[KB6922] 从ERA Proxy(Linux或虚拟设备)迁移到ESMC 7中的Apache HTTP Proxy

问题

  • 您具有在虚拟设备上运行ERA Proxy 的ESET Remote Administrator(ERA)6.x环境,并且要升级到不支持ERA Proxy 的ESET安全管理中心(ESMC)7。
  • 您要在虚拟设备上启用Apache HTTP Proxy 以替代ESMC 7中ERA Proxy
  • #@#publication_url id='1663' language='1' content=' 您是否在Windows主机上使用ERA Proxy? ' target='_blank'#@

细节

ESMC 7引入了新一代的代理/服务器通信协议。 新的复制协议使用TLS和HTTP2协议,因此可以通过代理服务器。 还具有新的自我恢复功能和持久连接,可提高整体通信性能。
ERA Proxy 6.x 用户

新的通信协议不支持使用ERA Proxy 6.x的连接。

ESET提供了预先配置的Apache安装程序。 用户还可以使用其他满足以下条件的代理解决方案(Apache HTTP Proxy除外):

  • 可以转发SSL通信
  • 支持HTTP 连接
  • 无需身份验证即可工作(ESET Management Agent不支持使用proxy代理进行身份验证)

ESET不提供或不支持其他代理解决方案的配置。 其他解决方案可能不支持ESET动态威胁防御(EDTD)通信的缓存。

ESMC 7虚拟设备包含正确配置的Apache HTTP proxy。 我们建议您使用新设备而不是升级旧设备。

解决方案

Solution

连接限制

  • ESMC 7中不再提供ERA 6.x proxy组件。
  • ERA 6.x Agent可以连接到ESMC 7服务器。
  • ESET Management Agent 7无法通过ERA  Proxy 或ERA 6.x服务器连接到ESMC服务器。
  • 在设置适当的代理解决方案之前,请勿升级ERA 6.x Agent。
  • 在具有ESMC Server的客户端上无法运行代理部署任务 。 代理部署任务只能使用Apache HTTP Proxy 到达ESMC服务器。

I.准备您的ERA 6.x环境

  1. 备份你的 ERA Server (例如,备份数据库, CA 和 证书)
     
  2. 通过 Remote Administrator 组件升级任务。将ERA服务器升级到ESMC 7  此任务将更新服务器,代理和Web控制台。 为任务分配目标时,仅选择带有ERA服务器的计算机。
     
  3. 等待大约24小时,以验证升级后的环境是否运行正常。
图 1-1

II. 部署新的虚拟设备并将其连接到您的ESMC服务器

为了确保 proxy 代理安全和配置良好,请用新版本替换旧的ERA proxy -虚拟设备。 ESMC 7不像ERA 6.x那样提供独立的代理配置。 我们建议您部署新的ESMC服务器-虚拟设备。 新服务器不用作管理服务器,而是代理。 ESMC 7虚拟设备下载中包含正确配置的Apache HTTP proxy 。

  1. 下载ESMC 7虚拟设备。
     
  2. 在虚拟机管理程序上部署ESMC 7虚拟设备。
     
  3. 将新设备配置为ESMC服务器。
    • 稍后,系统将提示您输入新密码。
    • 在配置过程中启用HTTP转发代理。
       
  1. 在设备上重新安装ESET Management Agent,并将其连接到ESMC 主服务器。 使用ESMC虚拟设备打开虚拟机 → 进入管理模式 → 输入密码 → 登录退出终端。
     
  2. 代理安装程序位于:/root/eset_installers/Agent-Linux-x86_64.sh
    我们建议您使用服务器辅助安装。 例如:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    将主机名和密码值替换为主ESMC服务器中的实际值。 有关更多信息,请参阅ESMC联机帮助指南中 Agent 安装 - Linux 文章。
图 2-1


 

  1. 如果需要,您可以停止新设备上的某些服务以节省资源。
    在终端中,运行适用的命令:
    系统初始化 Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    为了防止ESMC和MySQL服务在重新启动后启动,请禁用它们:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. 修改Apache HTTP Proxy配置文件 /etc/httpd/conf.d/proxy.conf. 使用终端中的 nano 编辑器或使用 Webmin访问文件。  使用nano,请使用以下命令:

    nano /etc/httpd/conf.d/proxy.conf
     
    1. 如果已更改代理的默认端口(2222),请找到行 AllowCONNECT 443 2222 ,并将2222 更改为您的端口号。
       
    2. 将ESMC服务器的主机名或IP地址添加到配置文件中。 您添加的主机名必须与代理用于连接到ESMC服务器的主机名完全相同。 您还可以添加 ProxyMatch表达式。 
       
    3. 保存更改并关闭文件。
       
    4. 重新启动 Apache HTTP Proxy 服务。

      systemctl restart httpd

  3. 在您的Web浏览器打开 ESET Security Management Web 控制台 (ESMC Web Console)并登录。 如果新代理正在连接,请使用它进行代理计算机的将来维护。

III. 为测试客户端分配过渡策略

  1. 在 ESMC Web控制台 点击 策略→新策略。
图 3-1
  1. 输入策略名称。
图 3-2
  1.  在设置, 选择 ESET Management Agent.
     
  2. 连接 部分, 单击 服务器连接到 旁边的 编辑服务器列表。
图 3-3
  1. 点击 添加。
图 3-4
  1. 主机 字段中,输入ESMC服务器的适用地址(该地址必须与代理在配置中使用的地址匹配),然后单击确定。
图 3-5
  1. 单击 保存
3-6
  1. 政策设置 下拉菜单中, 选择 附加。
3-7
  1. 单击 高级设置。 HTTP Proxy 部分, 在Proxy 配置 下拉菜单中选择 Different Proxy Per Service 
3-8
  1. 复制 (到ESMC服务器)旁边,单击 编辑。
3-9
  1. 启用 使用代理服务器。主机字段 中,输入代理计算机的IP地址。 在 端口 字段中,保留默认值(3128),然后单击“保存”。
3-10
  1. 单击 完成 以保存策略。 请勿将其分配给计算机。
IP 地址
必须将一个列表中的两个IP地址都应用于客户端。 如果代理在策略中没有此信息,则升级后它将无法连接到代理和ESMC服务器。 必须通过运行修复安装并使用正确的ESMC服务器地址来手动修复此类代理。 如果该策略中未应用HTTP Proxy设置,则代理能够连接ESMC服务器。
3-11
  1. 选择一台通过ERA代理连接的计算机,然后将新策略 分配给该测试客户端。
     
  2. 几分钟后,确认计算机仍在连接到ESMC服务器。

IV. 在客户端计算机上升级ERA服务器代理

  1. 运行安全管理中心组件升级任务
     
  2. 验证客户端已连接到ESMC服务器。 继续升级其余客户端。
升级和故障排除

如果您拥有更庞大的网络,请从具有IT经验的用户或与计算机距离更近的用户所在的部门开始升级,以简化故障排除。

  1. 将第III部分中的策略应用于通过ERA Proxy连接的其他计算机
4-1

 

  1. 应用该策略后,请验证所有客户端都在连接到ESMC服务器。
     
  2. 运行 安全管理中心组件升级任务。
     
  3. 如果升级完成后所有客户端都连接到ESMC服务器,请继续执行下面的V节。

V. 从服务器列表中删除ERA Proxy地址

  1. 在浏览器中打开 ESET Security Management Web 控制台 (ESMC Web Console) 并登录。

  2. 单击 政策,选择适用的策略,然后单击 编辑。
5-1
  1. 单击 设置
     
  2. 策略设置 下拉菜单中,选择 替换。
     
  3. 单击 完成 以保存并应用该策略。
5-2
  1. 删除ERA代理虚拟设备(从虚拟机管理程序中删除虚拟机)。
5-3

需要进一步的协助?