[KB6920] Migracja ERA Proxy (Windows) do Apache HTTP Proxy w ESMC 7

Problem

  • Posiadasz ESET Remote Administrator (ERA) w wersji 6 oraz działający w Twoim środowisku ERA Proxy (działający na systemie Windows) i chciałbyś zaktualizować środowisko do ESET Security Management Center (ESMC) 7
  • ESMC nie posiada wsparcia dla ERA Proxy - Apache HTTP Proxy zastąpić rolę ERA Proxy w Twojej infrastrukturze

Czy używasz ERA Proxy na systemie Linux lub jako wirtualny appliance?

Szczegóły

ESMC 7 wprowadza nowej generacji protokół komunikacji pomiędzy Agentem, a serwerem. Nowy protokół używa protokołów TLS i HTTP2, a co za tym idzie może przechodzić przez serwery proxy. Wprowadza to także nowe funkcję wspomagające połączenia oraz trwałe połączenie co polepsza ogólną wydajność połączeń.

Nowy protokół komunikacji nie wspiera połączenia używając ERA 6.x Proxy.

ESET dostarcza prekonfigurowany instalator Apache. Użytkownik może tinne rozwiązanie Proxy (oprócz Apache HTTP Proxy), które spełnia poniższe warunki:

  • potrafi przekazywać komunikację SSL
  • wspiera HTTP CONNECT
  • potrafi pracować bez uwierzytelniania (ESET Management Agent nie wspiera uwierzytelniania z proxy)

Konfiguracja innych rozwiązań proxy nie jest zapewniane i wspierane przez ESET. Inne rozwiązania proxy mogą nie wspierać zapisywania w pamięci podręcznej komunikacji ESET Dynamic Threat Defense.

Rozwiązanie

Ograniczenia połączeń

ESET Remote Administrator (ERA) 6.x Proxy nie jest wspierany w ESET Security Management Center 7. Przejdź ostrożnie przez instrukcje umieszczone w tym artykule by zapewnić kompatybilność połączenia:
  • Agenty ERA 6.x mogą połączyć się do serwera ESMC 7
  • ESET Management (EM) Agent (wersja 7) nie może połączyć się do serwera ESMC przez ERA Proxy
  • EM Agent (wersja 7) nie może połączyć się do serwera ERA 6.x
  • Nie aktualizuj agentów ERA 6.x przez poprawną konfiguracją rozwiązania proxy
  • Nie ma możliwości uruchomienia zadania wdrożenia agenta na klientach, gdzie serwer ESMC jest tylko osiągalny za przez Apache HTTP Proxy
     

I. Przygotuj swoje środowisko ERA 6.x

  1. Wykonać backup ERA Server (backup bazy danych, Urzędu certyfikacji i certyfikatów).
     
  2. Zaktualizuj ERA Server do ESMC 7 wykorzystując zadanie Uaktualnienia komponentów rozwiązania Remote Administrator (Serwer, agent oraz konsola webowa zostaną zaktualizowane). Kiedy będziesz wybierać obiekt docelowy, wybierz tylko maszynę z zainstalowanym rozwiązaniem ERA Server.
Zaktualizuj serwera ERA manualnie
    1. Pobierz wymagane komponenty instalacyjne ESMC 7. Serwer ESMC, Agent, RD Sensor, Konsola webowa są wymagane. Pobierz inne instalatory jeżeli są Ci potrzebne. Nie zmieniaj nazw plików instalacyjnych *.msi.

    2. Zatrzymaj Apache Tomcat. Przejdź do katalogu %TOMCAT_HOME%in (np. C:\Program Files\Apache Tomcat\Tomcat7\bin\) i kliknij dwukrotnie tomcat7w.exe. Możesz to wykonać także z poziomu Usług systemowych (services.msc).

    3. Wykonaj kopię zapasową folderu i całej jego zawartości: C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\ .

      Lokalizacja folderu będzie się różnić na systemach 32-bitowych:

      Na 32-bitowych systemach, "Program Files (x86)" nosi nazwę "Program Files".

    4. Skopiuj plik konfiguracyjny EraWebServerConfig.properties z lokalizacji: C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties.

    5. Usuń folder C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\ folder (włącznie z plikiem era.war).

    6. W pobranych plikach instalacyjnych (z kroku a) znajdź plik: era.war i wypakuj go do lokalizacji: C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\.

    7. Przenieś plik konfiguracyjny EraWebServerConfig.properties (który skopiowałeś w kroku d) do lokalizacji: C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era\g2webconsole\server\modules\config\.

    8. Kliknij dwukrotnie na plik Server_x64.msi. Przejdź przez kroki instalacyjne Serwera ESMC:
      • Jeżeli instalowałeś Serwer ESMC używając installera all-in-one z menu rozwijanego wybierz MS SQL Server via Windows Authentication i kliknij przycisk Dalej.
      • Jeżeli użyłeś istniejącego serwera MS SQL/MySQL, wybierz typ połączenia wprowadzony podczas instalacji. Wymagane będą uprawnienia administracyjne do połączenia Serwera ESMC z bazą danych. Kliknij Dalej.

    9. Zakończ instalację Serwera ESMC.

    10. Uruchom usługę Apache Tomcat. W zależności od konfiguracji systemu operacyjnego, uruchomienie usługi może trwać do 40 sekund.

    11. Otwórz Konsolę webową ESET Security Management Center (ESMC Web Console) w Twojej przeglądarce internetowej i zaloguj się. Jak otworzyć konsolę ESMC Web Console?

 

  1. Zaczekaj około 24 godziny, aby upewnić się że środowisko po aktualizacji działa płynnie.

  1. Zaktualizuj ERA Agenty na maszynie ERA Proxy za pomocą zadania Uaktualnienia komponentów Security Management Center.

 

II. Zainstaluj i skonfiguruj Apache HTTP Proxy

  1. Zainstaluj Apache HTTP Proxy na maszynie, gdzie ERA Proxy jest zainstalowana. Użyj prekonfigurowanej przez ESET-a wersji Apache HTTP Proxy. Zawiera niezbędną konfigurację do obsługi połączenia ESET Management Agent.
  2. Zmodyfikuj plik konfiguracyjny Apache HTTP Proxy httpd.conf. Znajduje się on w lokalizacji C:\Program Files\Apache HTTP Proxy\conf\. Utwórz wyrażenie ProxyMatch?
    1. Jeżeli zmieniłeś domyślny port (2222) dla Agenta, znajdź linię AllowCONNECT 443 563 2222 i zmień 2222 na numer twojego portu.
       
    2. Wprowadź nazwę hosta lub adres IP Twojego Serwera ESMC do pliku konfiguracyjnego. Nazwa hosta musi być taka sama, jaką używają Agenty do połączenia z Serwerem ESMC. Możesz dodać adres IP, nazwę hosta lub oba parametry.
    3. Zapisz zmiany i zrestartuj usługę Apache HTTP Proxy
       

 

 

III. Przypisz politykę przejścia do testowej stacji roboczej

 

 
  1. Utwórz nową politykę na Twoim Serwerze ESMC. W ESMC Web Console kliknij przycisk Polityki → Nowa polityka.
     
  2. W sekcji Podstawowe wprowadź Nazwę dla polityki.
     
  3. W sekcji Ustawienia wybierz ESET Management Agent.
     
  4. Przejdź do Połączenie → Serwery z którymi można nawiązać połączenie  Edytuj listę serwerów.
     
  5. Kliknij Dodaj i wprowadź adres (odpowiadający temu skonfigurowanemu dla Agenta) Twojego Serwera ESMC w polu Host. Kliknij OK.
     
  6. Zmień operator z Zastąp na Dodaj.
     
  7. Kliknij Zapisz.
     
  8. Przejdź do Ustawienia zaawansowane  HTTP Proxy i zmień Typ konfiguracji serwera proxy na Inny serwer proxy dla każdej usługi.
     
  9. Kliknij Replikacja (do serwera ESMC)  Edytuj i włącz Użyj serwera proxy.
     
  10. Wprowadź adres IP maszyny proxy w polu Host.
     
  11. Pozostaw w polu Port, domyślną wartość 3128.
     
  12. Kliknij Zapisz i Zakończ, aby zapisać politykę. Nie przypisuj polityki do żadnej ze stacji roboczych.
Ważne!
Absolutnie ważne jest posiadanie obu adresów IP przypisanych do stacji roboczej. Jeżeli Agent nie posiada tych informacji w polityce, nie będzie w stanie połączyć się z Proxy i Serwerem ESMC po aktualizacji. Takie Agenty muszą zostać naprawione manualnie poprzez naprawę instalacji używając poprawnego adresu Serwera ESMC.

Jeżeli ustawienia HTTP Proxy nie jest zastosowane do polityki, Agent nie będzie w stanie połączyć się z Serwerem ESMC. Ręczna reinstalacja nie naprawi tego.
 
  1. Wybierz jedną stację roboczą, która połączona jest przez ERA Proxy i przypisz nową politykę do tej testowej stacji roboczej.
     
  2. Zaczekaj kilka minut, aż polityka zostanie zastosowana na stacji roboczej i czy nadal komunikuje się z Serwerem ESMC.
     

IV. Zaktualizuj Agenty ERA na stacjach roboczych

  1. Uruchom zadanie Uaktualnienia komponentów Security Management Center, aby zaktualizować testową stację roboczą.
     
  2. Po wykonanej aktualizacji do wersji 7, sprwadź czy Agent nadal komunikuje się z Serwerem ESMC. Jeżeli komputer poprawnie komuniktuje się z serwerem po aktualizacji, przejdź do aktualizacji pozostałych stacji roboczych.
Ważne!

Jeżeli posiadasz dużą sieć, rozpocznij aktualizację w działach gdzie pracują użytkownicy doświadczeni w IT lub gdzie jesteś fizycznie blisko, aby móc rozwiązywać problemy łatwiej.

  1. Zastosuj politykę (opisaną w części III) do innych komputerów połaczonych przez ERA Proxy.

 

 

  1. Zaczekaj kilka minut, aż polityka zostanie zastosowana na stacjach roboczych i sprawdź czy nadal komunikuje się z Serwerem ESMC.
     
  2. Uruchom zadanie Uaktualnienia komponentów Security Management Center na tych stacjach roboczych.
     
  3. Jeżeli wszystkie stacje robocze komunikują się z Serwerem ESMC po aktualizacji, możesz przejść do dalszych kroków.
     

 

V. Usuń adres ERA Proxy z listy serwerów

 

  1. Zmodyfikuj politykę (opisaną w części III) poprzez przejście do Polityki. Kliknij ikonę koła zębatego i obok polityki do zmodyfikowania i kliknij przycisk Edytuj.
     
  2. W Ustawienia  Połączenie zmień operator z Dodaj na Zastąp.
     
  3. Kliknij Zapisz.
     
  4. Kliknij Zakończ, aby zastosować politykę.
     
  5. Usuń ERA Proxy wykorzystując Zadania klienta  Dezinstalacja oprogramowania.

 

 

 

Dodatkowa pomoc