ESET Remote Administrator

Transkript

ESET Remote Administrator - Installation and Upgrade Guide

ESET
REMOTE
ADMINISTRATOR 6
Instalační, aktualizační a migrační příručka
Klikněte sem pro stažení nejnovější verze příručky
ESET REMOTE ADMINISTRATOR 6
Copyright 2016 ESET, spol. s r.o.
ESET Remote Administrator 6 byl vyvinut společností ESET, spol. s r.o.
Pro více informací navš tivte www.eset.cz.
Vš echna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným
prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného
povolení společnosti ESET, spol. s r.o.
ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této
publikaci bez předchozího upozornění.
Technická podpora: www.eset.cz/podpora
REV. 6/7/2016
Obsah
3.2.7.1
Předpoklady
..................................................................................61
pro instalaci ERA Proxy na Windows
1. Instalace/Aktualizace
.......................................................5
3.2.8
Instalace
..............................................................................62
ESET RD Sensor na Windows
1.1 Funkce
....................................................................................................5
3.2.8.1
Požadavky
..................................................................................62
pro instalaci ESET RD Sensor na Windows
3.2.9
Instalace
..............................................................................62
Mobile Device Connector
3.2.9.1
Předpoklady pro instalaci Mobile Device Connector
na..................................................................................64
Windows
3.2.9.2
Aktivace
..................................................................................66
3.2.9.3
Licencování
..................................................................................66
iOS zařízení
3.2.9.4
Import
..................................................................................66
HTTPS certifikátu pro MDM
3.2.10
Instalace
..............................................................................68
Apache HTTP Proxy na Windows
3.2.11
Mirror
..............................................................................70
tool
1.2 Architektura
....................................................................................................6
1.2.1
ERA Server
..............................................................................7
1.2.2
ERA Web
..............................................................................8
Console
1.2.3
ERA Agent
..............................................................................9
1.2.4
ERA Proxy
..............................................................................10
1.2.5
ESET Rogue
..............................................................................11
Detection Sensor
1.2.6
ESET Mobile
..............................................................................12
Device Connector
1.2.7
Scénáře
..............................................................................12
nasazení
1.2.7.1
Jeden
..................................................................................13
server (malá firma)
1.2.7.2
Firma
..................................................................................14
se vzdálenými pobočkami
1.2.7.3
Enterprise
..................................................................................15
prostředí
1.2.8
Příklady
..............................................................................16
vzorového nasazení (Windows)
3.3 Komponenty
....................................................................................................72
instalované na Linux
3.3.1
Instalace
..............................................................................72
na Linux krok za krokem
3.3.2
Instalace
..............................................................................73
a konfigurace MySQL
3.3.3
Konfigurace
..............................................................................74
ODBC ovladače
3.3.4
Instalace
..............................................................................74
ERA Server na Linuxu
1.3 Podporované
....................................................................................................17
produkty a jazyky
3.3.4.1
Předpoklady
..................................................................................76
pro instalaci ERA Serveru na Linuxu
1.4 Srovnání
....................................................................................................18
s ERA 5
3.3.5
Instalace
..............................................................................78
ERA Agenta na Linuxu
2. Systémové
.......................................................20
požadavky
3.3.5.1
Předpoklady
..................................................................................79
pro instalaci ERA Agenta na Linuxu
3.3.6
Instalace
..............................................................................79
ERA Web Console na Linuxu
2.1 Podporované
....................................................................................................20
operační systémy
3.3.6.1
Předpoklady
..................................................................................80
pro instalaci ERA Web Console na Linuxu
3.3.7
Instalace
..............................................................................80
ERA Proxy na Linuxu
3.3.7.1
Předpoklady
..................................................................................82
pro instalaci ERA Proxy na Linuxu
3.3.8
Požadavky
..............................................................................82
pro instalaci ESET RD Sensor na Linux
3.3.9
Instalace
..............................................................................83
Mobile Device Connector na Linuxu
3.3.9.1
Předpoklady pro instalaci Mobile Device Connector
na..................................................................................84
Linuxu
2.4 Databáze
....................................................................................................24
3.3.10
Instalace
..............................................................................85
Apache HTTP Proxy na Linuxu
2.5 Podporované
....................................................................................................25
verze Apache Tomcat
3.3.11
Instalace
..............................................................................88
Squid HTTP Proxy na Ubuntu Server 14.10
3.3.12
Mirror
..............................................................................89
tool
3.3.13
Failover
..............................................................................91
Cluster - Linux
3.3.14
Jak aktualizovat, přeinstalovat nebo odinstalovat ERA
komponenty
..............................................................................93
na Linuxu
2.1.1
Windows
..............................................................................20
2.1.2
Linux..............................................................................22
2.1.3
OS X ..............................................................................23
2.2 Podporovaná Desktop Provisioning
....................................................................................................23
prostředí
2.3 Hardware
....................................................................................................24
2.6 Podporované
....................................................................................................25
internetové prohlížeče
2.7 Používané
....................................................................................................25
porty
3. Instalace
.......................................................27
3.1 Instalace
....................................................................................................27
na Windows
3.1.1
Instalace
..............................................................................28
ERA serveru pomocí all-in-one balíčku
3.1.2
Instalace
..............................................................................38
ERA Proxy pomocí all-in-one balíčku
3.1.3
Instalace
..............................................................................43
ERA Mobile Device Connector
3.1.4
Instalace
..............................................................................46
na Windows SBS / Essentials
3.1.5
Odinstalace
..............................................................................49
komponent
3.1.6
Failover
..............................................................................50
Cluster - Windows
3.2 Komponenty
....................................................................................................51
instalované na Windows
3.4 Komponenty
....................................................................................................93
instalované na OS X
3.4.1
Instalace
..............................................................................93
ERA Agenta na OS X
3.5 Databáze
....................................................................................................94
3.5.1
Záloha
..............................................................................94
ERA databáze
3.5.2
Aktualizace
..............................................................................95
databázového serveru
3.5.3
Migrace
..............................................................................95
ERA databáze
3.5.3.1
Proces
..................................................................................95
migrace SQL serveru
3.5.3.2
Proces
..................................................................................104
migrace MySQL serveru
3.2.1
Instalace
..............................................................................52
ERA Server na Windows
3.6 ISO
....................................................................................................105
obraz
3.2.1.1
Předpoklady
..................................................................................55
pro instalaci ERA Serveru na Windows
3.7 DNS
....................................................................................................106
servisní záznam
3.2.2
Požadavky
..............................................................................56
na Microsoft SQL Server
3.2.3
Instalace
..............................................................................56
a konfigurace MySQL
4. Aktualizace,
.......................................................107
přeinstalace a migrace
3.2.4
Vlastní
..............................................................................57
databázový uživatel
3.2.5
Instalace
..............................................................................58
ERA Agenta na Windows
3.2.5.1
Asistovaná
..................................................................................59
instalace ERA Agenta
3.2.5.2
Offline
..................................................................................59
instalace ERA Agenta
4.2.1
1. scénář:
..............................................................................119
migrace ze starého serveru na nový
3.2.5.3
Odinstalace
..................................................................................59
ERA Agenta
4.2.2
2. scénář:
..............................................................................121
migrace v rámci jednoho serveru
3.2.6
Instalace
..............................................................................60
ERA Web Console na Windows
4.2.3
3.2.7
Instalace
..............................................................................61
ERA Proxy na Windows
3. scénář: současný běh ERA 4/5 a ERA6 na jednom
serveru
..............................................................................124
4.1 Aktualizace
....................................................................................................107
ERA komponent
4.1.1
Aktualizace
..............................................................................116
bezpečnostního produktu
4.2 Migrace
....................................................................................................117
z ERA 4/5
4.3 Migrace
....................................................................................................127
ze starého serveru na nový
4.3.1
Čistá
..............................................................................128
instalace – stejná IP adresa
4.3.2
Čistá
..............................................................................128
instalace – odlišná IP adresa
4.3.3
Migrace
..............................................................................129
databáze – stejná IP adresa
4.3.4
Migrace
..............................................................................130
databáze – odlišná IP adresa
4.3.5
Odinstalace
..............................................................................131
ERA serveru
4.4 Aktualizace
....................................................................................................131
Apache HTTP Proxy
4.4.1
Aktualizace Apache HTTP Proxy na Windows pomocí
all-in-one
..............................................................................131
instalačního balíčku
4.4.2
Ruční
..............................................................................133
aktualizace Apache HTTP Proxy na Windows
4.5 Aktualizace
....................................................................................................134
Apache Tomcat
4.5.1
Aktualizace Apache Tomcat na Windows pomocí
all-in-one
..............................................................................134
instalačního balíčku
4.5.2
Ruční
..............................................................................135
aktualizace Apache Tomcat na Windows
4.5.3
Aktualizace
..............................................................................136
Apache Tomcat na Linuxu
4.6 Změna názvu nebo IP adresy ERA
....................................................................................................137
Serveru
5. Prvotní
.......................................................138
kroky
5.1 Otevření
....................................................................................................139
ERA Web Console
6. Řešení
.......................................................141
problémů
6.1 Nejčastější
....................................................................................................141
instalační problémy
6.2 Protokoly
....................................................................................................144
6.3 Diagnostický
....................................................................................................145
nástroj
6.4 Problém po aktualizaci/migraci ERA
serveru
....................................................................................................147
6.5 Protokolování
....................................................................................................148
MSI
7. ESET
.......................................................149
Remote Administrator API
8. FAQ.......................................................150
9. End-User
.......................................................154
License Agreement (EULA)
1. Instalace/Aktualizace
ESET Remote Administrator (ERA) je aplikace, která umožňuje spravovat bezpečnostní produkty ESET na stanicích,
serverech i mobilních zařízeních z jednoho centrálního místa v síti. Prostřednictvím ESET Remote Administrator
můžete vzdáleně instalovat bezpečnostní řešení ESET na zařízení, spravovat jejich konfiguraci a rychle reagovat na
nové problémy a hrozby v síti.
ESET Remote Administrator neposkytuje ochranu proti škodlivému kódu, tu zajišťuje bezpečnostní produkt ESET
nainstalovaný na cílovém zařízení. V závislosti na platformě se může jednat například o ESET Endpoint Security nebo
ESET File Security pro Microsoft Windows Server.
ESET Remote Administrator 6 je založen na těchto principech:
1. Centrální správa – celou vaši síť můžete konfigurovat i sledovat z jednoho místa,
2. Škálovatelnost – systém můžete nasadit v malých sítích stejně tak je navržen pro běh ve velkých podnikových
prostředích. Snadno jej upravíte vaší rostoucí infrastruktuře.
ESET Remote Administrator podporuje novou generaci bezpečnostních produktů ESET, ale poskytuje také částečnou
zpětnou kompatibilitu pro starší verze produktů.
Poznámka: Tato příručka popisuje veškeré možnosti instalace a obsahuje scénáře pro enterprise prostředí. Pro
SMB máme připravenou kratší verzi příručky.
Nápověda ESET Remote Administrator vás seznámí s produktem. Doporučujeme vám nejprve prostudovat níže
uvedené kapitoly a seznámit se s nejčastěji používanými součástmi ESET Remote Administrator:
Architektura ESET Remote Administrator
Migrační nástroj
Instalace a nasazení ERA Agenta
ESET License Administrator
Nasazení ERA Agenta prostřednictvím GPO nebo SCCM
První kroky po instalaci ESET Remote Administrator
Průvodce nastavením
Administrace
1.1 Funkce
ESET Remote Administrator ve verzi 6 přináší mnoho vylepšení:
Nezávislost na platformě – ERA Server můžete provozovat na Windows i Linuxu.
Průvodce nastavením je součástí ERA Web Console a provede vás prvotním nastavením.
Webová konzole se stala hlavním uživatelským rozhraním pro ovládání ESET Remote Administrator. Pro přístup k ní
potřebujete pouze internetový prohlížeč – dostupná je odkudkoli a z libovolného zařízení.
Správa licence – ESET Remote Administrator 6 stejně jako nové produkty ESET využívá nový licenční systém a každý
produkt musí být aktivován. Pro více informací přejděte do kapitoly Správa licence nebo online příručky ESET
License Administrator.
Nástěnka je součástí ERA Web Console a na jednom místě vám poskytujete detailní informace o stavu vaší sítě. V
části Administrace naleznete všechny důležité nástroje pro vzdálenou správu bezpečnostních produktů ESET.
ERA Agent – zajišťuje komunikaci mezi počítačem a serverem, musí tedy být nainstalován na každém počítači,
který chcete vzdáleně spravovat.
Oznámení – nechte si zasílat upozornění na důležité události v síti nebo využijte přehledy pro získání detailních
informací o své síti.
5
1.2 Architektura
ESET Remote Administrator 6, nová generace produktu pro vzdálenou správu bezpečnostních produktů ESET, je zcela
odlišný od předchozí verze 5. Z důvodu odlišné architektury neexistuje zpětná kompatibilita se starým ESET Remote
Administrator, ovšem částečně je možné starší klientské produkty ESET prostřednictvím nové konzole spravovat.
Nové nejsou pouze produkty, ale také licenční systém.
Pro úspěšné nasazení bezpečnostního produktu ESET na platformě Windows je potřeba nainstalovat tyto
komponenty:
ERA Server
ERA Web Console
ERA Agent
Pro úspěšné nasazení bezpečnostního produktu ESET na platformě Linux je potřeba nainstalovat tyto komponenty:
ERA Server
ERA Web Console
ERA Agent
Následující komponenty jsou volitelné, ale ve velkých sítích je doporučujeme nainstalovat pro dosažení
maximálního výkonu:
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
6
1.2.1 ERA Server
ESET Remote Administrator Server (ERAS) je výkonná součást celé infrastruktury, která zpracovává veškerá data od
klientů připojených k serveru. Přenos dat z klienta na ERA Server zajišťuje ERA Agent. Pro úspěšné zpracování dat
vyžaduje ERA Server stálé připojení do databáze, ve které jsou data uchovávána. Pro zajištění maximálního výkonu
doporučujeme ERA Server a databázový server instalovat na rozdílné stroje.
7
1.2.2 ERA Web Console
ERA Web Console je webové rozhraní určené pro vzdálenou správu bezpečnostních produktů ESET ve vaší síti.
Poskytuje přehled o všech klientech v síti a umožňuje vzdáleně nasadit bezpečnostní řešení ESET na počítače, které
zatím nejsou z ERA Web Console spravovány. ERA Web Console otevřete v jakémkoli z podporovaných
internetových prohlížečů. Pokud máte webový server dostupný z internetu, můžete ESET Remote Administrator
spravovat prakticky odkudkoli z libovolného zařízení.
8
1.2.3 ERA Agent
ERA Agent je nezbytnou součástí ESET Remote Administrator. Klienti nekomunikují s ERA Serverem přímo, ale
výměnu dat zajišťuje ERA Agent. ERA Agent sbírá informace z klienta a odesílá je na ERA Server, a naopak přijímá
úlohy, které ERA Server odeslal klientovi – ty jsou odeslány ERA Agentovi, který je předá klientovi.
Pro zjednodušení nasazení a správy bezpečnostních produktů na klientských stanicích je ERA Agent součástí ESET
Remote Administrator od verze 6. Jedná se o velmi modulární a nezatěžující službu zajišťující veškerou komunikaci
mezi ERA Serverem a koncovým produktem ESET, případně operačním systémem. Počítače, na kterých je
nainstalován ERA Agent, rozpoznáte v ERA Web Console podle příznaku 'spravován'. ERA Agenta můžete
nainstalovat na jakýkoli počítač bez ohledu na to, zda je na něm nainstalován bezpečnostní produkt ESET.
Výhody tohoto řešení:
Jednoduché nasazení – ERA Agenta můžete nasadit na stanice stejně jako jakýkoli jiný software,
On-place security management – předdefinováním bezpečnostních scénářů snížíte reakční dobu při výskytu
hrozeb,
Off-line security management – ERA Agent reaguje dynamicky na změny bezpečnostního stavu bez nutnosti
kontaktování ERA Serveru.
9
1.2.4 ERA Proxy
ERA Proxy představuje odlehčenou verzi serveru. Tento typ serveru je vhodné použít pro zajištění vysoké
škálovatelnosti celé ERA infrastruktury. ERA Proxy shromažďuje data, která odesílají ERA Agenti z jednotlivých
klientských stanic, zabalí je a následně hromadně přepošle na ERA Server. Tím ušetříte nejen síťový provoz, ale počet
dotazů do databáze. ERA Proxy je možné připojit k další ERA Proxy, která je až následně připojena k ERA Serveru. Vše
záleží na konfiguraci vaší sítě.
Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
ERA Proxy zajišťuje pasivní distribuci konfigurace (skupin, politik, úloh atp.) jednotlivým agentům. Přeposílání
těchto dat je zajišťováno automaticky bez účasti ERA Serveru.
ERA Proxy, včetně jejich komponent, je možné konfigurovat výhradně prostřednictvím politik z ERA Serveru. To
znamená, že na stanici s ERA Proxy musí být nainstalovaný ERA Agent, který zajistí úspěšné doručení konfigurace z
ERA Serveru všem komponentám ERA Proxy.
Poznámka: Pro správnou funkci ERA Proxy, musí být na počítači kromě ERA Proxy nainstalován také ERA Agent
připojený k nadřazeným prvkům sítě (ERA Serveru nebo ERA Proxy).
ERA Proxy je vhodné použít v následujících případech:
Ve středně velkých a korporátních sítích (s počtem klientů více než 10 000) díky ERA Proxy snížíte síťový provoz k
hlavnímu ERA Serveru. Klienti, resp. ERA Agenti z klientských stanic nebudou komunikovat přímo s ERA Serverem,
ale nadřazenou ERA Proxy, která zabalí shromážděné požadavky a odešle je na ERA Server.
Využít ERA Proxy můžete také v případě, kdy má firma více poboček. Zvýšíte tím propustnost sítě, což oceníte
především u vzdálených poboček s pomalým připojením k internetu.
Poznámka: Typický scénář nasazení ERA Proxy naleznete v této kapitole.
10
1.2.5 ESET Rogue Detection Sensor
Rogue Detection Sensor (RD Sensor) je nástroj, který vyhledává zařízení v síti. RD Sensor je součást ESET Remote
Administrator navržená pro zjišťování zařízení v síti. Představuje pohodlný způsob pro přidání nových počítačů do
ESET Remote Administrator bez nutnosti jejich ručního vyhledávání. Každé nalezené zařízení v síti zobrazí ERA Web
Console ve statické skupině Ztráty a nálezy, odkud můžete zařízení následně spravovat.
RD Sensor pasivně naslouchá a informace o nalezených zařízeních odesílá na ERA Server. ERA Server následně
vyhodnotí, zda je nalezené zařízení neznámé nebo je již spravováno.
Každé zařízení v síti (doméně, LDAP, síti Windows) je přidáno do seznamu zařízení ERA Serveru automaticky
prostřednictvím synchronizační úlohy. RD Sensor představuje vhodný způsob pro nalezení počítačů, které nejsou v
doméně či jiné síťové infrastruktuře, a chcete je přidat do ERA. RD Sensor si pamatuje počítače, které již objevil a
neodesílá duplicitní informace.
11
1.2.6 ESET Mobile Device Connector
ESET Mobile Device Connector je součást ERA infrastruktury, prostřednictvím které připojíte Android a iOS zařízení
do ESET Remote Administrator. V případě iOS zařízení jde o instalaci nativního MDM profilu, na OS Android je
potřeba pro vzdálenou správu nainstalovat aplikaci ESET Endpoint Security pro Android.
1.2.7 Scénáře nasazení
V následujících kapitolách si ukážeme vzorové nasazení ESET Remote Administrator v rozdílných síťových prostředích.
Jeden server (malá firma)
Vzdálené pobočky s proxy
Enterprise prostředí
12
1.2.7.1 Jeden server (malá firma)
Pro správu malých sítí (1000 klientů a méně) postačí nainstalovat ERA Server a všechny související komponenty
(webový server, databázový server atp.) na jeden stroj. Všichni spravovaní klienti jsou k ERA Serveru připojení
prostřednictvím ERA Agenta. Administrátor si může zobrazit ERA Web Console zobrazit z libovolného z
podporovaných internetových prohlížečů z jakéhokoli zařízení v síti nebo otevřením ERA Web Console přímo na ERA
Serveru.
13
1.2.7.2 Firma se vzdálenými pobočkami
Pro středně velké sítě (10 000 klientů a více) je pro snížení síťového provozu k dispozici ERA Proxy. ERA Agenti jsou v
tomto případě připojeni k ERA Proxy, která zpracovává veškerou komunikaci mezi vzdálenými ERA Agenty a ERA
Serverem. Toto řešení je vhodné v případě, kdy máte vzdálené pobočky, které nemají rychlé připojení k internetu.
Stále máte možnost připojit vzdálené ERA Agenty přímo v hlavnímu serveru.
14
1.2.7.3 Enterprise prostředí
Ve velkých enterprise prostředích (100 000 klientů a více) doporučujeme nainstalovat další komponenty ERA. Jedním
z nich je RD Sensor, který vám pomůže s nalezením počítačů v síti. Další součástí jsou ERA Proxy, které snižují zatížení
sítě – velké množství klientů se nepřipojuje přímo v ERA Serveru, ale právě prostřednictvím ERA Proxy. Stále můžete
mít klienty, kteří se mohou připojovat přímo k hlavnímu serveru. SQL databáze může být v tomto případě nasazena
na failover cluster pro zajištění redundance.
15
1.2.8 Příklady vzorového nasazení (Windows)
Pro zajištění maximálního výkonu doporučujeme pro databázi ESET Remote Administrator použít Microsoft SQL
Server. ESET Remote Administrator je rovněž kompatibilní s MySQL, ale při velkém množství data (klientů, nástěnek,
hrozeb atp.) může docházet ke snížení výkonu. Na stejném hardware Microsoft SQL Server databáze pojme 10krát
více klientů než MySQL.
Z diagnostických důvodů se v databázi uchovává posledních 30 protokolů z klienta. Microsoft SQL Server využívá
velké množství RAM pro cache dat databáze, proto doporučujeme mít alespoň tolik paměti, kolik Microsoft SQL
Server databáze zabírá na disku.
Neexistuje žádný přesný výpočet na zjištění, jaké množství dat si ESET Remote Administrator alokuje, protože to
závisí na konfiguraci sítě. Níže uvádíme výsledky testů z běžných síťových prostředí:
Testovací scénář – maximálně 5 000 klientů připojujících se k ERA Serveru
Testovací scénář – maximálně 100 000 klientů připojujících se k ERA Serveru
Pro zajištění optimální konfigurace vyhovující vašim potřebám, doporučujeme provést test s malým počtem
klientům na slabším hardware. Na základě naměřených dat následně zjistíte potřebné systémové požadavky.
TESTOVACÍ SCÉNÁŘ (5 000 KLIENTŮ)
Hardware/software
Windows Server 2003 R2, x86 architektura procesoru
Microsoft SQL Server Express 2008 R2
Intel Core2Duo E8400 @3 GHz
3 GB RAM
Seagate Barracuda 7200rpm, 500GB, 16MB cache, Sata 3.0 Gb/s
Výsledek
Odezva ERA Web Console je do 5 sekund
Spotřeba paměti:
o Apache Tomcat 200 MB
o ERA Server 200 MB
o SQL Server databáze 1 GB
Výkon replikace serveru: 10 replikací za sekundu
Velikost databáze na disku 1 GB (5 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto případě byl použit SQL Server Express 2008 R2. Navzdory omezením (10GB databáze, 1CPU a využití 1GB
RAM) byla tato konfigurace funkční a dostatečný výkonná. Použití SQL Server Express je doporučeno pro servery, ke
kterým se bude připojovat nejvýše 5 000 klientů. Nejprve můžete použít Microsoft SQL Server Express a provést
upgrade plnou verzi Microsoft SQL Server v případě, že budete potřebovat větší databázi. Mějte na paměti, že starší
verze Microsoft SQL Server Express (<2008 R2) mají limit databáze na 4GB.
Výkon replikace serveru představuje interval replikace klientů. 10 replikací za sekundu představuje výkon 600
replikací za minutu. V ideálním případě by měl být interval replikace při 5 000 klientech nastaven na 8 minut. Jelikož
to může způsobit 100% vytížení serveru, je potřeba nastavit delší interval. V tomto případě doporučujeme interval
nastavit na 20-30 minut.
16
TESTOVACÍ SCÉNÁŘ (100 000 KLIENTŮ)
Hardware/software
Windows Server 2012 R2 Datacenter, x64 architektura procesoru
Microsoft SQL Server 2012
Intel Xeon E5-2650v2 @2.60GHz
64 GB RAM
Síťový adaptér Intel NIC/PRO/1000 PT Dual
2x Micron RealSSD C400 256GB SSD disky (jeden pro systém a aplikace, druhý pro datové soubory SQL Serveru)
Výsledek
Odezva ERA Web Console je do 30 sekund
Spotřeba paměti:
o Apache Tomcat 1 GB
o ERA Server 2 GB
o SQL Server databáze 10 GB
Výkon replikace serveru: 80 replikací za sekundu
Velikost databáze na disku 10 GB (100 000 klientů, každý má v databázi uloženo 30 protokolů)
V tomto případě byly nainstalovány všechny komponenty (Apache Tomcat + Web Console, ERA Server, SQL Server)
na jeden stroj pro otestování kapacity ERA Serveru.
Velké množství klientů povede k většímu využití paměti i pevného disku ze strany Microsoft SQL Server. Pro
optimální výkon SQL Server do cache v paměti načítá celou databázi. To samé platí pro cache Apache Tomcat (ERA
Web Console) a ERA Serveru – to vysvětluje velkou spotřebu paměti v tomto příkladu.
Výkon ERA Serveru je v tomto případě 80 replikací za sekundu, resp. 288 000 za hodinu. V ideálním případě by měl
být interval replikace při 100 000 klientech nastaven na přibližně 30 minut, což představuje vytížení 200 000 replikací
za hodinu. Jelikož to může způsobit 100% vytížení serveru, doporučujeme nastavit interval replikace na 1 hodinu, což
představuje vytížení 100 000 replikací za hodinu.
Využití sítě závisí na množství protokolů získaných z klientů. V tomto testu se jednalo o 20 kB za replikaci, tedy 80
replikací za sekundu představuje 1600 kB/s, resp. 12,5 Mbit/s.
V tomto scénáři jsme použili jeden server. Vytížení CPU a sítě bude nižší distribucí požadavků/replikací mezi další
ERA Proxy. To je vhodné pro snížení zátěže zejména v případě klientů ve vzdálených lokalitách. Interval replikace
proxy na server můžete provádět mimo pracovní dobu, kdy rychlost připojení ze vzdálených lokalit bude výrazně
vyšší.
1.3 Podporované produkty a jazyky
Prostřednictvím ESET Remote Administrator je možné nasadit, aktivovat a spravovat tyto bezpečnostní produkty
ESET:
Správa prostřednictvím ESET Remote Administrator 6
Verze
Způsob aktivace
ESET Endpoint Security pro Windows
6.x & 5.x
6.x - licenční klíč
5.x - uživatelské jméno/heslo
ESET Endpoint Antivirus pro Windows
6.x & 5.x
ESET Endpoint Security pro OS X
ESET Endpoint Antivirus pro OS X
ESET Endpoint Security pro Android
ESET File Security pro Windows Server
ESET Mail Security pro Microsoft Exchange Server
ESET File Security pro Microsoft Windows Server
6.x
6.x
2.x
6.x
6.x
4.5.x
6.x - licenční klíč
5.x - uživatelské jméno/heslo
Licenční klíč
Licenční klíč
Licenční klíč
Licenční klíč
Licenční klíč
Uživatelské jméno/heslo
17
Správa prostřednictvím ESET Remote Administrator 6
Verze
Způsob aktivace
ESET NOD32 Antivirus 4 Business Edition pro Mac OS X
ESET NOD32 Antivirus 4 Business Edition pro Linux Desktop
ESET Mail Security pro Microsoft Exchange Server
ESET Mail Security pro IBM Lotus Domino
ESET Security pro Microsoft Windows Server Core
ESET Security pro Microsoft SharePoint Server
ESET Security pro Kerio
ESET File/Mail/Gateway Security pro Linux/FreeBSD
ESET NOD32 Antivirus Business Edition
ESET Smart Security Business Edition
4.x
4.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.2.76
4.2.76
Poznámka: Starší verze firemních produktů neuvedených v tabulce výše není možné spravovat prostřednictvím
ESET Remote Administrator 6.
Poznámka: Informace o životním cyklu produktů ESET pro firemní zákazníky naleznete v Databázi znalostí.
Podporované jazyky
Jazyk
English (United States)
Arabic (Egypt)
Chinese Simplified
Chinese Traditional
Croatian (Croatia)
Czech (Czech Republic)
French (France)
French (Canada)
German (Germany)
Italian (Italy)
Japanese
Korean (Korea)
Polish (Poland)
Portuguese (Brazil)
Russian (Russia)
Spanish (Chile)
Spanish (Spain)
Slovak (Slovakia)
Kód
en-US
ar-EG
zh-CN
zh-TW
hr-HR
cs-CZ
fr-FR
fr-FC
de-DE
it-IT
jp-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
1.4 Srovnání s ERA 5
V tabulce níže uvádíme hlavní rozdíly mezi ESET Remote Administrator 5 a 6.
Součást
Verze 6
Verze 5
Konzole
Webová
Samostatná aplikace (Windows)
18
Komponenty
Server, Web Console (vyžaduje Java a Server a konzole (Windows program
Apache Tomcat), Agent, Proxy, Rogue GUI)
Detection Sensor, Mobile Device
Connector, Apache HTTP Proxy pro
cachování aktualizací
Nalezení počítačů
Pomocí součásti Rogue Detection
Sensor
Prostřednictvím úlohy Network
Search Task
Vzdálená instalace bezpečnostního
produktu
Instalaci zajišťuje ERA Agent
Přímá prostřednictvím push instalace
Způsoby vzdálené instalace
Push instalace, WMI, online balíček
(.bat/.ssh), GPO, SCCM, Logon skript
Push instalace, SSH, WMI, GPO, Logon
skript
Podporované firemní produkty verze Ano
6
Ne
Politiky
Zcela přepracovaná konfigurační
šablona, která je stejná jako v
produktu na koncové stanici. Politiky
jsou si rovny a záleží na jejich pořadí.
Konfigurační editor se stromovou
strukturu, která je rozdílná od
nastavení v produktu na koncové
stanici. Princip uplatňování politik se
řídí Active Directory.
Skupiny
Statické a dynamické skupiny. Každá Statické a parametrické skupiny
počítač je členem jedné statické
skupiny. Zařazení do dynamické
skupiny zajišťuje ERA Agent.
Přehledy
Bohaté možnosti pro tvorbu přehledů
na základě dat, které reportuje ERA
Agent a ERA Server. Možnost exportu
do CSV, PS a PDF včetně zasílání na email.
Mirror
Apache HTTP Proxy jako transparetní Lokální aktualizační mirror zajišťuje
proxy s cachovací funkcí, případně
ERA Server.
offline tool.
Podporovaná platforma
Windows, Linux, OS X a virtuální
Windows
prostředí. K dispozici také virtuální
appliance. Replikace serverů již není
podporována.
Databáze
MSSQL Express (výchozí), MSSQL,
MySQL
Pro reporty je vyhrazeno webové
rozhraní, které nabízí předdefinované
přehledy. Možnost exportu do HTML,
ZIP a PDF.
ODBC-connected MSAccess (výchozí),
MSSQL, MySQL, Oracle
19
2. Systémové požadavky
V této části uvádíme hardwarové, hardwarové a softwarové požadavky, který musí váš server splňovat pro instalaci a
korektní běh ESET Remote Administrator.
2.1 Podporované operační systémy
V následující kapitole jsou uvedeny verze operační systémů na platformě Windows, Linux a OS X, které jsou
podporovány jednotlivými komponenty ESET Remote Administrator.
2.1.1 Windows
V následující tabulce jsou uvedeny operační systémy Windows, na které je možné jednotlivé komponenty ESET
Remote Administrator nainstalovat.
Operační systém
Server
Windows Home Server 2003 SP2
Windows Home Server 2011 x64
Agent
Proxy
X
X
RD Sensor
MDM
X
X
Windows Server 2003 x86 SP2
Windows Server 2003 x86 R2 SP2
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2008 x64 R2 CORE
Windows Server 2008 x86
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2012 x64 CORE
Windows Server 2012 x64 R2
Windows Server 2012 x64 R2 CORE
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Microsoft SBS 2003 x86 SP2 **
Microsoft SBS 2003 x86 R2 **
Microsoft SBS 2008 x64
Microsoft SBS 2008 x64 SP2 **
Microsoft SBS 2011 x64 Standard
Microsoft SBS 2011 x64 Essential
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Server
Agent
Proxy
RD Sensor
MDM
Operační systém
X
X
Windows XP x86 SP3
Windows XP x64 SP2
X
X
X
X
Windows Vista x86 SP2
Windows Vista x64 SP2
X
X
X
X
X
X
X
X
X
Windows 7 x86 SP1
Windows 7 x64 SP1
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 8 x86
X*
X
X*
X
X*
20
Windows 8 x64
X*
X
X*
X
X*
Windows 8.1 x86
Windows 8.1 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 10 x86
Windows 10 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
* Instalace serverových ERA komponent na desktopový operační systém nemusí být v souladu s licenční politikou
společnosti Microsoft. Informaci si ověřte v licenčním ujednání, případně kontaktujte svého dodavatele softwaru. V
malých sítích/SMB může být vhodnější ERA Server nainstalovat na linux nebo využít virtuální appliance.
** ESET Remote Administrator nepodporuje Microsoft SQL Server Express, který je součástí Microsoft Small Business
Server (SBS). Pokud chcete na svém SBS provozovat ERA databázi, proveďte nejprve aktualizaci Microsoft SQL Server
na novější verzi. Pro více informací přejděte do kapitoly Instalace na Windows SBS / Essentials.
Na starších operačních systémech, například Windows Server 2003, nemusí být plně podporováno šifrování
protokolů. V takovém případě se použije TLSv1.0 místo novější TLSv1.2 (TLSv1.0 je považován za méně bezpečné než
jeho novější verze). Taková situace může nastat v případě, kdy operační systém TLSv1.2 podporuje, ale klient nikoli.
Pokud chcete komunikaci více zabezpečit, doporučujeme aktualizovat operační systém na serveru i klientech
(minimálně na Windows Server 2008 R2 na serveru, resp. Windows Vista na klientech).
Poznámka: Na desktopový operační systém můžete nainstalovat VMware Player nebo Oracle VirtualBox a nasadit
do něj Virtual appliance. To vám umožní provozovat ESET Remote Administrator na ne-serverovém operačním
systému a bez nutnosti vlastnit virtuální prostředí VMware ESXi.
21
2.1.2 Linux
V následující tabulce jsou uvedeny linuxové distribuce, na které je možné jednotlivé komponenty ESET Remote
Administrator nainstalovat.
Operační systém
Server
Agent
Proxy
RD Sensor
MDM
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
CentOS 5 x86
CentOS 5 x64
CentOS 6 x86
CentOS 6 x64
CentOS 7 x86
CentOS 7 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SLED 11 x86
SLED 11 x64
SLES 11 x86
SLES 11 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
OpenSUSE 13 x86
OpenSUSE 13 x64
X
X
X
X
X
X
X
X
X
X
Debian 7 x86
Debian 7 x64
X
X
X
X
X
X
X
X
X
X
Fedora 19 x86
Fedora 19 x64
Fedora 20 x86
Fedora 20 x64
Fedora 23 x86
Fedora 23 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Ubuntu 12.04 LTS x86 Desktop
Ubuntu 12.04 LTS x86 Server
RHEL 5 x86
RHEL 5 x64
RHEL Server 6 x86
RHEL Server 6 x64
RHEL Server 7 x86
RHEL Server 7 x64
22
2.1.3 OS X
V následující tabulce jsou uvedeny operační systémy OS X, na které je možné jednotlivé komponenty ESET Remote
Administrator.
Operační systém
OS X 10.7 Lion
OS X 10.8 Mountain Lion
OS X 10.9 Mavericks
OS X 10.10 Yosemite
OS X 10.11 El Capitan
Agent
X
X
X
X
X
Poznámka: OS X je podporován je podporován pouze klientskou částí. Na OS X můžete nainstalovat pouze ERA
Agenta a bezpečnostní produktu ESET.
2.2 Podporovaná Desktop Provisioning prostředí
Desktop Provisioning představuje způsob, jak co nejrychleji a nejpohodlněji poskytnout uživateli počítač.
Provisioned desktopy jsou nabízeny jako fyzické i virtuální. ESET Remote Administrator podporuje většinu těchto
prostředí za předpokladu, že má stanice persistentní systémový disk. Seznam podporovaných virtualizovaných
prostředí a streaming OS (Citrix provisioning services) naleznete na konci této kapitoly.
Níže uvádíme základní rozdíly mezi provisioned desktopem, který využívá persistentní a non-persistentní systémový
disk.
Persistentní plocha
Non-persistentní plocha
V persistením prostředí jsou uchovávána veškerá
uživatelská data, nastavení a instalované aplikace. V
tomto prostředí bude ERA Agent i bezpečnostní produkt
ESET korektně fungovat.
V non-persistentních prostředních je uživatelské
nastavení zahozeno automaticky po jeho odhlášení. To
znamené, že vždy přichází ke zcela čistému systému, které
neobsahuje žádná uživatelská nastavení.
Důležité: Architektura ERA nepodporuje nonpersistentní disky. Systémový disk stroje, na kterém je
produkt ESET instalován musí být persistentní. V opačném
případě nebude ERA Agent ani bezpečnostní produkt
fungovat správně.
Podporované hypervizory
Citrix XenServer
Microsoft Hyper-V
VMware vSphere
VMware ESXi
VMware Workstation
VMware View
Podporovaná rozšíření hypervizorů
Citrix VDI-in-a-box
Citrix XenDesktop
23
Nástroje
(shodné pro virtuální i fyzické prostředí)
Microsoft SCCM
Windows Server 2012 Server Manager
2.3 Hardware
Pro plynulý běh ESET Remote Administrator byl měl váš systém splňovat následující požadavky:
Operační paměť
Pevný disk
Procesor
Síťové připojení
4 GB RAM
Alespoň 20 GB volného místa
dvoujádrový, 2.0 GHz a rychlejší
1 Gbit/s
2.4 Databáze
ESET Remote Administrator podporuje následující typy databáze:
Microsoft SQL Server (Express i non-Express edice) 2008, 2008 R2, 2012, 2014
MySQL (verze 5.5 a novější, pro optimální běh doporučujeme verzi 5.6)
V průběhu instalace ERA Serveru a ERA Proxy je potřeba nastavit připojení k databázovému serveru. Při použití allin-one nstalačního balíčku můžete nainstalovat rovnou Microsoft SQL Server 2014 Express. Pokud již máte vlastní
Microsoft SQL Server, musí splňovat níže uvedené požadavky. Mějte na paměti, že nejstarší podporovaná verze je
Microsoft SQL Server 2008.
Hardwarové požadavky na databázový server:
Operační paměť
1 GB RAM
Pevný disk
Alespoň 10 GB volného místa
Rychlost procesoru
x86 procesor: 1.0 GHz
x64 procesor: 1.4 GHz
Poznámka: Pro plynulý běh doporučujeme procesor s taktem 2.0 GHz a vyšším.
Typ procesoru
x86 procesor: Pentium III-kompatibilní a rychlejší
x64 procesor: AMD Opteron, AMD Athlon 64, Intel Xeon s podporou Intel EM64T, Intel
Pentium IV s podporou EM64T
Další informace
Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB a není možné jej
instalovat na doménový kontrolér. Z důvodu tohoto limitu nedoporučujeme Microsoft SQL Server Express
používat ve velkých sítích. Pokud používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat
na jiný server, případně neinstalovat SQL Server Express a použít jinou databázi (například již existující MSSQL
nebo MySQL).
Pokud chcete aby ERA Server/ERA Proxy používal pro přístup k databázi již existující uživatelský účet, musíte mu
přidělit potřebná oprávnění. Dále je nutné před zahájením instalace vytvořit ručně ERA databázi a nastavit
danému uživateli oprávnění pro přístup.
Pokud používáte MySQL, pro korektní běh ESET Remote Administrator je potřeba upravit konfiguraci
databázového serveru (Windows, Linux).
MariaDB není podporována.
ERA Server a ERA Proxy neprovádí zálohu databáze. Doporučujeme tedy databázi zálohovat ručně pro zabránění
ztráty dat.
24
2.5 Podporované verze Apache Tomcat
ERA Web Console je připravena pro běh na webovém serveru Apache Tomcat 6.x a novější. Podporována je 32 i
64bitová verze.
Mějte na paměti, že ESET Remote Administrator nepodporuje alpha/beta/RC verze Apache Tomcat.
2.6 Podporované internetové prohlížeče
Níže uvádíme seznam webových prohlížečů, ve kterých ERA Web Console fungouje korektně. Pro správné fungování
musíte mít povolen JavaScript a cookies.
Webový prohlížeč
Verze
Mozilla Firefox
Microsoft Internet Explorer
Microsoft Edge
Google Chrome
Safari
Opera
20+
10+
25+
23+
6+
15+
Poznámka
Nemusí plně fungovat v režimu kompatibility.
2.7 Používané porty
Níže jsou uvedeny porty, které při síťové komunikaci používají jednotlivé komponenty ESET Remote Administrator.
Ostatní komunikace je zajišťována nativními procesy operačního systému (například NetBIOS přes TCP/IP).
ERA Server
Protokol
Port
Použití
Popis
TCP
2222
ERA Server naslouchá
Komunikace mezi ERA Agenty a ERA Server
TCP
2223
ERA Server naslouchá
Komunikace mezi ERA Web Console a ERA Server,
používán pro asistovanou instalaci.
ERA Web Console běžící na Apache Tomcat
Protokol
Port
Použití
Popis
TCP
443
Naslouchá
HTTP SSL ERA Web Console
Protokol
Port
Použití
Popis
TCP
2222
Naslouchá
Komunikace mezi ERA Agenty a ERA Proxy
ERA Proxy
Apache HTTP Proxy
Protokol
Port
Použití
Popis
TCP
3128
Naslouchá
HTTP Proxy (aktualizační cache)
Protokol
Port
Použití
Popis
TCP
UDP
1237
1238
Naslouchá
Naslouchá
Pro funkci vzdáleného probuzení klienta na IPv4
Pro funkci vzdáleného probuzení klienta na IPv6
ERA Agent
25
Vzdálené nasazení ERA Agenta na Windows
Protokol
Port
Použití
Popis
TCP
139
Cílový port z pohledu ERA
Server
Použití administrativních sdílení ADMIN$
TCP
445
Server
Přímý přístup ke sdíleným prostředkům
prostřednictvím TCP/IP při vzdálené instalaci
(alternativa k TCP 139)
UDP
137
Server
Překlad jmen při vzdálené instalaci
UDP
138
Server
Procházení při vzdálené instalaci
Protokol
Port
Použití
Popis
TCP
9977
Vnitřní komunikace mezi MDC a ERA Agentem
TCP
9978
Vnitřní komunikace mezi MDC a ERA Agentem
TCP
9980
Registrace mobilních zařízení
Port pro registraci mobilních zařízení
TCP
9981
Komunikace s MDC
Port, na kterém komunikují mobilní zařízení
TCP
5223
Pro komunikaci se službou Apple Push Notification
TCP
2195
Pro posílání oznámení na servery APN
TCP
2196
Pro službu zpětné vazby APN
TCP
443
Pro možnost přepnutí na Wi-Fi, nemůže-li zařízení
navázat spojení se servery APN na portu 5223
Předdefinované porty 2222 a 2223 můžete změnit, pokud jsou již používány jinou aplikací.
Poznámka: Pro zabránění konfliktům se ujistěte, že uvedené porty nejsou používány jinými programy. Ujistěte se
také, že máte uvedené porty povolené na firewallech ve vaší síti.
26
3. Instalace
Instalátor ESET Remote Administrator je v několika formách dostupný na webové stránce společnosti ESET v sekci
Stáhnout > Firmy > Remote Administrator 6. Stáhnout si můžete:
ERA instalátor (zip soubor),
Samostatné instalační soubory jednotlivých komponent pro Windows i Linux,
ISO obraz obsahující všechny výše uvedené instalační soubory ESET Remote Administrator,
Virtual appliance (OVA soubor)
Poznámka: ERA Virtual Appliance je určena uživatelům, kteří chtějí ESET Remote Administrator provozovat ve
virtuálním prostředí a nechtějí se zatěžovat instalací jednotlivých komponent. Pro více informací přejděte do příručky
pro nasazení ERA Virtual Appliance.
Pokud potřebujete aktualizovat vaši ERA infrastrukturu, přejděte do této kapitoly.
Poznámka: Pro aktualizaci již existují instalace postupujte podle těchto kroků.
Upozornění: Pokud se rozhodnete změnit název případně IP adresu stroje, na kterém běží ERA Server, budete
muset vygenerovat nový serverový certifikát.
3.1 Instalace na Windows
ESET Remote Administrator je možné nainstalovat mnoha způsoby, záleží pouze na vašem prostředí a vašich
požadavcích. Nejjednodušší cestou je použití all-in-one instalačního balíčku, prostřednictvím kterého nainstalujete
všechny potřebné součástí na jeden server.
Ve většině instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. V následujících kapitolách máme popsány
jednotlivé možnosti instalace.
Instalace balíčku (all-in-one instalace)
Instalace krok za krokem
Instalace na Windows Small Business Server (SBS) / Essentials
Instalace jednotlivých komponent
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro individuální instalaci budete potřebovat
následující komponenty.
Komponenty jádra
ERA Server
ERA Web Console
ERA Agent
Volitelné komponenty
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Pro aktualizaci ESET Remote Administrator na nejnovější verzi postupujte podle tohoto článku v Databázi znalostí.
27
3.1.1 Instalace ERA serveru pomocí all-in-one balíčku
All-in-one balíček je dostupný pouze pro operační systém Windows. Prostřednictvím instalačního průvodce si
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci ERA Serveru
postupujte podle následujících kroků:
.
1. Pro instalaci ERA 6 vyberte v prvním kroku průvodce možnost ESET Remote Administrator Server.
Důležité: Pozornost věnujte výběru jazyku. Ve vybraném jazyce budou do databáze zapsána veškerá
předdefinovaná data (názvy skupin, politik, přehledů atp.) a nelze jej poté změnit.
2. Doporučujeme neměnit výběr komponent a nainstalovat všechny, které jsou standardně vybrány.
MICROSOFT SQL SERVER EXPRESS:
Pokud již používáte databázový server (Microsoft SQL Server nebo MySQL), instalaci této komponenty
odškrtněte.
Pokud se při instalaci ESET Remote Administrator rozhodnete pro Microsoft SQL Server Express, nebude
možné instalaci dokončit na doménovém řadiči. To platí také pro případ, že používáte Microsoft SBS. Pokud
používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat na jiný server nebo při
instalaci nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní MSSQL nebo MySQL
Server pro instalaci ERA databáze). Více informací naleznete v této kapitole.
DŮLEŽITÉ – APACHE HTTP PROXY NENÍ VHODNÝ PRO VŠECHNY UŽIVATELE:
28
Pokud k instalaci vyberte Apache HTTP Proxy, automaticky dojde k vytvoření politik, které produkt do
internetu nasměřují přes tuto proxy, a jejich aplikování na všechna zařízení. Pomocí této komponenty snížíte
vytížení do internetu, protože Apache HTTP Proxy bude do cache ukládat aktualizace virové databáze a
instalační balíčky. V případě, že máte v firmě velké množství mobilní uživatelů, kteří cestují mimo firmu,
případně si nejste jisti, zda tuto komponentu potřebujete, její instalaci nevybírejte. Apache HTTP Proxy
můžete nianstalovat kdykoli později.
Jaký je rozdíl mezi ERA Proxy a Apache HTTP Proxy?
29
3. V případě výskytu chyb se ujistěte, že splňujete všechny požadavky pro instalaci.
V případě, že máte nedostatek místa na disku, zobrazí se následující upozornění:
30
4. Po ověření požadavků se spustí samotná instalace.
31
5. Zadejte platný licenční klíč, který jste obdrželi po nákupu bezpečnostního řešení ESET. Pokud máte klasické
licenční údaje (uživatelské jméno a heslo), převeďte si je prostřednictvím portálu ESET License Administrator.
Případně vyberte možnost Aktivovat později a seznamte se s dalšími možnostmi Aktivace.
6. Pokud jste ponechali výchozí parametry instalace a nainstalovali Microsoft SQL Server Express, provede se
automatické připojení do databáze a můžete pokračovat krokem 10.
32
7. Pokud již máte vlastní databázový server (MySQL nebo MSSQL), zadejte potřebné údaje pro připojení a klikněte
na tlačítko Další. V případě, že používáte existující databázi ERA, zobrazí se výzva, zda chcete použít stávající
databázi nebo ji odstranit a provést čistou instalaci.
Poznámka: Standardně instalační balíček ERA Server/ERA Proxy vyžaduje zadání SA účtu (MS SQL) nebo účtu
roota (MySQL) pro přístup do databáze. Je to z důvodu, aby mohl založit novou databázi a uživatele era_user,
který bude mít přístup do nově vytvořené databáze. Pokud však nechcete/nemůžete při instalaci definovat tento
administrátorský účet, můžete použít vlastního uživatele, který bude mít přístup k ERA databázi. V tomto případě
je potřeba aby uživatel měl přiřazena níže uvedená oprávnění/role. Dále je nutné před samotnou instalací
vytvořit databázi, kterou ERA bude využívat.
a. Databáze: MySQL Server/MS SQL Server/MS SQL Server via Windows Authentication
b. ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
Server/SQL Server Native Client 10.0/ODBC Driver 11 for SQL Server
c. Název serveru: Název nebo IP adresa databázového serveru
d. Port používaný pro připojení k serveru
e. Přihlašovací údaje databázového administrátora
Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
kliknout na Ne a nechat instalátor vytvořit vlastního uživatele, který bude mít pouze přístup k databázi ERA.
Pokud vyberte možnost Ne, vyberte možnost Vytvořit nového uživatele nebo Použít existujícího uživatele a
zadejte vlastního uživatele.
33
8. V dalším kroku budete vyzváni k zadání hesla pro výchozí účet Administrator pro přístup do ERA Web Console.
34
9. Dále vytvořte certifikační autoritu ESET Remote Administrator. Volitelně specifikujte informace o certifikátu, ale
není to potřeba. Heslo není nutné definovat. Pokud jej zadáte, zapamatujte si jej!
10. Po kliknutí na tlačítko Další bude plně automaticky pokračovat instalace ERA Serveru a dalších komponent.
35
36
11.Po dokončení instalace se zobrazí informace "ESET Remote Administrator Server byl úspěšně nainstalován" a
zároveň se zobrazí odkaz pro otevření ERA Web Console. Průvodce ukončete kliknutím na tlačítko Dokončit.
37
3.1.2 Instalace ERA Proxy pomocí all-in-one balíčku
VAROVÁNÍ: ERA Server a ERA Proxy není možné provozovat na stejném serveru!
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci ERA Proxy
1. Spusťte instalační balíček a vyberte možnost ESET Remote Administrator Proxy.
2. Odsouhlaste licenční ujednání a vyberte komponenty, které chcete nainstalovat. Pokud nemáte vlastní
databázový server, můžete nainstalovat Microsoft SQL Server 2014 Express, který je součástí instalačního balíčku.
Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB. Nainstalovat můžete
také RD Sensor.
38
automatické připojení do databáze a můžete pokračovat krokem 10.
39
3. V opačném případě nastavte připojení k databázi:
Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
40
4. Zadejte údaje pro připojení proxy k ESET Remote Administrator – název serveru nebo IP adresu a port.
5. Vyberte klientský certifikát a zadejte heslo k certifikátu. Volitelně přidejte certifikační autoritu. Ta je nutná pouze
v případě použití nepodepsaných certifikátů.
41
6. Kromě ERA Proxy se nainstaluje také ERA Agent.
42
3.1.3 Instalace ERA Mobile Device Connector
můžete pohodlně vybrat komponenty ERA infrastruktury, které chcete nainstalovat. Pro instalaci Mobile Device
Connector postupujte podle následujících kroků:
Upozornění: Abyste mohli mobilní zařízení spravovat ať jsou kdekoli, je potřeba do internetu publikovat porty
Mobile Device Connector.
Poznámka: Mějte na paměti, že komunikace mobilního zařízení s komponentou Mobile Device Connector má
dopad na datový balíček uživatele.
1. Spusťte instalační balíček a vyberte možnost Mobile Device Connector.
2. Odsouhlaste licenční ujednání a vyberte komponenty, které chcete nainstalovat. Pokud nemáte vlastní
databázový server, můžete nainstalovat Microsoft SQL Server 2014 Express, který je součástí instalačního balíčku.
Mějte na paměti, že maximální velikost databáze v Microsoft SQL Server Express je 10 GB.
3. V dalším kroku vyberte SSL certificate, který se bude používat pro ověření HTTPS komunikace:
43
4. Zadejte název serveru. Doporučujeme použít veřejnou IP adresu nebo veřejný DNS záznam, prostřednictvím
kterého jsou schopna zařízení server kontaktovat z internetu.
Důležité: Název MDM serveru musí odpovídat záznamu uvedeném v CN HTTPS certifikátu. V opačném případě
nedojde k ověření komunikace, aplikace ESET Endpoint Security pro Android se nepřipojí a iOS zařízení odmítne
instalaci MDM profilu. Pokud máte v HTTPS certifikátu definovanou IP adresu, zadejte ji v průběhu instalace MDC. V
případě, že v HTTPS certifikátu máte definován FQDN (například mdm.mojefirma.cz), do pole název serveru zadejte v
průběhu instalace plně kvalifikované doménové jméno. Máte-li použit zástupný znak (například *.mycompany.com),
do pole název serveru můžete zadat například mdm.mycompany.com.
44
automatické připojení do databáze a můžete pokračovat krokem 7. V opačném případě nastavte připojení k
databázi:
Poznámka: Doporučujeme použít stejný databázový server, kterou používá ERA Server. Instalační balíček si
automaticky vytvoří potřebnou databázi (era_mdm_db).
6. Pokud jste zadali SA účet nebo účet roota, následně se rozhodněte, zda chcete aby tento účet. Doporučuje
7. Dále zadejte název server, na kterém běží ERA server a port (standardně 2222).
8. Dále vyberte způsob instalace:
Asistovaná instalace – v průběhu instalace se certifikáty stáhnou z ERA Serveru automaticky (potřebujete znát
přístupové údaje do ERA Web Console),
1. Zadejte Název serveru (nebo IP adresu) a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA
Web Console.
2. Kliknutím na tlačítko Ano potvrďte certifikát.
3. Vyberte cestu pro instalaci MDM (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
45
Offline instalace – v tomto případě potřebujete mít exportován klientský certifikát, případně veřejný klíč
certifikační autority, pokud používáte vlastní.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát, případně zadejte také heslo k certifikátu. Pokud
používáte vestavěnou ERA certifikační autoritu není nutné vybrat její certifikát.
Poznámka: Pokud používáte vlastní certifikáty (odlišné od těch vygenerovaných při instalaci ESET Remote
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném nedojde ke spojení s ERA
Serverem.
10.Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do
adresního řádku zadejte adresu https://nazev_vaseho_serveru:registracni_port (například https://eramdm:9980).
Pokud instalace byla úspěšná, měla by se zobrazit následující zpráva:
11. Aktivujte MDM prostřednictvím ERA Remote Administrator.
3.1.4 Instalace na Windows SBS / Essentials
Pro instalaci ESET Remote Administrator na Windows Small Business Server se ujistěte se, zda počítač splňuje
požadavky pro instalaci, zejména ty softwarové.
Poznámka: Níže uvedené verze Microsoft SBS obsahují Microsoft SQL Server Express ve verzi, kterou ESET Remote
Administrator nepodporuje:
Microsoft SBS 2003 x86 SP2
Microsoft SBS 2003 x86 R2
Microsoft SBS 2008 x64 SP2
Pokud používáte některou z výše uvedených verzí Windows Small Business Server a chcete instalovat ERA databázi
na Microsoft SBS, musíte nejprve aktualizovat Microsoft SQL Server Express na novější verzi (minimálně 2008 R2).
o Pokud nechcete instalovat Microsoft SQL Express na SBS, přejděte na krok 1.
o Pokud máte Microsoft SQL Express na SBS nainstalován, ale nepoužíváte jej, databázi odinstalujte a přejděte na
krok 1.
o Pokud používáte Microsoft SQL Server Express ve verzi, která je standardně dostupná na SBS, přemigrujte
databázi na SQL Express ve verzi, kterou podporuje ERA Server. Zazálohujte původní databázi, odinstalujte ji,
nainstalujte aktuální Microsoft SQL Server Express, resp. verzi kterou podporuje ERA a na závěr obnovte obsah
původní databáze.
1. Stáhněte si na webových stránkách společnosti ESET all-in-one balíček ERA. Naleznete jej se v sekci Stáhnout >
Firmy > Remote Administrator 6.
2. Rozbalte stažený soubor, přejděte do složky installers a spusťte instalační balíček SQLEXPR_x64_ENU.
46
Pro spuštění průvodce instalací vyberte v zobrazeném dialogovém okně možnost New installation or add features
to an existing installation.
Poznámka: V průběhu instalace nastavte režim autentifikace na Mixed mode (SQL Server authentication and
Windows authentication).
Poznámka: Pro instalaci ERA Serveru na SBS musíte povolit TCP/IP připojení k SQL Serveru.
3. Instalaci ESET Remote Administrator spusťte pomocí balíčku Setup.exe.
4. Při výběru komponent odškrtněte možnost Microsoft SQL Server Express a klikněte na tlačítko Instalovat.
47
48
3.1.5 Odinstalace komponent
Pro odinstalaci komponent ERA infrastruktury můžete použít all-in-one instalační balíček. Spusťte jej a vyberte
možnost Odinstalovat komponenty ESET Remote Administrator. V případě potřeby si můžete přepnout průvodce do
češtiny.
Odsouhlaste licenční ujednání koncového uživatele a na další obrazovce vyberte komponenty, které chcete
odinstalovat.
49
Poznámka: Pro odebrání všech komponent může být vyžadován restart serveru.
3.1.6 Failover Cluster - Windows
Níže uvádíme postup pro instalaci ESET Remote Administrator v prostředí Failover Cluster provozovaného na
Windows:
1. Vytvořte Failover Cluster. Měl by mít sdílený disk, IP adresu a jméno.
a. Návod pro vytvoření failover clusteru na Windows Server 2012
b. Návod pro vytvoření failover clusteru na Windows Server 2008
2. Ve správci clusteru definujte název a IP adresu pro roli ERA Server.
Poznámka: Role jsou dostupné na Windows Server 2012. Pokud používáte Windows Server 2008, použijte Služby a
aplikace.
3. Připojte sdílený disk k uzlu1 a nainstalujte na něj ERA Server. V průběhu instalace vyberte možnost, že jedná o
instalaci na cluster. Dále jako úložiště pro data aplikace vyberte daný sdílený disk a zadejte správnou IP adresu
nebo název serveru, který jste definovali v kroku 2.
4. Zastavte službu ERA Server na uzlu1 a připojte sdílený disk k uzlu2. Proveďte instalaci ERA Serveru. Opět v
průběhu instalace vyberte možnost, že se jedná o instalaci na cluster a data aplikace uložte na sdílený disk. Údaje
pro připojení do databáze a certifikáty ponechte beze změny.
5. Na firewallu povolte všechny potřebné porty.
50
6. Ve správci clusteru vytvořte roli pro službu ERA Server – ze seznamu dostupných služeb vyberte ESET Remote
Administrator. Při konfiguraci je nutné dodržet stejnou IP adresu/název serveru, který jste použili v kroku 2,3 a 4.
7. Na oba uzly nainstalujte ERA Agenta. ERA Agenta nasměrujte na roli ERA Serveru definovanou v kroku 2, nikoli
localhost. V průběhu instalace nevybírejte možnost, že se jedná o instalaci na cluster a data uložte na lokální disk,
nikoli sdílený.
8. Do clusteru není možné nainstalovat ERA databázi ani ERA Web Console.
Poznámka: ERA Server není možné na Failover Cluster nainstalovat prostřednictvím all-in-one instalační balíčku.
Na Failover Cluster nainstalujte jednotlivé komponenty ERA infrastruktury samostatně.
3.2 Komponenty instalované na Windows
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro individuální instalaci budete potřebovat
následující komponenty.
Komponenty jádra
ERA Server
ERA Web Console
ERA Agent
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Pro aktualizaci ESET Remote Administrator na nejnovější verzi využijte klientskou úlohu pro aktualizaci součástí ERA.
Návod popisující ruční aktualizaci krok za krokem naleznete v Databázi znalostí.
Pokud chcete spustit instalační balíček v jiném jazyce než výchozí angličtině, je potřeba spustit konkrétní MSI balíček
s transformací. Níže uvádíme příklad pro spuštění instalační balíčku ERA Agenta ve slovenštině:
Jako parametr transformace použijte odpovídající jazykový kód:
51
Jazyk
English (United States)
Arabic (Egypt)
Chinese Simplified
Chinese Traditional
Croatian (Croatia)
Czech (Czech Republic)
French (France)
French (Canada)
German (Germany)
Italian (Italy)
Japanese
Korean (Korea)
Polish (Poland)
Portuguese (Brazil)
Russian (Russia)
Spanish (Chile)
Spanish (Spain)
Slovak (Slovakia)
Kód
en-US
ar-EG
zh-CN
zh-TW
hr-HR
cs-CZ
fr-FR
fr-FC
de-DE
it-IT
jp-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
3.2.1 Instalace ERA Server na Windows
Pro instalaci ERA Serveru na Windows postupujte podle následujících kroků:
1. Ujistěte se, že počítač splňuje požadavky pro instalaci.
2. Po spuštění instalační balíčku odsouhlaste licenční ujednání koncového uživatele.
3. Pokud instalujete na Failover Cluster, vyberte možnost Toto je instalace na cluster a zadejte vlastní cestu k
datovým souborům aplikace. Data musí být uložena na sdíleném úložišti clusteru, ke kterému mají přístup
všechny uzly clusteru. V opačném případě ponechte toto pole prázdné.
4. Zadejte platný licenční klíč nebo vyberte možnost Aktivovat později.
52
5. Vyberte možnost Spustit službu pod účtem. Pod tímto účtem se spustí služba ESET Remote Administrator.
Dostupné možnosti:
Účet Network service
Uživatelem definovaný: doména/jméno_uživatele
6. Nastavte připojení k databázi. Do databáze jsou ukládána všechna data, od přihlašovacích údajů k ERA
WebConsole po protokoly z klientů.
Databáze: MySQL/MS SQL
ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
Název databáze: ponechte prázdné, pokud chcete použít výchozí název
Název serveru: název nebo IP adresa databázového serveru
Port používaný pro připojení k serveru
Přihlašovací údaje databázového administrátora
Poznámka: ERA Server může ukládat do databáze během jednoho připojení velké množství dat. Proto je nutné pro
korektní fungování ERA nastavit MySQL tak, aby přijímal tyto velké pakety. Pro více informací přejděte do kapitoly
Řešení nejčastějších problémů.
Následně dojde k ověření připojení k databázi. V případě úspěšného připojení můžete pokračovat dalším krokem.
7. Vyberte databázového uživatele, který má přístup k databázi ESET Remote Administrator. Můžete použít
existujícího uživatele nebo vytvořit nového.
8. Nastavte si heslo pro přístup k ERA Web Console.
53
9. ESET Remote Administrator používá pro ověření komunikace mezi klientem a serverem certifikáty. Vybrat můžete
své vlastní certifikáty nebo nechat ERA Server vygenerovat nové certifikáty.
10.Volitelně zadejte informace o certifikační autoritě a nastavte. Certifikační autoritu ESET Remote Administrator
vytvořte kliknutím na tlačítko Další. Pokud si nastavíte vlastní heslo, zapamatujte si jej!
Již během instalace můžete provést synchronizaci statických skupin. K dispozici máte na výběr (Nesynchronizovat,
Synchronizovat se sítí Windows, Synchronizovat s Active Directory). Pokračujte kliknutím na tlačítko Další.
V případě potřeby vyberte pro instalaci ERA Serveru jinou složku.
Instalaci zahajte kliknutím na tlačítko Instalovat.
DŮLEŽITÉ: Po dokončení instalace ERA Serveru nainstaluje také ERA Agenta. Ten zajistí sběr informací o výkonu
serveru a jejich zobrazení v ERA Web Console.
54
3.2.1.1 Předpoklady pro instalaci ERA Serveru na Windows
Pro instalaci ESET Remote Administrator na počítač s Windows musí počítač splňovat následující předpoklady:
Musíte mít platnou licenci.
Musíte mít dostupné a ve firewallu otevřené potřebné porty – seznam všech portů naleznete v této kapitole.
Musíte mít nainstalovaný databázový server (Microsoft SQL Server nebo MySQL). Požadavky na databázový server
naleznete v této kapitole. Pokud nemáte databázový server, postupujte podle těchto kroků pro instalaci SQL
Serveru a provedení potřebné konfigurace.
Musíte mít nainstalován Java Runtime Environment (JRE). Doporučujeme používat vždy nejnovější verzi.
Pokud budete instalovat dodávaný Microsoft SQL Server Express 2008 R2, musíte mít nainstalován Microsoft .NET
Framework 3.5. Pokud používáte Windows Server 2008 a novější, je nutné tuto součást nainstalovat
prostřednictvím Průvodce rolemi a funkcemi (viz obrázek níže). Pokud používáte Windows Server 2003, stáhněte si
.NET Framework 3.5 z tohoto odkazu: http://www.microsoft.com/en-us/download/details.aspx?id=21
Poznámka: Pokud se při instalaci ESET Remote Administrator rozhodnete pro Microsoft SQL Server Express,
nebude možné instalaci dokončit na doménovém řadiči. To platí také pro případ, že používáte Microsoft SBS. Pokud
používáte Microsoft SBS, doporučujeme ESET Remote Administrator nainstalovat na jiný server nebo při instalaci
nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní MSSQL nebo MySQL Server pro
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databázi znalostí.
Poznámka: ERA Server ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
MySQL tak, aby přijímal tyto velké pakety. Pro více informací přejděte do kapitoly konfigurace MySQL.
55
3.2.2 Požadavky na Microsoft SQL Server
Pokud chcete provozovat ESET Remote Administrator s MS SQL databází, musíte mít nainstalovaný a správně
nakonfigurovaný Microsoft SQL Server:
Microsoft SQL Server 2008 R2 a novější, případně Microsoft SQL Server 2008 R2 Express a novější. Při instalaci
vyberte pro autentifikaci Mixed mode.
Pokud již máte Microsoft SQL Server nainstalován, nastavte Mixed mode (SQL Server authentication and Windows
authentication) podle těchto kroků z Databázë znalostí.
Povolte TCP/IP připojení k SQL Serveru. Postup krok za krokem naleznete v Databázi znalostí.
Poznámka: Pro konfiguraci a správu Microsoft SQL Server potřebujete SQL Server Management Studio (SSMS).
Tento nástroj se standardně při použití MSSQL Express neinstaluje. Je potřeba jej stáhnout a nainstalovat ručně.
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databáze znalostí.
3.2.3 Instalace a konfigurace MySQL
Instalace
Instalační balíček MySQL pro Windows si stáhněte z webových stránek společnosti Oracle.
V průběhu instalace vyberte možnost Custom a k instalaci vyberte kromě MySQL Serveru také ODBC Connector.
Konfigurace
V textovém editoru si otevřete konfigurační soubor my.ini:
56
C:\ProgramData\MySQL\MySQL Server 5.7\my.ini
Najděte sekci [mysqld] a přidejte do ní následující řádky:
max_allowed_packet=33M
Pro MySQL 5.6.20 a 5.6.21 (verzi MySQL zjistíte například pomocí příkazu mysql -v):
o innodb_log_file_size nastavte alespoň na hodnotu 200 MB (například innodb_log_file_size=200M)
Pro MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group – součin (*) obou parametrů musí být větší nebo roven 200
MB. Minimální hodnota pro innodb_log_files_in_group je 2. Například innodb_log_file_size=100M a
innodb_log_files_in_group=2 .
Změny v souboru uložte a službu MySQL server restartujte, například pomocí níže uvedených příkazů (název služby
závisí na použité verzi MySQL, například verze 5.7 = MySQL57 atp.):
net stop mysql57
net start mysql57
Ověřte, zda služba MySQL server běží, například pomocí níže uvedeného příkazu:
sc query mysql57
3.2.4 Vlastní databázový uživatel
Standardně instalační balíček ERA Server/ERA Proxy vyžaduje zadání SA účtu (MS SQL) nebo účtu roota (MySQL) pro
přístup do databáze. Je to z důvodu, aby mohl založit novou databázi a uživatele era_user, který bude mít přístup do
nově vytvořené databáze. Pokud však nechcete/nemůžete při instalaci definovat tento administrátorský účet,
můžete použít vlastního uživatele, který bude mít přístup k ERA databázi. V tomto případě je potřeba aby uživatel
měl přiřazena níže uvedená oprávnění/role. Dále je nutné před samotnou instalací vytvořit databázi, kterou ERA
bude využívat.
Poznámka: Níže jsou uvedeny minimální požadavky na databázového uživatele. Pokud uživatel nebude mít
přiřazena potřebná oprávnění, instalace selže, případně nebude ERA fungovat.
Přístupová oprávnění MySQL:
ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE VIEW, DELETE, DROP,
EXECUTE, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE, TRIGGER. Více informací přístupových právech MySQL
naleznete v Databázi znalostí společnosti Oracle.
Role Microsoft SQL Server:
ERA uživatel musí mít přiřazenou roli db_owner. Více informací o jednotlivých rolích Microsoft SQL Serveru
naleznete v Databázi znalostí společnosti Microsoft.
57
3.2.5 Instalace ERA Agenta na Windows
Tato kapitola popisuje lokální instalaci ERA Agenta. Další možnosti instalace jsou popsány v administrační příručce a
databázi znalostí.
Pro instalaci ERA Agenta na Windows postupujte podle následujících kroků:
1. Spusťte instalační balíček a odsouhlaste licenční ujednání koncového uživatele.
2. Pokud instalujete na Failover Cluster, vyberte možnost Toto je instalace na cluster a zadejte vlastní cestu k
datovým souborům aplikace. Data musí být uložena na sdíleném úložišti clusteru, ke kterému mají přístup
3. V dalším kroku zadejte IP adresu/název server a port (standardně 2222).
Důležité: Do pole adresa serveru zadejte jednu z hodnot, která je uvedena v certifikátu serveru v poli adresa. V
opačném případě v trace logu uvidíte hlášku 'Received server certificate is not valid'. Pokud máte vygenerován
hvězdičkový certifikát (*), adresu serveru, ke kterému se připojujete můžete zadat v libovolném formátu.
4. Dále vyberte způsob instalace:
Offline instalace – v tomto případě potřebujete mít exportován klientský certifikát agenta a veřejný klíč
certifikační autority. Použít můžete rovněž vlastní certifikáty.
58
3.2.5.1 Asistovaná instalace ERA Agenta
Tato kapitola doplňuje předchozí a popisuje kroky, které je nutné provést při asistované instalaci ERA Agenta.
1. Zadejte IP adresu/název serveru a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA Web
Console.
2. Kliknutím na tlačítko Ano potvrďte použití certifikátu.
3. Pokud vyberete možnost Nevytvářet počítač, v ERA Web Console se zobrazí ve skupině Ztráty a nálezy až při
prvním připojení. Případně rovnou vyberte statickou skupinu, do které chcete počítač umístit.
4. Vyberte cestu pro instalaci ERA Agenta (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
3.2.5.2 Offline instalace ERA Agenta
Tato kapitola doplňuje předchozí a popisuje kroky, které je nutné provést při offline instalaci ERA Agenta.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát agenta, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu, není nutné zadávat její veřejný klíč.
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném případě se agent nepřipojí.
2. Vyberte cestu pro instalaci ERA Agenta (doporučujeme ponechat výchozí), klikněte na tlačítko Další a Instalovat.
3.2.5.3 Odinstalace ERA Agenta
ERA agenta můžete odinstalovat několika způsoby.
Vzdálená odinstalace prostřednictvím ERA Web Console
1. Přihlaste se do ERA Web Console.
2. Na záložce Počítače vyberte požadovanou stanici a z kontextového menu vyberte možnost Nová úloha.
3. Zadejte název úlohy, volitelně popis.
4. Jako kategorii úloh vyberte ESET Remote Administrator.
5. Z rozbalovacího menu vyberte úlohu Ukončit správu (odinstalovat ERA Agenta).
6. Úlohu připravíte kliknutím na tlačítko Dokončit.
Poznámka: Více informací naleznete v sekci klientské úlohy.
Ruční odinstalace
1. Na konkrétní stanici klikněte na Start > Ovládací panely > Programy a funkce.
2. Najděte položku ESET Remote Administrator Agent a klikněte na Změnit.
3. Vyberte možnost Odstranit a postupujte podle kroků na obrazovce.
Důležité: Pokud máte odinstalaci chráněnou heslem, budete muset toto heslo zadat. Případně stanici přiřaďte
politiku, která neaktivuje použití hesla.
Řešení problémů
Podívejte se do protokolu ERA Agenta.
59
Poznámka: Pro odinstalaci ERA Agenta není možné použít nástroj ESET Uninstaller.
Poznámka: Pokud standardní postup pro odinstalaci selže, ERA Agenta odstraňte ručně ( záznamy v registru,
soubory, složky a službu) v nouzovém režimu. Mějte na paměti, že pokud je stanici instalován bezpečnostní produkt
ESET, agenta chrání Self-Defense. Více informací naleznete v Databázi znalostí.
3.2.6 Instalace ERA Web Console na Windows
Pro instalaci ERA Web Console na Windows postupujte podle následujících kroků:
1. Ujistěte se, že jste nainstalovali:
Java – ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy nejnovější
verzi.
Apache Tomcat (v podporované verzi)
a na pevném disku máte uložen soubor ERA Web Console (era.war).
2. Zkopírujte soubor era.war do Tomcat složky s webovými aplikacemi (standardně C:\Program Files (x86)\Apache
Sof tware Foundation\Tomcat 7.0\webapps\).
3. Vyčkejte několik minut než webový server archiv rozbalí, případně jej rozbalte ručně do složky webapps\era.
4. Restartujte službu Apache Tomcat.
5. V internetovém prohlížeči na daném stroji otevřete adresu https://localhost:8080/era/ – měla by se zobrazit
přihlašovací obrazovka ERA Web Console.
Poznámka: Pokud jste v průběhu instalace webového serveru nespecifikovali jiný HTTP port, Apache Tomcat běží
standardně na portu 8080. Pro konfiguraci HTTPS postupujte podle tohoto návodu.
60
3.2.7 Instalace ERA Proxy na Windows
Pro instalaci ERA Proxy na Windows postupujte podle následujících kroků:
Poznámka: Pokud instalujete na Failover Cluster, vyberte možnost Toto je instalace na cluster a zadejte vlastní
cestu k datovým souborům aplikace. Data musí být uložena na sdíleném úložišti clusteru, ke kterému mají přístup
2. Vyberte možnost Spustit službu pod účtem. Pod tímto účtem se spustí služba ESET Remote Administrator.
Dostupné možnosti:
a. Účet Network service
b. Uživatelem definovaný: doména/jméno_uživatele
3. Nastavte připojení k databázi. Do databáze jsou ukládána všechna data, od přihlašovacích údajů k ERA Web
Console po protokoly z klientů.
a. Databáze: MySQL/MS SQL
e. Název databáze
f. Přihlašovací údaje databázového administrátora
g. Přihlašovací údaje databázového uživatele s přístupem k ERA databázi
Následně dojde k ověření připojení k databázi. V případě úspěšného připojení můžete pokračovat na další krok.
4. Vyberte port, kterou bude proxy používat pro komunikaci. Standardně se používá port 2222.
5. Zadejte údaje pro připojení proxy k ESET Remote Administrator – název serveru nebo IP adresu a port serveru.
6. Vyberte klientský certifikát a zadejte heslo k certifikátu. Volitelně přidejte certifikační autoritu. Ta je nutná pouze
v případě použití nepodepsaných certifikátů.
7. V případě potřeby vyberte pro instalaci ERA Proxy jinou složku. Instalaci zahajte kliknutím na tlačítko Instalovat.
8. Kromě ERA Proxy se nainstaluje také ERA Agent.
Poznámka: ERA Proxy nepodporuje asistovanou instalaci.
3.2.7.1 Předpoklady pro instalaci ERA Proxy na Windows
Pro instalaci ERA Proxy na Windows je nutné splnit následující předpoklady:
VAROVÁNÍ: ERA Server a ERA Proxy není možné provozovat na stejném serveru!
Nainstalovaný ERA Server a ERA Web Console (na serveru).
Vytvořený a stažený certifikát proxy.
Vytvořený a stažený veřejný klíč certifikační autority.
Nainstalovaný a nakonfigurovaný databázový server.
Nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Nainstalovaný ERA Agent pro správné fungování všech součástí.
61
3.2.8 Instalace ESET RD Sensor na Windows
Pro instalaci ESET RD Sensor na Windows postupujte podle následujících kroků:
1. Ujistěte se, že počítač splňuje požadavky pro instalaci,
2. Spusťte instalaci prostřednictvím instalačního balíčku.
3. Vyberte umístění, kam chcete RD Sensor uložit, a instalaci zahajte kliknutím na tlačítko Instalovat.
3.2.8.1 Požadavky pro instalaci ESET RD Sensor na Windows
Pro instalaci ESET RD Sensor na Windows je nutné splnit následující předpoklady:
Nainstalovaný WinPcap, alespoň ve verzi 4.1.0.
Síť musí být možné prohledávat (potřebujete mít otevřené porty, firewall nesmí blokovat příchozí komunikaci atp.)
Server musí být z lokálního počítače dosažitelný.
Na lokálním počítači nainstalovaný ERA Agent pro správné fungování všech součástí.
Poznámka: Protokol ESET RD Sensor pro případnou diagnostiku naleznete ve složce: C:\ProgramData\ESET\Rogue
Detection Sensor\Logs\
3.2.9 Instalace Mobile Device Connector
Mobile Device Connector můžete nainstalovat na jiný server, než na kterém běží ERA Server. Pokud tedy chcete
spravovat mobilní zařízení také ve chvíli, kdy jsou mimo vaši lokální síť, stačí do internetu vypublikovat pouze server,
na kterém je nainstalován MDM.
Upozornění: Abyste mohli mobilní zařízení spravovat ať jsou kdekoli, je potřeba do internetu publikovat porty
Mobile Device Connector.
Pro instalaci Mobile Device Connector na Windows postupujte podle následujících kroků:
2. Spusťte instalaci prostřednictvím instalačního balíčku a odsouhlaste licenční ujednání koncového uživatele (EULA).
3. Klikněte na Procházet, vyberte HTTPS certifikát používaný pro komunikaci. Pokud je nastaveno, zadejte heslo k
certifikátu.
4. Zadejte název serveru. Doporučujeme zadat veřejný DNS název nebo veřejnou IP adresu, aby se k serveru mohla
zařízení připojovat odkudkoli.
Důležité: Název MDM serveru musí odpovídat záznamu uvedeném v CN HTTPS certifikátu. V opačném případě
nedojde k ověření komunikace, aplikace ESET Endpoint Security pro Android se nepřipojí a iOS zařízení odmítne
instalaci MDM profilu. Pokud máte v HTTPS certifikátu definovanou IP adresu, zadejte ji v průběhu instalace MDC. V
případě, že v HTTPS certifikátu máte definován FQDN (například mdm.mojefirma.cz), do pole název serveru zadejte v
průběhu instalace plně kvalifikované doménové jméno. Máte-li použit zástupný znak (například *.mycompany.com),
do pole název serveru můžete zadat například mdm.mycompany.com.
5. Nastavte připojení k databázi.
Databáze: MySQL Server/MS SQL Server/MS SQL Server via Windows Authentication
ODBC ovladač: MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/SQL
Název databáze: ponechte prázdné, pokud chcete použít výchozí název
Název serveru: název nebo IP adresa databázového serveru
Port používaný pro připojení k serveru
Přihlašovací údaje databázového administrátora
Poznámka: Doporučujeme použít stejný databázový server, kterou používá ERA Server. Instalační balíček si
automaticky vytvoří potřebnou databázi (era_mdm_db).
62
6. Vyberte databázového uživatele, který má přístup k databázi MDM. Můžete použít existujícího uživatele nebo
vytvořit nového.
7. Zadejte název serveru (nebo IP adresu) na, kterém běží ERA Server a port (standardně 2222).
Dále vyberte způsob instalace:
1. Zadejte Název serveru (nebo IP adresu) a port (standardně 2222). Dále zadejte také přihlašovací údaje k ERA
Web Console.
2. Kliknutím na tlačítko Ano potvrďte certifikát.
certifikační autority, pokud používáte vlastní.
1. Klikněte na tlačítko Procházet a vyberte klientský certifikát, případně zadejte také heslo k certifikátu. Pokud
používáte vestavěnou ERA certifikační autoritu není nutné vybrat její certifikát.
Administrator), ujistěte se, že máte exportovány správné certifikáty. V opačném nedojde ke spojení s ERA
Serverem.
Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do adresního
řádku zadejte adresu https://nazev_vaseho_serveru:registracni_port (například https://eramdm:9980). Pokud
instalace byla úspěšná, měla by se zobrazit následující zpráva:
Tuto adresu můžete použít také pro ověření dostupnosti MDM serveru nejen v rámci sítě, ale také z internetu. Pokud
server není dosažitelný, zkontrolujte nastavení firewallu a konfiguraci vaší sítě.
Po nainstalování Mobile Device Connector tuto komponentu aktivujte prostřednictvím ESET Remote Administrator.
63
3.2.9.1 Předpoklady pro instalaci Mobile Device Connector na Windows
Pro instalaci Mobile Device Connector na počítač s Windows musí počítač splňovat následující předpoklady:
Pokud chcete mobilní zařízení spravovat i když budou mimo vaši lokální síť, potřebujete veřejnou IP adresu nebo
veřejný DNS záznam.
Poznámka: Název serveru je možné kdykoli prostřednictvím politiky změnit. V danou chvíli bude nutné nahrát
také nový HTTPS certifikát, který odpovídá nového názvu serveru.
Musíte mít dostupné a ve firewallu otevřené potřebné porty – seznam všech portů naleznete v této kapitole.
Nastavení firewallu – pokud z testovacích důvodů instalujete Mobile Device Connector na ne-serverový operační
systém (například Windows 7), vytvořte ve firewallu povolující pravidla:
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9980
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9981
C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, TCP port 2222
Poznámka: Cesty k .exe souborům mohou být odlišné, v závislosti na verzi operačního systému a složce, do které
jste komponenty ERA infrastruktury nainstalovali.
Musíte mít nainstalován Java Runtime Environment (JRE. Doporučujeme používat vždy nejnovější verzi.
Pokud budete instalovat dodávaný Microsoft SQL Server Express, musíte mít nainstalován Microsoft .NET
Framework 3.5. Pokud používáte Windows Server 2008 a novější, můžete tuto součást nainstalovat
prostřednictvím Průvodce rolemi a funkcemi (viz obrázek níže). Pokud používáte Windows Server 2003, stáhněte si
.NET Framework 3.5 z tohoto odkazu: http://www.microsoft.com/en-us/download/details.aspx?id=21
Dostatek operační paměti. Mobile Device Connector virtualizuje ERA Agenta pro každé mobilní zařízení. Souběžně
se však vytvoří nejvýše 48 samostatných procesů (ESET Remote Administrator MDMCore Module). V případě, že
máte větší počet zařízení, virtuální ERA Agenti se budou pravidelně střídat o systémové prostředky (RAM a CPU).
64
Požadavky na certifikát
nevybírat Microsoft SQL Server Express (v tomto případě musíte použít vlastní SQL nebo MySQL Server pro instalaci
MDC databáze).
Poznámka: ESET MDC ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
Důležité: Při instalaci musíte vybrat SSL certifikát v .pfx formátu, který je používán pro ověřování HTTP
komunikace. Doporučujeme použít certifikát vygenerovaný certifikační autoritou. Certifikáty podepsané samy sebou
totiž neakceptují všechna mobilní zařízení.
Poznámka: Certifikát podepsaný certifikační autoritou je potřeba společně s privátním klíčem sloučit
(prostřednictvím OpenSSL) do jednoho .pfx souboru:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Jedná se o standardní postup platný pro většinu serverů.
Důležité: Při offline instalaci vyberte exportovaný klientský certifikát, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu není nutné vybrat její veřejný klíč. Použít můžete vlastní
certifikáty.
65
3.2.9.2 Aktivace Mobile Device Connector
Po dokončení instalace Mobile Device Connector je potřeba tuto součást, stejně jakoukoli jinou ESET aplikaci,
aktivovat. To provedete pomocí jakékoli firemní licence (například ESET Secure Office) nebo přímo pomocí licence
pro ESET Endpoint Security pro Android.
1. Do ESET Remote Administrator přidejte licenci.
2. Mobile Device Connector aktivujte pomocí klientské úlohy pro aktivaci produktu.
3.2.9.3 Licencování iOS zařízení
Pro iOS zařízení nenabízíme žádnou aplikaci. Vzdálená správa iOS zařízení je zajišťována pomocí nativního MDM
profilu. Přesto je potřeba každé spravované zařízení licencovat.
iOS zařízení aktivujte stejným způsobem jako bezpečnostní produkt ESET, tedy pomocí klientské úlohy pro aktivaci
produktu.
Zařízení, které není aktivováno nebude přijímat jiné, než aktivační úlohy, nebudou se na něj aplikovat politiky. Bude
zasílat pouze kritická upozornění.
Informace o aktivovaných zařízeních si uchovává Mobile Device Connector. Pokud při odinstalaci nebo migraci této
komponenty ponecháte databázi, po přeinstalování a jejím opětovném použití zůstanou zařízení stále aktivována.
Pro deaktivaci zařízení použijte klientskou úlohu na ukončení správy zařízení nebo jej můžete deaktivovat na portále
ESET License Administrator.
3.2.9.4 Import HTTPS certifikátu pro MDM
Pokud pro ověřování komunikace mezi mobilními zařízeními a komponentou ESET Mobile Device Connector
používáte HTTPS certifikát podepsaný vlastní certifikační autoritou, je potřeba importovat tento certifikát mezi
zprostředkující certifikační autority.
Celý řetězec klíče musí být v pkcs12 kontejneru (.pfx souboru). Klíč musíte importovat na server, kde běží MDC
mezi Zprostředkující certifikační autority.
Pomocí příkazu mmc.exe otevřete konzolu pro správu.
V hlavním menu klikněte na Soubor > Přidat nebo odebrat modul snap-in… nebo stiskněte klávesovou zkratku
(CTRL+M).
66
V seznamu dostupných rozšíření vyberte možnost Certifikáty a klikněte na tlačítko Přidat.
V zobrazeném okně vyberte účet počítače a klikněte na tlačítko Další.
Vyberte možnost Místní počítač a klikněte na Dokončit.
Kliknutím na OK se vraťte do konzole.
Ve stromové struktuře přejděte do větve Zprostředkující certifikační autority a z kontextového menu vyberte
možnost Všechny úlohy > Importovat.
67
Vyberte MDM HTTPS certifikát a akci potvrďte kliknutím na tlačítko Importovat.
Restartujte službu ESET Remote Administrator Mobile Device Connector.
Poznámka: Pokud tento krok neprovedete, MDM HTTPS server bude odesílat pouze serverový certifikát, nikoli
celý řetězec certifikátů včetně zprostředkující certifikační autority.
3.2.10 Instalace Apache HTTP Proxy na Windows
Komponentu HTTP Proxy můžete v kombinaci s ESET Remote Administrator 6 použít k distribuci aktualizací a
instalačních balíčků jednotlivým klientským stanicím. HTTP Proxy zajišťuje stejnou roli jako funkce mirror z
předchozích verzí ESET Remote Administrator 5 a dále ji rozšiřuje. Prostřednictvím HTTP Proxy můžete:
Stahovat aktualizace virových databází a programových komponent na centrální místo v síti a distribuovat je
klientům ve vaší síti,
Vytvořit cache pro instalační balíčky produktů ESET,
Minimalizovat vytížení připojení k internetu.
Poznámka: Pokud nemůžete nebo nechcete použít Apache HTTP Proxy, využijte Mirror tool, který bude stahovat
aktualizace virové databáze. Tento nástroj je dostupný pro Windows a Linux.
Pro instalaci Apache HTTP Proxy na Windows postupujte podle následujících kroků:
Důležité: Pokud již Apache HTTP Proxy máte nainstalován a chcete jej aktualizovat, přejděte do kapitoly
aktualizace Apache HTTP Proxy.
1. Otevřete archiv ApacheHttp.zip a rozbalte jej do složky C:\Program Files\Apache HTTP Proxy
Poznámka: Pokud chcete Apache HTTP Proxy nainstalovat na jinou jednotku, případně do jiného umístění ukládat
cache, je potřeba provést změny v souboru httpd.conf.
2. Jako Správce otevřete příkazový řádek v umístění C:\Program Files\Apache HTTP Proxy\bin
3. Spusťte tento příkaz:
httpd.exe -k install -n ApacheHttpProxy
4. Přejděte do složky C:\Program Files\ApacheHttpProxy\conf , otevřete v textovém editoru soubor httpd.conf a
přidejte do něj následující řádky:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
68
6. Spusťte službu proxy pomocí příkazu sc start ApacheHttpProxy
7. Ověřte, zda služba
Apache HTTP Proxy běží (například pomocí services.msc konzole). Standardně je služba
nakonfigurována tak, aby se spouštěla automaticky.
Pomocí následujících kroků nastavte uživatelské jméno a heslo pro přístup k HTTP Proxy (doporučujeme):
1. Zastavte službu ApacheHttpProxy, například z příkazového řádku pomocí příkazu:
sc stop ApacheHttpProxy
2. Do souboru Apache HTTP Proxy\conf \httpd.conf přidejte následující řádky:
LoadModule
LoadModule
LoadModule
LoadModule
authn_core_module modules\mod_authn_core.dll
authn_file_module modules\mod_authn_file.dll
authz_groupfile_module modules\mod_authz_groupfile.dll
auth_basic_module modules\mod_auth_basic.dll
3. Do souboru Apache HTTP Proxy\conf \httpd.conf pod část <Proxy
*>
přidejte následující řádky:
AuthType Basic
AuthName "Password Required"
AuthUserFile password.file
AuthGroupFile group.file
Require group usergroup
4. Ve složce Apache HTTP Proxy\bin vytvořte pomocí příkazu htpasswd soubor password.file (během této akce
budete vyzváni k zadání hesla):
htpasswd.exe -c ..\password.file username
5. Ve složce ApacheHttpProxy\ ručně vytvořte soubore group.file a vložte do něj:
usergroup:username
6. Spusťte službu ApacheHttpProxy, například z příkazového řádku pomocí příkazu:
sc start ApacheHttpProxy
7. Správnost konfigurace otestujte zadáním následující adresy do internetového prohlížeče:
http://localhost:3128/index.html
Poznámka: Pokud chcete konfiguraci Apache HTTP Proxy dále upravit a do cache ukládat například jen komunikaci
produktů ESET, využijte následující odkazy:
Cachování pouze ESET komunikace
Proxy chaining (veškerá komunikace)
Pro zobrazení obsahu cache použijte níže uvedený příkaz:
C:\Apache_HTTP_Proxy_Install_Folder\bin>htcacheclean.exe -a -p"C:\ProgramData\Apache HTTP Proxy\cache"
Diskovou cache promažete pomocí nástroje htcacheclean. Tento nástroj můžete použít ručně nebo jako daemon.
Níže uvádíme doporučené nastavení (velikost cache 10 GB a limit pro soubory ~2000) - Standardně se hodnota zadává
v bajtech, změnit to můžete přidáním příznaku K (kilobajty) nebo M (megabajty).
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t -p"C:\ProgramData\Apache HTTP Proxy\cache" l10000M -L12000
Pro naplánování údržby cache každou hodinu použijte příkaz:
schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask /TR "\"C:\Program Files\Apac
Proxy\bin\htcacheclean.exe\" -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M -L12000"
Pokud máte povoleno cachování veškeré komunikace, doporučené nastavení je:
69
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t -p"C:\ProgramData\Apache HTTP Proxy\cache" l10000M
schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask /TR "\"C:\Program Files\Apac
Proxy\bin/htcacheclean.exe\" -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M"
Poznámka: Znak ^ na konci řádku ve výše uvedených příkazech slouží pro přechod na nový řádek. Pokud jej při
kopírování vynecháte, příkaz se neprovede.
Pro více informací přejděte do Databáze znalostí nebo dokumentace Apache Authentication and Authorization.
3.2.11 Mirror tool
Mirror tool je nástroj, který využijete pro aktualizaci virové databáze bezpečnostních produktů ESET v offline
prostředích. Prostřednictvím tohoto nástroje si můžete vytvořit lokální aktualizační mirror a z něj následně
aktualizovat klienty, kteří nemají přístup k internetu.
Poznámka: Mirror tool stahuje výhradně aktualizace virové databáze, nikoli programové komponenty (PCU).
Aktualizaci bezpečnostního produktu ESET na novou verzi je nutné provést ručně nebo využít úlohu instalace
aplikace.
Předpoklady
Cílová složka musí být sdílená (Samba/Windows nebo HTTP/FTP služba).
Musíte mít stažený offline licenční soubor, který v sobě obsahuje uživatelské jméno a heslo. Při generování offline
souboru na portále ESET License Administrator zaškrtněte možnost Zahrnout uživatelé jméno a heslo.
Na počítači s operačním systémem Windows, na kterém poběží mirror tool, musíte mít nainstalován Visual C++
Redistributables for Visual Studio 2012.
Ve stejné složce připraveny soubory:
Windows:
MirrorTool.exe
a updater.dll
Linux:
MirrorTool
70
a updater.so
Použití
Seznam všech dostupných parametrů získáte po zadání příkazu MirrorTool
--help :
Parameter --mirrorType je povinný a definuje typ aktualizací, které se budou stahovat.
Parameter --intermediateUpdateDirectory je povinný a definuje cestu k dočasné složce, do které se budou
aktualizační soubory stahovat.
Parameter --offlineLicenseFilename je povinný a definuje cestu k offline licenčnímu souboru.
Parameter --outputDirectory je povinný a definuje cestu, ve které se vytvoří výsledný mirror.
Pro vytvoření lokálního aktualizačního mirroru zadejte použijte například příkaz:
Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
Linux:
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp --offline
/tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Automatické stahování aktualizací
Pro automatické stahování aktualizací a vytváření mirroru využijte Plánovač ve Windows nebo CRON na linuxu.
Případně prostřednictvím ERA Web vytvořte novou klientskou úlohu Spustit příkaz, zadejte výše uvedený příkaz
ke spuštění, cestu k MirrorTool.exe) a nastavte podmínku spuštění například prostřednictvím CRON výrazu
například takto"0 0 * * * ? *" (tím se aktualizace spustí každou hodinu).
Klientským stanicím následně prostřednictvím politiky změňte nastavení aktualizací a nastavte ji tak, aby si klient
stahoval aktualizace ze složky s mirrorem.
71
3.3 Komponenty instalované na Linux
Ve většinu instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp. Pro instalaci individuální instalaci budete
potřebovat následující komponenty.
Návod pro instalaci jednotlivých komponent krok za krokem máme popsán v této kapitole.
Pro aktualizaci ESET Remote Administrator na nejnovější verzi využijte klientskou úlohu pro aktualizaci součástí ERA.
Návod popisující ruční aktualizaci krok za krokem naleznete v Databázi znalostí.
Komponenty jádra
ERA Server
ERA Web Console
ERA Agent
ERA Proxy
ERA RD Sensor
Apache HTTP Proxy
Mirror Tool
Mějte na paměti, že Fedora 22 a novější již nepoužívá příkaz yum . Pokud instalujete na tento operační systém,
příkazy yum v tomto návodu nahraďte příkazem dnf.
3.3.1 Instalace na Linux krok za krokem
V této části si ukážeme, jak krok za krokem nainstalovat ERA Server, ERA Web Console a ERA Agenta na Linux.
Instalace vyžaduje, abyste měli oprávnění pro použití příkazů sudo, resp. root.
Před zahájení instalace ověřte, zda máte nainstalován databázový server a máte k němu přístup. Pokud žádný
databázový server nemáte, musíte si jej nainstalovat. Postup instalace ERA si budeme ukazovat na již běžící MySQL.
Poznámka: Jednotlivé komponenty (Agent, Server, Web Console) naleznete na webových stránkách společnosti
ESET v sekci Stáhnout > Remote Administrator 6 > ESET Remote Administrator 6 Standalone Installers.
Debian a Ubuntu distribuce
1. Nainstalujte závislosti pro ERA Server:
sudo apt-get install xvfb cifs-utils unixodbc libmyodbc
CentOS, RedHat a Fedora distribuce
sudo yum install mysql-connector-odbc xorg-x11-server-Xvfb cifs-u
OpenSUSE
sudo zypper install xorg-x11-server-extra cifs-utils unixobdc myo
2. Přejděte do složky, kde máte stažený instalační skript ERA Server a nastavte jej tak, aby byl spustitelný:
chmod +x Server-Linux-x86_64.sh
3. Nakonfigurujte MySQL.
4. Nainstalujte a nakonfigurujte ODBC ovladač.
5. Upravte instalační parametry a spusťte instalaci ERA Serveru. Pro více informací přejděte do této kapitoly.
6. Nainstalujte balíčky java a tomcat, které jsou důležité pro běh ERA Web Console:
7. Nainstalujte ERA Web Console.
8. Nainstalujte ERA Agenta.
72
Poznámka: Pro konfiguraci běhu konzole na zabezpečeném HTTPS protokolu přejděte do Databáze znalostí.
3.3.2 Instalace a konfigurace MySQL
Instalace
sudo apt-get install mysql-server
Pokročilá instalace: https://dev.mysql.com/doc/refman/5.7/en/linux-ins
sudo yum install mysql-server
Pokročilá instalace: https://dev.mysql.com/doc/refman/5.7/en/linux-ins
OpenSUSE
sudo zypper install mysql-community-server
Ruční instalace
Instalační balíček MySQL Community Server edition si stáhněte ze stránek
http://dev.mysql.com/downloads/
MariaDB je výchozím databázový systém na některých linuxových distribucích. <%ESET_REMOTE_ADMINISTRATOR
%> ve stávající verzi MariaDB nepodporuje! Pro korektní běh je potřeba nainstalovat MySQL.
Konfigurace
V textovém editoru otevřete konfigurační soubor my.cnf (obdoba my.ini na Windows):
sudo nano /etc/mysql/my.cnf
(případně soubor naleznete ve složce /etc/my.cnf)
Najděte sekci [mysqld] a přidejte do ní následující řádky:
max_allowed_packet=33M
Pro MySQL 5.6.20 a 5.6.21 (verzi MySQL zjistíte například pomocí příkazu mysql -v):
o innodb_log_file_size nastavte alespoň na hodnotu 200 MB (například innodb_log_file_size=200M)
Pro MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group – součin (*) obou parametrů musí být větší nebo roven 200
MB. Minimální hodnota pro innodb_log_files_in_group je 2. Například innodb_log_file_size=100M a
innodb_log_files_in_group=2 .
Změny v souboru uložte a službu MySQL server restartujte:
sudo service mysql restart
Volitelně můžete níže uvedeným příkazem definovat oprávnění pro přístup k MySQL serveru:
/usr/bin/mysql_secure_installation
Zda služba běží ověříte příkazem:
sudo netstat -tap | grep mysql
Pokud služba MySQL server běží, měli byste vidět níže uvedený řádek. Mějte na paměti, že se jedná o příklad a číslo
procesu - PID (7668) může být odlišné:
tcp
0
0 localhost:mysql
*:*
LISTEN
7668/mysqld
73
3.3.3 Konfigurace ODBC ovladače
Instalace
Pro nainstalování MySQL ODBC (Open Database Connectivity) ovladače zadejte do terminálu příkaz:
sudo apt-get install libmyodbc libodbc1
CentOS, Red Hat a Fedora distribuce
sudo yum install mysql-connector-odbc
OpenSUSE distribuce
sudo zypper install myodbc-unixbox
Konfigurace
V textovém editoru otevřete soubor odbcinst.ini:
sudo nano /etc/odbcinst.ini
Vložte do souboru odbcinst.ini následující řádky, případně upravte cesty v parametru Driver a Setup:
[MySQL]
Description = ODBC for MySQL
Driver = /usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so
Setup = /usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so
FileUsage = 1
Pokud používáte 32-bitovou verzi Ubuntu, jako hodnotu Driver a Setup nastavte:
/usr/lib/i386-linux-gnu/odbc/
Poznámka: Cesta k ovladači se může lišit v závislosti na použité linuxové distribuci. Aktuální cestu ve vašem
systému zjistíte příkazem sudo find /usr -iname "*libmyobdc*"
ERA produkty vyžadují MySQL ovladač s podporou multi-threadingu. Tento požadavek splňuje ovladač unixODBC
(2.3.0 a novější). Pokud používáte starší verzi ovladače (verzi zjistíte pomocí příkazu odbcinst --version), je nutné
do souboru odbcinst.ini přidat parametr:
Threading = 0
Konfiguraci ODBC ovladače aktualizujete a do systému propíšete příkazem:
sudo odbcinst –i -d
-f /etc/odbcinst.ini
3.3.4 Instalace ERA Server na Linuxu
Instalaci komponent ERA Serveru provedete na Linuxu prostřednictvím Terminálu. Ujistěte se, že počítač splňuje
požadavky pro instalaci. Připravit si můžete instalační skript a následně jej spustit s oprávněním sudo.
Příklad
(Při kopírování celého příkazu do Terminálu použijte "\" pro přechod na nový řádek)
sudo ./Server-Linux-x86_64.sh \
--skip-license \
--db-driver=MySQL \
--db-hostname=127.0.0.1 \
--db-port=3306 \
--db-admin-username=root \
--db-admin-password=Admin123 \
--server-root-password=Admin123 \
--db-user-username=root \
--db-user-password=Admin123 \
--cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL"
74
ERA Server se službou eraserver se nainstaluje do následujícího umístění:
/opt/eset/RemoteAdministrator/Server
Při instalaci můžete změnit následující parametry:
Atribut
Popis
--uninstall
--keep-database
Odinstaluje produkt
Během odinstalace zůstane databáze zachována
--locale
Lokální identifikátor (LCID) serveru (výchozí hodnota je "en_US"),
který určuje v jakém jazyce budou zapsána data do databáze.
Více informací naleznete v kapitole podporované jazyky.
Poznámka: Pro každou relaci ERA Web Console si můžete
nastavit jiný jazyk.
Instalátor přeskočí dotaz na vložení licenčních údajů
Instalátor přeskočí generování certifikátů (tento parametr
použijte společně s --server-cert-path)
Zadejte licenční klíč. Vložit jej můžete později.
Globální unikátní identifikátor produktu. Pokud není nastaven,
bude vygenerován.
Port ESET Remote Administrator (ERA) Server (standardně 2222)
Port ESET Remote Administrator Web Console (standardně 2223)
Heslo pro přihlášení do ERA Web Console k účtu "Administrator";
musí obsahovat alespoň 8 znaků
Typ použité databáze (možné hodnoty "MySQL Server",
"Microsoft SQL Server")
ODBC ovladač zajišťující připojení k databázi (například "MySQL
ODBC 5.3 ANSI Driver"). Přesný název ovladače naleznete v
souboru /etc/odbcinst.ini nebo pomocí příkazu odbcinst -q -d
Název nebo IP adresa databázového serveru
Port databázového serveru (standardně 3306)
Název databáze ERA serveru (standardně "era_db")
Jméno databázového administrátora (tyto údaje jsou používané
při instalaci pro vytváření a úpravu struktury databáze)
Heslo databázového administrátora
Jméno databázového uživatele ERA serveru (tyto údaje používá
ERA server pro připojení k databázi); nemělo by být delší než 16
znaků
Heslo databázového uživatele ERA serveru
Všechny názvy a IP adresy počítače, na který ERA Server
instalujete. Zadané názvy budou následně uvedeny v klientských
certifikátech.
Cesta k certifikátu serveru (tuto možnost použijte společně v
parametrem --skip-cert)
Heslo k certifikátu serveru
Heslo k certifikátu agenta
Heslo k certifikátu certifikační autority
Cesta k certifikátu certifikační autority
Běžný název certifikační autority (use "")
-
--skip-license
--skip-cert
--license-key
--product-guid
--server-port
--console-port
--server-root-password
--db-type
--db-driver
--db-hostname
--db-port
--db-name
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--cert-hostname
--server-cert-path
--server-cert-password
--agent-cert-password
--cert-auth-password
--cert-auth-path
--cert-auth-common-name
--cert-organizational-unit
--cert-organization
Vyžadováno
Ano
Ne
Ne
Ne
Ne
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
75
Atribut
Popis
--cert-locality
--cert-state
--cert-country
--cert-validity
Platnost certifikátu ve dnech nebo letech (společně s tímto
použijte argument --cert-validity-unit)
Jednotka platnosti certifikátu – možné hodnoty 'Years' a
'Days' (výchozí hodnota je 'Years')
Active Directory server
Jméno uživatele, který má oprávnění prohledávat AD
Heslo Active Directory uživatele
Strom Active Directory, který bude synchronizován. Pro
synchronizaci celého stromu použijte ""
--cert-validity-unit
--ad-server
--ad-user-name
--ad-user-password
--ad-cdn-include
Vyžadováno
Ne
Ne
Ne
Ne
Instalační protokol
Protokol může být užitečný při řešení problémů s instalací a naleznete jej v následujícím umístění:
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
Po dokončení instalace ověřte, zda služba ERA Server běží pomocí příkazu:
service eraserver status nebo systemctl status eraserver
DŮLEŽITÉ: Po dokončení intstalace ERA Serveru nainstaluje také ERA Agenta. Ten zajistí sběr informací o výkonu
serveru a jejich zobrazení v ERA Web Console.
3.3.4.1 Předpoklady pro instalaci ERA Serveru na Linuxu
Pro samostatnou instalaci ERA Serveru na Linuxu je nutné splnit následující předpoklady:
Nainstalovaný a nakonfigurovaný databázový server s účtem roota (další uživatelský účet nemusí být vytvořen
před instalací, instalátor jej dokáže vytvořit).
Poznámka: ERA Server ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
Nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Poznámka: Pro bezproblémové připojení ERA Serveru k MySQL databázi doporučujeme nainstalovat unixODBC_23
balíček (nikoli výchozí unixODBC). To platí především pro SUSE Linux.
76
Instalační balíček serveru musí být nastaven jako spustitelný.
chmod +x Server-Linux-x86_64.sh
Musíte mít nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30 (příkazem openssl
aktuálně používanou verzi)
version
zjistíte
Na linuxovém serveru bez grafického rozhraní je nutné pro správné zobrazování přehledů (serverová úloha
generování přehledu) nainstalovat xvfb balíček.
Pro úspěšné nasazení ERA Agenta na Windows je nutné nainstalovat cifs-utils balíček.
Musí mít nainstalovány knihovny Qt4 pro tisk do PDF a PS. Všechny Qt4 závislosti se doinstalují automaticky. Je
nutné nainstalovat verzi 4.8, nikoli 5.
Poznámka: V oficiálních repozitářích CentOS nemusíte najít všechny požadované balíčky. V takovém případě je
potřeba použít repozitář třetí strany (například EPEL) nebo si balíky na cílové stanici zkompilovat ručně. Více
informací naleznete v Databázi znalostí.
Pro synchronizaci s Active Directory prostřednictvím protokolu Kerberos je nutné doinstalovat kinit + klist. Dále je
nutné správně Kerberos nakonfigurovat v souboru /etc/krb5.conf .
Pro přihlášení do ERA Web Console prostřednictvím doménového účtu a NTML autentifikaci pro odesílání e-mailů
doinstalovat wbinfo + ntlm_auth.
Pro synchronizaci s Active Directory doinstalovat ldapsearch.
Pro odesílání SNMP trapů doinstalovat snmptrap. Mějte na paměti, že je nutné SMP dále nakonfigurovat.
Na systémech s aktivovaným SELinux (CentOS, Fedora, RHEL) doinstalovat SELinux devel balíček. Mějte na paměti,
že SELinux může být v konfliktu s jinými aplikacemi a pro ERA Server není nezbytný.
Pro instalaci požadovaných závislostí můžete použít následující příkazy:
OpenSUSE distribuce
ODBC ovladač
apt-get install unixodbc libmyodbc
yum install mysql-connector-odbc
zypper install unixodbc myodbc-unixbox
xvfb
apt-get install xvfb
yum install xorg-x11-server-Xvfb
zypper install xorg-x11-server-extra
yum install cifs-utils
zypper install cifs-utils
cifs-utils
apt-get install cifs-utils
Qt4 WebKit knihovny
Více informací naleznete v Databázi
znalostí.
kinit+klist (potřebné pro služby Active Directory)
zypper install libqtwebkit4
apt-get install krb5-user
yum install krb5-workstation
zypper install krb5
yum install samba-winbind-clients
zypper install samba-winbind
yum install openldap-clients
zypper install openldap2-client
yum install net-snmp-utils
zypper install net-snmp
apt-get install libqtwebkit4
wbinfo + ntlm_auth
apt-get install winbind
ldapsearch
apt-get install ldap-utils
snmptrap
apt-get install snmp
77
OpenSUSE distribuce
SELinux devel package (volitelnéoptional; SELinux may cause problems with other applications. For ERA Server it is
not necessary.)
apt-get install selinux-policy-dev
yum install policycoreutils-devel
zypper install selinux-policy-devel
3.3.5 Instalace ERA Agenta na Linuxu
Při připojení k ERA Serveru je nutné zadat --hostname a --port (při použití SRV záznamu není nutné specifikovat
port). Údaje pro připojení k serveru můžete zadat v některém z následujících formátů:
Název serveru a port
IPv4 adresa a port
IPv6 adresa a port
Servisní záznam (SRV záznam) – pro konfiguraci DNS zdrojového záznamu na linuxu musí být počítač v doméně, ve
které je doménový řadič zároveň DNS serverem. Pro více informací přejděte do kapitoly DNS zdrojový záznam.
SRV záznam musí mít prefix "_NAME._tcp", kdy 'NAME' představuje vaše vlastní pojmenování (například 'era').
Vzorový instalační skript:
./Agent-Linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222
Atribut
Popis
--skip-license
instalátor přeskočí dotaz na vložení licenčních údajů
--cert-path
cesta k exportovanému klientskému certifikátu
--cert-auth-path
cesta k exportované certifikační autoritě
--cert-password
heslo ke klientskému certifikátu
heslo k certifikační autoritě
--hostname
údaje pro připojení k ERA Serveru nebo ERA Proxy v jednom z podporovaných
formátů (název serveru, ipv4, ipv6, SRV záznam)
--port
port, na kterém naslouchá ERA Server nebo ERA Proxy (standardně 2222, resp.
1236)
Volitelné parametry
Atribut
Popis
--product-guid
GUID produktu (vygeneruje se, pokud není definováno)
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče certifikátu a
soukromého klíče používaných pro zabezpečení komunikace mezi ERA Serverem a
ERA Agenty. Použijte jeden z následujících parametrů: --cert-path nebo --certcontent .
Base64 kódovaný obsah DER kódovaného soukromého klíče certifikační autority
používané pro ověřování komunikace vzdálených klientů(Proxy nebo Server).
Použijte jeden z následujících parametrů: --cert-auth-path or --cert-authcontent options.
název serveru, na kterém běží ERA Server, a ke kterému se bude ERA Web
Console připojovat (pokud ponecháte prázdné, použije se hodnota zadaná
parametrem 'hostname')
port, na kterém komunikuje ERA Web Console s ERA Serverem (standardně 2223)
--cert-content
--cert-auth-content
--webconsole-hostname
--webconsole-port
78
Atribut
Popis
--webconsole-user
uživatel, který má přístup do ERA Web Console (standardně Administrator)
heslo k uživatelskému účtu, který má přístup ERA Web Console
--webconsole-password
Připojení a certifikáty
Zadejte údaje pro připojení k ERA Serveru: --hostname, --port (port není potřeba, pokud je použit servisní
záznam; standardně '2222')
Zadejte údaje pro asistovanou instalaci: --webconsole-port, --webconsole-user, --webconsole-password
Vložte certifikát pro offline instalaci: --cert-path, --cert-password
Při použití parametrů
--cert-path
a
--cert-auth-path
musíte mít exportované certifikáty ve formátu .pfx a .der.
Parametry hesla
Parametry pro typ hesla můžete zadat jako proměnné prostředí, soubor, načíst je ze stdin případně zadat jako prostý
text:
--password=env:SECRET_PASSWORD – SECRET_PASSWORD je proměnné prostředí, ve kterém je uloženo heslo
--password=file:/opt/secret – kde první řádek soubor /opt/secret obsahuje heslo
--password=stdin – instalátor si heslo přečte ze standardního vstupu
--password="pass:PASSWORD" je stejný jako --password="PASSWORD" a je povinný v případě, kdy aktuální heslo je
"stdin" nebo začíná "env:" , "file:" resp. "pass:"
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
Po dokončení instalace ověřte, zda ERA Agent běží pomocí příkazu:
sudo service eraagent status nebo systemctl status eraagent
3.3.5.1 Předpoklady pro instalaci ERA Agenta na Linuxu
Pro samostatnou instalaci ERA Agenta na Linuxu je nutné splnit následující předpoklady:
Vytvořený a na lokálním počítači stažený certifikát agenta.
Vytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Instalační balíček ERA Agenta musí být spustitelný (to provedete pomocí příkazu chmod +x).
Nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
3.3.6 Instalace ERA Web Console na Linuxu
Ujistěte se, že počítač splňuje předpoklady pro instalaci a postupujte podle následujících kroků:
1. Zkopírujte soubor era.war do Tomcat složky s webovými aplikacemi:
sudo cp era.war /var/lib/tomcat7/webapps/
sudo cp era.war /var/lib/tomcat/webapps/
OpenSUSE distribuce
sudo cp era.war /usr/share/tomcat/webapps/
Případně můžete přímo rozbalit archiv era.war do složky /var/lib/tomcat/webapps/era/
2. Restartujte tomcat službu:
sudo service tomcat7 restart
sudo service tomcat restart
79
OpenSUSE distribuce
sudo service tomcat restart
Po dokončení instalace by se po zadání níže uvedené adresy do internetového prohlížeče měla zobrazit přihlašovací
obrazovka ERA Web Console:
http://localhost:8080/era
na lokálním stroji, http://IP_ADRESA_NEBO_NAZEV_SERVERU:8080/era v případě
vzdáleného přístupu.
Poznámka: Pokud jste v průběhu instalace webového serveru nespecifikovali jiný HTTP port, Apache Tomcat běží
standardně na portu 8080. Pro konfiguraci HTTPS postupujte podle tohoto návodu.
3.3.6.1 Předpoklady pro instalaci ERA Web Console na Linuxu
Pro samostatnou instalaci komponent ERA Web Console na Linuxu je nutné splnit následující předpoklady:
Java – ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy nejnovější verzi.
Apache Tomcat (ve verzi 6 a novější)
Připraven soubor ERA Web Console (era.war) na lokálním počítači.
Pro instalaci balíčků Java a Apache Tomcat můžete použít následující příkazy:
Balíček
Debian a Ubuntu
CentOS, Red-Hat a Fedora
Java
sudo apt-get install openjdk-7-jdk
yum install java-1.8.0-openjdk
Apache Tomcat
sudo apt-get install tomcat7
yum install tomcat7
3.3.7 Instalace ERA Proxy na Linuxu
2. Spusťte instalační skript pro instalaci ERA Proxy. Níže je uveden vzorový instalační skript.
Nastavení připojení
Cíl je nutné specifikovat jednou z následujících možností:
Název serveru
IPv4 adresa
IPv6 adresa
DNS zdrojový záznam – linuxový počítač musí být v doméně. Více informací naleznete v kapitole DNS zdrojový
záznam.
Specifikujte port: použijte 2222 pro ERA Server i ERA Proxy.
80
Příklad instalace
./Proxy-Linux-x86_64.sh \
--db-hostname=10.1.179.28 \
--db-name=era_6_db_proxy \
--db-admin-username=sa \
--db-admin-password=admin.1 \
--db-user-username=tester \
--db-user-password=Admin.1 \
--db-port=1433 \
--db-type="MS SQL Server" \
--db-driver=SQL \
--skip-license \
--hostname=10.1.179.30 \
--port=2222 \
--cert-path=/home/adminko/Desktop/proxy.pfx \
--cert-auth-path=/home/adminko/Desktop/CA-server.der \
--cert-password=root \
--server-root-password=jjf#jDjr
Změnit můžete následující parametry:
Atribut
Popis
--db-hostname
název nebo IP adresa databázového serveru (výchozí hodnota je
localhost )
název použité databáze (standardně era_db nebo era_proxy_db)
přihlašovací jméno databázového administrátora (používá se při
instalaci pro vytvoření a úpravu databáze; standardně root)
heslo databázového administrátora
databázový uživatel, který může přistupovat k ERA databázi (ERA
Proxy jej používá pro připojení k databázi); jméno by nemělo být
delší než 16 znaků
heslo uživatele databáze
port databáze (1433 pro MSSQL, 3306 pro MySQL; výchozí
hodnota je 3306)
použitý typ databáze (možné hodnoty: MySQL Server, MS SQL
Server ; výchozí hodnota je MySQL Server )
ODBC ovladač použitý pro připojení do databáze (například,
MySQL ODBC 5.3 ANSI Driver ; výchozí hodnota je MySQL . Přesný
název ovladače naleznete v souboru /etc/odbcinst.ini nebo
pomocí příkazu odbcinst -q -d)
nedotazovat se na licenci
název nebo IP adresa ERA Serveru, resp. nadřazené ERA Proxy
(výchozí hodnota je localhost)
port ERA Serveru (standardně 2222) nebo ERA Proxy
(standardně 1236)
port, který používá proxy (standardně 2222)
GUID produktu (vygeneruje se, pokud není definováno)
lokální cesta k certifikátu proxy
Base64 kódovaný obsah PKCS12 kódovaného veřejného klíče
certifikátu a soukromého klíče používaných pro zabezpečení
komunikace mezi ERA Serverem a ERA Agenty.
lokální cesta k certifikátu certifikační autority
Base64 kódovaný obsah DER kódovaného soukromého klíče
certifikační autority používané pro ověřování komunikace
vzdálených klientů(Proxy nebo Server)
heslo ke klientskému certifikátu ERA Agenta
--db-name
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--db-port
--db-type
--db-driver
--skip-license
--hostname
--port
--proxy-port
--product-guid
--cert-path
--cert-content
--cert-auth-path
--cert-auth-content
--cert-password
Vyžadováno
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano*
Ano*
Ano**
Ano**
Ano
81
Atribut
Popis
heslo k certifikační autoritě
databáze nebude při odinstalaci odstraněna
--keep-database
Vyžadováno
* Použijte jeden z následujících parametrů: --cert-path nebo --cert-content.
** Použijte jeden z následujících parametrů: --cert-auth-path nebo --cert-auth-content.
Po dokončení instalace ověřte, zda služba ERA Proxy běží pomocí příkazu:
sudo service eraproxy status
nebo systemctl
status eraproxy
Poznámka: Protokol ERA Proxy pro případnou diagnostiku naleznete ve složce: C:\ProgramData\ESET
\RemoteAdministrator\Proxy\EraProxyApplicationData\Logs\
3.3.7.1 Předpoklady pro instalaci ERA Proxy na Linuxu
Pro samostatnou instalaci komponent ERA Proxy na Linuxu je nutné splnit následující předpoklady:
Vytvořený a stažený certifikát proxy.
Vytvořený a stažený veřejný klíč certifikační autority.
Nainstalovaný a nakonfigurovaný databázový server.
Ninstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
Nainstalovaný ERA Agent pro správné fungování všech součástí.
Instalační balíček ERA Proxy musí být nastaven jako spustitelný. (chmod +x Proxy-Linux-x86_64.sh)
Nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
3.3.8 Požadavky pro instalaci ESET RD Sensor na Linux
Pro instalaci ESET RD Sensor na Linux postupujte podle následujících kroků:
1. Ujistěte se, že počítač splňuje předpoklady pro instalaci:
o Síť musí být možné prohledávat (otevřené porty, firewall nesmí blokovat příchozí komunikaci atp.)
o Server musí být z lokálního počítače dosažitelný.
o Na lokálním počítači nainstalovaný ERA Agent pro správné fungování všech součástí.
o Instalační balíček RD Sensor musí být nastaven jako spustitelný:
chmod +x RDSensor-Linux-x86_64.sh
2. Spusťte instalaci prostřednictvím instalačního balíčku s oprávněním sudo:
sudo ./RDSensor-Linux-x86_64.sh
3. Přečtěte si a licenční ujednání. Pro pohyb v Terminálu použijte klávesu Mezerník.
Licenční ujednání odsouhlaste stisknutím klávesy Y. V opačném případě stiskněte klávesu N.
4. ESET RD Sensor se nainstaluje na počítač.
5. Po dokončení instalace ověřte, zda ESET RD Sensor běží pomocí příkazu:
sudo service rdsensor status
nebo systemctl
status rdsensor
6. Protokol Rogue Detection Sensor naleznete ve složce: /var/log/eset/RogueDetectionSensor/trace.log
82
Ano
-
3.3.9 Instalace Mobile Device Connector na Linuxu
Mobile Device Connector můžete nainstalovat na jiný server, než na kterém běží ERA Server. Pokud tedy chcete
spravovat mobilní zařízení také ve chvíli, kdy jsou mimo vaši lokální síť, stačí do internetu vypublikovat pouze server,
na kterém je nainstalován MDM.
Instalaci MDM provedete na Linuxu prostřednictvím Terminálu. Ujistěte se, že počítač splňuje požadavky pro
instalaci. Připravit si můžete instalační skript a následně jej spustit s oprávněním sudo.
Během instalace je nutné vybrat klientský certifikáty. Získat je můžete dvěma způsoby:
certifikační autority, pokud používáte vlastní. Případně můžete použít vlastní certifikáty.
Při instalaci musíte použít následující parametry:
HTTPS certifikát:
--https-cert-path=
--https-cert-password=
Klientský certifikát:
Pro asistovanou instalaci stačí uvést:
--webconsole-password=
Pro offline instalaci zadejte:
--cert-path=
--cert-password=
(heslo není vyžadováno pro výchozí certifikát vytvořený v průběhu instalace ERA Serveru)
Připojení k ERA Serveru (název serveru nebo IP adresa):
--hostname=
Pro vytvoření nové MySQL databáze je nutné zadat:
--db-type="MySQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
Pro vytvoření nové MSSQL databáze je nutné zadat:
--db-type="Microsoft SQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
Příklad instalace
sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \
--https-cert-path="./httpscert.pfx" \
--https-cert-password="123456789" \
--port=2222 \
--db-type="MySQL" \
--db-driver="MySQL" \
--db-admin-username="root" \
--db-admin-password=123456789 \
--db-user-password=123456789 \
--db-hostname="127.0.0.1" \
--webconsole-password=123456789 \
--hostname=username.LOCAL \
--mdm-hostname=username.LOCAL
83
Pro zobrazení všech dostupných parametrů použije parametr:
--help
/var/log/eset//mdminstaller.log
Po dokončení instalace ověřte, zda Mobile Device Connector běží. Otevřete si internetový prohlížeč a do adresního
řádku zadejte adresu https://nazev_serveru_vaseho_serveru:registracni_port (například https://eramdm:9980).
Pokud instalace byla úspěšná, měla by se zobrazit následující zpráva:
Tuto adresu můžete použít také pro ověření dostupnosti MDM serveru nejen v rámci sítě, ale také z internetu. Pokud
server není dosažitelný, zkontrolujte nastavení firewallu a konfiguraci vaší sítě.
3.3.9.1 Předpoklady pro instalaci Mobile Device Connector na Linuxu
Pro samostatnou instalaci MDM na Linuxu je nutné splnit následující předpoklady:
Nainstalovaný a nakonfigurovaný databázový server s účtem roota (další uživatelský účet nemusí být vytvořen
před instalací, instalátor jej dokáže vytvořit).
Na serveru nainstalovaný ODBC ovladač pro připojení k databázovému serveru (MySQL / MS SQL).
apt-get install unixodbc libmyodbc (Debian, Ubuntu distribuce)
yum install mysql-connector-odbc (CentOS, Red-Hat, Fedora distribuce)
zypper install unixodbc myodbc-unixbox (OpenSUSE distribuce)
Poznámka: Pro bezproblémové připojení MDC k MySQL databázi doporučujeme nainstalovat unixODBC_23 balíček
(nikoli výchozí unixODBC). To platí především pro SUSE Linux.
Instalační balíček MDM musí být nastaven jako spustitelný.
chmod +x MDMCore-Linux-x86_64.sh
Po dokončení instalace ověřte, zda služba MDMCore běží pomocí příkazu:
service mdmcore status nebo systemctl status mdmcore
Musíte mít nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30.
Dostatek operační paměti. Mobile Device Connector virtualizuje ERA Agenta pro každé mobilní zařízení. Souběžně
se však vytvoří nejvýše 48 samostatných procesů (ESET Remote Administrator MDMCore Module). V případě, že
máte větší počet zařízení, virtuální ERA Agenti se budou pravidelně střídat o systémové prostředky (RAM a CPU).
Poznámka: Pokud máte k MDC připojeno tisíce zařízení a MySQL databáze je obrovská, je potřeba upravit
parametr innodb_buf f er_pool_size. Pro více informací o optimalizaci databáze přejděte do Databáze znalostí
společnosti Oracle.
Poznámka: ESET MDC ukládá do databáze velké bloky dat, proto je nutné pro korektní fungování ERA nastavit
84
Důležité: Při instalaci musíte vybrat SSL certifikát v .pfx formátu, který je používán pro ověřování komunikace.
Doporučujeme použít certifikát vygenerovaný certifikační autoritou. Certifikáty podepsané samy sebou totiž
neakceptují všechna mobilní zařízení.
Poznámka: Certifikát podepsaný certifikační autoritou je potřeba společně s privátním klíčem sloučit
(prostřednictvím OpenSSL) do jednoho .pfx souboru:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Jedná se o standardní postup platný pro většinu serverů.
Důležité: Při offline instalaci vyberte exportovaný klientský certifikát, případně zadejte také heslo k certifikátu.
Pokud používáte vestavěnou ERA certifikační autoritu není nutné vybrat její veřejný klíč. Použít můžete vlastní
certifikáty.
3.3.10 Instalace Apache HTTP Proxy na Linuxu
Komponentu HTTP Proxy můžete v kombinaci s ESET Remote Administrator 6 použít k distribuci aktualizací a
instalačních balíčků jednotlivým klientským stanicím. HTTP Proxy zajišťuje stejnou roli jako funkce mirror z
předchozích verzí ESET Remote Administrator 5 a dále ji rozšiřuje. Prostřednictvím HTTP Proxy můžete:
Stahovat aktualizace virových databází a programových komponent na centrální místo v síti a distribuovat je
klientům ve vaší síti,
Vytvořit cache pro instalační balíčky produktů ESET,
Minimalizovat vytížení připojení k internetu.
Poznámka: Pokud nemůžete nebo nechcete použít Apache HTTP Proxy, můžete si ve své síti zprovoznit Mirror
tool, který bude stahovat aktualizace virové databáze. Tento nástroj je dostupný pro Windows a Linux.
Vyberte si postup, který vystihuje vaše potřeby a server:
1. Obecná instalace na Linux
2. Instalace na Ubuntu Server 14.10 a distribuce založené na Debianu
V této kapitole dále naleznete:
Cachování pouze ESET komunikace
Proxy chaining (veškerá komunikace)
Obecný postup instalace Apache HTTP Proxy na Linuxu
1. Nainstalujte Apache HTTP Server (minimálně ve verzi 2.4.10)
2. Načtěte moduly: access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile, authz_host,
proxy, proxy_http, proxy_connect, cache, cache_disk
3. Do konfiguračního souboru main.conf přidejte parametry pro aktivaci cache:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Pokud složka /var/cache/apache2/mod_cache_disk neexistuje, vytvořte ji a přidělte ji oprávnění (r,w,x)
5. Do konfigurace přidejte parametry pro aktivaci proxy:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
85
6. V případě potřeby změňte port, na kterém proxy běží (standardně 3128)
7. Volitelně nastavte základní autentifikaci:
o Přidejte do konfigurace proxy tyto řádky:
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
o Vytvořte heslo pomocí příkazu htpasswd.exe
-c
o Ručně vytvořte soubor group.file a vložte do něj usergroup:username
8. Restartujte Apache HTTP Proxy
Instalace na Ubuntu server 14.10 a distribuce založené na Debianu
1. Nainstalujte nejnovější verzi Apache HTTP Server z repozitáře:
sudo apt-get install apache2
2. Načtěte moduly:
sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile
authz_host proxy proxy_http proxy_connect cache cache_disk
3. Otevřete si konfigurační soubor Apache:
sudo vim /etc/apache2/conf-available/caching.conf
a do konfiguračního souboru přidejte tyto řádky:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Pokud složka /var/cache/apache2/mod_cache_disk neexistuje, vytvořte ji:
sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk
5. Otevřete si konfigurační soubor Apache Proxy:
sudo vim /etc/apache2/conf-available/proxy.conf
a do konfiguračního souboru přidejte tyto řádky:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. Nastavte, aby se konfigurační soubory používaly:
sudo a2enconf caching.conf proxy.conf
7. Nastavte Apache HTTP Server tak, aby naslouchal na portu 3128. V souboru /etc/apache2/ports.conf najděte
řádek Listen 80 a nahraďte jej řádkem Listen 3128.
8. Volitelně nastavte základní autentifikaci:
o sudo vim /etc/apache2/conf-available/proxy.conf
86
před </Proxy> vložte
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
nainstalujte apache2-utils a vytvořte soubor s heslem (například uživatel: user, skupina: usergroup):
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
vytvořte soubor skupiny:
sudo vim /etc/apache2/group.file
a vložte do něj řádek:
usergroup:user
9. Restartujte Apache HTTP Proxy
sudo service apache2 restart
Cachování pouze ESET komunikace:
Pomocí následujících úprav zajistíte, že se do cache bude ukládat pouze ESET komunikace:
1. Nahraďte v konfiguraci řádky:
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
tímto:
<Proxy *>
Deny from all
</Proxy>
#*.eset.com:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s
Allow from all
</ProxyMatch>
#*.eset.eu:
Allow from all
</ProxyMatch>
#Antispam module (ESET Mail Security only):
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails
Allow from all
</ProxyMatch>
#Services (activation)
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs
Allow from all
</ProxyMatch>
#ESET servers accessed directly via IP address:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([
Allow from all
</ProxyMatch>
Pro opětovné cachování veškeré komunikace přidejte:
87
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
a odstraňte tyto řádky:
<Proxy *>
Deny from all
</Proxy>
#*.eset.com:
ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,
Allow from all
</ProxyMatch>
#*.eset.eu:
Allow from all
</ProxyMatch>
#Antispam module (ESET Mail Security only):
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails
Allow from all
</ProxyMatch>
#Services (activation)
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs
Allow from all
</ProxyMatch>
#ESET servers accessed directly via IP address:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([
Allow from all
</ProxyMatch>
Proxy chaining (veškerá komunikace):
Do konfigurace přidejte následující řádek (heslo platí pouze pro zděděnou proxy):
ProxyRemote * http://IP_ADDRESS:3128
3.3.11 Instalace Squid HTTP Proxy na Ubuntu Server 14.10
Na Ubuntu Server můžete místo Apache HTTP Proxy použít Squid proxy. Pro nainstalování Squidu na Ubuntu Server
14.10 a další distrobuce založené na Debianu postupujte podle následujících kroků:
1. Nainstalujte Squid3:
sudo apt-get install squid3
2. Otevřete konfigurační soubor /etc/squid3/squid.conf
a nahraďte #cache_dir ufs /var/spool/squid3 100 16
tímto cache_dir ufs /var/spool/squid3 5000 16 256
Poznámka: 5000 je velikost cache v MB.
3. Restartujte squid3 službu.
sudo service squid3 stop
sudo squid3 –z
4. Znovu otevřete konfigurační soubor
a přidejte http_access allow all
před http_access deny all
pro povolení přístupu všem klientům k proxy.
5. Restartujte squid3 službu.
sudo service squid3 restart
88
256
max-size=200000000
3.3.12 Mirror tool
Mirror tool je nástroj, který využijete pro aktualizaci virové databáze bezpečnostních produktů ESET v offline
prostředích. Prostřednictvím tohoto nástroje si můžete vytvořit lokální aktualizační mirror a z něj následně
aktualizovat klienty, kteří nemají přístup k internetu.
Poznámka: Mirror tool stahuje výhradně aktualizace virové databáze, nikoli programové komponenty (PCU).
Aktualizaci bezpečnostního produktu ESET na novou verzi je nutné provést ručně nebo využít úlohu instalace
aplikace.
Předpoklady
Cílová složka musí být sdílená (Samba/Windows nebo HTTP/FTP služba).
Musíte mít stažený offline licenční soubor, který v sobě obsahuje uživatelské jméno a heslo. Při generování offline
souboru na portále ESET License Administrator zaškrtněte možnost Zahrnout uživatelé jméno a heslo.
Na počítači s operačním systémem Windows, na kterém poběží mirror tool, musíte mít nainstalován Visual C++
Redistributables for Visual Studio 2012.
Ve stejné složce připraveny soubory:
Windows:
MirrorTool.exe
a updater.dll
Linux:
MirrorTool
a updater.so
Použití
Seznam všech dostupných parametrů získáte po zadání příkazu MirrorTool
--help :
89
Parameter --mirrorType je povinný a definuje typ aktualizací, které se budou stahovat.
Parameter --intermediateUpdateDirectory je povinný a definuje cestu k dočasné složce, do které se budou
aktualizační soubory stahovat.
Parameter --offlineLicenseFilename je povinný a definuje cestu k offline licenčnímu souboru.
Parameter --outputDirectory je povinný a definuje cestu, ve které se vytvoří výsledný mirror.
Pro vytvoření lokálního aktualizačního mirroru zadejte použijte například příkaz:
Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
Linux:
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp --offline
/tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Automatické stahování aktualizací
Pro automatické stahování aktualizací a vytváření mirroru využijte Plánovač ve Windows nebo CRON na linuxu.
Případně prostřednictvím ERA Web vytvořte novou klientskou úlohu Spustit příkaz, zadejte výše uvedený příkaz
ke spuštění, cestu k MirrorTool.exe) a nastavte podmínku spuštění například prostřednictvím CRON výrazu
například takto"0 0 * * * ? *" (tím se aktualizace spustí každou hodinu).
Klientským stanicím následně prostřednictvím politiky změňte nastavení aktualizací a nastavte ji tak, aby si klient
stahoval aktualizace ze složky s mirrorem.
90
3.3.13 Failover Cluster - Linux
Níže uvádíme postup pro instalaci ESET Remote Administrator na Red Hat high-availability cluster.
Podpora linuxového clusteru
Předpoklady
Možnosti instalace
Instalační kroky
Podpora linuxového clusteru
ESET Remote Administrator Server nebo ERA Proxy můžete nainstalovat na Red Hat Linux 6 cluster a novější. Failover
Cluster je podporován v aktivním/pasivním režimu vytvořený prostřednictvím rgmanager.
Předpoklady
Aktivní/pasivní cluster musí být nainstalován a správně nakonfigurován. V jeden okamžik musí být aktivní pouze
jeden uzel clusteru, ostatní musí být v režimu standby. Load balancing není podporován.
Sdílené úložiště – podporovány jsou iSCSI SAN, NFS a další řešení (jakákoli technologie nebo protokol, který
přistupuje k úložiště po blocích nebo souborech a úložiště namapuje tak, že se bude tvářit jako lokálně připojená
jednotka). Sdílené úložiště musí být dostupné ze všech aktivních uzlů clusteru a souborový systém musí být
korektně inicializován (například EXT3 nebo EXT4).
Pro správu systému jsou vyžadovány následující HA rozšíření:
o rgmanager
o Conga
rgmanager je tradiční Red Hat HA cluster stack a jedná se o povinnou komponentu.
Grafické rozhraní Conga je volitelné. Failover Cluster můžete spravovat bez něj, ale doporučujeme jej nainstalovat
pro dosažení maximálního výkonu. V dalších krocích nápovědy, že jej máte nainstalované.
Pro zabránění poškození dat musíte mít správně nakonfigurován fencing.
Pokud zatím neprovozujete cluster, můžete si na RedHatu vytvořit high-availability Failover Cluster (aktivní nebo
pasivní) podle kroků uvedených v dokumentaci k Red Hat Enterprise Linux 6 – správa clusteru.
Možnosti instalace
Na Red Hat Linux HA cluster můžete nainstalovat následující komponenty ESET Remote Administrator:
ERA Server a ERA Agenta
ERA Proxy a ERA Agenta
Poznámka: ERA Agent musí být nainstalován, v opačném případě se nespustí služba ERA cluster.
Poznámka: Do clusteru není možné nainstalovat ERA databázi ani ERA Web Console.
Na následujícím příkladu si ukážeme instalaci na cluster se dvěma uzly. Instalaci ESET Remote Administrator můžete
provést po vzoru toho návodu na uzel s libovolným množstvím uzlů. Pro přehlednost si uzly použité v příkladu
pojmenujeme jako uzel1 a uzel2.
Instalační kroky
1. Nainstalujte ERA Server nebo ERA Proxy a ERA Agenta na uzel1. V průběhu instalace ERA Agenta použijte
parametr --hostname= a jeho argument nastavte na localhost (nepoužívejte IP adresu nebo název konkrétního
uzlu). Případně použijte externí IP adresu nebo název rozhraní clusteru.
91
Mějte na paměti, že certifikát ERA Serveru nebo ERA Proxy musí obsahovat IP adresu nebo název externího
rozhraní clusteru (nikoli lokální IP adresu uzlu).
Pokud v průběhu instalace ERA Agenta použijete parametr --hostname=, můžete:
o Zadat externí IP adresu nebo název rozhraní clusteru.
o Alternativně můžete zadat localhost. V tomto případě musí certifikát ERA Serveru a ERA Proxy obsahovat
localhost.
2. Zastavte a deaktivujte služby ERA Agenta a ERA Serveru (případně ERA Proxy) pomocí následujících příkazů:
chkconfig eraagent off
chkconfig eraservice off
service eraagent stop
service eraservice stop
3. Připojte sdílené úložiště k uzlu1. V tomto příkladu máme sdílené úložiště připojené jako /usr/share/eracluster.
4. V /usr/share/eracluster vytvořte složky:
/usr/share/eracluster/etc/opt
/usr/share/eracluster/opt
/usr/share/eracluster/var/log
/usr/share/eracluster/var/opt
5. Přesuňte rekurzivně následující složky do cílových:
Zdrojová složka:
Cílová složka:
/etc/opt/eset
/usr/share/eracluster/etc/opt/
/opt/eset
/usr/share/eracluster/opt/
/var/log/eset
/usr/share/eracluster/var/log/
/var/opt/eset
/usr/share/eracluster/var/opt/
6. Vytvořte symbolické odkazy:
ln
ln
ln
ln
-s
-s
-s
-s
/usr/share/eracluster/etc/opt/eset /etc/opt/eset
/usr/share/eracluster/opt/eset /opt/eset
/usr/share/eracluster/var/log/eset /var/log/eset
/usr/share/eracluster/var/opt/eset /var/opt/eset
7. Odpojte sdílené úložiště (/usr/share/eracluster) od uzlu1 a připojte jej k uzlu2.
8. Na uzlu 2 vytvořte symbolické odkazy:
ln
ln
ln
ln
-s
-s
-s
-s
/usr/share/eracluster/etc/opt/eset /etc/opt/eset
/usr/share/eracluster/opt/eset /opt/eset
/usr/share/eracluster/var/log/eset /var/log/eset
/usr/share/eracluster/var/opt/eset /var/opt/eset
9. Zkopírujte skript eracluster_server nebo (eracluster_proxy) do složky /usr/share/cluster.
Skripty eracluster_server nebo (eracluster_proxy) naleznete v instalační složce ERA Serveru nebo ERA Proxy.
Další kroky budeme provádět prostřednictvím grafické rozhraní Conga:
10. Vytvořte servisní skupinu, například EraG2Service.
Služba ESET Remote Administrator cluster vyžaduje tři zdroje: IP adresu, souborový systém a skript.
11. Vytvořte potřebné zdroje služby.
92
Zadejte IP adresu, souborový systém a zdroj skriptu.
Souborový systém by měl odkazovat na sdílené úložiště.
Přípojný bod souborového systému by měl být nastaven na /usr/share/eracluster.
Parametr “Full Path to Script File” nastavte na /usr/share/cluster/eracluster_server, resp. /usr/share/cluster/
eracluster_proxy.
12. Přidejte výše uvedené zdroje do skupiny EraService.
3.3.14 Jak aktualizovat, přeinstalovat nebo odinstalovat ERA komponenty na Linuxu
Pokud potřebujete přeinstalovat nebo aktualizovat ERA komponenty na novější verzi, jednoduše spusťte znovu
instalační skript.
Pro odinstalaci ERA komponent spusťte instalační skript s parametrem --uninstall:
sudo ./Server-Linux-x86_64.sh --uninstall --keep-database
Důležité: Při odinstalaci bude odstraněna konfigurace a soubory databáze. Pro zabránění ztráty dat si vytvořte
SQL dump databáze nebo použijte parametr --keep-database.
Po odinstalování zkontrolujte, zda se odstranila:
služba eraserver,
složka /etc/opt/eset/RemoteAdministrator/Server/.
Poznámka: Před provedením odinstalace doporučujeme provést zálohu databáze pro případ, že byste potřebovali
obnovit data.
3.4 Komponenty instalované na OS X
Ve většinu instalačních scénářích budete instalovat jednotlivé komponenty ESET Remote Administrator na rozdílné
stroje – v závislosti na síťové architektuře, požadavcích na výkon atp.
Poznámka: OS X je podporován je podporován pouze klientskou částí. Na OS X můžete nainstalovat pouze ERA
Agenta a bezpečnostní produktu ESET.
3.4.1 Instalace ERA Agenta na OS X
Pro instalaci ERA Agenta na OS X postupujte podle následujících kroků:
Pro samostatnou instalaci ERA Agenta na OS X je nutné splnit následující předpoklady:
1. Ujistěte se, že počítač splňuje požadavky pro instalaci:
Vytvořený a na lokálním počítači stažený certifikát agenta.
Vytvořený a na lokálním počítači stažený veřejný klíč certifikační autority.
Poznámka: Pokud se vám nedaří vzdálená instalace prostřednictvím ERA serveru, přejděte do kapitoly řešení
problémů.
2. Stáhněte si instalační .dmg balíček z webových stránek společnosti ESET.
3. Otevřete stažený .dmg balíček a z něj spusťte .pkg soubor.
4. V průběhu instalace zadejte parametry pro připojení k ERA serveru (IP adresa/název serveru a port – standardně
2222).
5. Vyberte klientský certifikát a veřejný klíč certifikační autority.
6. Instalaci dokončete kliknutím na tlačítko Instalovat.
7. Protokoly naleznete z ERA Agenta ve složce:
93
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
3.5 Databáze
ESET Remote Administrator ukládá data do externí databáze. Všechny potřebné tabulky a uživatele vytvoří
automaticky instalační balíček. V následujících kapitolách si popíšeme zálohování, aktualizaci a migraci databázové
serveru, který využívá ERA Server/Proxy. Před samotnou instalací ERA Serveru, případně ERA Proxy:
Ověřte, zda váš databázový server splňuje požadavky.
Pokud zatím žádný databázový server nepoužíváte, můžete využít Microsoft SQL Server Express, který je součástí
instalačního balíčku ERA.
Pokud používáte Microsoft Small Business Server (SBS) nebo Essentials, zkontrolujte požadavky, především ty
softwarové. Poté postupujte podle kroků uvedených v kapitole Instalace na Windows SBS / Essentials.
Pokud již máte nainstalován Microsoft SQL Server, zkontrolujte požadavky a ověřte, že používáte Microsoft SQL
Server ve verzi, kterou podporuje ESET Remote Administrator. Pokud používáte nepodporovanou verzi,
aktualizujte svůj SQL Server.
Pokud chcete provozovat ESET Remote Administrator s MS SQL databází, musíte mít nainstalovaný a správně
nakonfigurovaný Microsoft SQL Server:
Microsoft SQL Server 2008 R2 a novější, případně Microsoft SQL Server 2008 R2 Express a novější. Při instalaci
vyberte pro autentifikaci Mixed mode.
Pokud již máte Microsoft SQL Server nainstalován, nastavte Mixed mode (SQL Server authentication and Windows
authentication) podle těchto kroků z Databázë znalostí.
Povolte TCP/IP připojení k SQL Serveru. Postup krok za krokem naleznete v Databázi znalostí.
Poznámka: Pro konfiguraci a správu Microsoft SQL Server potřebujete SQL Server Management Studio (SSMS).
Tento nástroj se standardně při použití MSSQL Express neinstaluje. Je potřeba jej stáhnout a nainstalovat ručně.
instalaci ERA databáze). Více informací o instalaci ERA Serveru na doménový řadič naleznete v Databáze znalostí.
3.5.1 Záloha ERA databáze
Všechny informace a nastavení ESET Remote Administrator jsou uloženy v databázi. ERA Server ani ERA Proxy
neprovádí zálohu databáze. Doporučujeme tedy databázi zálohovat ručně pro zabránění ztráty dat. Pro více informací
postupujte podle následujících kroků v závislosti na použitém typu databáze:
MySQL
SQL Server
Zálohu databáze využijete také při migraci ESET Remote Administrator na nový server.
Pro obnovení databáze ze zálohy postupujte podle následujících kroků v závislosti na použitém typu databáze:
MySQL
SQL Server
94
3.5.2 Aktualizace databázového serveru
Pro aktualizaci databázového serveru na nejnovější verzi postupujte podle následujících kroků:
1. Zastavte všechny služby ERA Serveru, resp. ERA Proxy. Pokud se k databázovému serveru, který budete
aktualizovat, připojují také další aplikace, zastavte je všechny.
2. Zálohujte si obsah databáze.
3. Proveďte aktualizaci databázového serveru podle kroků výrobce.
4. Spusťte všechny služby ERA Serveru, resp. ERA Proxy a v trace protokolech ověřte úspěšné připojení do databáze.
Další informace
Aktualizace SQL Serveru https://msdn.microsoft.com/en-us/library/bb677622.aspx (pro informace ke konkrétní
verzi SQL Serveru klikněte na webové stránce na možnost Other Versions a vyberte si verzi, kterou používáte)
Aktualizace MySQL Serveru (na verzi 5.6): http://dev.mysql.com/doc/refman/5.6/en/upgrading.html
3.5.3 Migrace ERA databáze
Pokud potřebujete ERA Server, případně ERA Proxy přenést na jiný stroj společně s existujícím databázovým
serverem a jeho obsahem, postupujte podle následujících kroků:
Postup migrace pro Microsoft SQL Server
Postup migrace pro MySQL Server
Poznámka: Postup migrace je stejný pro Microsoft SQL Server i Microsoft SQL Server Express.
3.5.3.1 Proces migrace SQL serveru
Postup migrace je stejný pro Microsoft SQL Server i Microsoft SQL Server Express.
Více informací naleznete v Databázi znalostí společnosti Microsoft.
Předpoklady
o Nainstalovánu cílovou instanci SQL serveru, na kterou budete migrovat. Cílová instance může být nainstalována
na jiném stroji než zdrojová.
o Cílová instance SQL serveru musí být ve stejné verze jako zdrojová instance. Downgrade není podporován!
o Musíte mít nainstalované SQL Server Management Studio. Pokud máte obě instance SQL serveru na rozdílných
strojích, nástroj pro správu nainstalujte na oba stroje.
Migrace
1. Zastavte službu ERA Server, resp. ERA Proxy.
2. Přihlaste se prostřednictvím SQL Server Management Studio na původní instanci SQL serveru.
3. Vytvořte úplnou zálohu databáze, kterou budete migrovat (standardně era_db). Doporučujme zadat zcela nový
název zálohy. Pokud jste již databázi dříve zálohovali, při použití stejného jména by se k původní záloze přidala
aktuální. V takovém případě by záloha byla zbytečně velká.
4. Klikněte na databázi a vyberte Tasks > Take Offline.
95
5. Zkopírujte zálohu (.bak souboru) vytvořeného v kroku 3 do umístění, do kterého má přístup cílová instance SQL
serveru. Dále může být potřeba změnit oprávnění pro přístup k danému souboru.
6. Klikněte na databázi a vyberte Tasks > Bring Offline., ale zatím nespouštějte ERA Server!
5. Přihlaste se prostřednictvím SQL Server Management Studio na novou instanci SQL serveru.
7. Obnovte obsah databáze na cílovou instanci SQL serveru.
9. V zobrazeném dialogovém okně zadejte název databáze. Doporučujeme použít stejný jako v původní instanci
(standardně era_db).
10.Dále klikněte na … na konci řádku From device.
96
11.Klikněte na Add a najděte soubor se zálohou databáze.
12.Pokud záloha obsahuje více bodů, vyberte ten nejnovější.
13.V průvodci obnovením přejděte na záložku Options. Volitelně vyberte možnost Overwrite existing database a
ujistěte se, že místo pro obnovení databáze (.mdf) a protokolu (.ldf) je správné. Pokud ponecháte výchozí
hodnoty beze změny, použijí se cesty ze zdrojového SQL serveru. V takovém případě zkontrolujte tyto hodnoty.
o Pokud si nejste jisti, kde jsou soubory databáze na cílovém SQL serveru uloženy, klikněte pravým tlačítkem myši
na existující databázi, z kontextového menu vyberte možnost Properties a přejděte na záložku Files. Ve sloupci
Path se zobrazí cesta ke složce, ve které jsou soubory uloženy.
97
14.Průvodce obnovením ukončete kliknutím na tlačítko OK.
15.Ujistěte se, že máte aktivní možnost SQL Server Authentication. Klikněte pravým tlačítkem na server a z
kontextového menu vyberte možnost Properties. V zobrazeném dialogovém okně přejděte na záložku Security a
ověřte, zda je možnost SQL Server and Windows Authentication mode aktivní.
98
16.Na cílovém SQL serveru vytvořte nový účet pro přístup k SQL serveru, který bude používat ERA Server případně
ERA Proxy.
o Nevynucujte platnost hesla!
o Doporučení pro uživatelské jméno:
Malé ASCII znaky, čísla a podtržítko "_"
o Doporučení pro heslo:
Pouze ASCII znaky včetně malých a velkých písmen, čísla, mezery a speciální znaky
o Nepoužívejte non-ASCII znak, složené závorky {} a @
o Mějte na paměti, že při nedodržení výše uvedených doporučení nemusí dojít k úspěšnému připojení do
databáze případně budete muset použít escape znak při úpravě connection stringu (krok 19).
99
17.Vytvořenému uživateli namapujte obnovenou databázi. Na záložce User Mappings se ujistěte, že uživatel má
následující role: db_datareader, db_datawriter, db_owner.
100
18.Klikněte pravým tlačítkem myši na databázi a z kontextového menu vyberte možnost Properties. Následně
nastavte Compatibility level u obnovené databáze na nejnovější pro přístup ke všem funkcím.
101
Poznámka: SQL Server Management Studio neumožňuje nastavit úroveň kompatibility vyšší, než na verzi, kterou
aktuálně používáte. Příklad: Prostřednictvím SQL Server Management Studio 2008 nenastavíte úroveň na SQL Server
2014.
19. Ujistěte se, že máte do databáze aktivní TCP/IP spojení na portu 1433. Konfiguraci zjistíte a případně změníte
prostřednictvím nástroje Sql Server Configuration Manager v sekci SQL Server Network Conf iguration > Protocols
f or SQLEXPRESS. V pravé části dialogového okna u položky TCP/IP musí být stav Enabled. Následně položku
otevřete a přejděte na záložku Protocols. V dolní části v sekci IPAll nastavte Port. Nastavení uložte kliknutím na
tlačítko OK a restartujte službu SQL Server.
102
20.Na stroji s ERA Serverem, resp. ERA Proxy najděte soubor startupconfiguration.ini a otevřete jej v textovém
editoru.
o Windows Vista a novějších:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration
\startupconf iguration.ini
o Windows XP:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Conf iguration\startupconf iguration.ini
o Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini
20.Změňte connection string pro připojení k databázi.
o Zadejte adresu a port nového databázového serveru.
o Zadejte název nového uživatele a heslo, který má přístup ERA databázi.
Výsledek by měl vypadat takto:
DatabaseType=MSSQLOdbc
DatabaseConnectionString=Driver=SQL Server;Server=localhost,1433;Uid=era_user1;Pwd={TajneHeslo123};Ch
21.Spusťte službu ERA Server, resp. ERA Proxy a ujistěte se, že běží správně.
103
3.5.3.2 Proces migrace MySQL serveru
Předpoklady
o Nainstalovánu cílovou instanci SQL serveru, na kterou budete migrovat. Cílová instance může být nainstalována
na jiném stroji než zdrojová.
o Alespoň na jednom ze strojů musíte mít nainstalované MySQL tools (mysqldump a mysql client).
Užitečné odkazy
http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html
http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html
http://dev.mysql.com/doc/refman/5.6/en/mysql.html
Migrace
V níže uvedených příkazech, konfiguračních souborech nebo SQL dotazech vždy nahraďte:
SRCHOST adresou zdrojového databázového serveru,
SRCROOTLOGIN uživatelem s root oprávněním na zdrojovém databázovém serveru ,
SRCERADBNAME názvem zálohované ERA databáze (standardně era_db),
BACKUPFILE cestou k souboru, do kterého chcete databázi zálohovat,
TARGETHOST adresou cílového databázového serveru,
TARGETROOTLOGIN uživatelem s root oprávněním na cílovém databázovém serveru ,
TARGETERADBNAME názvem cílové ERA databáze,
TARGETERALOGIN uživatelem, který bude mít na cílovém serveru přístup k ERA databázi,
TARGETERAPASSWD heslem uživatele, který bude mít na cílovém serveru přístup k ERA databázi.
Níže uvedené příkazy není nutné spouštět pomocí příkazového řádku. Provádět je můžete prostřednictvím MySQL
tools.
1. Zastavte službu ERA Server, resp. ERA Proxy.
2. Vytvořte úplnou zálohu původní ERA databáze:
mysqldump --host SRCHOST --disable-keys --extended-insert -u SRCROOTLOGIN -p SRCERADBNAME > BACKUPFILE
3. Na novém MySQL serveru si připravte prázdnou databázi:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT
Poznámka: Na linuxových systémech používejte apostrof (') místo uvozovek (").
4. Obnovte databázi na cílový MySQL server do prázdné databáze, kterou jste si připravili v předchozím kroku:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE
5. Vytvořte nového uživatele na cílovém MySQL serveru:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TA
Doporučení pro TARGETERALOGIN:
Malé ASCII znaky, čísla a podtržítko "_"
Doporučení pro TARGETERAPASSWD:
Pouze ASCII znaky, velká a malá písmena, čísla, mezery a speciální znaky
Nepoužívejte non-ASCII znaky, složené závorky {} a @
Mějte na paměti, že při nedodržení výše uvedených doporučení nemusí dojít k úspěšnému připojení do databáze
případně budete muset použít escape znak při úpravě connection stringu (krok 8).
104
6. Přidělte uživateli oprávnění pro přístup do ERA databáze:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN
Poznámka: Na linuxových systémech používejte apostrof (') místo uvozovek (").
7. Na stroji s ERA Serverem, resp. ERA Proxy najděte soubor startupconfiguration.ini a otevřete jej v textovém
editoru.
o Windows Vista a novější:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Conf iguration
\startupconf iguration.ini
o Windows XP:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Conf iguration\startupconf iguration.ini
o Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConf iguration.ini
8. Změňte connection string pro připojení k databázi.
o Zadejte adresu a port nového databázového serveru.
o Zadejte název nového uživatele a heslo, který má přístup ERA databázi.
Výsledek by měl vypadat takto:
DatabaseType=MySqlOdbc
DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERAL
9. Spusťte službu ERA Server, resp. ERA Proxy a ujistěte se, že běží správně.
3.6 ISO obraz
ISO obraz představuje další způsob, jak získat instalační soubory ESET Remote Administrator. Na webových stránkách
společnosti ESET jej naleznete v sekci Stáhnout > Remote Administrator 6 > All-in-one Installers. ISO obsahuje:
ERA instalátor (zip archiv),
Samostatné instalační soubory jednotlivých komponent.
ISO obraz je vhodné použít v případě, kdy chcete ESET Remote Administrator nainstalovat na jeden stroj. Odpadne
vám tak nutnost stahování dalších balíčků z webových stránek společnosti ESET.
105
3.7 DNS servisní záznam
Nastavení DNS záznamu:
1. Na svém DNS serveru (DNS serveru na doménovém řadiči) přejděte na Ovládací panely > Nástroje pro správu.
2. Vyberte DNS.
3. Ve Správci DNS přejděte do větve Zóny dopředného vyhledávání a v části _tcp vytvořte nový záznam Umístění
služby - Service Location (SRV).
4. Podle DNS pravidel použijte podtržítko ( _ ) v názvu služby (použijte unikátní záznam služby, například _era).
5. Do pole Protokol zadejte: _tcp.
6. Jako číslo portu zadejte port 2222. Pokud jste port měnili, zadejte vlastní hodnotu.
7. Do pole hostitel nabízející tuto službu zadejte plně specifikované doménové jméno počítače (FQDN), na
kterém běží ERA Server.
8. Klikněte na tlačítko OK > Hotovo pro uložení záznamu – nově vytvořený záznam se zobrazí v seznamu.
Ověření DNS záznamu:
1. Přihlaste se na jakýkoli počítač v doméně a otevřete příkazový řádek (cmd.exe).
2. Zadejte příkaz nslookup a potvrďte klávesou Enter.
3. Zadejte příkaz set querytype=srv a potvrďte klávesou Enter.
4. Zadejte _era._tcp.domain.name a potvrďte klávesou Enter. Nyní by se měl zobrazit správný záznam.
Poznámka: Postup je stejný pro ERA běžící na Windows i Linuxu.
Poznámka: Pokud nainstalujete ESET Remote Administrator Server na jiný stroj, nezapomeňte změnit hodnotu
hostitel nabízející tuto službu na nové plně specifikované doménové jméno počítače (FQDN).
106
4. Aktualizace, přeinstalace a migrace
V této části si popíšeme, jak aktualizovat komponenty vaší ESET Remote Administrator infrastruktury, jak
přeinstalovat ERA Server a další aktualizační a migrační scénáře.
Před aktualizací nejprve zjistěte, jakou verzi ERA serveru používáte. Tyto informace zjistíte v ERA Web Console na
záložce O programu. Pro ověření, jestli není dostupná nová verze produktu nebo některých komponent můžete
použít přehled Zastaralé aplikace. Podrobné informace o jednotlivých verzích komponent naleznete v Databáze
znalostí.
Postup pro aktualizaci ESET Remote Administrator na nejnovější verzi máme popsán také v Databázi znalostí.
Poznámka: Pokud se chystáte migrovat ERA Server na nový počítač, nejprve si zálohujte certifikační autoritu a
certifikát serveru, které následně naimportujte na nový server. V opačném případě vám přestanou komunikovat
ostatní komponenty ERA infrastruktury s novým serverem.
4.1 Aktualizace ERA komponent
Doporučení
Seznam komponent, které je možné aktualizovat
Předtím než začnete
Proces aktualizace
Řešení problémů
Doporučení:
Doporučený postup pro aktualizaci ERA infrastruktury je použít klientskou úlohu Aktualizace součástí ESET Remote
Administrator. Na následujícím příkladu si ukážeme, jak provést aktualizaci ERA verze 6.1.x na ERA ve verzi 6.3.x
prostřednictvím ERA Web Console.
DŮLEŽITÉ: Před zahájením aktualizace doporučujeme zazálohovat všechny certifikáty a certifikační autoritu.
Postupovat můžete podle následujících kroků:
Exportujte veřejný klíč certifikační autority a .der soubor si uložte.
Exportujte klientské certifikáty (ERA Agenta, serveru, proxy, MDM a dalších komponent) a .pf x soubory si uložte.
Pro zajištění aktualizace všech komponent doporučujeme úlohu Aktualizace součástí ESET Remote Administrator
spustit nad nejnadřazenější statickou skupinou Všechna zařízení.
Seznam komponent, které je možné aktualizovat:
ERA Server
ERA Agent
ERA Proxy
ERA Web Console – možné pouze v případě, kdy jste instalovali konzoli prostřednictvím all-in-one balíčku,
používáte virtual appliance nebo ji máte na Linuxu ve složce /var/lib/tomcat8/webapps/, /var/lib/tomcat7/
webapps/, /var/lib/tomcat6/webapps/ nebo /var/lib/tomcat/webapps/ .
ERA Mobile Device Connector (6.2.x a novější)
Následující komponenty je nutné aktualizovat ručně:
Apache Tomcat
Apache HTTP Proxy
ERA Rogue Detection Sensor
ERA Mobile Device Connector (6.1.x)
107
Předtím než začnete:
UPOZORNĚNÍ: Pokud aktualizace ERA Serveru nebo ERA Web Console selže, nebude možné se vzdáleně do
konzole přihlásit. Při aktualizaci doporučujeme mít fyzický přístup k serveru, na kterém běží ERA Server/ERA Web
Console. Pokud nemůžete zajistit fyzický přístup k serveru, ujistěte se, že jste na server vzdáleně připojeni pod
účtem s administrátorským oprávněním. Před zahájením aktualizace doporučujeme provést zálohu ERA/MDM
databáze. Pro zálohování Virtual Appliance použijte snapshot.
Aktualizace ERA 6.1.x
Při aktualizaci ERA 6.1 nedojde k aktualizaci ERA Agentů, pokud používáte ERA Proxy. V tomto případě je nutné
ERA Agenty na stanice připojené prostřednictvím ERA Proxy nainstalovat ručně nebo prostřednictvím GPO/
SCCM.
ERA Server instalovaný na failover clusteru
Pokud provozujete ERA Server na failover clusteru, je potřeba aktualizovat instance ERA Serveru na jednotlivých
uzlech clusteru ručně. Následně již můžete zbytek infrastruktury (ERA Agenty na klientských stanicích)
aktualizovat pomocí klientské úlohy pro aktualizaci součástí ERA.
ERA Agent instalovaný na Linuxu s využívající systemd
Pokud máte na linuxových strojích využívající systemd pro správu služeb ERA Agenta ve verzi 6.1.450 nebo starší,
před aktualizací je nutné na stanici spustit níže uvedený skript. Poté můžete provést aktualizaci prostřednictvím
klientské úlohy. Na distribucích využívající SysV init skripty nebo upstart toto není potřeba.
#!/bin/sh -e
systemd_service=eraagent.service
systemd_service_path="/etc/systemd/system/$systemd_service"
if ! grep "^KillMode=" "$systemd_service_path" > /dev/null
then
echo "Applying 'KillMode' change to '$systemd_service_path'"
sed -i 's/\[Service\]/[Service]\nKillMode=process/' "$systemd_service_path"
else
echo "'KillMode' already set. No changes applied."
exit 0
fi
systemctl daemon-reload
if systemctl is active $systemd_service > /dev/null
then
echo "Restarting instance of '$systemd_service'"
systemctl restart $systemd_service
fi
Důležité informace před aktualizací Apache HTTP Proxy na Microsoft Windows
Pokud používáte Apache HTTP Proxy a měnili jste její konfiguraci, před aktualizací této komponenty doporučujeme
zazálohovat konfigurační soubor httpd.conf,který naleznete ve složce C:\Program Files\Apache HTTP Proxy\conf \). V
opačném případě není potřeba tento soubor zálohovat. Po dokončení aktualizace proveďte opět požadované úpravy
v souboru httpd.conf. Pro aktualizaci použijte jednu z metod popsaných v této kapitole.
Varování: Pokud jste prováděli změny v souboru httpd.conf (například nastavovali autorizaci pomocí jména a
hesla), po dokončení aktualizace zkopírujte své změny ze zazálohovaného souboru httpd.conf. Nikdy nepoužívejte
původní soubor! Více informací o ruční konfiguraci httpd.conf naleznete v kapitole Instalace Apache HTTP Proxy na
Windows.
Důležité informace před aktualizací Apache HTTP Proxy na virtuální appliance
Pokud používáte Apache HTTP Proxy a měnili jste její konfiguraci, před aktualizací této komponenty doporučujeme
zazálohovat konfigurační soubor httpd.conf,který naleznete ve složce /opt/apache/conf /). V opačném případě není
potřeba tento soubor zálohovat. Po dokončení aktualizace proveďte opět požadované úpravy v souboru httpd.conf.
108
Po dokončení klientské úlohy pro aktualizaci ERA spusťte níže uvedený příkaz, vzdáleně nebo přímo ze
systémové konzole:
wget http://help.eset.com/era_install/63/apache/httpd.conf -O /tmp/httpd.conf\
-o /tmp/wgeterror.log && cp /tmp/httpd.conf /opt/apache/conf/httpd.conf
Případně si stáhněte soubor httpd.conf a nahraďte jej ručně ve složce /opt/apache/conf /.
Varování: Pokud jste prováděli změny v souboru httpd.conf (například nastavovali autorizaci pomocí jména a
hesla), po dokončení aktualizace zkopírujte své změny ze zazálohovaného souboru httpd.conf. Nikdy
nepoužívejte původní soubor! Více informací o ruční konfiguraci httpd.conf naleznete v kapitole Instalace
Apache HTTP Proxy na Linuxu.
Proces aktualizace:
Úlohu pro aktualizaci součástí ESET Remote Administrator vytvoříte pomocí následujících kroků.
1. Přejděte na záložku Administrace > Klientské úlohy.
2. Klikněte na tlačítko Nová....
109
Obecné
3. Zadejte název úlohy, volitelně popis.
4. Jako typ úlohy vyberte Aktualizace součástí ESET Remote Administrator.
110
111
Cíl
5. V této části vyberte klienty (jednotlivé počítače nebo celé skupiny), na kterých chcete úlohu spustit. Pro
spuštění úlohy na všech zařízeních v síti přidejte statickou skupinu Všechna zařízení.
Podmínka spuštění
6. Z rozbalovacího menu typ podmínky vyberte CRON výraz. Pomocí CRON výrazu zadejte datum, kdy chcete
úlohu spustit. Například R R R 15 5 ? 2015 pro náhodné spuštění 15.5.2015.
Možnost Provést jakmile je to možné, pokud úloha nebyla provedena používejte obezřetně, obzvláště ve
virtualizovaném prostřední. V takovém případě může dojít k současnému spuštění úlohy na všech klientech a
tím přetížíte svoji virtuální infrastrukturu.
Doporučujeme Použít lokální čas. V tomto případě se použije čas na klientovi, nikoli na serveru. Akci dokončete
kliknutím na tlačítko Dokončit.
112
Nastavení
7. Odsouhlaste licenční ujednání koncového uživatele. Pro více informací přejděte do kapitoly Správa licence
nebo EULA.
113
8. Klikněte na <Vyberte server>, ze seznamu vyberte produkt verzi ESET Remote Administrator Server, na kterou
chcete aktualizovat a klikněte na tlačítko OK.
114
Přehled
9. V této části se zobrazí souhrnné informace o vytvářené úloze. Zkontrolujte, zda nastavení odpovídá vašim
představám a vytvoření úlohy dokončete kliknutím na tlačítko Dokončit.
115
Řešení problémů:
Na počítači, na kterém provádíte aktualizaci se ujistěte, že máte přístup na ESET repozitář (ověřte, zda jste schopni
stáhnout soubor http://repository.eset.com/v1/inf o.meta).
Opětovné spuštění aktualizační úlohy selže, pokud již byla alespoň jedna komponenta aktualizována na novější
verzi.
Pokud přesto úloha z neznámého důvodu selže, aktualizujte komponenty ručně (Windows, Linux).
Další indicie vedoucí k vyřešení problému naleznete v této kapitole.
4.1.1 Aktualizace bezpečnostního produktu
Bezpečnostní produkt na klientské stanici můžete prostřednictvím ESET Remote Administrator aktualizovat dvěma
způsoby.
Poznámka: Parametr ADDLOCAL podporuje pouze ESET Endpoint Security a neplatí pro ESET Endpoint Antivirus ani
ESET File Security. Více informací naleznete v dokumentaci k produktu ESET Endpoint Security.
Pomocí klientské úlohy Instalace aplikace – z repozitáře vyberte balíček, který chcete nainstalovat nebo zadejte
cestu k instalačnímu msi balíčku:
Příklad:
f ile://\\Win2012-server\share\ees_nt64_enu.msi (do složky musí mít uživatelé veřejný přístup)
V případě potřeby pomocí parametru ADDLOCAL=<list> specifikujte komponenty, které chcete nainstalovat.
116
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,WebControl
,UpdateMirror,DocumentProtection,DeviceControl
(přidá všechny komponenty kromě NAP a firewallu)
Více informací o klientské úloze pro instalaci aplikace naleznete v administrační části dokumentace.
Pomocí klientské úlohy Spustit příkaz
Příklad:
msiexec.exe /i \\Win2012-server\share\ees_nt64_enu.msi /qn
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,WebControl,Upda
C:/install.log
Více informací o klientské úloze pro spuštění příkazu naleznete v administrační části dokumentace.
4.2 Migrace z ERA 4/5
Pokud chcete při migrace z ESET Remote Administrator 4/5 přenést stávající data, můžete k tomu použít migrační
nástroj. Jedná se o samostatnou aplikaci dostupnou pro Windows, která převede databázi ERA 4.x /5.x do
intermediate formátu. Převedená data následně můžete importovat do ERA 6.x bez ohledu na tom, zda ji
provozujete na Windows nebo Linuxu.
Důležité: Vždy je nutné použít migrační nástroj ve verzi, která odpovídá verzi ESET Remote Administrator, na
kterou se chystáte přejít. Více informací o verzi jednotlivých komponent ERA naleznete v Databázi znalostí.
Stáhněte si správnou verzi ESET Remote Administrator Migration Tool.
Migrační nástroj je nutné spustit přímo na serveru, kde běží ERA 4.x / 5.x sever. Není možné migrační nástroj
spustit ze vzdálené stanice.
Konfigurace starého ERA serveru se nepřenese.
Parametrické skupiny není možné přenést.
Politiky můžete přenést prostřednictvím migrační nástroje od verze 6.2.x. Mějte na paměti, že migrace politik má
jistá omezení:
Přenesou se pouze politiky z nejnadřazenějšího ERA serveru.
Přenesou se pouze samotné politiky, nikoli vzat mezi politikami a počítači.
Po dokončení migrace politiky přiřaďte ručně skupinám nebo klientům.
Hierarchie politik bude zapomenuta. Nastavení, které ve starém ERA mělo příznak override bude nově
označeno příznakem vynutit.
Pokud jste v jedné politice měli konfiguraci pro více produktů, politika bude rozdělena na dílčí politiky.
Poznámka: Po dokončení migrace doporučujeme zkontrolovat přenesená data (počítače, statické skupiny, politiky
atp.) a ujistěte se, že výsledek odpovídá vašemu očekávání. V případě nesrovnalostí politiky upravte ručně, nebo
vytvořte nové.
Poznámka: Pokud se v průběhu migrace vyskytne chyba, zapíše do protokolu migration.log, který se vytvoří se
stejné složku odkud jste nástroj spustili. Pokud máte do složky pouze přístup pro čtení, protokol se rovnou zobrazí.
To samé se stane v případě, kdy nemáte dostatek místa na disku pro vytvoření protokolu.
117
Poznámka: Pro vyřešení problému s chybějící knihovnou MSVCP100.dll nebo MSVCR100.dll nainstalujte nejnovější
verzi balíčku Microsoft Visual C++ 2010 Redistributable. Stáhnout jej můžete přímo ze stránek společnosti Microsoft
na tomto odkaze: Microsoft Visual C++ 2010 Redistributable Package (x86).
V dalších kapitolách máme popsány nejčastější migrační scénáře:
Migrační scénář č.1 – migrace ze starého serveru na nový,
Migrační scénář č.2 – migrace v rámci jednoho serveru,
Migrační scénář č.3 – současný běh ERA 4/5 a ERA 6.
118
4.2.1 1. scénář: migrace ze starého serveru na nový
Tento scénář pokrývá migraci ERA 4.x / 5.x na jiný počítač s ERA 6.x. Podrobnější informace včetně návodu popisující
následnou instalaci pomocí all-in-one instalačního balíčku naleznete v Databázi znalostí.
1. Nainstalujte ERA 6.x na nový server.
2. Na stroji s ERA 4.x / 5.x spusťte ESET Remote Administrator Migration tool a vyberte možnost Export, pro export
dat do intermediate formátu.
3. Průvodce migrací dokáže převést jen některá data. Vyberte data, která chcete převést a klikněte na tlačítko Další.
Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické skupiny a úlohy z
předchozí verze. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x
databáze.
Všechna data jsou exportována do intermediate databáze. Tato databáze je založena na SQLite formátu a
nevyžaduje žádné další nástroje. Exportovanou databázi je možné spravovat pouze prostřednictvím nástroje pro
migraci.
4. Po dokončení exportu máte dvě možnosti:
Ukončete migration tool, zkopírujte databázový soubor na nový počítač s ESET Remote Administrator 6.x, a
prostřednictvím ERA Migration tool databázi importujte.
Nebo klikněte na Importovat nyní pro přímý import databáze do ESET Remote Administrator 6.x
prostřednictvím sítě. K tomu bude potřeba zadat údaje pro připojení k novému ERA Serveru a přihlašovací
údaje do ERA Web Console.
Poznámka: Statické skupiny získané synchronizací s Active Directory budou ignorovány a nebudou exportovány.
119
Pokud nebude možné některá nastavení importovat, ESET Remote Administrator Migration tool zobrazí tipy
pro změnu nastavení nového ERA Serveru, které je potřeba provést, aby se importování podařilo.
Proces importování každé části se zapíše do samostatného migračního protokolu. Po úspěšném dokončení
importu všech částí se vytvoří také výsledný migrační protokol.
Pokud migrujete také uživatele, hesla k účtům budou resetována a nahrazena náhodně vygenerovanými.
Hesla budou následně dostupná v .CSV souboru.
Průvodce migrací vygeneruje také instalační.bat skripty, které můžete použít pro instalaci již
předkonfigurovaného ERA Agenta.
Důkladně si zkontrolujte nastavení migračního nástroje a po dokončení se ujistěte, zda byla zálohována
všechna data. Po ověření nasaďte prostřednictvím skriptu ERA Agent na několik stanic, a ověřte, že se připojili
k novému ERA Serveru.
Po úspěšném ověření konektivity nasaďte ERA Agenta na zbývající počítače.
Poznámka: Pokud v průběhu migrace dojde k chybě, doporučujeme vrátit změny ERA 6.x, obnovit zálohovaná data
ERA 4.x / 5.x, počítače zpět připojit k ERA 4.x / 5.x a kontaktovat technickou podporu ESET.
120
4.2.2 2. scénář: migrace v rámci jednoho serveru
Tento scénář pokrývá migraci ERA 4.x / 5.x na ERA 6.x, který chcete provozovat na stejném serveru. Před migrací dat
zálohujte ERA V4/V5 data prostřednictvím nástroje ESET Maintenance tool, a poté zastavte službu ESET Remote
Administrator Server.
Poznámka: Tento scénář máme zpracován také jako video návod. Podrobnější návod popisující následnou instalaci
pomocí all-in-one instalačního balíčku naleznete v Databázi znalostí.
1. Po spuštění ESET Remote Administrator Migration tool na počítači s ERA V4/V5 vyberte možnost Export, pro
export dat do intermediate formátu. Průvodce migrací dokáže převést jen některá data. Vyberte data, která
chcete převést a klikněte na tlačítko Další.
Poznámka: Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické
skupiny, úlohy a politiky z předchozí verze.
121
122
2. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x databáze.
3. Všechna data jsou exportována do intermediate databáze.
Po úspěšném exportování dat odinstalujte ESET Remote Administrator V4/V5.
Poté proveďte instalaci ERA 6. Po dokončení instalace spusťte Migration tool a importujte zálohovaná data.
123
4.2.3 3. scénář: současný běh ERA 4/5 a ERA6 na jednom serveru
Tento scénář pokrývá migraci na ESET Remote Administrator 6 při současném běhu ERA 4.x/5.x na stejném počítači.
Použít jej můžete v případě, kdy si chcete ERA 6 vyzkoušet, ale zároveň potřebujete zachovat stávající ERA
infrastrukturu.
Poznámka: Tento scénář je určen pouze pro zkušené uživatele a měli byste jej použít pouze v případě, kdy nemáte
jinou možnost.
1. Po spuštění ESET Remote Administrator Migration tool na počítači s ERA V4/V5 vyberte možnost Export, pro
export dat do intermediate formátu. Průvodce migrací dokáže převést jen některá data. Vyberte data, která
chcete převést a klikněte na tlačítko Další.
Poznámka: Z důvodu odlišného fungování dynamických skupin v ERA 6.x není možné přenést parametrické
skupiny, úlohy a politiky z předchozí verze.
124
125
2. Po vybrání složky, do které chcete databázi exportovat, průvodce zobrazí stav původní ERA 4.x / 5.x databáze.
3. Všechna data jsou exportována do intermediate databáze.
4. Pokud ERA 6 chcete nainstalovat na stejný počítač, musíte ERA 4.x / 5.x změnit používané porty a přejmenovat
jeho službu. Přejmenování provedete například pomocí příkazu: sc config ERA_SERVER DisplayName= “ESET
Remote Administrator g1” .
5. Nyní můžete ESET Remote Administrator 4.x / 5.x znovu spustit.
6. Nainstalujte ESET Remote Administrator 6 a pomocí migračního nástroje naimportujte data z původního serveru
pomocí.
126
Mějte na paměti, že v tomto případě se neexportují žádné protokoly z doby od zálohy databáze ERA 4.x/5.x až do
nasazení ERA Agenta. Nicméně tato data budou stále dostupná v původní ERA 4.x/5.x.
4.3 Migrace ze starého serveru na nový
ESET Remote Administrator je možné přenést ze staré ho serveru na nový několik způsoby. Záleží na vašem síťovém
prostředí a požadavcích. Níže uvádíme jednotlivé scénáře:
Čistá instalace – stejná IP adresa – nová instalace ERA Serveru na stroji se stejnou IP adresou bez zachování
databáze z původní instalace.
Čistá instalace – odlišná IP adresa – nová instalace ERA Serveru na stroji se jinou IP adresou bez zachování
databáze z původní instalace.
Migrace databáze – stejná IP adresa – migrace stejné verze ERA na nový server se stejnou IP adresou při zachování
databáze (stejný databázový server – z MySQL na MySQL, z MSSQL na MSSQL).
Migrace databáze – odlišná IP adresa – migrace stejné verze ERA na nový server s jinou IP adresou při zachování
databáze (stejný databázový server – z MySQL na MySQL, z MSSQL na MSSQL).
Poznámka: Proces migrace z jednoho serveru na jiný je podporován od verze 6.2.
Poznámka: Importovaná certifikační autorita slouží pouze pro ověření používaných certifikátů. ERA Agenti, které
nainstalujete a připojíte do nového ERA serveru budou používat již certifikáty podepsané novou certifikační
autoritou.
127
4.3.1 Čistá instalace – stejná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na stejné IP adrese jako původní a nepotřebujete data z
původní instalace (databáze).
Na stávajícím/původním ERA serveru:
1. Exportujte používané certifikáty a certifikační autority:
o Exportujte veřejný klíč certifikační autority a uložte si jej jako .der soubor.
o Exportujte klientské certifikáty (serveru, agenta, proxy, MDM atp.) a uložte si je jako .pf x soubor. Exportovaný
.pf x soubor obsahuje rovněž jejich privátní klíče.
2. Vypněte server, na kterém běžel původní ERA.
Důležité: Prozatím původní ERA server neodinstalovávejte.
Na novém ERA serveru:
Důležité: Ujistěte se, že nový server má stejné síťové nastavení (IP adresu, FQDN, název serveru, DNS SRV
záznam) jako ten původní.
1. Nainstalujte nový ERA Server prostřednictvím all-in-one instalačního balíčku (Windows), po jednotlivých
komponentách (Windows, Linux) nebo použijte virtuální appliance.
3. Importujte veřejný klíč certifikační autority exportovaný ze starého serveru.
4. V nastavení serveru nahraďte certifikát serveru za ten, který jste si exportovali ze starého serveru.
5. Nahrajte licence do nového ERA serveru.
6. Restartujte službu ERA Server, například podle těchto kroků.
ERA Agenti se nyní připojí k novému ERA serveru. Používají stále původní certifikát, který ověří naimportovaná
certifikační autorita ze starého serveru. Pokud se stanice nepřipojují, přejděte do kapitoly problémy po aktualizaci/
migraci ERA serveru.
Odinstalace starého ERA serveru:
Až si budete jisti, že se všichni klienti připojili na nový server, můžete starý odinstalovat.
4.3.2 Čistá instalace – odlišná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na jiné IP adrese než původní a nepotřebujete data z původní
instalace (databáze).
1. Vygenerujte certifikát ERA Serveru, který bude obsahovat údaje o novém serveru. V poli adresa ponechte
hvězdičku (*). Tím certifikát nebude vázán na konkrétní DNS jméno nebo IP adresu a zajistíte tak bez problémové
připojení stanic.
3. Vytvořte politiku pro ERA Agenta, prostřednictvím které jej přesunete na nový server a přiřaďte ji všem zařízením
(ideálně nejnadřazenější skupině Všechna zařízení).
128
4. Až si všichni agenti novou politiku převezmou, přestanou se připojovat, zastavte službu ERA server, případně
vypněte celý server.
komponentách (Windows, Linux) nebo použijte virtuální appliance.
5. Nahrajte licence do nového ERA serveru.
4.3.3 Migrace databáze – stejná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na stejné IP adrese jako původní a potřebujete zachovat data
z původní instalace (databáze).
Důležité: Migrovat můžete pouze stejné typy databáze (z MySQL na MySQL, resp. z MSSQL na MSSQL).
Důležité: Migrovat je možné pouze stejné verze ESET Remote Administrator. Například pokud máte ERA 6.3.12.0,
její databázi můžete namigrovat pouze na server, na kterém poběží ERA ve verzi 6.3.12.0. Informace o verzích
jednotlivých komponent ERA naleznete v tomto článku. Po dokončení migrace doporučujeme ověřit, zda není
dostupná novější verze ERA.
2. Zastavte službu ERA Server.
3. Exportujte/zálohujte databázi ERA.
4. Volitelně stávající server vypněte.
Důležité: Ujistěte se, že nový server má stejné síťové nastavení (IP adresu, FQDN, název serveru, DNS SRV
záznam) jako ten původní.
129
1. Nainstalujte databázový server, který bude ERA používat.
2. Importujte/obnovte původní databázi ERA.
komponentách (Windows, Linux) nebo použijte virtuální appliance. V průběhu instalace zadejte údaje pro
připojení k databázovému serveru.
4.3.4 Migrace databáze – odlišná IP adresa
Tento scénář pokrývá stav, kdy nový ERA server poběží na jiné IP adrese než původní a potřebujete zachovat data z
původní instalace (databáze).
Důležité: Migrovat můžete pouze stejné typy databáze (z MySQL na MySQL, resp. z MSSQL na MSSQL).
Důležité: Migrovat je možné pouze stejné verze ESET Remote Administrator. Například pokud máte ERA 6.3.12.0,
její databázi můžete namigrovat pouze na server, na kterém poběží ERA ve verzi 6.3.12.0. Informace o verzích
jednotlivých komponent ERA naleznete v tomto článku. Po dokončení migrace doporučujeme ověřit, zda není
dostupná novější verze ERA.
1. Vygenerujte certifikát ERA Serveru, který bude obsahovat údaje o novém serveru. V poli adresa ponechte
hvězdičku (*). Tím certifikát nebude vázán na konkrétní DNS jméno nebo IP adresu a zajistíte tak bez problémové
připojení stanic.
3. Vytvořte politiku pro ERA Agenta, prostřednictvím které jej přesunete na nový server a přiřaďte ji všem zařízením
(ideálně nejnadřazenější skupině Všechna zařízení).
4. Zastavte službu ERA Server.
5. Exportujte/zálohujte databázi ERA.
6. Volitelně stávající server vypněte.
1. Nainstalujte databázový server, který bude ERA používat.
2. Importujte/obnovte původní databázi ERA.
130
komponentách (Windows, Linux) nebo použijte virtuální appliance. V průběhu instalace zadejte údaje pro
připojení k databázovému serveru.
6. V nastavení serveru nahraďte certifikát serveru za ten, který jste si vygenerovali a exportovali ze starého serveru.
4.3.5 Odinstalace ERA serveru
Instanci původního ERA serverů můžete zrušit následujícími způsoby:
Důležité: Před zrušením starého serveru se ujistěte se, že se všichni ERA Agenti připojují k novému ERA serveru.
1. Pokud jste měli server dedikovaný pouze pro ESET Remote Administrator, server zrušte, případně disk
zformátujte.
2. Pokud server chcete dále používat:
odinstalujte manuálně jednotlivé komponenty,
po dokončení odinstalace proveďte restart,
databázi odstraňte až ve chvíli, kdy odinstalujete veškeré ERA komponenty, které ji využívají (ERA Server/Proxy/
MDM).
4.4 Aktualizace Apache HTTP Proxy
Apache HTTP Proxy je samostatná komponenta, která při použití s ESET Remote Administrator 6 může sloužit pro
distribuci aktualizací a instalačních balíčků. Pomocí Apache HTTP Proxy tedy můžete minimalizovat vytížení připojení
k internetu.
Pokud máte nainstalovanou starší verzi komponenty Apache HTTP Proxy, aktualizovat ji můžete ručně nebo
prostřednictvím all-in-one instalačního balíčku.
4.4.1 Aktualizace Apache HTTP Proxy na Windows pomocí all-in-one instalačního balíčku
Pro aktualizaci Apache HTTP Proxy prostřednictvím all-in-one instačního balíčku uloženého na lokálním disku
1. Zazálohujte následující soubory:
C:\Program Files\Apache HTTP Proxy\conf \httpd.conf
C:\Program Files\Apache HTTP Proxy\bin\password.f ile
C:\Program Files\Apache HTTP Proxy\bin\group.f ile
2. Zastavte službu ApacheHttpProxy, například do příkazového řádku s administrátorským oprávněním zadejte
příkaz:
131
3. Pomocí setup.exe spusťte all-in-one instalační balíček.
4. Vyberte možnost Instalovat/Aktualizovat Apache HTTP Proxy a klikněte na tlačítko Další.
Odsouhlaste licenční ujednání a klikněte na tlačítko Další. Postupujte podle kroků na obrazovce a aktualizaci
dokončete kliknutím na tlačítko Dokončit.
Pokud jste měIi přístup k Apache HTTP Proxy zaheslován (podle kroku 8 v kapitole Instalace Apache HTTP Proxy),
nahraďte níže uvedený kus kódu:
<Proxy *>
Deny from all
</Proxy>
v souboru httpd.conf tímto (naleznete jej rovněž v záloze z kroku 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
Pokud jste prováděli další změny v souboru httpd.conf, zkopírujte tyto změny ze zálohovaného souboru z
kroku 1.
5. Uložte změny a spusťte službu ApacheHttpProxy, například do příkazového řádku s administrátorským
oprávněním zadejte příkaz:
132
6. Funkčnost Apache HTTP Proxy ověřte zadáním níže uvedené adresy do webového prohlížeče:
Pokud Apache HTTP Proxy po aktualizaci nenabízí, pro řešení problémů se podívejte do protokolů Apache HTTP
Proxy.
4.4.2 Ruční aktualizace Apache HTTP Proxy na Windows
Pro ruční aktualizaci Apache HTTP Proxy postupujte podle následujících kroků:
1. Zazálohujte následující soubory:
C:\Program Files\Apache HTTP Proxy\conf \httpd.conf
C:\Program Files\Apache HTTP Proxy\bin\password.f ile
C:\Program Files\Apache HTTP Proxy\bin\group.f ile
2. Zastavte službu ApacheHttpProxy, například do příkazového řádku s administrátorským oprávněním zadejte
příkaz:
3. Z webových stránek společnosti ESET si stáhněte archiv Apache HTTP Proxy. Obsah archivu rozbalte do složky C:
\Program Files\Apache HTTP Proxy\ a původní soubory přepište.
4. Přejděte do složky C:\Program Files\Apache HTTP Proxy\conf a v textovém editoru otevřete soubor httpd.conf.
5. Do konec souboru přidejte níže uvedené řádky:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
6. Pokud jste měIi přístup k Apache HTTP Proxy zaheslován (podle kroku 8 v kapitole Instalace Apache HTTP Proxy),
nahraďte níže uvedený kus kódu:
<Proxy *>
Deny from all
</Proxy>
v souboru httpd.conf tímto (naleznete jej rovněž v záloze z kroku 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
Pokud jste prováděli další změny v souboru httpd.conf, zkopírujte tyto změny ze zálohovaného souboru z
kroku 1.
7. Uložte změny a spusťte službu ApacheHttpProxy, například do příkazového řádku s administrátorským
oprávněním zadejte příkaz:
8. Funkčnost Apache HTTP Proxy ověřte zadáním níže uvedené adresy do webového prohlížeče:
133
Pokud Apache HTTP Proxy po aktualizaci nenabízí, pro řešení problémů se podívejte do protokolů Apache HTTP
Proxy.
4.5 Aktualizace Apache Tomcat
Webový server Apache Tomcat zajišťuje běh ERA Web Console. Protože se jedná o komponentu třetí strany,
doporučujeme ji pravidelně aktualizovat. Pro aktualizaci Apache Tomcat postupujte podle níže uvedených kroků, v
závislosti na operačním systému:
Ruční aktualizaci na Windows
Aktualizace na Windows pomocí all-in-one instalačního balíčku
Ruční aktualizace na Linuxu
4.5.1 Aktualizace Apache Tomcat na Windows pomocí all-in-one instalačního balíčku
Pomocí níže uvedených kroků aktualizujete Apache Tomcat na Windows prostřednictvím all-in-one instalačního
balíčku.
Upozornění: Prostřednictvím all-in-one instalačního balíčku je možné aktualizovat Apache Tomcat 7.x na novější
verzi 7.x.
Před zahájením aktualizace
1. Ujistěte se, že máte nainstalovanou aktuální verzi Java.
2. Pro ověření aktuálně používané verze:
a. Stiskněte klávesy Win + R, zadejte services.msc a potvrďte kliknutím na tlačítko OK.
b. Klikněte na službu Apache Tomcat a z kontextového menu vyberte možnost Vlastnosti. V zobrazeném
dialogovém okně na záložce Obecné uvidíte číslo verze (například 7.0.67).
3. Ověřte, zda verze na kterou chcete přejít, je podporována produkty ESET.
Postup aktualizace
1. Zastavte službu Apache Tomcat a ukončete proces Tomcat7w.exe:
a. Stiskněte klávesy Win + R, zadejte services.msc, a potvrďte kliknutím na tlačítko OK.
b. Klikněte na službu Apache Tomcat a z kontextové nabídky vyberte možnost Zastavit.
c. Prostřednictvím systray ukončete proces Tomcat7w.exe.
2. Zálohujte níže uvedené soubory (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \server.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \tomcat-users.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties
3. Stáhněte si aktuální verzi Apache Tomcat (apache-tomcat-[verze].exe).
4. Odinstalujte Apache Tomcat.
5. Ujistěte se, že došlo také k odstranění složky (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\
134
6. Přejděte do složky se staženým all-in-one instalačním balíčkem.
7. Zkopírujte stažený balíček apache-tomcat-[version].exe do složky ./win32/installers, resp. ./x64/installers a
nahraďte původní instalační balíček.
8. Ve složce s all-in-one instalačním balíčkem otevřete příkazový řádek a instalaci spusťte příkazem:
Setup.exe --mode webconsole
9. Vyberte ESET Remote Administrator Webconsole a pokračujte kliknutím na tlačítko Další.
10. Odsouhlaste licenční ujednání a klikněte na tlačítko Další.
11. V dalším okně klikněte na tlačítko Instalovat.
12. Do složky %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
conf ig/ nahrajte zálohovaný soubor EraWebServerConf ig.properties.
13.Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
4.5.2 Ruční aktualizace Apache Tomcat na Windows
Pomocí níže uvedených kroků aktualizujete ručně Apache Tomcat na Windows.
1. Ujistěte se, že máte nainstalovanou aktuální verzi Java.
2. Pro ověření aktuálně používané verze:
a. Stiskněte klávesy Win + R, zadejte services.msc a potvrďte kliknutím na tlačítko OK.
b. Klikněte na službu Apache Tomcat a z kontextového menu vyberte možnost Vlastnosti. V zobrazeném
dialogovém okně na záložce Obecné uvidíte číslo verze (například 7.0.67).
Postup aktualizace
1. Zastavte službu Apache Tomcat a ukončete proces Tomcat7w.exe:
a. Stiskněte klávesy Win + R, zadejte services.msc, a potvrďte kliknutím na tlačítko OK.
b. Klikněte na službu Apache Tomcat a z kontextové nabídky vyberte možnost Zastavit.
c. Prostřednictvím systray ukončete proces Tomcat7w.exe.
2. Zálohujte níže uvedené soubory (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \server.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\conf \tomcat-users.xml
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties
3. Stáhněte si aktuální verzi Apache Tomcat (apache-tomcat-[verze].exe).
4. Odinstalujte Apache Tomcat.
5. Ujistěte se, že došlo také k odstranění složky (název složky se může lišit v závislosti na použité verzi):
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\
6. Nainstalujte aktuální verzi Apache Tomcat.
7. Po dokončení instalace odškrtněte na poslední straně průvodce možnost Run Apache Tomcat.
135
8. Obnovte zálohovaný .keystore a server.xml do původního umístění. To je možné pouze při aktualizaci v rámci
majoritní verze (například při aktualizaci verze 7.x na 7.x, z verze 8.x na 8.x). Případně znovu nastavte používání
HTTPS protokolu.
9. Znovu nasaďte ERA Web Console (postup pro Windows).
10. Do složky %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
conf ig/ nahrajte zálohovaný soubor EraWebServerConf ig.properties.
11. Spusťte Apache Tomcat a nastavte správnou verzi Java VM:
Klikněte na Start > Všechny programy > Apache Tomcat > Monitor Tomcat. Na záložce Obecné klikněte na
tlačítko Start.
Na záložce Java vyberte možnost Use default a potvrďte kliknutím na tlačítko OK. Více informací naleznete v
Databázi znalostí.
12.Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
4.5.3 Aktualizace Apache Tomcat na Linuxu
1. Ujistěte se, že používáte aktuální verzi doplňku Java.
Ověřte, zda se aktualizoval balíček openj dk (viz tabulka níže).
2. Pro ověření aktuálně používané verze použijte příkaz:
cd /usr/share/tomcat/bin && ./version.sh
(v závislosti na použité verzi může název složky obsahovat číslo
verze, například tomcat7 nebo tomcat8)
Postup aktualizace
1. Zastavte službu Apache Tomcat:
(v závislosti na použité verzi může název služby obsahovat číslo verze, například
tomcat7 nebo tomcat8 )
service tomcat stop
2. Aktualizuje Apache Tomcat a doplněk Java.
sudo-apt-get update
sudo apt-get install openjdk-7-jdk tomcat7
CentOS, Red Hat a Fedora
distribuce
yum update
yum install java-1.8.0-openjdk tomcat
OpenSUSE
zypper refresh
zypper install java-1_8_0-openjdk tomcat
Důležité: Po dokončení aktualizace na majoritní verzi (například při aktualizaci Apache Tomcat z verze 7.x na 8.x):
Znovu nasaďte ERA Web Console (postup pro linuxu) a do složky %TOMCAT_HOME%/webapps/era/WEB-INF/
classes/sk/eset/era/g2webconsole/server/modules/conf ig/ nahrajte zálohovaný soubor
EraWebServerConf ig.properties .
Nastavte webový server Apache Tomcat tak, aby používal HTTPS protokol.
Připojte se k ERA Web Console a ověřte, zda vše korektně funguje.
136
4.6 Změna názvu nebo IP adresy ERA Serveru
Pro změnu názvu nebo IP adresy ERA serveru postupujte podle následujících kroků:
1. Pokud ERA server používá certifikát, který je vázán na konkrétní název nebo IP adresu, vytvořte nový serverový
certifikát. V případě, že máte hvězdičkový (*) certifikát, přejděte rovnou na krok 3.
Při generování nového certifikátu do pole adresa zadejte stávající informace a dále nový název, resp. novou IP
adresu. Jednotlivé údaje oddělte čárkou.
2. Certifikát podepište pomocí vestavěné ERA autority.
3. Vytvořte politiku pro ERA Agenta, ve které definujte novou adresu, na které ERA server poběží. Zároveň přidejte
taky stávající adresu. Tím zajistíte, že se stanice stále budou připojovat na původní adresu a po změně IP adresy
serveru zůstanou připojeni.
4. Politiku přiřaďte všem zařízením a vyčkejte, až si ji všichni ERA Agenti převezmou. Agenti budou chtít primárně
replikovat data novému serveru (zatím nedostupnému), ale protože jste v politice ponechali informace o
původním serveru, stále zůstanou připojeni.
5. Upravte nastavení ERA tak, aby server používal nový certifikát.
6. Restartujte službu ERA Server a změňte název/IP adresu serveru.
137
5. Prvotní kroky
Po úspěšné instalaci ESET Remote Administrator můžete přejít ke konfiguraci. V následujících kapitolách vám
ukážeme doporučené kroky, které byste měli provést po instalaci ESET Remote Administrator.
Nejprve si v internetovém prohlížeči otevřete ERA Web Console a přihlaste se.
Seznamte se s ERA Web Console
Před tím, než se pustíte do prvotního nastavení, se seznamte s ERA Web Console – rozhraním, které budete používat
pro vzdálenou správu bezpečnostních produktů ESET.
Po otevření ERA Web Console doporučujeme přejít na záložku Administrace > Průvodce nastavením. Tento průvodce
vám pomůže s prvotními kroky.
Vytvořte nové uživatele a potřebné sady oprávnění
V průběhu instalaci se vytvoří výchozí účet Administrator. Tento účet nedoporučujeme používat na každodenní
činnosti a raději si vytvořte nový uživatelský účet a přiřaďte mu potřebnou sadu oprávnění.
Přidejte klienty, servery a mobilní zařízení do své ERA infrastruktury
Již v průběhu instalace ESET Remote Administrator můžete prohledat vaši síť a najít počítače v síti. Nalezené počítače
se následně zobrazí v ERA na záložce Počítače. Pokud v této části žádné počítače nevidíte, spusťte úlohu
synchronizace statické skupiny.
Nasaďte na klienty ERA Agenta
Na nalezené klienty nasaďte ERA Agenta. ERA Agent je důležitá součást, která zajišťuje komunikaci mezi ESET
Remote Administrator a klienty.
Nainstalujte a aktivujte bezpečnostní produkt ESET
Pro zajištění ochrany klientů a vaší sítě nainstalujte bezpečnostní řešení ESET prostřednictvím úlohy Instalace
aplikace.
Vytvořte a upravte skupiny
Doporučujeme seskupit klienty do skupin, statických nebo dynamických na základě mnoha kritérií. To vám usnadní
správu klientů a pomůže vám udržet přehled o vaší síti.
Vytvořte novou politiku
Politiky představují účinný nástroj, pokud chcete na klientech vynutit specifickou konfiguraci bezpečnostního
produktu ESET. Pomocí politik nemusíte jednotlivé produkty ESET konfigurovat ručně, ale konfiguraci vynutíte
hromadně na všech klientech. Po vytvoření nové politiky s vlastní konfigurací ji můžete přiřadit skupině (statické
nebo dynamické) a politika se aplikuje na všechny počítače v dané skupině.
Přiřaďte politiku skupině
Jak je uvedeno výše, aby byly vytvořené politiky platné, je nutné ji přiřadit skupině. Politika se aplikuje na všechny
počítače ve vybrané skupině ve chvíli, kdy se ERA Agent připojí k ERA Serveru.
Nastavte si upozornění na důležité změny v sítí a vytvořte si vlastní přehledy
Pro zajištění dokonalého přehledu o klientských stanicích a stavu vaší sítě doporučujeme nastavit si upozornění na
důležité incidenty v síti. Tato upozornění si můžete nechat zasílat například na e-mail nebo si je zobrazit v
přehledech.
138
5.1 Otevření ERA Web Console
ERA Web Console můžete zobrazit několika způsoby:
Na lokálním serveru (počítač, na kterém běží ERA Web Console) zadejte do internetového prohlížeče následující
adresu:
https://localhost/era/
Z jakéhokoli místa s přístupem k serveru, na kterém běží ERA Web Console, zadejte do internetového prohlížeče
následující adresu:
https://nazev_nebo_ip_adresa_serveru/era/
kde "nazev_vaseho_serveru" nahraďte platným názvem serveru nebo IP adresou.
Pro přihlášení k ERA Virtual appliance použijte následující adresu:
https://[IP_adresa]:8443/
kde "[IP adresa]" nahraďte IP adresou ERA virtuálního stroje. Pokud si IP nepamatujete, podívejte se do kroku 9 v
kapitole Virtual appliance.
Na lokálním serveru (počítač, na kterém běží ERA Web Console) klikněte na Start > Všechny programy > ESET > ESET
Remote Administrator > ESET Remote Administrator Web console. Následně se ve výchozím internetovém
prohlížeči zobrazí ERA Web Console. Tento krok neplatí pro ERA Virtual appliance.
Poznámka: Protože ERA Web Console používá pro přenos dat zabezpečený protokol (HTTPS), může se vám při
pokusu o přístup k ERA Web Console zobrazit upozornění o nedůvěryhodném certifikátu nebo nezabezpečeném
spojení (přesné znění hlášky záleží na použitém prohlížeči). Důvod tohoto upozornění je způsoben tím, že se
prohlížeč snaží ověřit identitu stránky, kterou chcete zobrazit. Pro pokračování k ERA Web Console klikněte na
Pokračovat na tuto stránku (Internet Explorer) nebo Rozumím rizikům, případně klikněte na Přidat výjimku... a
Schválit bezpečnostní výjimku (Mozilla Firefox). Výjimka bude platná pouze pro komunikaci s ERA Web Console.
Pokud webový server běží (počítač, na kterém běží ERA Web Console), zobrazí se následující obrazovka.
139
Pro přihlášení k ERA Web Console použijte heslo, které jste si nastavili v průběhu instalace. Po zaškrtnutí možnosti
Přihlásit do domény můžete pro přihlášení použít přihlašovací údaje doménového administrátora. Po zaškrtnutí
možnosti Povolit relaci ve více záložkách můžete mít ERA Web Console otevřenou ve více záložkách internetového
prohlížeče. Pro více informací přejděte do kapitoly přihlášení k ERA Web Console.
Poznámka: V ojedinělých případech se nemusí přihlašovací obrazovka zobrazit nebo se může načítat ve smyčce. V
takovém případě restartujte službu ESET Remote Administrator Server. Po opětovném nastartování služby ESET
Remote Administrator Server restartujte službu Apache Tomcat. Po provedení těchto kroků by se již měla
přihlašovací obrazovka správně zobrazit.
140
6. Řešení problémů
ESET Remote Administrator 6 je komplexní produkt, který je založen na mnoha součástech třetích stran a je
dostupných pro několik platforem. To samo o sobě představuje potenciál, že se setkáte s problémem, který bude
nutné vyřešit.
V této dokumentaci jsou popsány nejčastější příčiny chyb a jejich řešení. Odpovědi na otázky naleznete také ve FAQ.
Nepodařilo se vám identifikovat příčinu problému?
Každá komponenta ERA zapisuje informace o svém běhu do samostatného protokolu. V případě potřeby je možné
úroveň protokolování zvýšit a získat tak podrobnější informace z běhu ERA komponenty. Ve většině případů indicii
k řešení objevíte právě v protokolech.
Při řešení potíží můžete využít ESET Bezpečnostní fórum a konzultovat svůj problém s ESET komunitou.
Při kontaktování technické podpory přiložte rovnou protokoly z ERA. Sesbírat je můžete pohodlně pomocí
nástroje ESET Log Collector, případně diagnostickým nástrojem. Přiložení protokolů již při prvním kontaktování
technické podpory výrazné zkrátíte řešení svého požadavku.
6.1 Nejčastější instalační problémy
ERA Server
Poškozená instalace
Mohou chybět klíče v registru, soubory nebo oprávnění pro přístup do složky.
Příčinu je možné vyčíst z instalačního protokolu. Ten se v případě all-in-one instalačního balíčku vytvoří
automaticky. Pokud ERA komponenty instalujete ručně aktivujte MSI protokolování ručně.
Port je 2222 a 2223 je již používán
Pro ověření použijte příkaz:
Windows:
netstat -an | find "2222"
netstat -an | find "2223"
Linux:
netstat | grep 2222
netstat | grep 2223
Databáze neběží/není dostupná
MS SQL Server: ověřte, zda je databázový server dostupný na portu 1433, případně se zkuste přihlásit
prostřednictvím SQL Server Management Studio
MySQL: ověřte, zda je databázový server dostupný na portu 3306, případně se zkuste přihlásit
(prostřednictvím aplikace Workbench, příkazovým řádkem nebo využijte phpmyadmin)
Poškozená databáze
Pokud v protokolu ERA serveru vidíte větší množství SQL chyb, obnovte databázi ze zálohy. Pokud ji nemáte,
databázi smažte a proveďte novou instalaci ESET Remote Administrator.
Nedostatek systémových prostředků (RAM, místo na disku)
Analyzujte běžící procesy a vytížení systému:
Na Windows se podívejte do správce úloh, případně prohlížeče událostí.
141
Na linuxu:
df -h (informace o volném místu na disku)
cat /proc/meminfo (informace o využití operační paměti)
dmesg (pro zjištění stavu operačního systému)
Chyba ODBC konektoru v průběhu instalace ERA serveru
Error: (Error 65533) ODBC connector compatibility check failed.
Please install ODBC driver with support for multi-threading.
Nainstalujte ODBC ovladač, který podporuje multi-threading, případně upravte odbcinst.ini podle kroků popsaných v
Chyba připojení do databáze
Instalace končí chybou:
Error: It is not possible to store big blocks of data in the database.
Please reconfigure the database server first.
V instalační protokolu je chybové hlášení:
Error: Execution test of long statement failed with exception:
CMysqlCodeTokenExecutor: CheckVariableInnodbLogFileSize:
Server variables innodb_log_file_size*innodb_log_files_in_group value 100663296 is too low.
Ověřte konfiguraci Verify that the configuration of your database driver matches that shown as in the ODBC
configuration section.
ERA Agent
Při odinstalaci se zobrazí chyba: "Databáze nemohla být aktualizována. Před pokračování produkt nejprve
odinstalujte."
Proveďte opravnou instalaci ERA Agenta:
1. Klikněte na Start > Ovládací panely > Programy a funkce. Vyberte ESET Remote Administrator Agent a
klikněte na tlačítko Změnit.
2. V průvodci instalační vyberte možnost Opravit a postupujte podle kroků na obrazovce.
Jakým způsobem mohu odinstalovat ERA Agenta?
Všechny možnosti odinstalace máme popsány v této kapitole.
Web Console
Nejčastější chybová hlášení v ERA Web Console
Neúspěšné přihlášení: Nepodařilo se připojit k serveru. Důvod: 'Server neběží'?
Ověřte, zda běží služba ERA Server a ověřte, konektivitu na server. Pokud služba neběží, spusťte ji ručně,
aktualizuje konzolu a zkuste se znovu přihlásit. Zkontrolujte také databázi (MS SQL, MySQL) a její protokoly.
Neúspěšné přihlášení: Chyba při komunikaci
Ověřte, zda Apache Tomcat běží, případně zkontrolujte jeho protokoly.
Více informací naleznete v Databázi znalostí.
ESET Remote Administrator Web Console se nenačítá
Pokud se ERA Web Console nenačítá nebo se načítá do nekonečna, postupujte podle kroků v Databázi znalostí.
142
Jak aktivovat šifrované (HTTPS/SSL) spojení do Web Console?
Pokud se vám na přihlašovací obrazovce zobrazuje upozornění:
Používáte nešifrované spojení! Prosím, nastavte webserver tak, aby používal HTTPS
postupujte podle kroků v Databázi znalostí.
Apache HTTP Proxy
Velikost cache Apache HTTP Proxy zabírá několik GB a stále roste
Pokud jste Apache HTTP Proxy instalovali prostřednictvím all-in-one balíčku, je naplánována pravidelná údržba
cache. Pokud jste instalaci prováděli ručně, proveďte údržbu cache manuálně a naplánujte její automatické
spouštění.
Aktualizace virové databáze nefungují, pokud je aktivní Apache HTTP Proxy
Pokud se klientské stanice neaktualizují, dočasně vypněte používání Apache HTTP Proxy. Až identifikujete
příčinu problému a odstraní jej, používání Apache HTTP Proxy opět pomocí politiky aktivujte.
ESET Rogue Detector Sensor
Proč se v protokolu ESET Rogue Detector zobrazuje tato chyba?
Information: CPCAPDeviceSniffer [Thread 764]:
CPCAPDeviceSniffer on rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} throwed error:
Device open failed with error:Error opening adapter: The system cannot find the device specified. (20)
Jedná se o problém s WinPcap. Pro jeho vyřešení zastavte službu ESET Rogue Detector Sensor, přeinstalujte
WinPcap (alespoň ve verzi 4.1.0) a restartujte službu ESET Rogue Detector Sensor.
Linux
Na CentOSu chybí závislosti libQtWebKit
V trace.logu ERA Serveru se zobrazí chyba:
Error: CReportPrinterModule [Thread 7f5f4c7b8700]:
ReportPrinter: ReportPrinterTool exited with: /opt/eset/RemoteAdministrator/Server//ReportPrinterTool:
error while loading shared libraries: libQtWebKit.so.4:
cannot open shared object file: No such file or directory [code:127]
Více informací naleznete v Databázi znalostí.
Instance ERA Server na CentOS 7 selhala
Při instaci se zobrazila chyba
Error: DbCheckConnection: locale::facet::_S_create_c_locale name not valid
Jedná se chybnou konfiguraci lokálního prostředí. Spusťte níže uvedený skript a následně zkuste instalaci
provést znovu:
export LC_ALL="en_US.UTF-8"
Microsoft SQL Server
Co dělat, když se při instalaci Microsoft SQL Server se zobrazí chyba -2068052081?
Restartujte server a zkuste to znovu. Pokud se problém neodstraní, odinstalujte ručně SQL Server Native Client
a spusťte instalaci znovu. Pokud to nepomůže, odinstalujte všechny součásti Microsoft SQL Server, restartujte
server a spusťte instalaci znovu.
143
Co dělat, když se při instalaci Microsoft SQL Server se zobrazí chyba -2067922943?
Ujistěte, že váš systém splňuje požadavky.
6.2 Protokoly
Každá komponenta ESET Remote Administrator zapisuje informace o svém běhu do samostatného protokolu. V
případě potřeby je možné úroveň protokolování zvýšit a získat tak podrobnější informace z běhu ERA komponenty.
Kde naleznete jednotlivé protokoly uvádíme v tabulce níže.
Windows
ERA Server
C:\ProgramData\ESET\RemoteAdministrator\Server
\EraServerApplicationData\Logs\
ERA Agent
C:\ProgramData\ESET\RemoteAdministrator\Agent
\EraAgentApplicationData\Logs\
ERA Web Console and Apache Tomcat
C:\Program Files\Apache Sof tware Foundation\Tomcat 7.0\Logs
See also https://tomcat.apache.org/tomcat-7.0-doc/logging.html
C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\
ERA Proxy
C:\ProgramData\ESET\RemoteAdministrator\Proxy
\EraProxyApplicationData\Logs\
ERA Rogue Detection Sensor
C:\ProgramData\ESET\Rogue Detection Sensor\Logs\
Apache HTTP Proxy
C:\Program Files\Apache HTTP Proxy\logs\error.log
on older Windows operating systems
C:\Documents and Settings\All Users\Application Data\ESET\...
Poznámka: Složka C:\ProgramData je standardně skryta. Pro zobrazené této složky...
1. Klikněte na Start > Ovládací panely > Možnosti složky > Zobrazení.
2. Vyberte možnost Zobrazit skryté soubory, složky a jednotky a akci dokončete kliknutím na tlačítko OK.
Linux
Cesty na virtuální applince jsou stejné, protože je založena na linuxové distribuci CentOS. Jak získat protokoly z
virtuální appliance naleznete v tomto návodu.
ERA Server
/var/log/eset/RemoteAdministrator/Server/
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
ERA Agent
/var/log/eset/RemoteAdministrator/Agent/
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
/var/log/eset/RemoteAdministrator/MDMCore/
/var/log/eset/RemoteAdministrator/MDMCore/Proxy/
Apache HTTP Proxy
/var/log/httpd
ERA Web Console and Apache Tomcat
/var/log/tomcat6/ or /var/log/tomcat7/ or /var/log/tomcat8/
144
See also https://tomcat.apache.org/tomcat-7.0-doc/logging.html
ERA Proxy
/var/log/eset/RemoteAdministrator/Proxy/
ERA RD Sensor
/var/log/eset/RogueDetectionSensor/
OS X
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
Virtual Appliance
/root/appliance-conf iguration-log.txt
6.3 Diagnostický nástroj
Diagnostický nástroj je součástí všech komponent ERA. Používá se pro sesbírá diagnostických dat, které technické
podpoře ESET pomohou vyřešit případné problémy s komponenty ERA infrastruktury. Po spuštění diagnostického
nástroje vyberte složku, do které chcete data uložit a vyberte data, které chcete sesbírat (viz níže uvedený seznam
akcí).
Diagnostický nástroj naleznete v následujícím umístění:
Windows
Ve složce C:\Program Files\ESET\RemoteAdministrator\<produkt>\ naleznete soubor Diagnostic.exe.
Linux
Ve složce /opt/eset/RemoteAdministrator/<produkt>/ naleznete soubor Diagnostic<produkt> (například
DiagnosticServer, DiagnosticAgent...)
Použití
1. V závislosti na prostředí spusťte nástroj přímo poklepáním na soubor nebo z příkazového řádku.
2. Zadejte cestu, do které chcete protokoly uložit (například jako na obrázku "logs") a potvrďte klávesou Enter.
3. Zadejte informace, které chcete sesbírat (například jako na obrázku 1
jednotlivých možností naleznete na konci této kapitoly.
trace status 3 ). Bližší popis
145
4. Po dokončení se ve složce, ze které jste nástroj spustili, vytvořila složka (v našem případě logs). V této složce se
nachází archiv se všemi sesbíranými soubory.
Akce
ActionEraLogs – vytvoří novou složku a uloží do ní všechny protokoly. Pro sesbírání pouze konkrétního typu
protokolu použijte odpovídající přepínač (trace, status...)
ActionGetDumps – vytvoří novou složku a uloží do ní výpis (dump) procesu, který se vygeneroval při výskytu
problému/pádu aplikace. Při výskytu závažného problému detekuje výpisy procesu přímo operační systém.
Soubory s příponou .dmp se ve Windows ukládají do složky %temp%, na Linuxu do složky /tmp/.
Poznámka: Během získávání těchto dat musí služba (Agent, Proxy, Server, RD Sensor, FileServer) běžet.
ActionGeneralApplicationInformation – vytvoří novou složku GeneralApplicationInformation se souborem
GeneralApplicationInformation.txt, který obsahuje informace o aktuálně nainstalovaném produktu ESET.
ActionConfiguration – vytvoří složku s konfiguračním souborem storage.lua.
146
6.4 Problém po aktualizaci/migraci ERA serveru
Pokud služba ESET Remote Administrator Server nestartuje, případně padá a v protokolu nejsou žádné relevantní
chybové hlášky, pomocí níže uvedených kroků opravíte ESET Remote Administrator.
VAROVÁNÍ: Před prováděním níže uvedených akcí doporučujeme provést zálohu databáze.
1. Klikněte na Start > Ovládací panely > Programy a funkce. Vyberte položku ESET Remote Administrator Server a
klikněte na Změnit.
2. V průvodci instalací vyberte možnost Opravit a pokračujete kliknutím na tlačítko Další.
3. Ponechte spojení do existující databáze a klikněte na tlačítko Další a spojení případně potvrďte kliknutím na
Ano.
4. Vyberte možnost Použít heslo uložené v databázi a pokračujete kliknutím na tlačítko Další.
5. Vyberte možnost Ponechat aktuálně používané certifikáty a klikněte na tlačítko Další.
6. Klikněte na tlačítko Opravit.
7. Přihlaste se do ERA Web Console a zkontrolujte, zda je vše v pořádku.
Další scénáře:
ERA server neběží, ale máte zálohu databáze:
1. Obnovte zálohu databáze.
147
2. Ověřte, zda nový server má stejný název/IP adresu jako původní, ke kterému se ERA agenti připojovali.
3. Spusťte opravnou instalaci ERA serveru a použijte stávající databázi.
ERA server neběží, ale máte exportován serverový certifikát a certifikační autoritu:
1. Ověřte, zda nový server má stejný název/IP adresu jako původní, ke kterému se ERA agenti připojovali.
2. Spusťte opravnou instalaci ERA serveru a během použijte zálohované certifikáty.
ERA server, nemáte zálohu databáze ani exportovaný certifikát a certifikační autoritu:
1. Proveďte opravnou instalaci ERA serveru.
2. Opravte ERA agenty pomocí:
online instalátoru,
.msi instalačního balíčku (je potřeba mít přímou viditelnost na server nebo musíte mít exportovaný certifikát
a certifikační autoritu),
push instalace z ERA serveru (je potřeba mít přímou viditelnost ze serveru na klientskou stanici).
6.5 Protokolování MSI
Pokud se vám na Windows nedaří instalace některé komponenty, pomocí níže uvedeného příkazu aktivujete
protokolování instalace. Z instalačního protokolu je následně možné odhalit příčinu neúspěšné instalace.
msiexec /i C:\Users\Administrator\Downloads\Agent-1.0.373.0_x64.msi /L*v log.txt
148
7. ESET Remote Administrator API
ESET Remote Administrator ServerAPI je dostupné jako knihovna ServerApi.dll. ServerAPI poskytuje přístup k
procedurám a funkcí, které můžete použít pro ovládání ESET Remote Administrator prostřednictvím vlastní aplikace.
ServerApi poskytuje stejné možnosti a operace jako nabízí ERA Web Console.
Více informací, vzorové příkazů v jazyce C a seznam dostupných JSON zpráv naleznete v dokumentaci k API (pouze v
angličtině), která je dostupná online na adrese:
http://help.eset.com/era/63/api/
149
8. FAQ
Otázka: Proč musím instalovat doplněk Java na server? Nepředstavuje to bezpečnostní riziko?
Odpověď: ERA Web Console využívá ke svému běhu prostředí Java. Jedná se o průmyslový standard pro webové
konzole a aplikace. ERA Web Console vyžaduje Java minimálně ve verzi 7. Přesto doporučujeme používat vždy
nejnovější verzi. V případě potřeby můžete webovou konzoly nainstalovat na jiný počítač.
Otázka: Jak snadno zjistím port, na kterém běží můj SQL Server?
Odpověď: Jedním ze způsobů je použít SQL Server Configuration Manager. Číslo portu zjistíte pomocí kroků
uvedených na obrázku níže.
Poznámka: Po nainstalování SQL Server Express, který je součástí all-in-one balíčku je zpravidla port jiný, než
výchozích 1433.
Otázka: Jak v MySQL povolit příjem velkých paketů (big blocks)?
Odpověď: Otevřete si konfigurační soubor MySQL (my.ini ve Windows a my.cnf v Linuxu), najděte sekci [mysqld] a
přidejte do něj nový řádek max_allowed_packet=33M (hodnota musí být minimálně 33M).
Otázka: Pokud nainstaluji SQL samostatně, jak mohu ručně vytvořit databázi pro ERA?
Odpověď: Není to potřeba. Databázi vytváří přímo instalační balíček Server.msi, nikoli instalační all-in-one balíček.
All-in-one balíček pouze usnadňuje instalaci, především MS SQL Serveru.
Otázka: Dokáže ERA instalátor vytvořit novou databázi na již existujícím MS SQL Serveru, pokud při instalaci zadám
platné přístupové údaje k serveru? Jaké verze MS SQL jsou podporovány?
Odpověď: Instalační balíček Server.msi dokáže vytvořit databázi na vašem MS SQL serveru. Podporován je MS SQL
Server 2008, 2012 a 2014.
150
Otázka: Proč se nedaří instalace ERA, pokud mám aktivní binární logování na databázovém serveru?
Odpověď: ERA v6.2 nepodporuje MySQL databázi, na které ke aktivováno binární logování. Deaktivujte binární
logování nebo použijte novější verzi ERA..
Odpověď: ERA v6.3 nepodporuje STATEMENT formát binárního logování. Použijte ROW nebo MIXED formát
binárního logování. Pro více informací přejděte sem https://dev.mysql.com/doc/refman/5.6/en/binary-log.html
nebo https://dev.mysql.com/doc/refman/5.6/en/replication-options-binary-log.html#sysvar_binlog_format
Otázka: Pokud instaluji na existující SQL Server, měl bych použít vestavěný režim ověřování?
Odpověď: Ne, protože tento režim může být na SQL Serveru zakázán. Jediným způsobem je přihlásit se k serveru
zadáním uživatelského jména a hesla. Použijte tedy SQL Server autentifikaci nebo smíšený režim. Při ruční instalaci
SQL serveru je nutné vytvořit heslo pro uživatele root (účet je pojmenován jako "sa", zkráceně security admin). Toto
heslo je vyžadováno při instalaci ERA Serveru a může být vyžadováno také při jeho aktualizaci.
Otázka: Mohu použít MariaDB místo MySQL?
Odpověď:
MariaDB je výchozím databázový systém na některých linuxových distribucích. <%ESET_REMOTE_ADMINISTRATOR%>
ve stávající verzi MariaDB nepodporuje! Pro korektní běh je potřeba nainstalovat MySQL.
Otázka: ERA instalátor mě navedl na stažení Microsoft .NET Framework 3.5 (http://www.microsoft.com/en-us/
download/details.aspx?id=21), ale balíček nefunguje na čisté instalaci Windows Server 2012 R2 SP1.
Odpověď: Z důvodu bezpečnostní politiky Windows Server 2012 a novějších systémů není možné tento instalátor
použít. Microsoft .NET Framework nainstalujte prostřednictvím Průvodce rolemi a funkcemi.
Otázka: V systému mám již nainstalovaný Microsoft .NET 4.5 framework. Proč nestačí nejnovější verze .NET 4.5?
Odpověď: Protože .NET 4.5 není zpětně kompatibilní s .NET 3.5, který vyžaduje instalační balíček SQL Serveru.
Otázka: Je velmi obtížné zjistit, zda probíhá instalace MS SQL Serveru. Mohu nějak zjistit, co se děje, pokud instalace
probíhá déle než 10 minut?
Odpověď: Instalace SQL Server může v některých případech trvat více než hodinu. Doba instalace závisí na výkonu
systému. Pro instalaci je vybrán režim tiché instalace, proto není zobrazen žádný grafický průběh.
Otázka: Jak obnovím heslo pro přístup do ERA Web Console (nastavené při instalaci ERA na Windows)?
Odpověď: Pokud máte vytvořeného dalšího uživatele s administrátorským oprávněním, přihlaste se pod ním a
svému účtu nastavte nové heslo. Pokud jste si nevytvořili jiný uživatelský účet a zapomněli jste heslo k
předdefinovanému účtu Administrator, obnovit heslo můžete opětovným spuštěním instalátoru ERA a vybráním
možnosti Opravit. Mějte na paměti, že tato akce vyžaduje heslo pro přístup do ERA databáze, pokud jste nepoužili
MSSQL a Windows Authentication.
Poznámka: Při použití možnosti pro opravení instalace buďte obezřetní, můžete přijít o uložená data.
Otázka: Mohu použít IIS místo Apache, případný jiný HTTP server?
Odpověď: IIS je HTTP server. Webová konzole vyžaduje Java servlet container, což HTTP server neumožňuje. Sice
existuje řešení, jak Java servlet container zprovoznit na IIS, ale obecně to nedoporučujeme.
Poznámka: Apache HTTP Server a Apache Tomcat jsou rozdílné produkty.
Otázka: Mohu ovládat ERA prostřednictvím příkazového řádku?
Odpověď: Ano, nabízíme ESET Remote Administrator ServerApi.
151
Otázka: Mohu nainstalovat ERA na doménový řadič?
Odpověď: ERA Server může běžet na doménovém řadiči. Narazit však můžete na omezení při instalaci MS SQL.
Otázka: Mohu pro instalaci na doménový řadič použít all-in-one instalátor?
Odpověď: Ano, ale je potřeba odškrtnout instalaci Microsoft SQL Express.
Otázka: Detekuje instalace ERA serveru SQL? Co dělat, pokud ne? Podporuje MySQL?
Odpověď: Při použití all-in-instalátoru dojde k automatickému ověření, zda v systému běží SQL. Pokud bude SQL
server detekován zobrazí se upozornění. Instalaci MSSQL Express tedy odškrtněte a nainstalujte ERA do již
existujícího SQL serveru. Případně můžete použít MySQL, které je také podporováno.
Otázka: Kde najdu informace o verzích ERA komponent?
Otázka: Pro zobrazení aktuálních verzích přejděte do Databáze znalostí.
Otázka: Jak aktualizuji ESET Remote Administrator na nejnovější verzi?
Windows OS: http://support.eset.com/kb3668/
Linux OS: http://support.eset.com/kb3670/
Otázka: Jak mohu produkt ESET aktualizovat bez připojení k internetu?
Odpověď: Na stanici, která má přístup k internetu vytvořte mirror prostřednictvím bezpečnostního produktu ESET
nebo využijte mirror tool a následně z tohoto mirroru aktualizuje klienty, kteří jsou offline.
Otázka: Jak přeinstalovat ERA Server a připojit jej k existujícímu SQL serveru, pokud konfigurace byla provedena
automaticky v průběhu instalace?
Odpověď: Pokud instalujete novou instanci ERA serveru pod stejným uživatelským účtem (například doménovým
administrátorem), kterým jste instalovali původní ERA server, využijte MS SQL Server via Windows Authentication.
Otázka: Jak vyřešit problém s Active Directory synchronizací na linuxu?
Odpověď: Ujistěte se, že jste název domény zadali VELKÝMI PÍSMENY ([email protected] místo
[email protected] ).
Otázka: Nechci instalovat z repozitáře, mám jinou možnost?
Odpověď: Ano, při vytváření instalační úlohy můžete zadat URL k instalačnímu balíčku nebo využít síťové sdílení
(například: file://\\eraserver\install\ees_nt64_ENU.msi ).
Poznámka: V tomto případě neměňte název instalačních balíčků. Windows Installer může zahlásit chybu.
Otázka: Jak změním port, na kterém komunikuje ERA Web Console s ERA serverem?
Odpověď: Na straně serveru port změňte prostřednictvím ERA Web Console v sekci Administrace > Nastavení
serveru.
Dále postupujte podle následujících kroků:
1. Vypněte Apache Tomcat.
2. Upravte konfiguraci webového serveru:
a. Otevřete soubor webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/conf ig/
EraWebServerConf ig.properties
b. Nastavte nový port, například server_port=44591
3. Spusťte Apache Tomcat.
152
Otázka: Jak přenesu ERA server na nový stroj?
Odpověď: Nainstalujte ERA server na nový systém a připojte jej ke stávající databázi. Při přechodu z ERA 4/5 můžete
využít migrační nástroj, případně více informací naleznete v Databázi znalostí.
Otázka: Mohu aktualizovat ERA v.5/v.4 na v.6 prostřednictvím all-in-one instalátoru?
Odpověď: Není možné provést přímý upgrade. Více informací naleznete v této kapitole, případně v Databázi znalostí.
Otázka: Při instalaci jsem obdržel chybovou zprávu, kterou jsem nenašel v tomto FAQ.
Odpověď: Další tipy naleznete v kapitole nejčastější instalačního problémy.
153
9. End-User License Agreement (EULA)
DŮLEŽITÉ UPOZORNĚNÍ: Před stáhnutím, instalací, kopírováním anebo použitím si pozorně přečtěte níže uvedené
podmínky používání produktu. INSTALACÍ, STÁHNUTÍM, KOPÍROVÁNÍM ANEBO POUŽITÍM SOFTWARE VYJADŘUJETE
SVŮJ SOUHLAS S TĚMITO PODMÍNKAMI.
Dohoda s koncovým uživatelem o používání software.
Tato Dohoda o užívání software (dále jen „Dohoda„) uzavřená mezi společností ESET spol. s r.o., se sídlem
Einsteinova 24, 851 01 Bratislava, Slovenská republika, zapsaná v Obchodnom registri, vedeném Okresným súdom
Bratislava I, oddiel Sro, vložka 3586/B, (dále jen „Poskytovatel„) a Vámi, fyzickou anebo právnickou osobou, (dále
jen „Vy„ anebo „Koncový uživatel“) Vás opravňuje na používání Software definovaného v článku 1 této Dohody.
Software definovaný v článku 1 této Dohody může být uložený na hmotném nosiči dat, zaslaný elektronickou
poštou, stáhnutý z počítačové sítě internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů za
podmínek a okolností uvedených níže.
TOTO NENÍ KUPNÍ SMLOUVA, ALE DOHODA O PRÁVECH KONCOVÉHO UŽIVATELE. Poskytovatel zůstává vlastníkem
kopie Software a případného fyzického média na kterém se Software dodává v obchodním balení jako i všech kopií
Software na které má Koncový uživatel právo podle této Dohody.
Zvolením možnosti "Souhlasím" po dobu instalace, stahování, kopírování anebo používání Software vyslovujete
souhlas s ustanoveními a podmínkami této Dohody. Pokud nesouhlasíte s některými ustanoveními této Dohody,
ihned klikněte na možnost "Nesouhlasím", zrušte instalaci anebo stahování, anebo zničte, případně vraťte Software,
instalační média, doprovodnou dokumentaci a doklad o nákupu a to Poskytovateli anebo na místo, kde jste Software
získali.
SOUHLASÍTE S TÍM, ŽE VAŠE POUŽÍVÁNÍ SOFTWARE JE ZNAKEM TOHO, ŽE JSTE SI PŘEČETLI TUTO DOHODU, ROZUMÍTE
JÍ, A SOUHLASÍTE S TÍM, ŽE JSTE VÁZANÍ JEJÍMI USTANOVENÍMI.
1. Software. Software v této Dohodě znamená (i) počítačový program ESET NOD32 Antivirus 7 včetně všech jeho
součástí, (ii) obsah disků, CD-ROM, DVD médií, zpráv elektronické pošty a jejich všech případných příloh, anebo
jiných médií ke kterým je přiložená tato Dohoda včetně Software dodaného ve formě objektového kódu na
hmotném nosiči dat, elektronickou poštou, anebo stáhnutý přes počítačovou síť internet, (iii) se Software související
vysvětlující materiály a jakoukoliv dokumentaci, zejména jakýkoliv popis Software, jeho specifikaci, popis vlastností,
popis ovládání, popis operačního prostředí ve kterém se Software používá, návod na použití anebo instalaci Software
anebo jakýkoliv popis správného používání Software (dále jen „Dokumentace„), (iv) kopie Software, opravy
případných chyb Software, dodatky k Software, rozšíření Software, modifikované verze Software, a aktualizace
součástí Software, jak jsou dodané, na které Vám Poskytovatel uděluje Licenci ve smyslu článku 3. této Dohody.
Software se dodává výlučně ve formě objektového spustitelného kódu.
2. Instalace. Software dodaný na hmotném nosiči dat, zaslaný elektronickou poštou, stáhnutý z počítačové sítě
internet, stáhnutý ze serverů Poskytovatele anebo získaný z jiných zdrojů vyžaduje instalaci. Software musíte
nainstalovat na správně nakonfigurovaný počítač splňující minimální požadavky uvedené v Dokumentaci. Způsob
instalace je popsaný v Dokumentaci. Na počítači, na který Software instalujete nesmí být nainstalované žádné
počítačové programy anebo technické vybavení, které by mohlo nepříznivě ovlivnit Software.
3. Licence. Za předpokladu, že jste souhlasili s touto Dohodou, zaplatíte licenční poplatek v termínu splatnosti a
budete dodržovat všechny její podmínky, Vám Poskytovatel uděluje následovná práva („Licence„):
a) Instalace a používání. Máte nevýhradní a nepřevoditelné, časově omezené právo instalovat Software na pevný
disk počítače anebo na jiné podobné médium sloužící na trvalé ukládání dat, instalaci a na ukládání Software do
paměti počítačového systému, na vykonávání, na ukládání a na zobrazování Software.
154
b) Stanovení počtu licencí. Právo na použití Software se váže na počet Koncových uživatelů. Jedním Koncovým
uživatelem se přitom rozumí: (i) instalace Software na jednom počítačovém systému, anebo (ii) pokud se rozsah
licence váže na počet poštovních schránek, potom se rozumí jedním Koncovým uživatelem uživatel počítače, který si
pomocí Mail User Agent (dále jen „MUA„) přebírá elektronickou poštu. Pokud MUA přebírá elektronickou poštu a
následně ji automaticky rozděluje vícerým uživatelům potom se počet Koncových uživatelů stanovuje podle
skutečného počtu uživatelů, pro které je elektronická pošta rozdělovaná. V případě, že poštovní server vykonává
funkci poštovní brány, je počet Koncových uživatelů shodný s počtem uživatelů poštovních serverů, pro které
poskytuje tato brána služby. Pokud je jednomu uživateli směřovaný libovolný počet adres elektronické pošty
(například pomocí aliasů) a přebírá si je jeden uživatel, a zprávy nejsou automaticky na straně klienta rozdělované
pro více uživatelů je potřebná licence pro jeden počítač. Jednu licenci nesmíte současně používat na vícerých
počítačích.
c) Business Edition. Pro použití Software na mailových serverech, mail relay serverech, mailových branách anebo
internetových branách musíte získat Software ve verzi Business Edition.
d) Trvání Licence. Vaše právo používat Software je časově omezené.
e) OEM Software. OEM Software se váže na počítač, se kterým jste ho získali. Není ho možné přenést na jiný počítač.
f) NFR, TRIAL Software. Software označený jako „Not-for -resale„, NFR anebo TRIAL nemůžete převést za
protihodnotu anebo používat na jiný účel, jako na předvádění, testování jeho vlastností anebo vyzkoušení.
g) Zánik licence. Licence zaniká automaticky uplynutím období na které byla udělená. Pokud nedodržíte kterékoliv
ustanovení této Dohody má Poskytovatel právo odstoupit od Dohody bez toho, aby byl dotknutý jakýkoliv nárok
anebo prostředek, který má Poskytovatel pro takovýto případ k dispozici. V případě zániku Licence musíte Software a
všechny jeho záložní kopie okamžitě zničit anebo na vlastní náklady vrátit společnosti ESET anebo na místo, kde jste
Software získali.
4. Připojení k internetu. Software vyžaduje pro správné fungování připojení do internetu a v pravidelných
intervalech se připojuje k serverům Poskytovatele anebo serverům třetích stran. Připojení k internetu je potřebné
pro následovné funkce Software:
a) Aktualizace Software. Poskytovatel může čas od času vydat aktualizaci Software („Update„), avšak není povinný
poskytovat Update. Tato funkce je při standardním nastavení Software zapnutá, proto se Update nainstaluje
automaticky, kromě případů, kdy Koncový uživatel automatickou instalaci Update zakázal.
b) Zasílání infiltrací a informací Poskytovateli. Software obsahuje funkci, která slouží na shromažďování vzorků
nových počítačových virů, jiných obdobných škodlivých počítačových programů, podezřelých anebo problematických
souborů (dále jen „Infiltrací„) a jejich následné odeslání Poskytovateli včetně informací o počítači a/anebo platformě
na které je Software nainstalovaný (dále jen „Informace„). Tato funkce je při standardním nastavení Software
vypnutá. Informace mohou obsahovat údaje (včetně náhodně získaných osobních údajů) o Koncovém uživateli a/
anebo jiných uživatelích počítače na kterém je nainstalovaný Software, informace o počítači, operačním systému a
nainstalovaných programech, soubory z počítače na kterém je Software nainstalovaný, soubory postižené Infiltrací a
informace o takovýchto souborech. Poskytovatel použije získané Informace a Infiltrace jen na přezkoumání
Infiltrace, přičemž vykoná přiměřené opatření na zachování důvěrného charakteru získaných Informací. V případě, že
aktivujete tuto funkci Software, souhlasíte s tím, aby byly Poskytovateli zasílané Infiltrace a Informace a současně
udělujete Poskytovateli souhlas potřebný ve smyslu příslušných právních norem na zpracovávání získaných
Informací. Tuto funkci můžete kdykoliv deaktivovat.
5. Výkon práv Koncového uživatele. Práva Koncového uživatele musíte vykonávat osobně anebo prostřednictvím
svých případných zaměstnanců. Software můžete použít výlučně jen na zabezpečení své činnosti a na ochranu
výlučně těch počítačových systémů, pro které jste získali Licenci.
6. Omezení práv. Nesmíte Software kopírovat, šířit, oddělovat jeho části anebo vytvářet od Software odvozená díla.
Při používání Software jste povinný dodržovat následovné omezení:
(a) Můžete pro sebe vytvořit jedinou kopii Software na médiu určeném na trvalé ukládání dat jako záložní kopii, za
předpokladu, že vaše archivní záložní kopie se nebude instalovat anebo používat na jiném počítači. Vytvoření
jakékoliv další kopie Software je porušením této Dohody.
(b) Software nesmíte používat, upravovat, překládat, reprodukovat, anebo převádět práva na používání Software
anebo kopií Software jinak, než je výslovně uvedené v této Dohodě.
155
(c) Software nesmíte prodat, sublicencovat, pronajmout anebo pronajmout si, vypůjčit si ho anebo používat na
poskytování komerčních služeb.
(d) Software nesmíte zpětně analyzovat, dekompilovat, převádět do zdrojového kódu anebo se jiným způsobem
pokusit získat zdrojový kód Software s výjimkou rozsahu, ve kterém je takovéto omezení výslovně zakázané
zákonem.
(e) Souhlasíte s tím, že budete používat Software jen způsobem, který je v souladu se všemi platnými právními
předpisy v právním systému, ve kterém Software používáte, zejména v souladu s platnými omezeními vyplývajícími z
autorského práva a dalších práv duševního vlastnictví.
7. Autorská práva. Software a všechna práva, zejména vlastnická práva a práva duševního vlastnictví k němu, jsou
vlastnictvím společnosti ESET a/anebo jejích poskytovatelů licencí. Tato jsou chráněná ustanoveními mezinárodních
dohod a všemi dalšími aplikovatelnými zákony krajiny, ve které se Software používá. Struktura, organizace a kód
Software jsou obchodními tajemstvími a důvěrnými informacemi společnosti ESET a/anebo jejích poskytovatelů
licencí. Software nesmíte kopírovat, s výjimkou uvedenou v ustanovení článku 6 písmeno a). Jakékoliv kopie, které
smíte vytvořit podle této Dohody, musí obsahovat stejná upozornění na autorská a vlastnická práva, jaká jsou
uvedená na Software. V případě, že v rozporu s ustanoveními této Dohody budete zpětně analyzovat, dekompilovat,
převádět do zdrojového kódu anebo se jiným způsobem pokusíte získat zdrojový kód, souhlasíte s tím, že takto
získané informace se budou automaticky a neodvolatelně považovat za převedené na Poskytovatele a vlastněné v
plném rozsahu Poskytovatelem od okamžiku jejich vzniku, tím nejsou dotčená práva Poskytovatele spojená s
porušením této Dohody.
8. Výhrada práv. Všechna práva k Software, kromě práv které Vám jako Koncovému uživateli Software byly výslovně
udělená v této Dohodě, si Poskytovatel vyhrazuje pro sebe.
9. Víceré jazykové verze, verze pro více operačních systémů, víceré kopie. V případě jestliže Software podporuje
víceré platformy anebo jazyky, anebo jestliže jste získali více kopií Software, můžete Software používat jen na
takovém počtu počítačových systémů a v takových verzích, na které jste získali Licenci. Verze anebo kopie Software,
které nepoužíváte nesmíte prodat, pronajmout, sublicencovat, zapůjčit anebo převést na jiné osoby.
10. Začátek a trvání Dohody. Tato Dohoda je platná a účinná ode dne, kdy jste odsouhlasili tuto Dohodu. Dohodu
můžete kdykoliv ukončit tak, že natrvalo odinstalujete zničíte anebo na své vlastní náklady vrátíte Software, všechny
případné záložní kopie a všechen související materiál, který jste získali od Poskytovatele anebo jeho obchodních
partnerů. Bez ohledu na způsob zániku této Dohody, ustanovení jejích článků 7, 8, 11, 13, 20 a 22 zůstávají v platnosti
bez časového omezení.
11. PROHLÁŠENÍ KONCOVÉHO UŽIVATELE. JAKO KONCOVÝ UŽIVATEL UZNÁVÁTE, ŽE SOFTWARE JE POSKYTOVANÝ
"JAK STOJÍ A LEŽÍ", BEZ VÝSLOVNÉ ANEBO IMPLIKOVANÉ ZÁRUKY JAKÉHOKOLIV DRUHU A V MAXIMÁLNÍ MÍŘE
DOVOLENÉ APLIKOVATELNÝMI ZÁKONY ANI POSKYTOVATEL, ANI JEHO POSKYTOVATELÉ LICENCÍ, ANI DRŽITELÉ
AUTORSKÝCH PRÁV NEPOSKYTUJÍ JAKÉKOLIV VÝSLOVNÉ ANEBO IMPLIKOVANÉ PROHLÁŠENÍ ANEBO ZÁRUKY,
ZEJMÉNA NE ZÁRUKY PRODEJNOSTI ANEBO VHODNOSTI PRO KONKRÉTNÍ ÚČEL ANEBO ZÁRUKY, ŽE SOFTWARE
NEPORUŠUJE ŽÁDNÉ PATENTY, AUTORSKÁ PRÁVA, OCHRANNÉ ZNÁMKY ANEBO JINÁ PRÁVA TŘETÍCH STRAN.
NEEXISTUJE ŽÁDNÁ ZÁRUKA ZE STRANY POSKYTOVATELE ANI ŽÁDNÉ DALŠÍ STRANY, ŽE FUNKCE, KTERÉ OBSAHUJE
SOFTWARE, BUDOU VYHOVOVAT VAŠÍM POŽADAVKŮM, ANEBO ŽE PROVOZ SOFTWARE BUDE NERUŠENÝ A
BEZCHYBNÝ. PŘEBÍRÁTE ÚPLNOU ZODPOVĚDNOST A RIZIKO ZA VÝBĚR SOFTWARE PRO DOSÁHNUTÍ VÁMI
ZAMÝŠLENÝCH VÝSLEDKŮ A ZA INSTALACI, POUŽÍVÁNÍ A VÝSLEDKY, KTERÉ SE SOFTWARE DOSÁHNETE.
12. Žádné další závazky. Tato Dohoda nezakládá na straně Poskytovatele a jeho případných poskytovatelů licencí
kromě závazků konkrétně uvedených v této Dohodě žádné jiné závazky.
156
13. OMEZENÍ RUČENÍ. V MAXIMÁLNÍ MÍŘE, JAKOU DOVOLUJE APLIKOVATELNÉ PRÁVO, V ŽÁDNÉM PŘÍPADĚ NEBUDE
POSKYTOVATEL, JEHO ZAMĚSTNANCI ANEBO JEHO POSKYTOVATELÉ LICENCÍ ZODPOVÍDAT ZA JAKÝKOLIV UŠLÝ ZISK,
PŘÍJEM ANEBO PRODEJ, ANEBO ZA JAKOUKOLIV ZTRÁTU DAT, ANEBO ZA NÁKLADY VYNALOŽENÉ NA OBSTARÁNÍ
NÁHRADNÍHO ZBOŽÍ ANEBO SLUŽEB, ZA MAJETKOVÉ ŠKODY, ZA OSOBNÍ ÚJMU, ZA PŘERUŠENÍ PODNIKÁNÍ, ZA
ZTRÁTU OBCHODNÍCH INFORMACÍ, ANI ZA JAKÉKOLIV SPECIÁLNÍ, PŘÍMÉ, NEPŘÍMÉ, NÁHODNÉ, EKONOMICKÉ, KRYCÍ,
TRESTNÉ, SPECIÁLNÍ ANEBO NÁSLEDNÉ ŠKODY, JAKKOLIV ZAPŘÍČINĚNÉ, ČI UŽ VYPLYNULI ZE SMLOUVY, ÚMYSLNÉHO
JEDNÁNÍ, NEDBALOSTI ANEBO JINÉ SKUTEČNOSTI, ZAKLÁDAJÍCÍ VZNIK ZODPOVĚDNOSTI, VZNIKLÉ POUŽÍVÁNÍM
ANEBO NEMOŽNOSTÍ POUŽÍVAT SOFTWARE, A TO I V PŘÍPADĚ, ŽE POSKYTOVATEL ANEBO JEHO POSKYTOVATELÉ
LICENCÍ BYLI UVĚDOMĚNÍ O MOŽNOSTI TAKOVÝCHTO ŠKOD. POKUD NĚKTERÉ STÁTY A NĚKTERÉ PRÁVNÍ SYSTÉMY
NEDOVOLUJÍ VYLOUČENÍ ZODPOVĚDNOSTI, ALE MOHOU DOVOLOVAT OMEZENÍ ZODPOVĚDNOSTI, JE
ZODPOVĚDNOST POSKYTOVATELE, JEHO ZAMĚSTNANCŮ ANEBO POSKYTOVATELŮ LICENCÍ OMEZENÁ DO VÝŠE CENY,
KTEROU JSTE ZAPLATILI ZA LICENCI.
14. Žádné ustanovení této Dohody se nedotýká práv strany, které zákon přiznává práva a postavení spotřebitele,
pokud je s nimi v rozporu.
15. Technická podpora. Technickou podporu poskytuje ESET anebo ním pověřená třetí strana na základě vlastního
uvážení bez jakýchkoliv záruk anebo prohlášení. Koncový uživatel je povinný před poskytnutím technické podpory
zálohovat všechny jeho existující data, software a programové vybavení. ESET a/anebo ním pověřená třetí strana
nepřebírají zodpovědnost za poškození anebo ztrátu dat, majetku, software anebo hardware anebo ušlý zisk při
poskytování technické podpory. ESET a/anebo ním pověřená třetí strana si vyhrazuje právo na rozhodnutí, že řešený
problém přesahuje rozsah technické podpory. ESET si vyhrazuje právo odmítnout, pozastavit anebo ukončit
poskytování technické podpory na základě vlastního uvážení.
16. Převod Licence. Software můžete přenést z jednoho počítačového systému na jiný počítačový systém, pokud to
není v rozporu s Dohodou. Pokud to není v rozporu s Dohodou, Koncový uživatel může jednorázově trvale převést
Licenci a všechna práva z této Dohody na jiného Koncového uživatele jen se souhlasem Poskytovatele za podmínky,
že (i) původní Koncový uživatel si neponechá žádnou kopii Software, (ii) převod práv musí být přímý, tedy z
původního Koncového uživatele na nového Koncového uživatele, (iii) nový Koncový uživatel musí přebrat všechna
práva a povinnosti, které má podle této Dohody původní Koncový uživatel (iv) původní Koncový uživatel musí
odevzdat novému Koncovému uživateli doklady umožňující ověření legality Software jako je uvedené v článku 17.
17. Ověření legality Software. Oprávněnost používání Software může Koncový uživatel prokázat některým z
následujících způsobů„ (i) licenčním certifikátem vydaným Poskytovatelem anebo ním pověřenou třetí stranou, (ii)
písemnou licenční smlouvou, pokud byla takováto smlouva uzavřená (iii) předložením zprávy elektronické pošty
odeslané Poskytovatelem s licenčními údaji (přihlašovací jméno a heslo) umožňujícími Update.
18. Údaje o Koncovém uživateli a ochrana práv. Vy jako Koncový uživatel opravňujete Poskytovatele, aby přenášel,
zpracovával a uchovával údaje, které Vás umožní identifikovat. Souhlasíte, že Poskytovatel může svými prostředky
kontrolovat, zda používáte Software v souladu s ustanoveními této Dohody. Souhlasíte, že po dobu komunikace
Software s počítačovými systémy Poskytovatele anebo jeho obchodních partnerů mohou být přenášené údaje, které
mají za účel zabezpečit funkčnost a oprávněnost používání Software a ochranu práv Poskytovatele. V souvislosti s
uzavřením této Dohody jsou Poskytovatel anebo jeho obchodní partner oprávnění na účely fakturace a plnění této
Dohody přenášet, zpracovávat a uchovávat údaje, které Vás umožní identifikovat v nevyhnutelném rozsahu.
Podrobné informace o ochraně soukromí a dat naleznete na http://www.eset.com/cz/ochrana-soukromi/.
19. Licencování pro státní orgány a vládu USA. Software se poskytuje státním orgánům včetně vlády Spojených států
amerických s licenčními právy a omezeními popsanými v této Dohodě.
20. Kontrola exportu a reexportu. Software, Dokumentace anebo jejich součásti včetně informací o Software a jeho
součástech podléhají opatřením o kontrole dovozu a vývozu na základě právních předpisů, které mohou vydávat
vlády příslušné na jejich vydání podle aplikovatelného práva, včetně U.S. Export Administration Regulations, jako i
omezení týkajících se Koncového uživatele, způsobu použití a místa určení vydaných vládou USA a jinými vládami.
Souhlasíte, že budete striktně dodržovat všechny aplikovatelné dovozní a vývozní předpisy a uznáváte, že nesete
zodpovědnost za získání všech povolení potřebných na export, reexport, převod anebo import Software.
21. Oznámení. Všechny oznámení, včetně Software a Dokumentací je potřebné doručit na adresu: ESET software
spol. s r.o., Classic 7 Business Park, Jankovcova 1037/49, 170 00, Praha 7, Česká republika.
157
22. Rozhodující právo. Táto Dohoda se řídí a musí být vykládána v souladu se zákony Slovenské republiky s
vyloučením ustanovení o kolizi právních norem. Koncový uživatel a Poskytovatel se dohodli, že kolizní ustanovení
rozhodujícího právního řádu a Dohod OSN o smlouvách při mezinárodní koupi zboží se nepoužijí. Výslovně
souhlasíte, že řešení jakýchkoliv sporů anebo nároků z této Dohody vůči Poskytovateli anebo spory a nároky
související s používáním software je příslušný Okresní soud Bratislava V a výslovně souhlasíte s výkonem jurisdikce
tímto soudem.
23. Všeobecná ustanovení. V případě, že jakékoliv ustanovení této Dohody je neplatné anebo nevykonatelné,
neovlivní to platnost ostatních ustanovení Dohody. Ta zůstanou platná a vykonatelná podle podmínek v ní
stanovených. Změny této Dohody jsou možné jen v písemné formě, přičemž za Poskytovatele musí takovouto
změnu podepsat statutární zástupce anebo osoba k tomuto úkonu výslovně zplnomocněná.
Tato Dohoda mezi Vámi a Poskytovatelem představuje jedinou a úplnou Dohodu vztahující se na Software, a plně
nahrazuje jakékoliv předcházející prohlášení, jednání, závazky, zprávy anebo reklamní informace, týkající se
Software.
158

ESET Remote Administrator - Installation and Upgrade Guide

Transkript

Podobné dokumenty

ESET Remote Administrator 6

ESET Remote Administrator - Installation and Upgrade Guide

ESET Remote Administrator 6

MySQL databáze - český manuál

ESET Remote Administrator - Virtual Appliance Deployment

Brožura - ESCAD Trade

Závěrečná zpráva CESNET projektu - LIPTEL

Informační technologie - aplikace osobních počítačů

Klikněte sem pro stažení nejnovější verze příručky

Strih videa v Kdenlive - Index of

KASPERSKY LAB NABÍZÍ TO NEJLEPŠÍ VE SVÉM OBORU*

Téma 1: Práce s Desktop

Instalujeme PostgreSQL

Oficiální zadání práce

Release Notes - openSUSE 13.2

phpMyAdmin