[KB7182] Self Enrollment in ESET Endpoint Encryption

Lösung

Die neue Self-Enrollment-Funktion bietet eine automatische Aktivierung für Systeme, die sich im gleichen lokalen Netzwerk wie der ESET Endpoint Encryption (EEE) Server befinden. Wenn sich ein Benutzer bei seinem Domänenkonto anmeldet, wird der EEE-Server kontaktiert und der ESET Endpoint Encryption Client wird automatisch mit der Schlüssel-Datei und den Aktivierungsinformationen des Benutzers versorgt.

Dies bietet dem Benutzer ein nahtloses Erlebnis, insbesondere beim Roaming, da sich ein Benutzer an einem neuen Arbeitsplatz anmelden kann, ohne EEE aktivieren zu müssen.

Nach Abschluss des Self-Enrollment kommunizieren EEE-Server und Client über den Cloud Proxy. Schlüssel-Datei-Updates, Full Disk Encryption und alle EEE-Funktionen funktionieren weiterhin wie gewohnt.

Um das Self Enrollment nutzen zu können, müssen sich Benutzer im Active Directory befinden, das vom EEE-Server abgefragt wird, um den Benutzer zu identifizieren und zu registrieren. Wenn ein Benutzer nicht über das Self Enrollment aktiviert werden kann (beispielsweise ist er möglicherweise nicht mit dem LAN verbunden), kann die herkömmliche Aktivierung weiterhin verwendet werden. Dem Benutzer kann eine Aktivierungs-E-Mail mit einem anklickbaren Aktivierungslink gesendet werden, oder der Aktivierungscode kann manuell eingegeben werden.

Installationsanleitung

  1. Aktivieren Sie ESET Endpoint Encryption Server Direct Communications — ESDirect

    Diese Option ist standardmäßig bei Neuinstallationen des EEE-Servers (v2.8.0 oder höher) aktiviert. Das Self Enrollment verwendet eine neue EEE-Serverfunktion namens ESDirect, die Self Enrollment und Netzwerkerkennung ermöglicht (damit der EEE-Client den Server finden kann).
  1. Öffnen Sie das EEE Server Control Panel. Im Abschnitt Administration klicken Sie auf Settings.
     
  2. Aktivierne Sie die Checkbox neben Enable ESET Endpoint Encryption Server Direct Communications

Der Communications Port kann bei Bedarf von der Standardeinstellung 8266 geändert werden

Geben Sie für jede Organisation eine eindeutige Portnummer an.
Wenn Sie die mandantenfähige Version des EEE-Servers mit mehreren Organisationen verwenden, müssen Sie für jede Organisation eine eindeutige Portnummer angeben, damit das Self Enrollment ordnungsgemäß funktioniert. Wenn der Kommunikationsport geändert wird, müssen bestehende Clients neu konfiguriert werden. Die Einstellung ist Teil der Workstation-Policy während der Installation. Im Abschnitt Auf bestehende Arbeitsstationen anwenden in diesem Artikel finden Sie die erforderlichen zusätzlichen Schritte: Wie kann ich die Workstation Policy ändern?

Abbildung 1-1

  1. Konfigurieren der Firewall

Damit sich die Client-Workstations selbst anmelden können, muss das Netzwerk den Zugriff auf den in Schritt 1 angegebenen Kommunikationsport der Maschine, die den EEE-Server hostet, ermöglichen.

Stellen Sie sicher, dass sowohl die Hardware- als auch die Software-Firewalls, die den EEE-Server schützen, den Port 8266 (die Standardeinstellung) für den UDP- und TCP-Verkehr im Domänen-Netzwerk öffnen. Alternativ können Sie bei Software-Firewalls auch die ausführbare Datei des EEE-Servers selbst, dlpecsrv.exe, als Ausschluss angeben. Diese Datei kann sich im Ordner EEE Server befinden: C:\Program Files\ESET Endpoint Encryption Server\ (Program Files (x86) auf 32-Bit-Hosts).

Besuchen Sie diesen Artikel, um ein Beispiel für das Öffnen des Ports in der Windows-Firewall anzuzeigen: Öffnen der Windows-Firewall für das Self Enrollment.

  1. Stellen Sie sicher, dass Client-Lizenzen dem ESET Endpoint Encryption Server hinzugefügt wurden.

Stellen Sie sicher, dass der Pool der Lizenzen, die Sie verwenden werden, dem EEE-Server hinzugefügt wurde. Hinzufügen neuer Client-Lizenzen zum ESET Endpoint Encryption Server.

  1. Das Self-Enrollment erfordert, dass Benutzer, die sich aktivieren, ihre Daten von einem Active Directory-Server importieren lassen und dass ihnen eine Lizenz zugewiesen wird. Bei der Konfiguration der Active Directory-Einstellungen können Sie auswählen, welcher Lizenz die neuen Benutzer bei der Registrierung zugeordnet sind. Wenn keine Lizenz ausgewählt ist, können nur bereits lizenzierte Benutzer das Self-Enrollment nutzen. Wenn Sie die Benutzer nicht automatisch importiert haben, führen Sie vor dem Fortfahren einen manuellen Import durch.

    Weitere Informationen zum Einrichten der Active Directory-Synchronisierung finden Sie unter: Wie wird der ESET Endpoint Encryption Server mit Active Directory synchronisiert?

    Abbildung 1-2

  2. Workstation Policy — Diese Option ist bei Neuinstallationen von DESlock+ Enterprise Server Version 2.8.0 / ESET Endpoint Encryption Server 3.0 oder höher bereits standardmäßig aktiviert).

    Das Self-Enrollment wird im EEE-Client mit einer neuen Workstation-Policy gesteuert. Wenn Sie bereits vorhandene Workstations haben, für die Sie diese Option aktivieren, müssen diese nach Änderung der Einstellung aktualisiert werden. Weitere Informationen finden Sie im Abschnitt Auf bestehende Workstations anwenden unter Wie kann ich die Workstation-Policy ändern?

Abbildung 1-3

  1. Software auf Workstations installieren - Wenn die Einstellung für das Self-Enrollment aktiviert ist, müssen Sie die Software auf den Workstations installieren. Die Software kann mittels Push-Installation oder einer client.msi-Installation installiert werden. Installieren Sie die Software auf Workstations.
  1. Wenn sich die Benutzer in ihr Domänen-Netzwerkprofil auf der Workstation einloggen, werden sie automatisch aktiviert und erscheinen lizenziert und mit der Workstation im EEE-Server verknüpft.
Proxy Sync:

Da der Prozess des Self-Enrollment direkt mit dem EEE-Server kommuniziert, ist es für das Erscheinen der Workstation im EEE-Server nicht erforderlich, einen Proxy-Synchronisierungsprozess auszuführen.

Abbildung 1-4



Fehlerbehebung

Erstellen von Log-Dateien

Das ESDirect- und Self-Enrollment-Protokoll finden Sie in den folgenden Verzeichnissen. Wenn Sie Probleme haben und Hilfe benötigen, sollten Sie diese nach Möglichkeit mit Ihrem Support-Ticket zusammen versenden:

Windows XP: \Documents and Settings\\Local Settings\DESkey\DESlock+\ESDirect.log

Windows Vista und neuer: \Users\\AppData\Local\DESkey\DESlock+\ESDirect.log

Kommunikations-Timeout ommunications Timeout

Wenn die Protokolldatei 'Server Not Found C03B0003' enthält, kann die Workstation nicht mit dem EEE-Server kommunizieren. Stellen Sie sicher, dass für Firewalls, wie oben beschrieben, Ausnahmen vorgesehen sind, damit die Workstation sowohl für das UDP- als auch für das TCP-Protokoll mit dem EEE-Server kommunizieren kann. Wenn Ihr Netzwerk konfiguriert ist, um Multicast-UDP-Pakete zu blockieren, müssen Sie außerdem die genaue Serveradresse angeben, wie in den untenstehenden Clienteinstellungen beschrieben.

Benutzer nicht gefunden

Wenn die Protokolldatei die Angabe 'Command Failed C03B000E' enthält, wurde der Benutzer im EEE-Server selbst nicht gefunden. Sie sollten sicherstellen, dass dieser Benutzer aus der Domäne importiert und dem EEE-Server hinzugefügt wurde. Sie sollten auch bereits lizenziert sein, es sei denn, Sie haben eine Lizenz zur Verwendung für die automatische Lizenzierung in den ES Direct-Einstellungen ausgewählt.
 

Clienteinstellungen

Die folgenden Einstellungen werden zur Steuerung des Self-Enrollment im EEE-Client verwendet. Diese Informationen werden als Referenz zur Verfügung gestellt, seien Sie vorsichtig bei der Bearbeitung der Registrierung.

  • Server-Adresse: Verwenden Sie dies, um die Adresse des Servers manuell einzustellen, wenn Multicast-UDP-Pakete vom Netzwerk blockiert werden. In diesem Beispiel lautet die Serveradresse dlpes.mydomain.local. Sie können auch eine statische IP-Adresse anstelle eines Namens festlegen, wenn das DNS nicht korrekt implementiert ist. [HKEY_LOCAL_MACHINE\SOFTWARE\DESlock\Client\CentralCtrl] Insert new string value: "DLPESDirectAddress"="dlpes.mydomain.local".
     
  • Self-Enrollment aktivieren: Durch die ES Workstation Policy festgelegt [HKEY_LOCAL_MACHINE\SOFTWARE\DESlock\Client] "EnableSelfEnrolment"=dword:00000001
  • Server-Port: Wird über die ES Workstation-Policy festgelegt. Das folgende Beispiel zeigt den Standard-Port 8266. [HKEY_LOCAL_MACHINE\SOFTWARE\DESlock\Client\CentralCtrl] "DLPESDirectPort"=dword:0000204A
     
  • Ballon-Popup nach der Aktivierung: Dadurch wird verhindert, dass dem Benutzer die Benachrichtigung angezeigt wird, wenn das System aktiviert wird. Kein Wert = aktiviert [HKEY_LOCAL_MACHINE\SOFTWARE\DESlock\Client\CentralCtrl] "SelfEnrolmentPopup"=dword:00000000