživatele vytvoří
automaticky instalační balíček. V následujících kapitolách si popíšeme zálohování, aktualizaci a migraci databázové
serveru, který využívá ERA Server/Proxy. Před samotnou instalací ERA Serveru, případně ERA Proxy:
· Ověřte, zda váš databázový server splňuje požadavky.
· Pokud zatím žádný databázový server nepoužíváte, můžete využít Microsoft SQL Server Express, který je součástí
instalačního balíčku ERA.
· Pokud používáte Microsoft Small Business Server (SBS) nebo Essentials, zkontrolujte požadavky, především ty
softwarové. Poté postupujte podle kroků uvedených v kapitole Instalace na Windows SBS / Essentials.
· Pokud již máte nainstalován Microsoft SQL Server, zkontrolujte požadavky a ověřte, že používáte Microsoft SQL
Server ve verzi, kterou podporuje ESET Remote Administrator. Pokud používáte nepodporovanou verzi,
aktualizujte svůj SQL Server.
Pokud chcete provozovat ESET Remote Administrator s MS SQL databází, musíte mít nainstalovaný a správně
nakonfigurovaný Microsoft SQL Server:
· Microsoft SQL Server 2008 R2 a novější, případně Microsoft SQL Server 2008 R2 Express a novější. Při instalaci
vyberte pro autentifikaci Mixed mode.
· Pokud již máte Microsoft SQL Server nainstalován, nastavte Mixed mode (SQL Server authentication and Windows
authentication) podle těchto kroků z Databázë znalostí.
· Povolte TCP/IP připojení k SQL Serveru. Postup krok za krokem naleznete v Databázi znalostí.
Poznámka: Pro konfiguraci a správu Microsoft SQL Server potřebujete SQL Server Management Studio (SSMS).
Tento nástroj se standardně při použití MSSQL Express neinstaluje. Je potřeba jej stáhnout a nainstalovat ručně.
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databáze znalostí.
3.6.1 Záloha ERA databáze
Všechny informace a nastavení ESET Remote Administrator jsou uloženy v databázi. ERA Server, ERA Proxy ani ERA
Mobile Device Connector neprovádí zálohu databáze. Doporučujeme tedy databázi zálohovat ručně pro zabránění
ztráty dat. Pro více informací postupujte podle následujících kroků v závislosti na použitém typu databáze:
· MySQL
· SQL Server
Zálohu databáze využijete také při migraci ESET Remote Administrator na nový server.
Pro obnovení databáze ze zálohy postupujte podle následujících kroků v závislosti na použitém typu databáze:
· MySQL
· SQL Server
Níže uvádíme příklady skriptů, které můžete použít pro zálohování a obnovení databáze.
Jednorázová záloha
Pomocí níže uvedeného příkazu vytvoříte jednorázovou zálohu:
109
SQLCMD -S HOST\ERASQL -q "BACKUP DATABASE ERA_DB TO DISK = N'BACKUPFILE'"
Poznámka: HOST nahraďte IP adresou/názvem SQL serveru a ERASQL je název MS SQL server instance.
Pravidelné zálohování pomocí skriptu
Příklad je dostupný pouze v online verzi této kapitoly.
Příklad zálohování MySQL databáze
Příklad je dostupný pouze v online verzi této kapitoly.
3.6.2 Aktualizace databázového serveru
Pro aktualizaci databázového serveru na nejnovější verzi postupujte podle následujících kroků:
1. Zastavte všechny služby ERA Serveru, resp. ERA Proxy. Pokud se k databázovému serveru, který budete
aktualizovat, připojují také další aplikace, zastavte je všechny.
2. Zálohujte si obsah databáze.
3. Proveďte aktualizaci databázového serveru podle kroků výrobce.
4. Spusťte všechny služby ERA Serveru, resp. ERA Proxy a v trace protokolech ověřte úspěšné připojení do databáze.
Další informace
· Aktualizace SQL Serveru https://msdn.microsoft.com/en-us/library/bb677622.aspx (pro informace ke konkrétní
verzi SQL Serveru klikněte na webové stránce na možnost Other Versions a vyberte si verzi, kterou používáte)
· Aktualizace MySQL Serveru (na verzi 5.6): http://dev.mysql.com/doc/refman/5.6/en/upgrading.html
3.6.3 Migrace ERA databáze
Pokud potřebujete ERA Server, případně ERA Proxy přenést na jiný stroj společně s existujícím databázovým
serverem a jeho obsahem, postupujte podle následujících kroků:
· Postup migrace pro Microsoft SQL Server
· Postup migrace pro MySQL Server
Poznámka: Postup migrace je stejný pro Microsoft SQL Server i Microsoft SQL Server Express.
3.6.3.1 Proces migrace SQL serveru
Postup migrace je stejný pro Microsoft SQL Server i Microsoft SQL Server Express.
Více informací naleznete v Databázi znalostí společnosti Microsoft.
· Předpoklady
o Nainstalovánu cílovou instanci SQL serveru, na kterou budete migrovat. Cílová instance může být nainstalována
na jiném stroji než zdrojová.
o Cílová instance SQL serveru musí být ve stejné verze jako zdrojová instance. Downgrade není podporován!
o Musíte mít nainstalované SQL Server Management Studio. Pokud máte obě instance SQL serveru na rozdílných
strojích, nástroj pro správu nainstalujte na oba stroje.
· Migrace
1. Zastavte službu ERA Server, resp. ERA Proxy.
2. Přihlaste se prostřednictvím SQL Server Management Studio na původní instanci SQL serveru.
110
3. Vytvořte úplnou zálohu databáze, kterou budete migrovat (standardně era_db). Doporučujme zadat zcela nový
název zálohy. Pokud jste již databázi dříve zálohovali, při použití stejného jména by se k původní záloze přidala
aktuální. V takovém případě by záloha byla zbytečně velká.
4. Klikněte na databázi a vyberte Tasks > Take Offline.
5. Zkopírujte zálohu (.bak souboru) vytvořeného v kroku 3 do umístění, do kterého má přístup cílová instance SQL
serveru. Dále může být potřeba změnit oprávnění pro přístup k danému souboru.
6. Klikněte na databázi a vyberte Tasks > Bring Offline., ale zatím nespouštějte ERA Server!
5. Přihlaste se prostřednictvím SQL Server Management Studio na novou instanci SQL serveru.
7. Obnovte obsah databáze na cílovou instanci SQL serveru.
9. V zobrazeném dialogovém okně zadejte název databáze. Doporučujeme použít stejný jako v původní instanci
(standardně era_db).
10.Dále klikněte na … na konci řádku From device.
111
11.Klikněte na Add a najděte soubor se zálohou databáze.
12.Pokud záloha obsahuje více bodů, vyberte ten nejnovější.
13.V průvodci obnovením přejděte na záložku Options. Volitelně vyberte možnost Overwrite existing database a
ujistěte se, že místo pro obnovení databáze (.mdf) a protokolu (.ldf) je správné. Pokud ponecháte výchozí
hodnoty beze změny, použijí se cesty ze zdrojového SQL serveru. V takovém případě zkontrolujte tyto hodnoty.
o Pokud si nejste jisti, kde jsou soubory databáze na cílovém SQL serveru uloženy, klikněte pravým tlačítkem myši
na existující databázi, z kontextového menu vyberte možnost Properties a přejděte na záložku Files. Ve sloupci
Path se zobrazí cesta ke složce, ve které jsou soubory uloženy.
112
14.Průvodce obnovením ukončete kliknutím na tlačítko OK.
15.Ujistěte se, že máte aktivní možnost SQL Server Authentication. Klikněte pravým tlačítkem na server a z
kontextového menu vyberte možnost Properties. V zobrazeném dialogovém okně přejděte na záložku Security a
ověřte, zda je možnost SQL Server and Windows Authentication mode aktivní.
113
16.Na cílovém SQL serveru vytvořte nový účet pro přístup k SQL serveru, který bude používat ERA Server případně
ERA Proxy.
o Nevynucujte platnost hesla!
o Doporučení pro uživatelské jméno:
Malé ASCII znaky, čísla a podtržítko "_"
o Doporučení pro heslo:
Pouze ASCII znaky včetně malých a velkých písmen, čísla, mezery a speciální znaky
o Nepoužívejte non-ASCII znak, složené závorky {} a @
o Mějte na paměti, že při nedodržení výše uvedených doporučení nemusí dojít k úspěšnému připojení do
databáze případně budete muset použít escape znak při úpravě connection stringu (krok 19).
§
§
114
17.Vytvořenému uživateli namapujte obnovenou databázi. Na záložce User Mappings se ujistěte, že uživatel má
následující role: db_datareader, db_datawriter, db_owner.
115
18.Klikněte pravým tlačítkem myši na databázi a z kontextového menu vyberte možnost Properties. Následně
nastavte Compatibility level u obnovené databáze na nejnovější pro přístup ke všem funkcím.
116
Poznámka: SQL Server Management Studio neumožňuje nastavit úroveň kompatibility vyšší, než na verzi, kterou
aktuálně používáte. Příklad: Prostřednictvím SQL Server Management Studio 2008 nenastavíte úroveň na SQL Server
2014.
19. Ujistěte se, že máte do databáze aktivní TCP/IP spojení na portu 1433. Konfiguraci zjistíte a případně změníte
prostřednictvím nástroje Sql Server Configuration Manager v sekci SQL Server Network Conf iguration > Protocols
f or SQLEXPRESS. V pravé části dialogového okna u položky TCP/IP musí být stav Enabled. Následně položku
otevřete a přejděte na záložku Protocols. V dolní části v sekci IPAll nastavte Port. Nastavení uložte kliknutím na
tlačítko OK a restartujte službu SQL Server.
117
20.Na stroji s ERA Serverem, resp. ERA Proxy najděte soubor startupconfiguration.ini a otevřete jej v textovém
editoru.
o Windows Vista a novějších:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration
\startupconf iguration.ini
o Windows XP:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Conf iguration\startupconf iguration.ini
o Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini
20.Změňte connection string pro připojení k databázi.
o Zadejte adresu a port nového databázového serveru.
o Zadejte název nového uživatele a heslo, který má přístup ERA databázi.
§
Výsledek by měl vypadat takto:
Příkaz je dostupný pouze v online verzi této kapitoly.
21.Spusťte službu ERA Server, resp. ERA Proxy a ujistěte se, že běží správně.
118
3.6.3.2 Proces migrace MySQL serveru
· Předpoklady
o Nainstalovánu cílovou instanci SQL serveru, na kterou budete migrovat. Cílová instance může být nainstalována
na jiném stroji než zdrojová.
o Alespoň na jednom ze strojů musíte mít nainstalované MySQL tools (mysqldump a mysql client).
· Užitečné odkazy
http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html
http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html
http://dev.mysql.com/doc/refman/5.6/en/mysql.html
· Migrace
V níže uvedených příkazech, konfiguračních souborech nebo SQL dotazech vždy nahraďte:
§ SRCHOST adresou zdrojového databázového serveru,
§ SRCROOTLOGIN uživatelem s root oprávněním na zdrojovém databázovém serveru ,
§ SRCERADBNAME názvem zálohované ERA databáze (standardně era_db),
§ BACKUPFILE cestou k souboru, do kterého chcete databázi zálohovat,
§ TARGETHOST adresou cílového databázového serveru,
§ TARGETROOTLOGIN uživatelem s root oprávněním na cílovém databázovém serveru ,
§ TARGETERADBNAME názvem cílové ERA databáze,
§ TARGETERALOGIN uživatelem, který bude mít na cílovém serveru přístup k ERA databázi,
§ TARGETERAPASSWD heslem uživatele, který bude mít na cílovém serveru přístup k ERA databázi.
Postup migrace máme popsán v online verzi této kapitoly.
3.7 ISO obraz
ISO obraz představuje další způsob, jak získat instalační soubory ESET Remote Administrator. Na webových stránkách
společnosti ESET jej naleznete v sekci Stáhnout > Remote Administrator 6 > All-in-one Installers. ISO obsahuje:
· ERA instalátor (zip archiv),
· Samostatné instalační soubory jednotlivých komponent.
ISO obraz je vhodné použít v případě, kdy chcete ESET Remote Administrator nainstalovat na jeden stroj. Odpadne
vám tak nutnost stahování dalších balíčků z webových stránek společnosti ESET.
119
3.8 DNS servisní záznam
Nastavení DNS záznamu:
1. Na svém DNS serveru (DNS serveru na doménovém řadiči) přejděte na Ovládací panely > Nástroje pro správu.
2. Vyberte DNS.
3. Ve Správci DNS přejděte do větve Zóny dopředného vyhledávání a v části _tcp vytvořte nový záznam
Umístění služby - Service Location (SRV).
4. Podle DNS pravidel použijte podtržítko ( _ ) v názvu služby (použijte unikátní záznam služby, například _era).
5. Do pole Protokol zadejte: _tcp.
6. Jako číslo portu zadejte port 2222. Pokud jste port měnili, zadejte vlastní hodnotu.
7. Do pole hostitel nabízející tuto službu zadejte plně specifikované doménové jméno počítače (FQDN), na
kterém běží ERA Server.
8. Klikněte na tlačítko OK > Hotovo pro uložení záznamu – nově vytvořený záznam se zobrazí v seznamu.
Ověření DNS záznamu:
1. Přihlaste se na jakýkoli počítač v doméně a otevřete příkazový řádek (cmd.exe).
2. Zadejte příkaz nslookup a potvrďte klávesou Enter.
3. Zadejte příkaz set querytype=srv a potvrďte klávesou Enter.
4. Zadejte _era._tcp.domain.name a potvrďte klávesou Enter. Nyní by se měl zobrazit správný záznam.
Poznámka:
Postup je stejný pro ERA běžící na Windows i Linuxu. Pokud nainstalujete ESET Remote Administrator Server na
jiný stroj, nezapomeňte změnit hodnotu hostitel nabízející tuto službu na nové plně specifikované doménové
jméno počítače (FQDN).
3.9 Instalace ERA v offline prostředí
ESET Remote Administrator je primárně navržen pro použití v sítích, které mají přímý přístup do internetu. Pokud
provozujete offline prostředí striktně odříznuté od internetu, v této kapitole máme popsány kroky, které je navíc
potřeba provést, abyste mohli ERA úspěšně provozovat v offline prostředí.
Postup pro aktualizaci ERA komponent v offline prostředí máme popsán v této kapitole.
1. Nainstalujte ESET Remote Administrator. V průběhu instalace vyberte možnost, že chcete produkt aktivovat
později. Podrobné informace o aktivaci produktu v offline prostředí naleznete v Databázi znalostí.
2. Vytvořte lokální repozitář s instalačními balíčky. To můžete provést jedním z níže uvedených postupů:
a) Lokální repozitář vytvořte pomocí webového serveru Apache Tomcat, který je součástí ERA infrastruktury.
1. Přejděte do složky: C:/Program
Files (x86)/Apache Software Foundation/Tomcat 7.0/webapps/
2. Vytvořte novou složku, například era_repository.
3. Instalační balíček nakopírujte do nově vytvořené složky.
4. Cesta k instalačnímu balíčku bude následující:
https://tomcat_server:tomcat_port/era_repository/era_agent.dmg
120
b) Lokální repozitář vytvořte pomocí Apache HTTP Proxy.
1. Nainstalujte Apache HTTP Proxy.
2. Instalační balíček nakopírujte do složky: C:\Program Files\Apache HTTP Proxy\htdocs\ (umístění se
může lišit v závislosti na operačním systému a konfiguraci Apache HTTP Proxy).
http://proxy_server:proxy_port/era_agent.dmg
c) Instalační balíček nakopírujte do sdílený disk/jednotku, ke které mají přístup všechny stanice.
file://\\server\share\era_agent.dmg
3. ERA Agenta na koncové stanice nasaďte prostřednictvím online instalátoru. Před prvotním použitím jej
modifikujte tak, aby se instalační balíček stahovat z offline repozitáře.
Případně můžete ERA Agenta hromadně nasadit prostřednictvím doménové politiky nebo SCCM.
4. Prostřednictvím klientské úlohy pro instalaci produktu nainstalujte na koncové stanice bezpečnostní produkt
ESET. Úlohu upravte tak, že vyberte možnost Instalovat z URL: a zadejte cestu k balíčku v offline repozitáři.
5. Aktivujte produkty offline licenčním souborem:
· Jak aktivovat firemní ESET produkt v offline prostředí?
· Jak aktivovat firemní ESET produkt prostřednictvím ESET Remote Administrator?
6. Aktualizaci virové databáze můžete řešit dvěma způsoby:
Apache HTTP Proxy funguje jako náhrada mirroru. Při použití Apache Tomcat je potřeba upravit jeho
konfiguraci tak, aby nepoužíval SSL. Mějte na paměti, že v tomto případě ERA Web Console poběží na
nezabezpečeném protokolu.
Pro zajištění maximální ochrany je potřeba pravidelně aktualizovat virovou databázi. V případě, že není
pravidelně aktualizovaná, v ERA Web Console se změní bezpečnostní stav stanic a zobrazí se informace, že virová
databáze není aktuální.
a) Ve striktně odříznutých sítích bez přístupu k internetu vytvořte lokální aktualizační server, tzv. „mirror“, do
kterého umisťujte ručně aktualizační soubory. Aktualizační soubory můžete v online prostředí stáhnout
prostřednictvím mirror toolu nebo na koncovém produktu aktivujte funkci mirror.
1. Aktualizační soubory nahrajte na Apache HTTP Proxy/Apache Tomcat a klienty nasměřujte na tento
mirror.
2. Aktualizační soubory nahrajte do složky bezpečnostního produktu, který vytváří mirror, a klienty
nasměřujte na tento mirror.
b) Pokud máte alespoň jedna stanice přístup do internetu:
1. Nainstalujte Apache HTTP Proxy a klienty nasměřujte na tuto proxy.
2. Na bezpečnostním produktu aktivujte funkci mirror a klienty nasměrujte na tento mirror.
3. Použijte mirror tool a klienty nasměřujte do složky, do které stahujete aktualizační soubory.
121
4. Aktualizace, přeinstalace a migrace
V této části si popíšeme, jak aktualizovat komponenty vaší ESET Remote Administrator infrastruktury, jak
přeinstalovat ERA Server a další aktualizační a migrační scénáře.
Před aktualizací nejprve zjistěte, jakou verzi ERA serveru používáte. Tyto informace zjistíte v ERA Web Console na
záložce O programu. Pro ověření, jestli není dostupná nová verze produktu nebo některých komponent můžete
použít přehled Zastaralé aplikace. Podrobné informace o jednotlivých verzích komponent naleznete v Databáze
znalostí.
Postup pro aktualizaci ESET Remote Administrator na nejnovější verzi máme popsán také v Databázi znalostí.
Poznámka: Pokud se chystáte migrovat ERA Server na nový počítač, nejprve si zálohujte certifikační autoritu a
certifikát serveru, které následně naimportujte na nový server. V opačném případě vám přestanou komunikovat
ostatní komponenty ERA infrastruktury s novým serverem.
4.1 Aktualizace ERA komponent
Tato kapitola je rozdělena do následujících sekcí:
·
·
·
·
·
Doporučení
Seznam komponent, které je možné aktualizovat
Předtím než začnete
Proces aktualizace
Řešení problémů
Doporučení:
Doporučený postup pro aktualizaci ERA infrastruktury je použít klientskou úlohu Aktualizace součástí ESET Remote
Administrator. Na následujícím příkladu si ukážeme, jak provést aktualizaci ERA verze 6.1/6.2/6.3 na ERA ve verzi 6.4
prostřednictvím ERA Web Console.
DŮLEŽITÉ: Před zahájením aktualizace doporučujeme zazálohovat všechny certifikáty a certifikační autoritu.
Postupovat můžete podle následujících kroků:
· Exportujte veřejný klíč certifikační autority a .der soubor si uložte.
· Exportujte klientské certifikáty (ERA Agenta, serveru, proxy, MDM a dalších komponent) a .pf x soubory si uložte.
Pro zajištění aktualizace všech komponent doporučujeme úlohu Aktualizace součástí ESET Remote Administrator
spustit nad nejnadřazenější statickou skupinou Všechna zařízení.
Seznam komponent, které je možné aktualizovat:
·
·
·
·
ERA Server
ERA Agent
ERA Proxy
ERA Web Console – možné pouze v případě, kdy jste instalovali konzoli prostřednictvím all-in-one balíčku,
používáte virtual appliance nebo ji máte na Linuxu ve složce /var/lib/tomcat8/webapps/, /var/lib/tomcat7/
webapps/, /var/lib/tomcat6/webapps/ nebo /var/lib/tomcat/webapps/ .
· ERA Mobile Device Connector (6.2.11.0 a novější)
Následující komponenty je nutné aktualizovat ručně:
·
·
·
·
122
Apache Tomcat
Apache HTTP Proxy
ERA Rogue Detection Sensor
ERA Mobile Device Connector (6.1.x)
Předtím než začnete:
UPOZORNĚNÍ: Pokud aktualizace ERA Serveru nebo ERA Web Console selže, nebude možné se vzdáleně do
konzole přihlásit. Při aktualizaci doporučujeme mít fyzický přístup k serveru, na kterém běží ERA Server/ERA Web
Console. Pokud nemůžete zajistit fyzický přístup k serveru, ujistěte se, že jste na server vzdáleně připojeni pod
účtem s administrátorským oprávněním. Před zahájením aktualizace doporučujeme provést zálohu ERA/MDM
databáze. Pro zálohování Virtual Appliance použijte snapshot.
Aktualizace ERA 6.1.x
Při aktualizaci ERA 6.1 nedojde k aktualizaci ERA Agentů, pokud používáte ERA Proxy. V tomto případě je nutné
ERA Agenty připojené prostřednictvím ERA Proxy aktualizovat ručně nebo prostřednictvím GPO/SCCM. Pokud
používáte verzi 6.2 a novější, aktualizace ERA Agentů proběhne korektně i v případě, že jsou připojeny
prostřednictvím ERA Proxy.
ERA Server instalovaný na failover clusteru
Pokud provozujete ERA Server na failover clusteru, je potřeba aktualizovat instance ERA Serveru na jednotlivých
uzlech clusteru ručně. Následně již můžete zbytek infrastruktury (ERA Agenty na klientských stanicích)
aktualizovat pomocí klientské úlohy pro aktualizaci součástí ERA.
ERA Agent instalovaný na Linuxu s využívající systemd
Pokud máte na linuxových strojích využívající systemd pro správu služeb ERA Agenta ve verzi 6.1.450 nebo starší,
před aktualizací je nutné na stanici spustit níže uvedený skript. Poté můžete provést aktualizaci prostřednictvím
klientské úlohy. Na distribucích využívající SysV init skripty nebo upstart toto není potřeba.
#!/bin/sh -e
systemd_service=eraagent.service
systemd_service_path="/etc/systemd/system/$systemd_service"
if ! grep "^KillMode=" "$systemd_service_path" > /dev/null
then
echo "Applying 'KillMode' change to '$systemd_service_path'"
sed -i 's/\[Service\]/[Service]\nKillMode=process/' "$systemd_service_path"
else
echo "'KillMode' already set. No changes applied."
exit 0
fi
systemctl daemon-reload
if systemctl is active $systemd_service > /dev/null
then
echo "Restarting instance of '$systemd_service'"
systemctl restart $systemd_service
fi
Důležité informace před aktualizací Apache HTTP Proxy na Microsoft Windows
Pokud používáte Apache HTTP Proxy a měnili jste její konfiguraci, před aktualizací této komponenty doporučujeme
zazálohovat konfigurační soubor httpd.conf,který naleznete ve složce C:\Program Files\Apache HTTP Proxy\conf \). V
opačném případě není potřeba tento soubor zálohovat. Po dokončení aktualizace proveďte opět požadované úpravy
v souboru httpd.conf. Pro aktualizaci použijte jednu z metod popsaných v této kapitole.
Varování: Pokud jste prováděli změny v souboru httpd.conf (například nastavovali autorizaci pomocí jména a
hesla), po dokončení aktualizace zkopírujte své změny ze zazálohovaného souboru httpd.conf. Nikdy nepoužívejte
původní soubor! Více informací o ruční konfiguraci httpd.conf naleznete v kapitole Instalace Apache HTTP Proxy na
Windows.
Důležité informace před aktualizací Apache HTTP Proxy na virtuální appliance
123
Pokud používáte Apache HTTP Proxy a měnili jste její konfiguraci, před aktualizací této komponenty doporučujeme
zazálohovat konfigurační soubor httpd.conf,který naleznete ve složce /opt/apache/conf /). V opačném případě není
potřeba tento soubor zálohovat. Po dokončení aktualizace proveďte opět požadované úpravy v souboru httpd.conf.
Po dokončení klientské úlohy pro aktualizaci ERA spusťte níže uvedený příkaz, vzdáleně nebo přímo ze
systémové konzole:
wget http://help.eset.com/era_install/63/apache/httpd.conf -O /tmp/httpd.conf\
-o /tmp/wgeterror.log && cp /tmp/httpd.conf /opt/apache/conf/httpd.conf
Případně si stáhněte soubor httpd.conf a nahraďte jej ručně ve složce /opt/apache/conf /.
Varování: Pokud jste prováděli změny v souboru httpd.conf (například nastavovali autorizaci pomocí jména a
hesla), po dokončení aktualizace zkopírujte své změny ze zazálohovaného souboru httpd.conf. Nikdy
nepoužívejte původní soubor! Více informací o ruční konfiguraci httpd.conf naleznete v kapitole Instalace
Apache HTTP Proxy na Linuxu.
Proces aktualizace:
Pro aktualizaci postupuje podle tohoto návodu. Další informace máme popsány v Databázi znalostí.
Řešení problémů:
· Na počítači, na kterém provádíte aktualizaci se ujistěte, že máte přístup na ESET repozitář (ověřte, zda jste schopni
stáhnout soubor http://repository.eset.com/v1/inf o.meta).
· Opětovné spuštění aktualizační úlohy selže, pokud již byla alespoň jedna komponenta aktualizována na novější
verzi.
· Pokud přesto úloha z neznámého důvodu selže, aktualizujte komponenty ručně (Windows, Linux).
124
· Na linuxových strojích využívající systemd pro správu služeb nemusí aktualizace doběhnout. Toto nepostihuje
distribuce využívající SysV init skripty nebo upstart.
· Další indicie vedoucí k vyřešení problému naleznete v této kapitole.
4.1.1 Aktualizace ERA komponent v offline prostředí
V této kapitole uvádíte postup, jak v offline prostředí aktualizovat komponenty ERA infrastruktury a bezpečnostní
produkty ESET na koncových stanicích:
Mějte na paměti, že v offline prostředí, ve kterém nemáte přístup k ESET online repozitáři, nemůžete použít
klientskou úlohu pro aktualizaci součástí ERA.
1. Nejprve ručně aktualizujte ERA Server, ERA Agenta a ERA Web Console:
a. Zjistěte, jakou verzi ERA komponent používáte.
b. Ověřte, zda existuje novější verze.
c. Z webových stránek společnosti ESET si v sekci Stáhnout > Firmy > Remote Administrator 6 > Standalone
installer stáhněte jednotlivé instalační balíček.
d. Ručně aktualizujte ERA Server, ERA Agenta a ERA Web Console.
2. Následně aktualizujte bezpečnostní produkt ESET na koncových stanicích:
a. Zjistěte, jakou verzi bezpečnostního produktu ESET používáte. V ERA Web Console přejděte na Nástěnce na
záložku ESET aplikace.
b. Ověřte, zda existuje novější verze.
c. Z webových stránek společnosti ESET si v sekci Stáhnout > Firmy stáhněte požadovaný instalační balíček.
d. Balíček nahrajte do offline repozitáře.
e. Pro aktualizaci použijte klientskou úlohu pro instalaci aplikace. Úlohu upravte tak, že vyberte možnost
Instalovat z URL: a zadejte cestu k balíčku v offline repozitáři.
4.1.2 Aktualizace bezpečnostního produktu
Bezpečnostní produkt na klientské stanici můžete prostřednictvím ESET Remote Administrator aktualizovat dvěma
způsoby.
Poznámka: Parametr ADDLOCAL podporuje pouze ESET Endpoint Security a neplatí pro ESET Endpoint Antivirus ani
ESET File Security. Více informací naleznete v dokumentaci k produktu ESET Endpoint Security.
· Pomocí klientské úlohy Instalace aplikace – z repozitáře vyberte balíček, který chcete nainstalovat nebo zadejte
cestu k instalačnímu msi balíčku:
Příklad:
f ile://\\Win2012-server\share\ees_nt64_enu.msi (do složky musí mít uživatelé veřejný přístup)
V případě potřeby pomocí parametru ADDLOCAL=<list> specifikujte komponenty, které chcete nainstalovat.
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,
WebControl,UpdateMirror,DocumentProtection,DeviceControl
(přidá všechny komponenty kromě NAP a firewallu)
Více informací o klientské úloze pro instalaci aplikace naleznete v administrační části dokumentace.
· Pomocí klientské úlohy Spustit příkaz
Příklad:
msiexec.exe /i \\Win2012-server\share\ees_nt64_enu.msi /qn
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,
WebControl,UpdateMirror,DocumentProtection,DeviceControl /lvx*
C:/install.log
125
Více informací o klientské úloze pro spuštění příkazu naleznete v administrační části dokumentace.
4.2 Migrace z ERA 4/5
Pokud chcete při migrace z ESET Remote Administrator 4/5 přenést stávající data, můžete k tomu použít migrační
nástroj. Jedná se o samostatnou aplikaci dostupnou pro Windows, která převede databázi ERA 4.x /5.x do
intermediate formátu. Převedená data následně můžete importovat do ERA 6.x bez ohledu na tom, zda ji
provozujete na Windows nebo Linuxu.
Důležité: Vždy je nutné použít migrační nástroj ve verzi, která odpovídá verzi ESET Remote Administrator, na
kterou se chystáte přejít. Více informací o verzi jednotlivých komponent ERA naleznete v Databázi znalostí.
· Stáhněte si správnou verzi ESET Remote Administrator Migration Tool.
· Migrační nástroj je nutné spustit přímo na serveru, kde běží ERA 4.x / 5.x sever. Není možné migrační nástroj
spustit ze vzdálené stanice.
· Konfigurace starého ERA serveru se nepřenese.
· Parametrické skupiny není možné přenést.
· Politiky můžete přenést prostřednictvím migrační nástroje od verze 6.2.x. Mějte na paměti, že migrace politik má
jistá omezení:
§ Přenesou se pouze politiky z nejnadřazenějšího ERA serveru.
§ Přenesou se pouze samotné politiky, nikoli vzat mezi politikami a počítači.
§ Po dokončení migrace politiky přiřaďte ručně skupinám nebo klientům.
§ Hierarchie politik bude zapomenuta. Nastavení, které ve starém ERA mělo příznak override bude nově
označeno příznakem vynutit.
§ Pokud jste v jedné politice měli konfiguraci pro více produktů, politika bude rozdělena na dílčí politiky.
Poznámka: Po dokončení migrace doporučujeme zkontrolovat přenesená data (počítače, statické skupiny, politiky
atp.) a ujistěte se, že výsledek odpovídá vašemu očekávání. V případě nesrovnalostí politiky upravte ručně, nebo
vytvořte nové.
Poznámka: Pokud se v průběhu migrace vyskytne chyba, zapíše do protokolu migration.log, který se vytvoří se
stejné složku odkud jste nástroj spustili. Pokud máte do složky pouze přístup pro čtení, protokol se rovnou zobrazí.
To samé se stane v případě, kdy nemáte dostatek místa na disku pro vytvoření protokolu.
126
Poznámka: Pro vyřešení problému s chybějící knihovnou MSVCP100.dll nebo MSVCR100.dll nainstalujte nejnovější
verzi balíčku Microsoft Visual C++ 2010 Redistributable. Stáhnout jej můžete přímo ze stránek společnosti Microsoft
na tomto odkaze: Microsoft Visual C++ 2010 Redistributable Package (x86).
V dalších kapitolách máme popsány nejčastější migrační scénáře:
· Migrační scénář č.1 – migrace ze starého serveru na nový,
· Migrační scénář č.2 – migrace v rámci jednoho serveru,
· Migrační scénář č.3 – současný běh ERA 4/5 a ERA 6.
127
4.2.1 1. scénář: migrace ze starého serveru na nový
Tento scénář pokrývá migraci ERA 4.x / 5.x na jiný počítač s ERA 6.x. Podrobnější informace včetně návodu popisující
následnou instalaci pomocí all-in-one instalačního balíčku naleznete v Databázi znalostí.
1. Nainstalujte ERA 6.x na nový server.
2. Na stroji s ERA 4.x / 5.x spusťte ESET Remote Administrator Migration tool a vyberte možnost Export, pro export
dat do intermediate formátu.
3. Průvodce migrací dokáže převést jen některá data. Vyberte data, která chcete převést a klikněte na tlačítko Další.
Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické skupiny a úlohy z
předchozí verze. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x
databáze.
Všechna data jsou exportována do intermediate databáze. Tato databáze je založena na SQLite formátu a
nevyžaduje žádné další nástroje. Exportovanou databázi je možné spravovat pouze prostřednictvím nástroje pro
migraci.
4. Po dokončení exportu máte dvě možnosti:
· Ukončete migration tool, zkopírujte databázový soubor na nový počítač s ESET Remote Administrator 6.x, a
prostřednictvím ERA Migration tool databázi importujte.
· Nebo klikněte na Importovat nyní pro přímý import databáze do ESET Remote Administrator 6.x
prostřednictvím sítě. K tomu bude potřeba zadat údaje pro připojení k novému ERA Serveru a přihlašovací
údaje do ERA Web Console.
Poznámka: Statické skupiny získané synchronizací s Active Directory budou ignorovány a nebudou exportovány.
128
· Pokud nebude možné některá nastavení importovat, ESET Remote Administrator Migration tool zobrazí tipy
pro změnu nastavení nového ERA Serveru, které je potřeba provést, aby se importování podařilo.
· Proces importování každé části se zapíše do samostatného migračního protokolu. Po úspěšném dokončení
importu všech částí se vytvoří také výsledný migrační protokol.
· Pokud migrujete také uživatele, hesla k účtům budou resetována a nahrazena náhodně vygenerovanými.
Hesla budou následně dostupná v .CSV souboru.
· Průvodce migrací vygeneruje také instalační.bat skripty, které můžete použít pro instalaci již
předkonfigurovaného ERA Agenta.
· Důkladně si zkontrolujte nastavení migračního nástroje a po dokončení se ujistěte, zda byla zálohována
všechna data. Po ověření nasaďte prostřednictvím skriptu ERA Agent na několik stanic, a ověřte, že se připojili
k novému ERA Serveru.
· Po úspěšném ověření konektivity nasaďte ERA Agenta na zbývající počítače.
Poznámka: Pokud v průběhu migrace dojde k chybě, doporučujeme vrátit změny ERA 6.x, obnovit zálohovaná data
ERA 4.x / 5.x, počítače zpět připojit k ERA 4.x / 5.x a kontaktovat technickou podporu ESET.
129
4.2.2 2. scénář: migrace v rámci jednoho serveru
Tento scénář pokrývá migraci ERA 4.x / 5.x na ERA 6.x, který chcete provozovat na stejném serveru. Před migrací dat
zálohujte ERA V4/V5 data prostřednictvím nástroje ESET Maintenance tool, a poté zastavte službu ESET Remote
Administrator Server.
Poznámka: Tento scénář máme zpracován také jako video návod. Podrobnější návod popisující následnou instalaci
pomocí all-in-one instalačního balíčku naleznete v Databázi znalostí..
1. Po spuštění ESET Remote Administrator Migration tool na počítači s ERA V4/V5 vyberte možnost Export, pro
export dat do intermediate formátu. Průvodce migrací dokáže převést jen některá data. Vyberte data, která
chcete převést a klikněte na tlačítko Další.
Poznámka: Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické
skupiny, úlohy a politiky z předchozí verze.
130
131
2. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x databáze.
3. Všechna data jsou exportována do intermediate databáze.
· Po úspěšném exportování dat odinstalujte ESET Remote Administrator V4/V5.
· Poté proveďte instalaci ERA 6. Po dokončení instalace spusťte Migration tool a importujte zálohovaná data.
132
4.2.3 3. scénář: současný běh ERA 4/5 a ERA6 na jednom serveru
Tento scénář pokrývá migraci na ESET Remote Administrator 6 při současném běhu ERA 4.x/5.x na stejném počítači.
Použít jej můžete v případě, kdy si chcete ERA 6 vyzkoušet, ale zároveň potřebujete zachovat stávající ERA
infrastrukturu.
Poznámka: Tento scénář je určen pouze pro zkušené uživatele a měli byste jej použít pouze v případě, kdy nemáte
jinou možnost.
1. Po spuštění ESET Remote Administrator Migration tool na počítači s ERA V4/V5 vyberte možnost Export, pro
export dat do intermediate formátu. Průvodce migrací dokáže převést jen některá data. Vyberte data, která
chcete převést a klikněte na tlačítko Další.
Poznámka: Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické
skupiny, úlohy a politiky z předchozí verze.
133
134
2. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x databáze.
3. Všechna data jsou exportována do intermediate databáze.
4. Pokud ERA 6 chcete nainstalovat na stejný počítač, musíte ERA 4.x / 5.x změnit používané porty a přejmenovat
jeho službu. Přejmenování provedete například pomocí příkazu: sc config ERA_SERVER DisplayName= “ESET
Remote Administrator g1” .
5. Nyní můžete ESET Remote Administrator 4.x / 5.x znovu spustit.
6. Nainstalujte ESET Remote Administrator 6 a pomocí migračního nástroje naimportujte data z původního serveru
pomocí tohoto nástroje. Zadejte název nebo IP adresu serveru, na který jste nainstalovali ERA 6 a heslo pro
výchozí účet Administrator používaný pro přístup do ERA Web Console.
135
Mějte na paměti, že v tomto případě se neexportují žádné protokoly z doby od zálohy databáze ERA 4.x/5.x až do
nasazení ERA Agenta. Nicméně tato data budou stále dostupná v původní ERA 4.x/5.x.
4.3 Migrace ze starého serveru na nový
ESET Remote Administrator je možné přenést ze staré ho serveru na nový několik způsoby. Záleží na vašem síťovém
prostředí a požadavcích. Níže uvádíme jednotlivé scénáře:
· Čistá instalace – stejná IP adresa – nová instalace ERA Serveru na stroji se stejnou IP adresou bez zachování
databáze z původní instalace.
· Čistá instalace – odlišná IP adresa – nová instalace ERA Serveru na stroji se jinou IP adresou bez zachování
databáze z původní instalace.
· Migrace databáze – stejná IP adresa – migrace stejné verze ERA na nový server se stejnou IP adresou při zachování
databáze (stejný databázový server – z MySQL na MySQL, z MSSQL na MSSQL).
· Migrace databáze – odlišná IP adresa – migrace stejné verze ERA na nový server s jinou IP adresou při zachování
databáze (stejný databázový server – z MySQL na MySQL, z MSSQL na MSSQL).
Poznámka: Proces migrace z jednoho serveru na jiný je podporován od verze 6.2.
Poznámka: Importovaná certifikační autorita slouží pouze pro ověření používaných certifikátů. ERA Agenti, které
nainstalujete a připojíte do nového ERA serveru budou používat již certifikáty podepsané novou certifikační
autoritou.
136
4.3.1 Čistá instalace – stejná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na stejné IP adrese jako původní a nepotřebujete data z
původní instalace (databáze).
q Na stávajícím/původním ERA serveru:
1. Exportujte používané certifikáty a certifikační autority:
o Exportujte veřejný klíč certifikační autority a uložte si jej jako .der soubor.
o Exportujte klientské certifikáty (serveru, agenta, proxy, MDM atp.) a uložte si je jako .pf x soubor. Exportovaný
.pf x soubor obsahuje rovněž jejich privátní klíče.
2. Vypněte server, na kterém běžel původní ERA.
Důležité: Prozatím původní ERA server neodinstalovávejte.
q Na novém ERA serveru:
Důležité: Ujistěte se, že nový server má stejné síťové nastavení (IP adresu, FQDN, název serveru, DNS SRV
záznam) jako ten původní.
1. Nainstalujte nový ERA Server prostřednictvím all-in-one instalačního balíčku (Windows), po jednotlivých
komponentách (Windows, Linux) nebo použijte virtuální appliance.
3. Importujte veřejný klíč certifikační autority exportovaný ze starého serveru.
4. V nastavení serveru nahraďte certifikát serveru za ten, který jste si exportovali ze starého serveru.
5. Nahrajte licence do nového ERA serveru.
6. Restartujte službu ERA Server, například podle těchto kroků.
ERA Agenti se nyní připojí k novému ERA serveru. Používají stále původní certifikát, který ověří naimportovaná
certifikační autorita ze starého serveru. Pokud se stanice nepřipojují, přejděte do kapitoly problémy po aktualizaci/
migraci ERA serveru.
q Odinstalace starého ERA serveru:
Až si budete jisti, že se všichni klienti připojili na nový server, můžete starý odinstalovat.
4.3.2 Čistá instalace – odlišná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na jiné IP adrese než původní a nepotřebujete data z původní
instalace (databáze).
1. Vygenerujte certifikát ERA Serveru, který bude obsahovat údaje o novém serveru. V poli adresa ponechte
hvězdičku (*). Tím certifikát nebude vázán na konkrétní DNS jméno nebo IP adresu a zajistíte tak bez problémové
připojení stanic.
3. Vytvořte politiku pro ERA Agenta, prostřednictvím které jej přesunete na nový server a přiřaďte ji všem zařízením
(ideálně nejnadřazenější skupině Všechna zařízení).
137
4. Až si všichni agenti novou politiku převezmou, přestanou se připojovat, zastavte službu ERA server, případně
vypněte celý server.
komponentách (Windows, Linux) nebo použijte virtuální appliance.
5. Nahrajte licence do nového ERA serveru.
4.3.3 Migrace databáze – stejná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na stejné IP adrese jako původní a potřebujete zachovat data
z původní instalace (databáze).
Důležité: Migrovat můžete pouze stejné typy databáze (z MySQL na MySQL, resp. z MSSQL na MSSQL).
Důležité: Migrovat je možné pouze stejné verze ESET Remote Administrator. Například pokud máte ERA 6.3.12.0,
její databázi můžete namigrovat pouze na server, na kterém poběží ERA ve verzi 6.3.12.0. Informace o verzích
jednotlivých komponent ERA naleznete v tomto článku. Po dokončení migrace doporučujeme ověřit, zda není
dostupná novější verze ERA.
2. Zastavte službu ERA Server.
3. Exportujte/zálohujte databázi ERA.
4. Volitelně stávající server vypněte.
Důležité: Ujistěte se, že nový server má stejné síťové nastavení (IP adresu, FQDN, název serveru, DNS SRV
záznam) jako ten původní.
138
1. Nainstalujte databázový server, který bude ERA používat.
2. Importujte/obnovte původní databázi ERA.
komponentách (Windows, Linux) nebo použijte virtuální appliance. V průběhu instalace zadejte údaje pro
připojení k databázovému serveru.
4.3.4 Migrace databáze – odlišná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na jiné IP adrese než původní a potřebujete zachovat data z
původní instalace (databáze).
Důležité: Migrovat můžete pouze stejné typy databáze (z MySQL na MySQL, resp. z MSSQL na MSSQL).
Důležité: Migrovat je možné pouze stejné verze ESET Remote Administrator. Například pokud máte ERA 6.3.12.0,
její databázi můžete namigrovat pouze na server, na kterém poběží ERA ve verzi 6.3.12.0. Informace o verzích
jednotlivých komponent ERA naleznete v tomto článku. Po dokončení migrace doporučujeme ověřit, zda není
dostupná novější verze ERA.
1. Vygenerujte certifikát ERA Serveru, který bude obsahovat údaje o novém serveru. V poli adresa ponechte
hvězdičku (*). Tím certifikát nebude vázán na konkrétní DNS jméno nebo IP adresu a zajistíte tak bez problémové
připojení stanic.
3. Vytvořte politiku pro ERA Agenta, prostřednictvím které jej přesunete na nový server a přiřaďte ji všem zařízením
(ideálně nejnadřazenější skupině Všechna zařízení).
4. Zastavte službu ERA Server.
5. Exportujte/zálohujte databázi ERA.
6. Volitelně stávající server vypněte.
1. Nainstalujte databázový server, který bude ERA používat.
2. Importujte/obnovte původní databázi ERA.
139
komponentách (Windows, Linux) nebo použijte virtuální appliance. V průběhu instalace zadejte údaje pro
připojení k databázovému serveru.
6. V nastavení serveru nahraďte certifikát serveru za ten, který jste si vygenerovali a exportovali ze starého serveru.
4.3.5 Odinstalace ERA serveru
Instanci původního ERA serverů můžete zrušit následujícími způsoby:
Důležité: Před zrušením starého serveru se ujistěte se, že se všichni ERA Agenti připojují k novému ERA serveru.
1. Pokud jste měli server dedikovaný pouze pro ESET Remote Administrator, server zrušte, případně disk
zformátujte.
2. Pokud server chcete dále používat:
· odinstalujte manuálně jednotlivé komponenty,
· po dokončení odinstalace proveďte restart,
· databázi odstraňte až ve chvíli, kdy odinstalujete veškeré ERA komponenty, které ji využívají (ERA Server/Proxy/
MDM).
4.4 Aktualizace Apache HTTP Proxy
Apache HTTP Proxy je samostatná komponenta, která při použití s ESET Remote Administrator 6 může sloužit pro
distribuci aktualizací a instalačních balíčků. Pomocí Apache HTTP Proxy tedy můžete minimalizovat vytížení připojení
k internetu.
Pokud máte nainstalovanou starší verzi komponenty Apache HTTP Proxy, aktualizovat ji můžete ručně nebo
prostřednictvím all-in-one instalačního balíčku.
4.4.1 Aktualizace Apache HTTP Proxy na Windows pomocí all-in-one instalačního balíčku
Pro aktualizaci Apache HTTP Proxy prostřednictvím all-in-one instačního balíčku uloženého na lokálním disku
1. Zazálohujte následující soubory:
· C:\Program Files\Apache HTTP Proxy\conf \httpd.conf
· C:\Program Files\Apache HTTP Proxy\bin\password.f ile
· C:\Program Files\Apache HTTP Proxy\bin\group.f ile
2. Zastavte službu ApacheHttpProxy, například do příkazového řádku s administrátorským oprávněním zadejte
příkaz:
140
3. Pomocí setup.exe spusťte all-in-one instalační balíček.
4. Vyberte možnost Instalovat/Aktualizovat Apache HTTP Proxy a klikněte na tlačítko Další.
Odsouhlaste licenční ujednání a klikněte na tlačítko Další. Postupujte podle kroků na obrazovce a aktualizaci
dokončete kliknutím na tlačítko Dokončit.
Pokud jste měIi přístup k Apache HTTP Proxy zaheslován (podle kroku 8 v kapitole Instalace Apache HTTP Proxy),
nahraďte níže uvedený kus kódu:
<Proxy *>
Deny from all
</Proxy>
v souboru httpd.conf tímto (naleznete jej rovněž v záloze z kroku 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
· Pokud jste prováděli další změny v souboru httpd.conf, zkopírujte tyto změny ze zálohovaného souboru z
kroku 1.
5. Uložte změny a spusťte službu ApacheHttpProxy, například do příkazového řádku s administrátorským
oprávněním zadejte příkaz:
6. Funkčnost Apache HTTP Proxy ověřte zadáním níže uvedené adresy do webového prohlížeče:
141
Pokud Apache HTTP Proxy po aktualizaci nenabízí, pro řešení problémů se podívejte do protokolů Apache HTTP
Proxy.
4.4.2 Ruční aktualizace Apache HTTP Proxy na Windows
Pro ruční aktualizaci Apache HTTP Proxy postupujte podle následujících kroků:
1. Zazálohujte následující soubory:
· C:\Program Files\Apache HTTP Proxy\conf \httpd.conf
· C:\Program Files\Apache HTTP Proxy\bin\password.f ile
· C:\Program Files\Apache HTTP Proxy\bin\group.f ile
2. Zastavte službu ApacheHttpProxy, například do příkazového řádku s administrátorským oprávněním zadejte
příkaz:
3. Z webových stránek společnosti ESET si stáhněte archiv Apache HTTP Proxy. Obsah archivu rozbalte do složky C:
\Program Files\Apache HTTP Proxy\ a původní soubory přepište.
4. Přejděte do složky C:\Program Files\Apache HTTP Proxy\conf a v textovém editoru otevřete soubor httpd.conf.
5. Do konec souboru přidejte níže uvedené řádky:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
6. Pokud jste měIi přístup k Apache HTTP Proxy zaheslován (podle kroku 8 v kapitole Instalace Apache HTTP Proxy),
nahraďte níže uvedený kus kódu:
<Proxy *>
Deny from all
</Proxy>
v souboru httpd.conf tímto (naleznete jej rovněž v záloze z kroku 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
· Pokud jste prováděli další změny v souboru httpd.conf, zkopírujte tyto změny ze zálohovaného souboru z
kroku 1.
7. Uložte změny a spusťte službu ApacheHttpProxy, například do příkazového řádku s administrátorským
oprávněním zadejte příkaz:
8. Funkčnost Apache HTTP Proxy ověřte zadáním níže uvedené adresy do webového prohlížeče:
142
Pokud Apache HTTP Proxy po aktualizaci nenabízí, pro řešení problémů se podívejte do protokolů Apache HTTP
Proxy.
4.5 Aktualizace Apache Tomcat
Webový server Apache Tomcat zajišťuje běh ERA Web Console. Protože se jedná o komponentu třetí strany,
doporučujeme ji pravidelně aktualizovat. Pro aktualizaci Apache Tomcat postupujte podle níže uvedených kroků, v
závislosti na operačním systému:
· Ruční aktualizaci na Windows
· Aktualizace na Windows pomocí all-in-one instalačního balíčku
· Ruční aktualizace na Linuxu
4.5.1 Aktualizace Apache Tomcat na Windows pomocí all-in-one instalačního balíčku
Pomocí níže uvedených kroků aktualizujete Apache Tomcat na Windows prostřednictvím all-in-one instalačního
balíčku.
Upozornění: Prostřednictvím all-in-one instalačního balíčku je možné aktualizovat Apache Tomcat 7.x na novější
verzi 7.x.
q Před zahájením aktualizace
1. Ujistěte se, že máte nainstalovanou aktuální verzi Java.
2. Pro ověření aktuálně používané verze:
a.
Stiskněte klávesy Win + R, zadejte services.msc a potvrďte kliknutím na tlačítko OK.
b.
Klikněte na službu Apache Tomcat a z kontextového menu vyberte možnost Vlastnosti. V zobrazeném
dialogovém okně na záložce Obecné uvidíte číslo verze (například 7.0.67).
3. Ověřte, zda verze na kterou chcete přejít, podporuje produkt ESET.
q Postup aktualizace
1. Zastavte službu Apache Tomcat a ukončete proces Tomcat7w.exe:
a.
Stiskněte klávesy Win + R, zadejte services.msc, a potvrďte kliknutím na tlačítko OK.
b.
Klikněte na službu Apache Tomcat a z kontextové nabídky vyberte možnost Zastavit.
c.
Prostřednictvím systray ukončete proces Tomcat7w.exe.
2. Zálohujte níže uvedené soubory (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \server.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \tomcat-users.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties
3. Stáhněte si aktuální verzi Apache Tomcat (apache-tomcat-[verze].exe).
4. Odinstalujte Apache Tomcat.
5. Ujistěte se, že došlo také k odstranění složky (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\
6. Přejděte do složky se staženým all-in-one instalačním balíčkem.
143
7. Zkopírujte stažený balíček apache-tomcat-[version].exe do složky ./win32/installers, resp. ./x64/installers a
nahraďte původní instalační balíček.
8. Ve složce s all-in-one instalačním balíčkem otevřete příkazový řádek a instalaci spusťte příkazem:
Setup.exe --mode webconsole
9. Vyberte ESET Remote Administrator Webconsole a pokračujte kliknutím na tlačítko Další.
10. Odsouhlaste licenční ujednání a klikněte na tlačítko Další.
11. V dalším okně klikněte na tlačítko Instalovat.
12. Do složky %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
conf ig/ nahrajte zálohovaný soubor EraWebServerConf ig.properties.
13.Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
4.5.2 Ruční aktualizace Apache Tomcat na Windows
Pomocí níže uvedených kroků aktualizujete ručně Apache Tomcat na Windows.
1. Ujistěte se, že máte nainstalovanou aktuální verzi Java.
2. Pro ověření aktuálně používané verze:
a.
Stiskněte klávesy Win + R, zadejte services.msc a potvrďte kliknutím na tlačítko OK.
b.
Klikněte na službu Apache Tomcat a z kontextového menu vyberte možnost Vlastnosti. V zobrazeném
dialogovém okně na záložce Obecné uvidíte číslo verze (například 7.0.67).
1. Zastavte službu Apache Tomcat a ukončete proces Tomcat7w.exe:
a.
Stiskněte klávesy Win + R, zadejte services.msc, a potvrďte kliknutím na tlačítko OK.
b.
Klikněte na službu Apache Tomcat a z kontextové nabídky vyberte možnost Zastavit.
c.
Prostřednictvím systray ukončete proces Tomcat7w.exe.
2. Zálohujte níže uvedené soubory (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \server.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \tomcat-users.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties
3. Stáhněte si aktuální verzi Apache Tomcat (apache-tomcat-[verze].exe).
4. Odinstalujte Apache Tomcat.
5. Ujistěte se, že došlo také k odstranění složky (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\
6. Nainstalujte aktuální verzi Apache Tomcat.
7. Po dokončení instalace odškrtněte na poslední straně průvodce možnost Run Apache Tomcat.
8. Obnovte zálohovaný .keystore a server.xml do původního umístění. To je možné pouze při aktualizaci v rámci
majoritní verze (například při aktualizaci verze 7.x na 7.x, z verze 8.x na 8.x). Případně znovu nastavte používání
HTTPS protokolu.
144
9. Znovu nasaďte ERA Web Console (postup pro Windows).
10. Do složky %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
conf ig/ nahrajte zálohovaný soubor EraWebServerConf ig.properties.
11. Spusťte Apache Tomcat a nastavte správnou verzi Java VM:
§ Klikněte na Start > Všechny programy > Apache Tomcat > Monitor Tomcat. Na záložce Obecné klikněte na
tlačítko Start.
§ Na záložce Java vyberte možnost Use default a potvrďte kliknutím na tlačítko OK. Více informací naleznete v
Databázi znalostí.
12.Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
4.5.3 Aktualizace Apache Tomcat na Linuxu
1. Ujistěte se, že používáte aktuální verzi doplňku Java.
· Ověřte, zda se aktualizoval balíček openj dk (viz tabulka níže).
2. Pro ověření aktuálně používané verze použijte příkaz:
·
cd /usr/share/tomcat/bin && ./version.sh
(v závislosti na použité verzi může název složky obsahovat číslo
verze, například tomcat7 nebo tomcat8)
1. Zastavte službu Apache Tomcat:
·
(v závislosti na použité verzi může název služby obsahovat číslo verze, například
tomcat7 nebo tomcat8 )
service tomcat stop
2. Aktualizuje Apache Tomcat a doplněk Java.
sudo-apt-get update
sudo apt-get install openjdk-7-jdk tomcat7
CentOS, Red Hat a Fedora
distribuce
yum update
yum install java-1.8.0-openjdk tomcat
OpenSUSE
zypper refresh
zypper install java-1_8_0-openjdk tomcat
Důležité: Po dokončení aktualizace na majoritní verzi (například při aktualizaci Apache Tomcat z verze 7.x na 8.x):
· Znovu nasaďte ERA Web Console (postup pro linuxu) a do složky %TOMCAT_HOME%/webapps/era/WEB-INF/
classes/sk/eset/era/g2webconsole/server/modules/conf ig/ nahrajte zálohovaný soubor
EraWebServerConf ig.properties .
· Nastavte webový server Apache Tomcat tak, aby používal HTTPS protokol.
· Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
145
4.6 Změna názvu nebo IP adresy ERA Serveru
Pro změnu názvu nebo IP adresy ERA serveru postupujte podle následujících kroků, případně podle tohoto článku v
Databázi znalostí.
1. Pokud ERA server používá certifikát, který je vázán na konkrétní název nebo IP adresu, vytvořte nový serverový
certifikát. V případě, že máte hvězdičkový (*) certifikát, přejděte rovnou na krok 3.
Při generování nového certifikátu do pole adresa zadejte stávající informace a dále nový název, resp. novou IP
adresu. Jednotlivé údaje oddělte čárkou.
2. Certifikát podepište pomocí vestavěné ERA autority.
3. Vytvořte politiku pro ERA Agenta, ve které definujte novou adresu, na které ERA server poběží. Zároveň přidejte
taky stávající adresu. Tím zajistíte, že se stanice stále budou připojovat na původní adresu a po změně IP adresy
serveru zůstanou připojeni.
4. Politiku přiřaďte všem zařízením a vyčkejte, až si ji všichni ERA Agenti převezmou. Agenti budou chtít primárně
replikovat data novému serveru (zatím nedostupnému), ale protože jste v politice ponechali informace o
původním serveru, stále zůstanou připojeni.
5. Upravte nastavení ERA tak, aby server používal nový certifikát.
6. Restartujte službu ERA Server a změňte název/IP adresu serveru.
146
5. Prvotní kroky
Po úspěšné instalaci ESET Remote Administrator můžete přejít ke konfiguraci. V následujících kapitolách vám
ukážeme doporučené kroky, které byste měli provést po instalaci ESET Remote Administrator.
Nejprve si v internetovém prohlížeči otevřete ERA Web Console a přihlaste se.
Seznamte se s ERA Web Console
Před tím, než se pustíte do prvotního nastavení, se seznamte s ERA Web Console – rozhraním, které budete používat
pro vzdálenou správu bezpečnostních produktů ESET.
Po otevření ERA Web Console doporučujeme přejít na záložku Administrace > Průvodce nastavením. Tento průvodce
vám pomůže s prvotními kroky.
Vytvořte nové uživatele a potřebné sady oprávnění
V průběhu instalaci se vytvoří výchozí účet Administrator. Tento účet nedoporučujeme používat na každodenní
činnosti a raději si vytvořte nový uživatelský účet a přiřaďte mu potřebnou sadu oprávnění.
Přidejte klienty, servery a mobilní zařízení do své ERA infrastruktury
Již v průběhu instalace ESET Remote Administrator můžete prohledat vaši síť a najít počítače v síti. Nalezené počítače
se následně zobrazí v ERA na záložce Počítače. Pokud v této části žádné počítače nevidíte, spusťte úlohu
synchronizace statické skupiny.
Nasaďte na klienty ERA Agenta
Na nalezené klienty nasaďte ERA Agenta. ERA Agent je důležitá součást, která zajišťuje komunikaci mezi ESET
Remote Administrator a klienty.
Nainstalujte a aktivujte bezpečnostní produkt ESET
Pro zajištění ochrany klientů a vaší sítě nainstalujte bezpečnostní řešení ESET prostřednictvím úlohy Instalace
aplikace.
Vytvořte a upravte skupiny
Doporučujeme seskupit klienty do skupin, statických nebo dynamických na základě mnoha kritérií. To vám usnadní
správu klientů a pomůže vám udržet přehled o vaší síti.
Vytvořte novou politiku
Politiky představují účinný nástroj, pokud chcete na klientech vynutit specifickou konfiguraci bezpečnostního
produktu ESET. Pomocí politik nemusíte jednotlivé produkty ESET konfigurovat ručně, ale konfiguraci vynutíte
hromadně na všech klientech. Po vytvoření nové politiky s vlastní konfigurací ji můžete přiřadit skupině (statické
nebo dynamické) a politika se aplikuje na všechny počítače v dané skupině.
Přiřaďte politiku skupině
Jak je uvedeno výše, aby byly vytvořené politiky platné, je nutné ji přiřadit skupině. Politika se aplikuje na všechny
počítače ve vybrané skupině ve chvíli, kdy se ERA Agent připojí k ERA Serveru.
Nastavte si upozornění na důležité změny v sítí a vytvořte si vlastní přehledy
Pro zajištění dokonalého přehledu o klientských stanicích a stavu vaší sítě doporučujeme nastavit si upozornění na
důležité incidenty v síti. Tato upozornění si můžete nechat zasílat například na e-mail nebo si je zobrazit v
přehledech.
147
5.1 Otevření ERA Web Console
ERA Web Console můžete zobrazit několika způsoby:
§ Na lokálním serveru (počítač, na kterém běží ERA Web Console) zadejte do internetového prohlížeče následující
adresu:
· https://localhost/era/
§ Z jakéhokoli místa s přístupem k serveru, na kterém běží ERA Web Console, zadejte do internetového prohlížeče
následující adresu:
https://nazev_nebo_ip_adresa_serveru/era/
kde "nazev_vaseho_serveru" nahraďte platným názvem serveru nebo IP adresou.
§ Pro přihlášení k ERA Virtual appliance použijte následující adresu:
https://[IP_adresa]:8443/
kde "[IP adresa]" nahraďte IP adresou ERA virtuálního stroje. Pokud si IP nepamatujete, podívejte se do kroku 9 v
kapitole Virtual appliance.
§ Na lokálním serveru (počítač, na kterém běží ERA Web Console) klikněte na Start > Všechny programy > ESET > ESET
Remote Administrator > ESET Remote Administrator Web console. Následně se ve výchozím internetovém
prohlížeči zobrazí ERA Web Console. Tento krok neplatí pro ERA Virtual appliance.
Poznámka: Protože ERA Web Console používá pro přenos dat zabezpečený protokol (HTTPS), může se vám při
pokusu o přístup k ERA Web Console zobrazit upozornění o nedůvěryhodném certifikátu nebo nezabezpečeném
spojení (přesné znění hlášky záleží na použitém prohlížeči). Důvod tohoto upozornění je způsoben tím, že se
prohlížeč snaží ověřit identitu stránky, kterou chcete zobrazit. Pro pokračování k ERA Web Console klikněte na
Pokračovat na tuto stránku (Internet Explorer) nebo Rozumím rizikům, případně klikněte na Přidat výjimku... a
Schválit bezpečnostní výjimku (Mozilla Firefox). Výjimka bude platná pouze pro komunikaci s ERA Web Console.
Pokud webový server běží (počítač, na kterém běží ERA Web Console), zobrazí se následující obrazovka.
148
Pro přihlášení k ERA Web Console použijte heslo, které jste si nastavili v průběhu instalace. Po zaškrtnutí možnosti
Přihlásit do domény můžete pro přihlášení použít přihlašovací údaje doménového administrátora. Po zaškrtnutí
možnosti Povolit relaci ve více záložkách můžete mít ERA Web Console otevřenou ve více záložkách internetového
prohlížeče. Pro více informací přejděte do kapitoly přihlášení k ERA Web Console.
Poznámka: V ojedinělých případech se nemusí přihlašovací obrazovka zobrazit nebo se může načítat ve smyčce. V
takovém případě restartujte službu ESET Remote Administrator Server. Po opětovném nastartování služby ESET
Remote Administrator Server restartujte službu Apache Tomcat. Po provedení těchto kroků by se již měla
přihlašovací obrazovka správně zobrazit.
5.2 Interval připojení ERA Agenta / replikace dat
ERA Agent se k ERA Serveru ve výchozí konfiguraci připojuje každých 60 sekund. Tuto hodnotu byste v závislosti na
velikosti sítě měli po prvotním nasazení ERA Agenta a bezpečnostního produktu adekvátně zvýšit. Změnu provedete
prostřednictvím politiky.
1. V hlavním menu ERA Web Console přejděte na záložku Administrace > Politiky.
2. Klikněte na tlačítko Vytvořit novou a vytvořte politiku pro ESET Remote Administrator Agent.
Poznámka: Případně můžete použít některou z předdefinovaných politik (například Připojení – Připojovat
každých 20 minut) a přiřadit ji konkrétním stanicím nebo skupinám.
3. V konfigurační šabloně přejděte do sekce Nastavení > Připojení.
4. Klikněte na možnost Změnit interval a zadejte požadovanou hodnotu.
149
5. Politiku uložte kliknutím na tlačítko Dokončit.
6. Politiku přiřaďte konkrétním stanicím nebo skupinám.
Více informací o politikách naleznete v administrační příručce nebo v Databázi znalostí.
150
6. Řešení problémů
ESET Remote Administrator 6 je komplexní produkt, který je založen na mnoha součástech třetích stran a je
dostupných pro několik platforem. To samo o sobě představuje potenciál, že se setkáte s problémem, který bude
nutné vyřešit.
V této dokumentaci jsou popsány nejčastější příčiny chyb a jejich řešení. Odpovědi na otázky naleznete také ve FAQ.
Nepodařilo se vám identifikovat příčinu problému?
· Každá komponenta ERA zapisuje informace o svém běhu do samostatného protokolu. V případě potřeby je možné
úroveň protokolování zvýšit a získat tak podrobnější informace z běhu ERA komponenty. Ve většině případů indicii
k řešení objevíte právě v protokolech.
· Při řešení potíží můžete využít ESET Bezpečnostní fórum a konzultovat svůj problém s ESET komunitou.
· Při kontaktování technické podpory přiložte rovnou protokoly z ERA. Sesbírat je můžete pohodlně pomocí
nástroje ESET Log Collector, případně diagnostickým nástrojem. Přiložení protokolů již při prvním kontaktování
technické podpory výrazné zkrátíte řešení svého požadavku.
6.1 Nejčastější instalační problémy
ERA Server
Poškozená instalace
Mohou chybět klíče v registru, soubory nebo oprávnění pro přístup do složky.
Příčinu je možné vyčíst z instalačního protokolu. Ten se v případě all-in-one instalačního balíčku vytvoří
automaticky. Pokud ERA komponenty instalujete ručně aktivujte MSI protokolování ručně.
Port je 2222 a 2223 je již používán
Pro ověření použijte příkaz:
· Windows:
netstat -an | find "2222"
netstat -an | find "2223"
· Linux:
netstat | grep 2222
netstat | grep 2223
Databáze neběží/není dostupná
· MS SQL Server: ověřte, zda je databázový server dostupný na portu 1433, případně se zkuste přihlásit
prostřednictvím SQL Server Management Studio
· MySQL: ověřte, zda je databázový server dostupný na portu 3306, případně se zkuste přihlásit
(prostřednictvím aplikace Workbench, příkazovým řádkem nebo využijte phpmyadmin)
Poškozená databáze
Pokud v protokolu ERA serveru vidíte větší množství SQL chyb, obnovte databázi ze zálohy. Pokud ji nemáte,
databázi smažte a proveďte novou instalaci ESET Remote Administrator.
Nedostatek systémových prostředků (RAM, místo na disku)
Analyzujte běžící procesy a vytížení systému:
· Na Windows se podívejte do správce úloh, případně prohlížeče událostí.
151
· Na linuxu:
(informace o volném místu na disku)
cat /proc/meminfo (informace o využití operační paměti)
dmesg (pro zjištění stavu operačního systému)
df -h
Chyba ODBC konektoru v průběhu instalace ERA serveru
Error: (Error 65533) ODBC connector compatibility check failed.
Please install ODBC driver with support for multi-threading.
Nainstalujte ODBC ovladač, který podporuje multi-threading, případně upravte odbcinst.ini podle kroků popsaných v
Chyba připojení do databáze
Instalace končí chybou:
Error: It is not possible to store big blocks of data in the database.
Please reconfigure the database server first.
V instalační protokolu je chybové hlášení:
Error: Execution test of long statement failed with exception:
CMysqlCodeTokenExecutor: CheckVariableInnodbLogFileSize:
Server variables innodb_log_file_size*innodb_log_files_in_group value 100663296 is too low.
Ověřte konfiguraci Verify that the configuration of your database driver matches that shown as in the ODBC
configuration section.
ERA Agent
Při odinstalaci se zobrazí chyba: "Databáze nemohla být aktualizována. Před pokračování produkt nejprve
odinstalujte."
Proveďte opravnou instalaci ERA Agenta:
1. Klikněte na Start > Ovládací panely > Programy a funkce. Vyberte ESET Remote Administrator Agent a
klikněte na tlačítko Změnit.
2. V průvodci instalační vyberte možnost Opravit a postupujte podle kroků na obrazovce.
Jakým způsobem mohu odinstalovat ERA Agenta?
Všechny možnosti odinstalace máme popsány v této kapitole.
Instalace na Windows skončila chybou 1603
Jedná se o velmi obecnou chybu instalační služby Windows. Ve většině případů stačí instalační balíček spouštět
z lokálního disku. Pokud i přesto instalace selže, přejděte do Databáze znalostí.
Instalace na linuxu skončila chybou
Chybová zpráva:
Checking certificate ... failed
Error checking peer certificate: NOT_REGULAR_FILE
Pravděpodobně je chyba v názvu souboru v parametrech instalace. Mějte na paměti, že konzole/terminál
rozlišuje velikost písmen. Příklad: "Agent.pfx" není to samé jako "agent.pfx".
Web Console
Nejčastější chybová hlášení v ERA Web Console
Neúspěšné přihlášení: Nepodařilo se připojit k serveru. Důvod: 'Server neběží'?
152
Ověřte, zda běží služba ERA Server a ověřte, konektivitu na server. Pokud služba neběží, spusťte ji ručně,
aktualizuje konzolu a zkuste se znovu přihlásit. Zkontrolujte také databázi (MS SQL, MySQL) a její protokoly.
Neúspěšné přihlášení: Chyba při komunikaci
Ověřte, zda Apache Tomcat běží, případně zkontrolujte jeho protokoly.
Více informací naleznete v Databázi znalostí.
ESET Remote Administrator Web Console se nenačítá
Pokud se ERA Web Console nenačítá nebo se načítá do nekonečna, postupujte podle kroků v Databázi znalostí.
Jak aktivovat šifrované (HTTPS/SSL) spojení do Web Console?
Pokud se vám na přihlašovací obrazovce zobrazuje upozornění:
Používáte nešifrované spojení! Prosím, nastavte webserver tak, aby používal HTTPS
postupujte podle kroků v Databázi znalostí.
Apache Tomcat nerozbalil obsah souboru 'era.war'
Pokud v průběhu instalace prostřednictvím all-in-one instalačního balíčku nedošlo k automatickému rozbalení
archivu era.war, nebude funkční ERA Web Console. V takovém případě je potřeba archiv do složky s webovým
serverem Apache Tomcat rozbalit ručně. Více informací naleznete v Databázi znalostí.
Apache HTTP Proxy
Velikost cache Apache HTTP Proxy zabírá několik GB a stále roste
Pokud jste Apache HTTP Proxy instalovali prostřednictvím all-in-one balíčku, je naplánována pravidelná údržba
cache. Pokud jste instalaci prováděli ručně, proveďte údržbu cache manuálně a naplánujte její automatické
spouštění.
Aktualizace virové databáze nefungují, pokud je aktivní Apache HTTP Proxy
Pokud se klientské stanice neaktualizují, dočasně vypněte používání Apache HTTP Proxy. Až identifikujete
příčinu problému a odstraní jej, používání Apache HTTP Proxy opět pomocí politiky aktivujte.
Vzdálená aktualizace ERA Agenta skončila chybou 20008
V případě, že aktualizace ERA Agenta na novou verzi skončí chybou:
GetFile: Failed to process the HTTP request (error code 20008, url: 'http://repository.eset.com/v1/inf o.meta')
Zkontrolujte, zda ERA Agent nemá chybně nastavenou proxy, případně změňte adresu k repozitáři podle tohoto
návodu.
ESET Rogue Detector Sensor
Proč se v protokolu ESET Rogue Detector zobrazuje tato chyba?
Information: CPCAPDeviceSniffer [Thread 764]:
CPCAPDeviceSniffer on rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} throwed error:
Device open failed with error:Error opening adapter: The system cannot find the device specified. (20)
Jedná se o problém s WinPcap. Pro jeho vyřešení zastavte službu ESET Rogue Detector Sensor, přeinstalujte
WinPcap (alespoň ve verzi 4.1.0) a restartujte službu ESET Rogue Detector Sensor.
Linux
Na CentOSu chybí závislosti libQtWebKit
V trace.logu ERA Serveru se zobrazí chyba:
153
Error: CReportPrinterModule [Thread 7f5f4c7b8700]:
ReportPrinter: ReportPrinterTool exited with:
/opt/eset/RemoteAdministrator/Server//ReportPrinterTool:
error while loading shared libraries: libQtWebKit.so.4:
cannot open shared object file: No such file or directory
Více informací naleznete v Databázi znalostí.
Instance ERA Server na CentOS 7 selhala
Při instaci se zobrazila chyba
Error: DbCheckConnection: locale::facet::_S_create_c_locale name not valid
Jedná se chybnou konfiguraci lokálního prostředí. Spusťte níže uvedený skript a následně zkuste instalaci
provést znovu:
export LC_ALL="en_US.UTF-8"
Microsoft SQL Server
Co dělat, když se při instalaci Microsoft SQL Server se zobrazí chyba -2068052081?
Restartujte server a zkuste to znovu. Pokud se problém neodstraní, odinstalujte ručně SQL Server Native Client
a spusťte instalaci znovu. Pokud to nepomůže, odinstalujte všechny součásti Microsoft SQL Server, restartujte
server a spusťte instalaci znovu.
Ujistěte, že váš systém splňuje požadavky.
Co dělat, když se při instalaci Microsoft SQL Server se zobrazí chyba -2067922934?.
Ujistěte se, že jste použili uživatelský účet s potřebným oprávněním.
ERA Web Console zobrazuje chybu "Neúspěšné načtení dat".
MS SQL Server se snaží do transakčního protokolu zapsat nadměrné množství dat. Návod na údržbu/optimalizaci
databáze naleznete v Databázi znalostí společnosti Microsoft.
Ujistěte se, že úspěšně doběhly všechny konfigurační kroky. Tato chyba ukazuje na chybnou konfiguraci
systémových souborů. Restartujte počítač a spusťte instalaci znovu.
6.2 Protokoly
Každá komponenta ESET Remote Administrator zapisuje informace o svém běhu do samostatného protokolu. V
případě potřeby je možné úroveň protokolování zvýšit a získat tak podrobnější informace z běhu ERA komponenty.
Kde naleznete jednotlivé protokoly uvádíme v tabulce níže.
Windows
ERA Server
C:\ProgramData\ESET\RemoteAdministrator\Server
\EraServerApplicationData\Logs\
ERA Agent
C:\ProgramData\ESET\RemoteAdministrator\Agent
\EraAgentApplicationData\Logs\
ERA Web Console a Apache Tomcat
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\Logs
154
Případně se se podívejte do dokumentace Apache Tomcat.
C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\
ERA Proxy
C:\ProgramData\ESET\RemoteAdministrator\Proxy
\EraProxyApplicationData\Logs\
ERA Rogue Detection Sensor
C:\ProgramData\ESET\Rogue Detection Sensor\Logs\
Apache HTTP Proxy
C:\Program Files\Apache HTTP Proxy\logs\
C:\Program Files\Apache HTTP Proxy\logs\errorlog
na starších operačních systémech
C:\Documents and Settings\All Users\Application Data\ESET\...
Poznámka: Složka C:\ProgramData je standardně skryta. Pro zobrazené této složky...
1. Klikněte na Start > Ovládací panely > Možnosti složky > Zobrazení.
2. Vyberte možnost Zobrazit skryté soubory, složky a jednotky a akci dokončete kliknutím na tlačítko OK.
Linux
Cesty na virtuální applince jsou stejné, protože je založena na linuxové distribuci CentOS. Jak získat protokoly z
virtuální appliance naleznete v tomto návodu.
ERA Server
/var/log/eset/RemoteAdministrator/Server/
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
ERA Agent
/var/log/eset/RemoteAdministrator/Agent/
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
/var/log/eset/RemoteAdministrator/MDMCore/
/var/log/eset/RemoteAdministrator/MDMCore/Proxy/
Apache HTTP Proxy
/var/log/httpd (novější verze virtuální appliance)
/opt/apache/logs/ (starší verze virtuální appliance)
ERA Web Console a Apache Tomcat
/var/log/tomcat6/ nebo /var/log/tomcat7/ nebo /var/log/tomcat8/
Případně se se podívejte do dokumentace Apache Tomcat.
ERA Proxy
/var/log/eset/RemoteAdministrator/Proxy/
ERA RD Sensor
/var/log/eset/RogueDetectionSensor/
OS X
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
155
6.3 Diagnostický nástroj
Diagnostický nástroj je součástí všech komponent ERA. Používá se pro sesbírá diagnostických dat, které technické
podpoře ESET pomohou vyřešit případné problémy s komponenty ERA infrastruktury. Po spuštění diagnostického
nástroje vyberte složku, do které chcete data uložit a vyberte data, které chcete sesbírat (viz níže uvedený seznam
akcí).
q Diagnostický nástroj naleznete v následujícím umístění:
Windows
Ve složce C:\Program Files\ESET\RemoteAdministrator\<produkt>\ naleznete soubor Diagnostic.exe.
Linux
Ve složce /opt/eset/RemoteAdministrator/<produkt>/ naleznete soubor Diagnostic<produkt> (například
DiagnosticServer, DiagnosticAgent...)
q Použití
1. V závislosti na prostředí spusťte nástroj přímo poklepáním na soubor nebo z příkazového řádku.
2. Zadejte cestu, do které chcete protokoly uložit (například jako na obrázku "logs") a potvrďte klávesou Enter.
3. Zadejte informace, které chcete sesbírat (například jako na obrázku 1
jednotlivých možností naleznete na konci této kapitoly.
trace status 3 ). Bližší popis
4. Po dokončení se ve složce, ze které jste nástroj spustili, vytvořila složka (v našem případě logs). V této složce
se nachází archiv se všemi sesbíranými soubory.
156
q Akce
· ActionEraLogs – vytvoří novou složku a uloží do ní všechny protokoly. Pro sesbírání pouze konkrétního typu
protokolu použijte odpovídající přepínač (trace, status...)
· ActionGetDumps – vytvoří novou složku a uloží do ní výpis (dump) procesu, který se vygeneroval při výskytu
problému/pádu aplikace. Při výskytu závažného problému detekuje výpisy procesu přímo operační systém.
Soubory s příponou .dmp se ve Windows ukládají do složky %temp%, na Linuxu do složky /tmp/.
Poznámka: Během získávání těchto dat musí služba (Agent, Proxy, Server, RD Sensor, FileServer) běžet.
· ActionGeneralApplicationInformation – vytvoří novou složku GeneralApplicationInformation se souborem
GeneralApplicationInformation.txt, který obsahuje informace o aktuálně nainstalovaném produktu ESET.
· ActionConfiguration – vytvoří složku s konfiguračním souborem storage.lua.
157
6.4 Problém po aktualizaci/migraci ERA serveru
Pokud služba ESET Remote Administrator Server nestartuje, případně padá a v protokolu nejsou žádné relevantní
chybové hlášky, pomocí níže uvedených kroků opravíte ESET Remote Administrator.
VAROVÁNÍ: Před prováděním níže uvedených akcí doporučujeme provést zálohu databáze.
1. Klikněte na Start > Ovládací panely > Programy a funkce. Vyberte položku ESET Remote Administrator Server
a klikněte na Změnit.
2. V průvodci instalací vyberte možnost Opravit a pokračujete kliknutím na tlačítko Další.
3. Ponechte spojení do existující databáze a klikněte na tlačítko Další a spojení případně potvrďte kliknutím na
Ano.
4. Vyberte možnost Použít heslo uložené v databázi a pokračujete kliknutím na tlačítko Další.
5. Vyberte možnost Ponechat aktuálně používané certifikáty a klikněte na tlačítko Další.
6. Klikněte na tlačítko Opravit.
7. Přihlaste se do ERA Web Console a zkontrolujte, zda je vše v pořádku.
Další scénáře:
ERA server neběží, ale máte zálohu databáze:
1. Obnovte zálohu databáze.
158
2. Ověřte, zda nový server má stejný název/IP adresu jako původní, ke kterému se ERA agenti připojovali.
3. Spusťte opravnou instalaci ERA serveru a použijte stávající databázi.
ERA server neběží, ale máte exportován serverový certifikát a certifikační autoritu:
1. Ověřte, zda nový server má stejný název/IP adresu jako původní, ke kterému se ERA agenti připojovali.
2. Spusťte opravnou instalaci ERA serveru a během použijte zálohované certifikáty.
ERA server, nemáte zálohu databáze ani exportovaný certifikát a certifikační autoritu:
1. Proveďte opravnou instalaci ERA serveru.
2. Opravte ERA agenty pomocí:
· online instalátoru,
· .msi instalačního balíčku (je potřeba mít přímou viditelnost na server nebo musíte mít exportovaný certifikát
a certifikační autoritu),
· push instalace z ERA serveru (je potřeba mít přímou viditelnost ze serveru na klientskou stanici).
6.5 Protokolování MSI
Pokud se vám na Windows nedaří instalace některé komponenty, pomocí níže uvedeného příkazu aktivujete
protokolování instalace. Z instalačního protokolu je následně možné odhalit příčinu neúspěšné instalace.
msiexec /i C:\Users\Administrator\Downloads\Agent-1.0.373.0_x64.msi /L*v log.txt
159
7. ESET Remote Administrator API
ESET Remote Administrator ServerAPI je dostupné jako knihovna ServerApi.dll. ServerAPI poskytuje přístup k
procedurám a funkcí, které můžete použít pro ovládání ESET Remote Administrator prostřednictvím vlastní aplikace.
ServerApi poskytuje stejné možnosti a operace jako nabízí ERA Web Console.
Více informací, vzorové příkazů v jazyce C a seznam dostupných JSON zpráv naleznete v dokumentaci k API (pouze v
angličtině), která je dostupná online na adrese:
http://help.eset.com/era/64/api/
160
8. FAQ
Otázka: Proč musím instalovat doplněk Java na server? Nepředstavuje to bezpečnostní riziko?
Odpověď: ERA Web Console využívá ke svému běhu prostředí Java. Jedná se o průmyslový standard pro webové
konzole a aplikace. ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy
nejnovější verzi. V případě potřeby můžete webovou konzoly nainstalovat na jiný počítač.
Otázka: Jak snadno zjistím port, na kterém běží můj SQL Server?
Odpověď: Jedním ze způsobů je použít SQL Server Configuration Manager. Číslo portu zjistíte pomocí kroků
uvedených na obrázku níže.
Poznámka: Po nainstalování SQL Server Express, který je součástí all-in-one balíčku je zpravidla port jiný, než
výchozích 1433.
Otázka: Jak v MySQL povolit příjem velkých paketů (big blocks)?
Odpověď: Otevřete si konfigurační soubor MySQL (my.ini ve Windows a my.cnf v Linuxu), najděte sekci [mysqld] a
přidejte do něj nový řádek max_allowed_packet=33M (hodnota musí být minimálně 33M).
Otázka: Pokud nainstaluji SQL samostatně, jak mohu ručně vytvořit databázi pro ERA?
Odpověď: Není to potřeba. Databázi vytváří přímo instalační balíček Server.msi, nikoli instalační all-in-one balíček.
All-in-one balíček pouze usnadňuje instalaci, především MS SQL Serveru.
Otázka: Dokáže ERA instalátor vytvořit novou databázi na již existujícím MS SQL Serveru, pokud při instalaci zadám
platné přístupové údaje k serveru? Jaké verze MS SQL jsou podporovány?
Odpověď: Instalační balíček Server.msi dokáže vytvořit databázi na vašem MS SQL serveru. Podporován je MS SQL
Server 2008, 2012 a 2014.
161
Otázka: Proč se nedaří instalace ERA, pokud mám aktivní binární logování na databázovém serveru?
· Odpověď: ERA v6.2 nepodporuje MySQL databázi, na které ke aktivováno binární logování. Deaktivujte binární
logování nebo použijte novější verzi ERA..
· Odpověď: ERA v6.3 nepodporuje STATEMENT formát binárního logování. Použijte ROW nebo MIXED formát
binárního logování. Pro více informací přejděte sem https://dev.mysql.com/doc/refman/5.6/en/binary-log.html
nebo https://dev.mysql.com/doc/refman/5.6/en/replication-options-binary-log.html#sysvar_binlog_format
Otázka: Pokud instaluji na existující SQL Server, měl bych použít vestavěný režim ověřování?
Odpověď: Ne, protože tento režim může být na SQL Serveru zakázán. Jediným způsobem je přihlásit se k serveru
zadáním uživatelského jména a hesla. Použijte tedy SQL Server autentifikaci nebo smíšený režim. Při ruční instalaci
SQL serveru je nutné vytvořit heslo pro uživatele root (účet je pojmenován jako "sa", zkráceně security admin). Toto
heslo je vyžadováno při instalaci ERA Serveru a může být vyžadováno také při jeho aktualizaci.
Otázka: Mohu použít MariaDB místo MySQL?
Odpověď:
MariaDB je výchozím databázový systém na některých linuxových distribucích. ESET Remote Administrator ve
stávající verzi MariaDB nepodporuje! Pro korektní běh musíte jako databázový server použít MySQL.
Otázka: ERA instalátor mě navedl na stažení Microsoft .NET Framework 3.5 (http://www.microsoft.com/en-us/
download/details.aspx?id=21), ale balíček nefunguje na čisté instalaci Windows Server 2012 R2 SP1.
Odpověď: Z důvodu bezpečnostní politiky Windows Server 2012 a novějších systémů není možné tento instalátor
použít. Microsoft .NET Framework nainstalujte prostřednictvím Průvodce rolemi a funkcemi.
Otázka: V systému mám již nainstalovaný Microsoft .NET 4.5 framework. Proč nestačí nejnovější verze .NET 4.5?
Odpověď: Protože .NET 4.5 není zpětně kompatibilní s .NET 3.5, který vyžaduje instalační balíček SQL Serveru.
Otázka: Je velmi obtížné zjistit, zda probíhá instalace MS SQL Serveru. Mohu nějak zjistit, co se děje, pokud instalace
probíhá déle než 10 minut?
Odpověď: Instalace SQL Server může v některých případech trvat více než hodinu. Doba instalace závisí na výkonu
systému. Pro instalaci je vybrán režim tiché instalace, proto není zobrazen žádný grafický průběh.
Otázka: Jak obnovím heslo pro přístup do ERA Web Console (nastavené při instalaci ERA na Windows)?
Odpověď: Pokud máte vytvořeného dalšího uživatele s administrátorským oprávněním, přihlaste se pod ním a
svému účtu nastavte nové heslo. Pokud jste si nevytvořili jiný uživatelský účet a zapomněli jste heslo k
předdefinovanému účtu Administrator, obnovit heslo můžete opětovným spuštěním instalátoru ERA a vybráním
možnosti Opravit. Mějte na paměti, že tato akce vyžaduje heslo pro přístup do ERA databáze, pokud jste nepoužili
MSSQL a Windows Authentication.
Poznámka: Při použití možnosti pro opravení instalace buďte obezřetní, můžete přijít o uložená data.
Otázka: V jakém formátu mohu importovat data do ERA?
Odpověď: Velké množství dat (počítačů/uživatelů) můžete importovat prostřednictvím CSV souboru. Více informací
naleznete v administrační příručce.
Otázka: Mohu použít IIS místo Apache, případný jiný HTTP server?
Odpověď: IIS je HTTP server. Webová konzole vyžaduje Java servlet container, což HTTP server neumožňuje. Sice
existuje řešení, jak Java servlet container zprovoznit na IIS, ale obecně to nedoporučujeme.
Poznámka: Apache HTTP Server a Apache Tomcat jsou rozdílné produkty.
162
Otázka: Mohu ovládat ERA prostřednictvím příkazového řádku?
Odpověď: Ano, nabízíme ESET Remote Administrator ServerApi.
Otázka: Mohu nainstalovat ERA na doménový řadič?
Odpověď: ERA Server může běžet na doménovém řadiči. Narazit však můžete na omezení při instalaci MS SQL.
Otázka: Mohu pro instalaci na doménový řadič použít all-in-one instalátor?
Odpověď: Ano, ale je potřeba odškrtnout instalaci Microsoft SQL Express.
Otázka: Detekuje instalace ERA serveru SQL? Co dělat, pokud ne? Podporuje MySQL?
Odpověď: Při použití all-in-instalátoru dojde k automatickému ověření, zda v systému běží SQL. Pokud bude SQL
server detekován zobrazí se upozornění. Instalaci MSSQL Express tedy odškrtněte a nainstalujte ERA do již
existujícího SQL serveru. Případně můžete použít MySQL, které je také podporováno.
Otázka: Kde najdu informace o verzích ERA komponent?
Otázka: Pro zobrazení aktuálních verzích přejděte do Databáze znalostí.
Otázka: Jak aktualizuji ESET Remote Administrator na nejnovější verzi?
Windows OS: http://support.eset.com/kb3668/
Linux OS: http://support.eset.com/kb3670/
Otázka: Jak mohu produkt ESET aktualizovat bez připojení k internetu?
Odpověď: Na stanici, která má přístup k internetu vytvořte mirror prostřednictvím bezpečnostního produktu ESET
nebo využijte mirror tool a následně z tohoto mirroru aktualizuje klienty, kteří jsou offline.
Otázka: Jak přeinstalovat ERA Server a připojit jej k existujícímu SQL serveru, pokud konfigurace byla provedena
automaticky v průběhu instalace?
Odpověď: Pokud instalujete novou instanci ERA serveru pod stejným uživatelským účtem (například doménovým
administrátorem), kterým jste instalovali původní ERA server, využijte MS SQL Server via Windows Authentication.
Otázka: Jak vyřešit problém s Active Directory synchronizací na linuxu?
Odpověď: Ujistěte se, že jste název domény zadali VELKÝMI PÍSMENY ([email protected] místo
[email protected] ).
Otázka: Nechci instalovat z repozitáře, mám jinou možnost?
Odpověď: Ano, při vytváření instalační úlohy můžete zadat URL k instalačnímu balíčku nebo využít síťové sdílení
(například: file://\\eraserver\install\ees_nt64_ENU.msi ).
Poznámka: V tomto případě neměňte název instalačních balíčků. Windows Installer může zahlásit chybu.
163
Otázka: Jak změním port, na kterém komunikuje ERA Web Console s ERA serverem?
Odpověď: Na straně serveru port změňte prostřednictvím ERA Web Console v sekci Administrace > Nastavení
serveru.
Dále postupujte podle následujících kroků:
1. Vypněte Apache Tomcat.
2. Upravte konfiguraci webového serveru:
a. Otevřete soubor webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
conf ig/EraWebServerConf ig.properties
b. Nastavte nový port, například server_port=44591
3. Spusťte Apache Tomcat.
Otázka: Jak přenesu ERA server na nový stroj?
Odpověď: Nainstalujte ERA server na nový systém a připojte jej ke stávající databázi. Při přechodu z ERA 4/5 můžete
využít migrační nástroj, případně více informací naleznete v Databázi znalostí.
Otázka: Mohu aktualizovat ERA v.5/v.4 na v.6 prostřednictvím all-in-one instalátoru?
Odpověď: Není možné provést přímý upgrade. Více informací naleznete v této kapitole, případně v Databázi znalostí.
Otázka: Při instalaci jsem obdržel chybovou zprávu, kterou jsem nenašel v tomto FAQ.
Odpověď: Další tipy naleznete v kapitole nejčastější instalačního problémy.
164
9. End-User License Agreement (EULA)
DŮLEŽITÉ UPOZORNĚNÍ: Před stáhnutím, instalací, kopírováním anebo použitím si pozorně přečtěte níže uvedené
podmínky používání produktu. INSTALACÍ, STÁHNUTÍM, KOPÍROVÁNÍM ANEBO POUŽITÍM SOFTWARE VYJADŘUJETE
SVŮJ SOUHLAS S TĚMITO PODMÍNKAMI.
Dohoda s koncovým uživatelem o používání software.
Tato Dohoda o užívání software (dále jen „Dohoda„) uzavřená mezi společností ESET spol. s r.o., se sídlem
Einsteinova 24, 851 01 Bratislava, Slovenská republika, zapsaná v Obchodnom registri, vedeném Okresným súdom
Bratislava I, oddiel Sro, vložka 3586/B, (dále jen „Poskytovatel„) a Vámi, fyzickou anebo právnickou osobou, (dále
jen „Vy„ anebo „Koncový uživatel“) Vás opravňuje na používání Software definovaného v článku 1 této Dohody.
Software definovaný v článku 1 této Dohody může být uložený na hmotném nosiči dat, zaslaný elektronickou
poštou, stáhnutý z počítačové sítě internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů za
podmínek a okolností uvedených níže.
TOTO NENÍ KUPNÍ SMLOUVA, ALE DOHODA O PRÁVECH KONCOVÉHO UŽIVATELE. Poskytovatel zůstává vlastníkem
kopie Software a případného fyzického média na kterém se Software dodává v obchodním balení jako i všech kopií
Software na které má Koncový uživatel právo podle této Dohody.
Zvolením možnosti "Souhlasím" po dobu instalace, stahování, kopírování anebo používání Software vyslovujete
souhlas s ustanoveními a podmínkami této Dohody. Pokud nesouhlasíte s některými ustanoveními této Dohody,
ihned klikněte na možnost "Nesouhlasím", zrušte instalaci anebo stahování, anebo zničte, případně vraťte Software,
instalační média, doprovodnou dokumentaci a doklad o nákupu a to Poskytovateli anebo na místo, kde jste Software
získali.
SOUHLASÍTE S TÍM, ŽE VAŠE POUŽÍVÁNÍ SOFTWARE JE ZNAKEM TOHO, ŽE JSTE SI PŘEČETLI TUTO DOHODU, ROZUMÍTE
JÍ, A SOUHLASÍTE S TÍM, ŽE JSTE VÁZANÍ JEJÍMI USTANOVENÍMI.
1. Software. Software v této Dohodě znamená (i) počítačový program ESET NOD32 Antivirus 7 včetně všech jeho
součástí, (ii) obsah disků, CD-ROM, DVD médií, zpráv elektronické pošty a jejich všech případných příloh, anebo
jiných médií ke kterým je přiložená tato Dohoda včetně Software dodaného ve formě objektového kódu na
hmotném nosiči dat, elektronickou poštou, anebo stáhnutý přes počítačovou síť internet, (iii) se Software související
vysvětlující materiály a jakoukoliv dokumentaci, zejména jakýkoliv popis Software, jeho specifikaci, popis vlastností,
popis ovládání, popis operačního prostředí ve kterém se Software používá, návod na použití anebo instalaci Software
anebo jakýkoliv popis správného používání Software (dále jen „Dokumentace„), (iv) kopie Software, opravy
případných chyb Software, dodatky k Software, rozšíření Software, modifikované verze Software, a aktualizace
součástí Software, jak jsou dodané, na které Vám Poskytovatel uděluje Licenci ve smyslu článku 3. této Dohody.
Software se dodává výlučně ve formě objektového spustitelného kódu.
2. Instalace. Software dodaný na hmotném nosiči dat, zaslaný elektronickou poštou, stáhnutý z počítačové sítě
internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů vyžaduje instalaci. Software musíte
nainstalovat na správně nakonfigurovaný počítač splňující minimální požadavky uvedené v Dokumentaci. Způsob
instalace je popsaný v Dokumentaci. Na počítači, na který Software instalujete nesmí být nainstalované žádné
počítačové programy anebo technické vybavení, které by mohlo nepříznivě ovlivnit Software.
3. Licence. Za předpokladu, že jste souhlasili s touto Dohodou, zaplatíte licenční poplatek v termínu splatnosti a
budete dodržovat všechny její podmínky, Vám Poskytovatel uděluje následovná práva („Licence„):
a) Instalace a používání. Máte nevýhradní a nepřevoditelné, časově omezené právo instalovat Software na pevný
disk počítače anebo na jiné podobné médium sloužící na trvalé ukládání dat, instalaci a na ukládání Software do
paměti počítačového systému, na vykonávání, na ukládání a na zobrazování Software.
165
b) Stanovení počtu licencí. Právo na použití Software se váže na počet Koncových uživatelů. Jedním Koncovým
uživatelem se přitom rozumí: (i) instalace Software na jednom počítačovém systému, anebo (ii) pokud se rozsah
licence váže na počet poštovních schránek, potom se rozumí jedním Koncovým uživatelem uživatel počítače, který si
pomocí Mail User Agent (dále jen „MUA„) přebírá elektronickou poštu. Pokud MUA přebírá elektronickou poštu a
následně ji automaticky rozděluje vícerým uživatelům potom se počet Koncových uživatelů stanovuje podle
skutečného počtu uživatelů, pro které je elektronická pošta rozdělovaná. V případě, že poštovní server vykonává
funkci poštovní brány, je počet Koncových uživatelů shodný s počtem uživatelů poštovních serverů, pro které
poskytuje tato brána služby. Pokud je jednomu uživateli směřovaný libovolný počet adres elektronické pošty
(například pomocí aliasů) a přebírá si je jeden uživatel, a zprávy nejsou automaticky na straně klienta rozdělované
pro více uživatelů je potřebná licence pro jeden počítač. Jednu licenci nesmíte současně používat na vícerých
počítačích.
c) Business Edition. Pro použití Software na mailových serverech, mail relay serverech, mailových branách anebo
internetových branách musíte získat Software ve verzi Business Edition.
d) Trvání Licence. Vaše právo používat Software je časově omezené.
e) OEM Software. OEM Software se váže na počítač, se kterým jste ho získali. Není ho možné přenést na jiný počítač.
f) NFR, TRIAL Software. Software označený jako „Not-for -resale„, NFR anebo TRIAL nemůžete převést za
protihodnotu anebo používat na jiný účel, jako na předvádění, testování jeho vlastností anebo vyzkoušení.
g) Zánik licence. Licence zaniká automaticky uplynutím období na které byla udělená. Pokud nedodržíte kterékoliv
ustanovení této Dohody má Poskytovatel právo odstoupit od Dohody bez toho, aby byl dotknutý jakýkoliv nárok
anebo prostředek, který má Poskytovatel pro takovýto případ k dispozici. V případě zániku Licence musíte Software a
všechny jeho záložní kopie okamžitě zničit anebo na vlastní náklady vrátit společnosti ESET anebo na místo, kde jste
Software získali.
4. Připojení k internetu. Software vyžaduje pro správné fungování připojení do internetu a v pravidelných
intervalech se připojuje k serverům Poskytovatele anebo serverům třetích stran. Připojení k internetu je potřebné
pro následovné funkce Software:
a) Aktualizace Software. Poskytovatel může čas od času vydat aktualizaci Software („Update„), avšak není povinný
poskytovat Update. Tato funkce je při standardním nastavení Software zapnutá, proto se Update nainstaluje
automaticky, kromě případů, kdy Koncový uživatel automatickou instalaci Update zakázal.
b) Zasílání infiltrací a informací Poskytovateli. Software obsahuje funkci, která slouží na shromažďování vzorků
nových počítačových virů, jiných obdobných škodlivých počítačových programů, podezřelých anebo problematických
souborů (dále jen „Infiltrací„) a jejich následné odeslání Poskytovateli včetně informací o počítači a/anebo platformě
na které je Software nainstalovaný (dále jen „Informace„). Tato funkce je při standardním nastavení Software
vypnutá. Informace mohou obsahovat údaje (včetně náhodně získaných osobních údajů) o Koncovém uživateli a/
anebo jiných uživatelích počítače na kterém je nainstalovaný Software, informace o počítači, operačním systému a
nainstalovaných programech, soubory z počítače na kterém je Software nainstalovaný, soubory postižené Infiltrací a
informace o takovýchto souborech. Poskytovatel použije získané Informace a Infiltrace jen na přezkoumání
Infiltrace, přičemž vykoná přiměřené opatření na zachování důvěrného charakteru získaných Informací. V případě, že
aktivujete tuto funkci Software, souhlasíte s tím, aby byly Poskytovateli zasílané Infiltrace a Informace a současně
udělujete Poskytovateli souhlas potřebný ve smyslu příslušných právních norem na zpracovávání získaných
Informací. Tuto funkci můžete kdykoliv deaktivovat.
5. Výkon práv Koncového uživatele. Práva Koncového uživatele musíte vykonávat osobně anebo prostřednictvím
svých případných zaměstnanců. Software můžete použít výlučně jen na zabezpečení své činnosti a na ochranu
výlučně těch počítačových systémů, pro které jste získali Licenci.
6. Omezení práv. Nesmíte Software kopírovat, šířit, oddělovat jeho části anebo vytvářet od Software odvozená díla.
Při používání Software jste povinný dodržovat následovné omezení:
(a) Můžete pro sebe vytvořit jedinou kopii Software na médiu určeném na trvalé ukládání dat jako záložní kopii, za
předpokladu, že vaše archivní záložní kopie se nebude instalovat anebo používat na jiném počítači. Vytvoření
jakékoliv další kopie Software je porušením této Dohody.
(b) Software nesmíte používat, upravovat, překládat, reprodukovat, anebo převádět práva na používání Software
anebo kopií Software jinak, než je výslovně uvedené v této Dohodě.
166
(c) Software nesmíte prodat, sublicencovat, pronajmout anebo pronajmout si, vypůjčit si ho anebo používat na
poskytování komerčních služeb.
(d) Software nesmíte zpětně analyzovat, dekompilovat, převádět do zdrojového kódu anebo se jiným způsobem
pokusit získat zdrojový kód Software s výjimkou rozsahu, ve kterém je takovéto omezení výslovně zakázané
zákonem.
(e) Souhlasíte s tím, že budete používat Software jen způsobem, který je v souladu se všemi platnými právními
předpisy v právním systému, ve kterém Software používáte, zejména v souladu s platnými omezeními vyplývajícími z
autorského práva a dalších práv duševního vlastnictví.
7. Autorská práva. Software a všechna práva, zejména vlastnická práva a práva duševního vlastnictví k němu, jsou
vlastnictvím společnosti ESET a/anebo jejích poskytovatelů licencí. Tato jsou chráněná ustanoveními mezinárodních
dohod a všemi dalšími aplikovatelnými zákony krajiny, ve které se Software používá. Struktura, organizace a kód
Software jsou obchodními tajemstvími a důvěrnými informacemi společnosti ESET a/anebo jejích poskytovatelů
licencí. Software nesmíte kopírovat, s výjimkou uvedenou v ustanovení článku 6 písmeno a). Jakékoliv kopie, které
smíte vytvořit podle této Dohody, musí obsahovat stejná upozornění na autorská a vlastnická práva, jaká jsou
uvedená na Software. V případě, že v rozporu s ustanoveními této Dohody budete zpětně analyzovat, dekompilovat,
převádět do zdrojového kódu anebo se jiným způsobem pokusíte získat zdrojový kód, souhlasíte s tím, že takto
získané informace se budou automaticky a neodvolatelně považovat za převedené na Poskytovatele a vlastněné v
plném rozsahu Poskytovatelem od okamžiku jejich vzniku, tím nejsou dotčená práva Poskytovatele spojená s
porušením této Dohody.
8. Výhrada práv. Všechna práva k Software, kromě práv které Vám jako Koncovému uživateli Software byly výslovně
udělená v této Dohodě, si Poskytovatel vyhrazuje pro sebe.
9. Víceré jazykové verze, verze pro více operačních systémů, víceré kopie. V případě jestliže Software podporuje
víceré platformy anebo jazyky, anebo jestliže jste získali více kopií Software, můžete Software používat jen na
takovém počtu počítačových systémů a v takových verzích, na které jste získali Licenci. Verze anebo kopie Software,
které nepoužíváte nesmíte prodat, pronajmout, sublicencovat, zapůjčit anebo převést na jiné osoby.
10. Začátek a trvání Dohody. Tato Dohoda je platná a účinná ode dne, kdy jste odsouhlasili tuto Dohodu. Dohodu
můžete kdykoliv ukončit tak, že natrvalo odinstalujete zničíte anebo na své vlastní náklady vrátíte Software, všechny
případné záložní kopie a všechen související materiál, který jste získali od Poskytovatele anebo jeho obchodních
partnerů. Bez ohledu na způsob zániku této Dohody, ustanovení jejích článků 7, 8, 11, 13, 20 a 22 zůstávají v platnosti
bez časového omezení.
11. PROHLÁŠENÍ KONCOVÉHO UŽIVATELE. JAKO KONCOVÝ UŽIVATEL UZNÁVÁTE, ŽE SOFTWARE JE POSKYTOVANÝ
"JAK STOJÍ A LEŽÍ", BEZ VÝSLOVNÉ ANEBO IMPLIKOVANÉ ZÁRUKY JAKÉHOKOLIV DRUHU A V MAXIMÁLNÍ MÍŘE
DOVOLENÉ APLIKOVATELNÝMI ZÁKONY ANI POSKYTOVATEL, ANI JEHO POSKYTOVATELÉ LICENCÍ, ANI DRŽITELÉ
AUTORSKÝCH PRÁV NEPOSKYTUJÍ JAKÉKOLIV VÝSLOVNÉ ANEBO IMPLIKOVANÉ PROHLÁŠENÍ ANEBO ZÁRUKY,
ZEJMÉNA NE ZÁRUKY PRODEJNOSTI ANEBO VHODNOSTI PRO KONKRÉTNÍ ÚČEL ANEBO ZÁRUKY, ŽE SOFTWARE
NEPORUŠUJE ŽÁDNÉ PATENTY, AUTORSKÁ PRÁVA, OCHRANNÉ ZNÁMKY ANEBO JINÁ PRÁVA TŘETÍCH STRAN.
NEEXISTUJE ŽÁDNÁ ZÁRUKA ZE STRANY POSKYTOVATELE ANI ŽÁDNÉ DALŠÍ STRANY, ŽE FUNKCE, KTERÉ OBSAHUJE
SOFTWARE, BUDOU VYHOVOVAT VAŠÍM POŽADAVKŮM, ANEBO ŽE PROVOZ SOFTWARE BUDE NERUŠENÝ A
BEZCHYBNÝ. PŘEBÍRÁTE ÚPLNOU ZODPOVĚDNOST A RIZIKO ZA VÝBĚR SOFTWARE PRO DOSÁHNUTÍ VÁMI
ZAMÝŠLENÝCH VÝSLEDKŮ A ZA INSTALACI, POUŽÍVÁNÍ A VÝSLEDKY, KTERÉ SE SOFTWARE DOSÁHNETE.
12. Žádné další závazky. Tato Dohoda nezakládá na straně Poskytovatele a jeho případných poskytovatelů licencí
kromě závazků konkrétně uvedených v této Dohodě žádné jiné závazky.
167
13. OMEZENÍ RUČENÍ. V MAXIMÁLNÍ MÍŘE, JAKOU DOVOLUJE APLIKOVATELNÉ PRÁVO, V ŽÁDNÉM PŘÍPADĚ NEBUDE
POSKYTOVATEL, JEHO ZAMĚSTNANCI ANEBO JEHO POSKYTOVATELÉ LICENCÍ ZODPOVÍDAT ZA JAKÝKOLIV UŠLÝ ZISK,
PŘÍJEM ANEBO PRODEJ, ANEBO ZA JAKOUKOLIV ZTRÁTU DAT, ANEBO ZA NÁKLADY VYNALOŽENÉ NA OBSTARÁNÍ
NÁHRADNÍHO ZBOŽÍ ANEBO SLUŽEB, ZA MAJETKOVÉ ŠKODY, ZA OSOBNÍ ÚJMU, ZA PŘERUŠENÍ PODNIKÁNÍ, ZA
ZTRÁTU OBCHODNÍCH INFORMACÍ, ANI ZA JAKÉKOLIV SPECIÁLNÍ, PŘÍMÉ, NEPŘÍMÉ, NÁHODNÉ, EKONOMICKÉ, KRYCÍ,
TRESTNÉ, SPECIÁLNÍ ANEBO NÁSLEDNÉ ŠKODY, JAKKOLIV ZAPŘÍČINĚNÉ, ČI UŽ VYPLYNULI ZE SMLOUVY, ÚMYSLNÉHO
JEDNÁNÍ, NEDBALOSTI ANEBO JINÉ SKUTEČNOSTI, ZAKLÁDAJÍCÍ VZNIK ZODPOVĚDNOSTI, VZNIKLÉ POUŽÍVÁNÍM
ANEBO NEMOŽNOSTÍ POUŽÍVAT SOFTWARE, A TO I V PŘÍPADĚ, ŽE POSKYTOVATEL ANEBO JEHO POSKYTOVATELÉ
LICENCÍ BYLI UVĚDOMĚNÍ O MOŽNOSTI TAKOVÝCHTO ŠKOD. POKUD NĚKTERÉ STÁTY A NĚKTERÉ PRÁVNÍ SYSTÉMY
NEDOVOLUJÍ VYLOUČENÍ ZODPOVĚDNOSTI, ALE MOHOU DOVOLOVAT OMEZENÍ ZODPOVĚDNOSTI, JE
ZODPOVĚDNOST POSKYTOVATELE, JEHO ZAMĚSTNANCŮ ANEBO POSKYTOVATELŮ LICENCÍ OMEZENÁ DO VÝŠE CENY,
KTEROU JSTE ZAPLATILI ZA LICENCI.
14. Žádné ustanovení této Dohody se nedotýká práv strany, které zákon přiznává práva a postavení spotřebitele,
pokud je s nimi v rozporu.
15. Technická podpora. Technickou podporu poskytuje ESET anebo ním pověřená třetí strana na základě vlastního
uvážení bez jakýchkoliv záruk anebo prohlášení. Koncový uživatel je povinný před poskytnutím technické podpory
zálohovat všechny jeho existující data, software a programové vybavení. ESET a/anebo ním pověřená třetí strana
nepřebírají zodpovědnost za poškození anebo ztrátu dat, majetku, software anebo hardware anebo ušlý zisk při
poskytování technické podpory. ESET a/anebo ním pověřená třetí strana si vyhrazuje právo na rozhodnutí, že řešený
problém přesahuje rozsah technické podpory. ESET si vyhrazuje právo odmítnout, pozastavit anebo ukončit
poskytování technické podpory na základě vlastního uvážení.
16. Převod Licence. Software můžete přenést z jednoho počítačového systému na jiný počítačový systém, pokud to
není v rozporu s Dohodou. Pokud to není v rozporu s Dohodou, Koncový uživatel může jednorázově trvale převést
Licenci a všechna práva z této Dohody na jiného Koncového uživatele jen se souhlasem Poskytovatele za podmínky,
že (i) původní Koncový uživatel si neponechá žádnou kopii Software, (ii) převod práv musí být přímý, tedy z
původního Koncového uživatele na nového Koncového uživatele, (iii) nový Koncový uživatel musí přebrat všechna
práva a povinnosti, které má podle této Dohody původní Koncový uživatel (iv) původní Koncový uživatel musí
odevzdat novému Koncovému uživateli doklady umožňující ověření legality Software jako je uvedené v článku 17.
17. Ověření legality Software. Oprávněnost používání Software může Koncový uživatel prokázat některým z
následujících způsobů„ (i) licenčním certifikátem vydaným Poskytovatelem anebo ním pověřenou třetí stranou, (ii)
písemnou licenční smlouvou, pokud byla takováto smlouva uzavřená (iii) předložením zprávy elektronické pošty
odeslané Poskytovatelem s licenčními údaji (přihlašovací jméno a heslo) umožňujícími Update.
18. Údaje o Koncovém uživateli a ochrana práv. Vy jako Koncový uživatel opravňujete Poskytovatele, aby přenášel,
zpracovával a uchovával údaje, které Vás umožní identifikovat. Souhlasíte, že Poskytovatel může svými prostředky
kontrolovat, zda používáte Software v souladu s ustanoveními této Dohody. Souhlasíte, že po dobu komunikace
Software s počítačovými systémy Poskytovatele anebo jeho obchodních partnerů mohou být přenášené údaje, které
mají za účel zabezpečit funkčnost a oprávněnost používání Software a ochranu práv Poskytovatele. V souvislosti s
uzavřením této Dohody jsou Poskytovatel anebo jeho obchodní partner oprávnění na účely fakturace a plnění této
Dohody přenášet, zpracovávat a uchovávat údaje, které Vás umožní identifikovat v nevyhnutelném rozsahu.
Podrobné informace o ochraně soukromí a dat naleznete na http://www.eset.com/cz/ochrana-soukromi/.
19. Licencování pro státní orgány a vládu USA. Software se poskytuje státním orgánům včetně vlády Spojených států
amerických s licenčními právy a omezeními popsanými v této Dohodě.
20. Kontrola exportu a reexportu. Software, Dokumentace anebo jejich součásti včetně informací o Software a jeho
součástech podléhají opatřením o kontrole dovozu a vývozu na základě právních předpisů, které mohou vydávat
vlády příslušné na jejich vydání podle aplikovatelného práva, včetně U.S. Export Administration Regulations, jako i
omezení týkajících se Koncového uživatele, způsobu použití a místa určení vydaných vládou USA a jinými vládami.
Souhlasíte, že budete striktně dodržovat všechny aplikovatelné dovozní a vývozní předpisy a uznáváte, že nesete
zodpovědnost za získání všech povolení potřebných na export, reexport, převod anebo import Software.
21. Oznámení. Všechny oznámení, včetně Software a Dokumentací je potřebné doručit na adresu: ESET software
spol. s r.o., Classic 7 Business Park, Jankovcova 1037/49, 170 00, Praha 7, Česká republika.
168
22. Rozhodující právo. Táto Dohoda se řídí a musí být vykládána v souladu se zákony Slovenské republiky s
vyloučením ustanovení o kolizi právních norem. Koncový uživatel a Poskytovatel se dohodli, že kolizní ustanovení
rozhodujícího právního řádu a Dohod OSN o smlouvách při mezinárodní koupi zboží se nepoužijí. Výslovně
souhlasíte, že řešení jakýchkoliv sporů anebo nároků z této Dohody vůči Poskytovateli anebo spory a nároky
související s používáním software je příslušný Okresní soud Bratislava V a výslovně souhlasíte s výkonem jurisdikce
tímto soudem.
23. Všeobecná ustanovení. V případě, že jakékoliv ustanovení této Dohody je neplatné anebo nevykonatelné,
neovlivní to platnost ostatních ustanovení Dohody. Ta zůstanou platná a vykonatelná podle podmínek v ní
stanovených. Změny této Dohody jsou možné jen v písemné formě, přičemž za Poskytovatele musí takovouto
změnu podepsat statutární zástupce anebo osoba k tomuto úkonu výslovně zplnomocněná.
Tato Dohoda mezi Vámi a Poskytovatelem představuje jedinou a úplnou Dohodu vztahující se na Software, a plně
nahrazuje jakékoliv předcházející prohlášení, jednání, závazky, zprávy anebo reklamní informace, týkající se
Software.
169

ESET Remote Administrator - Installation and Upgrade Guide

Transkript

Podobné dokumenty

ESET Remote Administrator - Installation and Upgrade Guide

ESET Remote Administrator 6

ESET Remote Administrator 6

ESET Remote Administrator - Virtual Appliance Deployment

Instalujeme PostgreSQL

Strih videa v Kdenlive - Index of

Závěrečná zpráva CESNET projektu - LIPTEL

Klikněte sem pro stažení nejnovější verze příručky