ESET Remote Administrator - Installation and Upgrade Guide

Transcript

ESET
REMOTE
ADMINISTRATOR 6
Guida all'installazione, l'aggiornamento e la migrazione
Fare clic qui per accedere alla versione più recente di questo documento
Fare clic qui per visualizzare la versione della Guida on-line di questo documento
ESET REMOTE ADMINISTRATOR 6
Copyright 2016 di ESET, spol. s r.o.
ESET Remote Admi ni s tra tor 6 è s ta to s vi l uppa to da ESET, s pol . s r.o.
Per ul teri ori i nforma zi oni , vi s i ta re i l s i to Web www.es et.i t.
Tutti i di ri tti ri s erva ti . Sono vi eta te l a ri produzi one, l 'a rchi vi a zi one i n s i s temi di
regi s tra zi one o l a tra s mi s s i one i n qua l s i a s i forma o con qua l s i a s i mezzo, el ettroni co,
mecca ni co, tra mi te fotocopi a , regi s tra zi one, s ca ns i one o a l tro del l a pres ente
documenta zi one i n a s s enza di a utori zza zi one s cri tta del l 'a utore.
ESET, s pol . s r.o. s i ri s erva i l di ri tto di modi fi ca re qua l s i a s i pa rte del s oftwa re
del l 'a ppl i ca zi one des cri tta s enza a l cun prea vvi s o.
Supporto tecni co: www.es et.com/s upport
REV. 6/7/2016
Contenuti
3.2.5.3
Disinstallazione dell’agente e risoluzione dei
problemi
..................................................................................71
3.2.6
Installazione
..............................................................................72
della console Web
3.2.7
Installazione
..............................................................................72
del proxy
3.2.7.1
Prerequisiti
..................................................................................73
del proxy
3.2.8
Installazione
..............................................................................74
di RD Sensor
3.2.8.1
Prerequisiti
..................................................................................74
di RD Sensor
3.2.9
Installazione
..............................................................................74
del Connettore dispositivi mobili
3.2.9.1
Prerequisiti
..................................................................................76
3.2.9.2
Attivazione
..................................................................................77
3.2.9.3
Funzionalità
..................................................................................78
di gestione delle licenze MDM iOS
3.2.9.4
Importa
..................................................................................78
la catena di certificati HTTPS per MDM
3.2.10
Installazione
..............................................................................80
e cache del proxy HTTP Apache
3.2.11
Strumento
..............................................................................82
Mirror
3.2.12
Cluster
..............................................................................84
di failover
1. Installazione/Aggiornamento
.......................................................5
1.1 Funzioni
....................................................................................................5
1.2 Architettura
....................................................................................................6
1.2.1
Server..............................................................................7
1.2.2
Console
..............................................................................8
Web
1.2.3
Agente..............................................................................8
1.2.4
Proxy ..............................................................................9
1.2.5
Rogue
..............................................................................10
Detection Sensor
1.2.6
Connettore
..............................................................................12
dispositivi mobili
1.3 Scenari
....................................................................................................12
di utilizzo
1.3.1
Server
..............................................................................13
singolo (aziende di piccole dimensioni)
1.3.2
Diramazioni
..............................................................................14
remote con proxy
1.3.3
Alta disponibilità
..............................................................................15
(Enterprise)
1.3.4
Esempi
..............................................................................16
di utilizzi pratici (Windows)
1.4 Prodotti
....................................................................................................17
e lingue supportati
3.3 Installazione
....................................................................................................85
componenti su Linux
3.3.1
Installazione passo dopo passo del server ERA su
Linux..............................................................................85
1.5 Differenze
....................................................................................................19
rispetto alla versione 5
3.3.2
Installazione
..............................................................................86
e configurazione di MySQL
2. Requisiti
.......................................................21
di sistema
3.3.3
Installazione
..............................................................................87
e configurazione dell’ODBC
2.1 Sistemi
....................................................................................................21
operativi supportati
3.3.4
Installazione
..............................................................................88
server - Linux
2.1.1
Windows
..............................................................................21
3.3.4.1
Prerequisiti
..................................................................................90
server - Linux
2.1.2
Linux..............................................................................23
3.3.5
Installazione
..............................................................................91
agente - Linux
2.1.3
OS X ..............................................................................24
3.3.5.1
Prerequisiti
..................................................................................93
dell'agente - Linux
2.2 Ambienti di Desktop Provisioning
....................................................................................................24
supportati
3.3.6
Installazione
..............................................................................93
della console Web - Linux
3.3.6.1
Prerequisiti
..................................................................................94
di ERA Web Console - Linux
2.3 Hardware
....................................................................................................25
3.3.7
Installazione
..............................................................................94
proxy - Linux
2.4 Database
....................................................................................................25
3.3.7.1
Prerequisiti
..................................................................................96
proxy - Linux
3.3.8
Installazione
..............................................................................96
e prerequisiti di RD Sensor - Linux
3.3.9
Installazione
..............................................................................97
di Connettore dispositivi mobili - Linux
3.3.9.1
Prerequisiti
..................................................................................98
di Connettore dispositivi mobili - Linux
3.3.10
Installazione
..............................................................................99
del proxy Apache HTTP - Linux
Porte..............................................................................26
utilizzate
3.3.11
Installazione proxy squid HTTP su server Ubuntu 14.10
..............................................................................102
3. Processo
.......................................................29
di installazione
3.3.12
Strumento
..............................................................................103
Mirror
3.3.13
Cluster
..............................................................................105
di failover - Linux
3.3.14
Come disinstallare o reinstallare un componente Linux
..............................................................................107
2.5 Versioni
....................................................................................................26
supportate di Apache Tomcat
2.6 Browser Web supportati per ERA Web
Console
....................................................................................................26
2.7 Rete
....................................................................................................26
2.7.1
3.1 Installazione
....................................................................................................29
integrata su Windows
3.1.1
Installa
..............................................................................30
il server ERA
3.1.2
Installa
..............................................................................38
il proxy ERA
3.1.3
Installa ERA Mobile Device Connector (come
strumento
..............................................................................43
indipendente)
3.1.4
Disinstalla
..............................................................................47
componenti
3.1.5
Certificati
..............................................................................49
personalizzati con ERA
3.1.6
Windows
..............................................................................60
SBS/Essentials
3.2 Installazione
....................................................................................................62
componenti su Windows
3.4 Installazione dei componenti su Mac OS
X....................................................................................................107
3.4.1
Installazione
..............................................................................107
dell’agente - Mac OS X
3.5 Database
....................................................................................................108
3.5.1
Backup
..............................................................................109
del server del database
3.5.2
Aggiornamento
..............................................................................109
del server del database
3.5.3
Migrazione
..............................................................................109
del database ERA
3.5.3.1
Processo
..................................................................................110
di migrazione per SQL Server
3.5.3.2
Processo
..................................................................................118
di migrazione per MySQL Server
3.2.1
Installazione
..............................................................................64
del server
3.2.1.1
Prerequisiti
..................................................................................66
server - Windows
3.2.2
Requisiti
..............................................................................67
di Microsoft SQL Server
3.2.3
Installazione
..............................................................................68
e configurazione di MySQL Server
3.6 Immagine
....................................................................................................119
ISO
3.2.4
Account
..............................................................................69
utente dedicato del database
3.7 Record
....................................................................................................120
servizio DNS
3.2.5
Installazione
..............................................................................69
dell’agente
3.2.5.1
Installazione
..................................................................................70
dell’agente assistita dal server:
3.2.5.2
Installazione
..................................................................................71
off-line dell’agente
4. Procedure di aggiornamento, migrazione e
.......................................................121
reinstallazione
4.1 Attività di aggiornamento dei
....................................................................................................121
componenti
4.1.1
Installazione del prodotto con aggiornamento dei
componenti
..............................................................................133
4.2 Migrazione da una versione precedente
di
....................................................................................................133
ERA
4.2.1
Scenario
..............................................................................135
di migrazione 1
4.2.2
Scenario
..............................................................................136
di migrazione 2
4.2.3
Scenario
..............................................................................140
di migrazione 3
4.3 Migrazione
....................................................................................................143
da un server a un altro
4.3.1
Installazione
..............................................................................144
pulita - indirizzo IP uguale
4.3.2
Installazione
..............................................................................144
pulita - indirizzo IP diverso
4.3.3
Migrazione
..............................................................................145
del database - indirizzo IP uguale
4.3.4
Migrazione
..............................................................................146
del database - indirizzo IP diverso
4.3.5
Disinstallazione
..............................................................................148
del vecchio server ERA
4.4 Aggiornamento di ERA installato nel
cluster
....................................................................................................149
di failover in Windows
4.5 Aggiornamento
....................................................................................................150
del proxy HTTP Apache
4.5.1
Istruzioni di Windows (programma di installazione
integrato)
..............................................................................150
4.5.2
Istruzioni
..............................................................................152
di Windows (manuale)
4.6 Aggiornamento
....................................................................................................153
di Apache Tomcat
4.6.1
Istruzioni di Windows (programma di installazione
integrato)
..............................................................................153
4.6.2
Istruzioni
..............................................................................154
di Windows (manuale)
4.6.3
Istruzioni
..............................................................................155
di Linux
4.7 Modifica dell’indirizzo IP o del nome
....................................................................................................156
host
sul server ERA
5. Risoluzione
.......................................................157
dei problemi
5.1 Risposte ai problemi di installazione
comuni
....................................................................................................157
5.2 File
....................................................................................................160
di rapporto
5.3 Strumento
....................................................................................................161
di diagnostica
5.4 Problemi dopo l’aggiornamento/la
....................................................................................................163
migrazione
del server ERA
5.5 Registrazione
....................................................................................................164
MSI
6. Primi
.......................................................165
passi
6.1 Aprire
....................................................................................................166
ERA Web Console
7. API.......................................................168
ESET Remote Administrator
8. Domande
.......................................................169
frequenti
1. Installazione/Aggiornamento
ESET Remote Administrator (ERA) è un'applicazione che consente all'utente di gestire i prodotti ESET sulle
workstation client, i server e i dispositivi mobili in un ambiente di rete da una postazione centrale. Il sistema di
gestione delle attività integrato di ESET Remote Administrator consente all'utente di installare soluzioni di
protezione ESET su computer remoti e di rispondere rapidamente ai nuovi problemi e alle nuove minacce.
ESET Remote Administrator da solo non fornisce protezione contro codici dannosi. La protezione dell'ambiente
dipende dalla presenza di una soluzione di protezione ESET, ad esempio ESET Endpoint Security su workstation e
dispositivi mobili, o ESET File Security per Microsoft Windows Server sulle macchine server.
ESET Remote Administrator si basa su due principi fondamentali:
1. Gestione centralizzata : l'intera rete può essere configurata, gestita e monitorata da un'unica posizione.
2. Scalabilità: il sistema può essere utilizzato in una piccola rete nonché in ambienti aziendali di grandi dimensioni.
ESET Remote Administrator è progettato per garantire l'adattamento del sistema all'infrastruttura di lavoro.
ESET Remote Administrator supporta la nuova generazione di prodotti di protezione ESET ed è anche compatibile
con la generazione di prodotti precedente.
Il Manuale di installazione/Aggiornamento illustra varie modalità di installazione di ESET Remote Administrator e
si rivolge principalmente ai clienti Enterprise. Consultare il Manuale per le piccole e medie imprese se si desidera
installare ESET Remote Administrator su una piattaforma Windows per gestire fino a 250 prodotti Windows ESET
Endpoint.
Le pagine della guida di ESET Remote Administrator includono una procedura completa per l'installazione e
all'aggiornamento:
Architettura di ESET Remote Administrator
Strumento di migrazione
Processi di installazione
ESET License Administrator
Processi di distribuzione e Distribuzione dell'agente mediante GPO o SCCM
Primi passi dopo l'installazione di ESET Remote Administrator
Attività di post installazione
Manuale di gestione
1.1 Funzioni
Di seguito sono illustrate alcune funzionalità e capacità completamente nuove presenti nella versione 6.3:
Indipendenza dalla piattaforma: il server ERA funziona sia su Windows che su Linux.
Attività post installazione: mostrano come ottenere il massimo da ESET Remote Administrator e guidano l'utente
attraverso i vari passaggi consigliati per un'esperienza d'uso ottimale.
ERA Web Console, ovvero l'interfaccia utente principale di ESET Remote Administrator, è accessibile attraverso il
browser Web. Ciò facilita l'utilizzo di questa risorsa da qualsiasi posizione e dispositivo.
ESET License Administrator: prima di iniziare a utilizzarlo, ESET Remote Administrator deve essere attivato
mediante una chiave di licenza rilasciata da ESET. Vedere la sezione ESET License Administrator per consultare le
istruzioni di attivazione del prodotto oppure la Guida on-line di ESET License Administrator per ulteriori
informazioni sull'utilizzo di ESET License Administrator.
Un Dashboard completamente personalizzabile offre una panoramica completa dello stato di protezione della
rete e la sezione Amministrazione di ESET Remote Administrator Web Console (ERA Web Console) è uno
strumento efficace e accessibile per la gestione dei prodotti ESET.
Agente ERA: l'agente ERA deve essere installato su tutti i computer client che comunicano con il server ERA.
5
Notifiche: consentono di inviare informazioni rilevanti in tempo reale, mentre i Report consentono di ordinare in
modo pratico vari tipi di dati da utilizzare in momenti successivi.
1.2 Architettura
ESET Remote Administrator è una nuova generazione di sistemi di gestione remota e si differenzia notevolmente
dalle versioni precedenti di ESET Remote Administrator. Poiché l'architettura è completamente diversa, non esiste
compatibilità retroattiva con la precedente generazione di ESET Remote Administrator. Tuttavia, rimane la
compatibilità con le versioni precedenti dei Prodotti di protezione ESET.
Oltre a un nuovo ESET Remote Administrator, ESET ha rilasciato anche una nuova generazione di prodotti di
protezione insieme a un nuovo sistema di assegnazione delle licenze.
Per un utilizzo completo del portafoglio di soluzioni di protezione ESET, è necessario installare i seguenti
componenti (piattaforme Windows e Linux):
Server ERA
ERA Web Console
Agente ERA
I seguenti componenti di supporto sono facoltativi. Si consiglia di installarli per ottenere prestazioni ottimizzate
dall'applicazione sulla rete:
Proxy ERA
Sensore RD
Connettore dispositivi mobili
6
1.2.1 Server
ESET Server Remote Administrator (server ERA) è l'applicazione esecutiva che elabora tutti i dati ricevuti dai client
che si connettono al server (attraverso l'Agente ERA). Per una corretta elaborazione dei dati, il server richiede una
connessione stabile a un server del database sul quale sono archiviati i dati di rete. Per ottenere prestazioni
ottimizzate, si consiglia di installare il server del database su un altro computer.
7
1.2.2 Console Web
ERA Web Console è un'interfaccia utente basata sul Web che consente all'utente di gestire soluzioni di protezione
ESET nell'ambiente di lavoro, di visualizzare una panoramica dello stato dei client sulla rete e di utilizzare da remoto
soluzioni ESET su computer non gestiti. L'accesso alla console Web viene effettuato tramite il browser (vedere
Browser Web supportati). Se si decide di rendere il server Web accessibile da Internet, è possibile utilizzare ESET
Remote Administrator praticamente da qualsiasi posizione e dispositivo.
1.2.3 Agente
L’agente ESET Remote Administrator (agente ERA) rappresenta un componente essenziale di ESET Remote
Administrator 6. I client non comunicano direttamente con il server, ma è l'agente a facilitare la comunicazione.
L'agente raccoglie informazioni dal client e le invia al server ERA. Se il server ERA invia un'attività per il client, ciò
significa che l'attività viene inviata all'agente che provvede poi a inviarla al client.
Per semplificare l'implementazione della protezione dell'endpoint, nella suite ERA è incluso l'agente ERA
indipendente (a partire dalla versione 6). Si tratta di un servizio semplice, altamente modulare e leggero che copre
tutte le comunicazioni tra il server ERA e qualsiasi prodotto ESET o sistema operativo. Anziché comunicare
direttamente con il server ERA, i prodotti ESET comunicano attraverso l'agente. I computer client sui quali è
installato l'agente ESET e che comunicano con il server ERA sono considerati "gestiti". È possibile installare l'agente
su qualsiasi computer indipendentemente dal fatto che siano stati installati altri software ESET.
8
I vantaggi sono:
Configurazione semplice: è possibile distribuire l'agente nell'ambito di un'installazione aziendale standard.
Gestione della protezione in loco: poiché l'agente viene configurato in modo da memorizzare vari scenari di
protezione, i tempi di reazione alle minacce vengono ridotti drasticamente.
Gestione della protezione off-line: l'agente risponde a un evento se non è connesso al server ERA.
1.2.4 Proxy
Il server del Proxy ERA è una versione leggera del componente server. Questo tipo di server viene utilizzato per
garantire un elevato livello di scalabilità. Il server del proxy ERA consente all'utente di concentrare il traffico
proveniente dagli agenti client. e ad agenti multipli di connettersi al proxy ERA che distribuirà il traffico al server
ERA. Ciò consente di ottimizzare le query relative al database. Il proxy ERA è anche in grado di connettersi ad altri
server proxy e successivamente al server ERA. Tutto dipende dall'ambiente di rete e dalla relativa configurazione.
Qual è la differenza tra il proxy ERA e il proxy HTTP Apache?
Il proxy ERA è anche responsabile della distribuzione passiva dei dati di configurazione (gruppi, criteri, attività, ecc.)
agli agenti. L'inoltro non implica il coinvolgimento del server ERA.
L'unico modo per configurare il proxy ERA (e tutti gli altri componenti) è rappresentato dal criterio inviato dal server
ERA. Ciò significa che è necessario installare l'agente sulla macchina del proxy ERA per inviare la configurazione dal
server ERA al componente del proxy ERA.
NOTA: il server ERA non può connettersi direttamente al server del proxy ERA in assenza dell'agente.
9
Il Proxy ERA è un altro componente di ESET Remote Administrator che consente di soddisfare due requisiti. In caso
di reti di medie dimensioni o aziendali caratterizzate dalla presenza di numerosi client (ad esempio, 10.000 client o
più), è possibile utilizzare il proxy ERA per distribuire il carico tra molteplici proxy ERA, allo scopo di non
sovraccaricare il Server ERA principale. Un altro vantaggio del proxy ERA consiste nella possibilità di utilizzarlo per
connettersi a una filiale aziendale da remoto con un collegamento debole. Ciò significa che l'agente ERA su ciascun
client non si connette direttamente al server ERA principale ma attraverso il proxy ERA, che si trova sulla stessa rete
locale della filiale aziendale. Questo tipo di configurazione offre comunicazioni ottimizzate con la filiale aziendale.
Il proxy ERA accetta connessioni da tutti gli agenti ERA locali, ne compila i dati e li carica sul server ERA principale (o
un altro proxy ERA). Tale operazione consente alla rete di adattare altri client senza compromettere le proprie
prestazioni e la qualità delle query relative al database.
Per un corretto funzionamento del proxy ERA, il computer host sul quale è stato installato il proxy ERA deve
prevedere un agente ESET installato ed essere connesso al livello superiore (l'eventuale server ERA o un proxy ERA
superiore) della rete in uso.
NOTA: Osservare uno scenario di distribuzione con il Proxy ERA.
1.2.5 Rogue Detection Sensor
Rogue Detection Sensor (RD Sensor) è uno strumento di rilevamento di sistema rogue che consente di ricercare
computer nella rete in uso. L'utilità del sensore consiste nella sua capacità di individuare nuovi computer da ESET
Remote Administrator risparmiando all'utente il compito di ricercarli e aggiungerli manualmente. Le macchine
rilevate vengono immediatamente localizzate e segnalate in un report predefinito, consentendo in tal modo
all'utente di spostarle in gruppi statici specifici e di procedere con le attività di gestione.
RD Sensor è un ascoltatore passivo che rileva i computer presenti nella rete e invia le relative informazioni al server
ERA. A questo punto, il server ERA valuta se i PC trovati nella rete sono sconosciuti o già gestiti.
10
Ogni computer all'interno della struttura di rete (dominio, LDAP, rete Windows) viene aggiunto automaticamente
all'elenco di computer del server ERA attraverso un'attività di sincronizzazione del server. RD Sensor è un metodo
utile per ricercare computer non presenti nel dominio o in un'altra struttura di rete e aggiungerli al server ESET
Remote Administrator. RD Sensor è in grado di ricordare i computer che sono già stati rilevati evitando in tal modo
di inviare le stesse informazioni due volte.
11
1.2.6 Connettore dispositivi mobili
ESET Mobile Device Connector (ESET MDC) è un componente che consente all’utente di gestire i dispositivi mobili
(Android e iOS) con ESET Remote Administrator e di amministrare ESET Endpoint Security for Android.
1.3 Scenari di utilizzo
Nei capitoli che seguono, verranno analizzati scenari di utilizzo per diversi ambienti di rete. Per istruzioni più
dettagliate, consultare il capitolo appropriato:
Server singolo (aziende di piccole dimensioni)
Alta disponibilità (Enterprise)
Diramazioni remote con proxy
12
1.3.1 Server singolo (aziende di piccole dimensioni)
Per gestire reti di piccole dimensioni (massimo 1000 client), è sufficiente disporre solitamente di un'unica macchina
su cui sono installati il server ERA e i relativi componenti (server Web fornito, database, ecc.). È possibile
immaginarlo come un server singolo o un'installazione indipendente. Tutti i client gestiti sono connessi
direttamente al server ERA attraverso l'agente ERA. L'amministratore si connette a ERA Web Console attraverso il
browser Web da qualsiasi computer presente nella rete oppure esegue la console Web direttamente dal server
ERA.
13
1.3.2 Diramazioni remote con proxy
In una rete di medie dimensioni (formata, ad esempio, da 10.000 client), viene aggiunto un altro livello formato da
server del proxy ERA. Gli agenti ERA sono connessi al server del proxy ERA, che viene aggiunto a causa della
presenza di un collegamento debole al sito remoto (ad esempio, una filiale aziendale). Tuttavia, è sempre possibile
collegare gli agenti ERA (collocati su un sito remoto) direttamente al server principale.
14
1.3.3 Alta disponibilità (Enterprise)
Per gli ambienti Enterprise (formati, ad esempio, da 100.000 client), è necessario utilizzare componenti ERA
aggiuntivi. Uno è l'RD Sensor, che aiuta l'utente a ricercare nuovi computer nella rete. L'altro è un livello dei server
del proxy ERA. Gli agenti ERA sono collegati al server del proxy ERA e bilanciano, in tal modo, il carico sul server
principale che rappresenta una risorsa importante per le prestazioni del sistema. È sempre possibile utilizzare
questa configurazione per collegare gli agenti ERA direttamente al server principale. Per garantire ridondanza, viene
inoltre implementato un database SQL su un cluster di failover.
15
1.3.4 Esempi di utilizzi pratici (Windows)
Per ottenere prestazioni ottimizzate, si consiglia di utilizzare Microsoft SQL Server come database ESET Remote
Administrator. Mentre ESET Remote Administrator è compatibile con MySQL, l'utilizzo di MySQL può influire
negativamente sulle prestazioni del sistema in caso di gestione di grandi quantità di dati, tra cui dashboard, minacce
e client. Lo stesso hardware con Microsoft SQL Server è in grado di gestire all'incirca 10 volte il numero di client
rispetto a MySQL.
Per scopi di testing, ciascun client archivia circa 30 rapporti nel database. Microsoft SQL Server utilizza grandi
porzioni di RAM per la cache dei dati del database. Si consiglia pertanto di verificare che sia presente una quantità di
memoria corrispondente almeno a quella presente sul disco di Microsoft SQL Server.
Non è facile calcolare il numero esatto di risorse utilizzate da ESET Remote Administrator, in quanto queste variano
in base alla configurazione di rete del sistema. Seguono i risultati dei test relativi a configurazioni di rete comuni:
Esempio di test: massimo 5.000 client che si connettono a ERA Server
Esempio di test: massimo 100.000 client che si connettono al server ERA
Per ottenere una configurazione ottimale, in grado di soddisfare le esigenze dell'utente, si consiglia di eseguire il
test su un numero inferiore di client e un hardware più lento e di elaborare i requisiti di sistema sulla base dei
risultati del test.
ESEMPIO DI TEST (5.000 CLIENT)
Hardware/software
Windows Server 2003 R2, architettura processore x86
Microsoft SQL Server Express 2008 R2
Intel Core2Duo E8400 @3 GHz
3 GB di RAM
Seagate Barracuda 7200 rpm, 500 GB, cache 16 MB, Sata 3,0 GB/s
Risultati
ERA Web Console è molto reattiva (meno di 5 s)
Consumo memoria:
o Apache Tomcat 200 MB
o ERA Server 200 MB
o SQL Server Database 1 GB
Prestazioni replica server: 10 repliche al secondo
Dimensione database su disco: 1 GB (5.000 client, ciascuno con 30 rapporti nel database)
Per questo esempio, è stato utilizzato SQL Server Express 2008 R2. Nonostante i limiti (database 10 GB, 1 CPU e
utilizzo di 1 GB di RAM), questa configurazione era funzionale e ha registrato buone prestazioni. L'utilizzo di SQL
Server Express è consigliato per i server contenenti meno di 5.000 client. È possibile utilizzare inizialmente SQL
Server Express ed effettuare l'aggiornamento a Microsoft SQL Server (versione completa) qualora diventi necessario
utilizzare un database di maggiori dimensioni. Tenere presente che le versioni precedenti di Express (<2008 R2)
presentano un limite di 4 GB per il database su disco.
Le prestazioni relative alle repliche del server definiscono un intervallo di repliche per i client. 10 repliche al
secondo si traducono in 600 repliche al minuto. Di conseguenza, in un caso ideale, l'intervallo di replica su tutti i
5.000 client dovrebbe essere impostato su 8 minuti. Tale parametro determinerebbe però un carico del 100% sul
server. In tal caso, è necessario pertanto impostare un intervallo più lungo. In questo esempio, si raccomanda un
intervallo di replica di 20-30 minuti.
16
ESEMPIO DI TEST (100.000 CLIENT)
Hardware/software
Windows Server 2012 R2 Datacenter, architettura processore x64
Microsoft SQL Server 2012
Intel Xeon E5-2650v2 @2.60 GHz
64 GB di RAM
Adattatore di rete Intel NIC/PRO/1000 PT Dual
2x Micron RealSSD C400 Unità SSD 256 GB (una per sistema + software, la seconda per i file dati SQL Server)
Risultati
La console Web è reattiva (meno di 30 s)
Consumo memoria
o Apache Tomcat 1 GB
o ERA Server 2 GB
o SQL Server Database 10 GB
Prestazioni replica server: 80 repliche al secondo
Dimensione database su disco: 10 GB (100.000 client, ciascuno con 30 rapporti nel database)
In questo caso, si è scelto di installare tutti i componenti (Apache Tomcat + console Web, server ERA, SQL Server) su
una macchina per testare la capacità del server ERA.
Il numero elevato di client ha determinato un aumento dell'utilizzo della memoria e del disco da parte di Microsoft
SQL Server. Per ottenere prestazioni ottimali, SQL Server memorizza nella cache quasi tutti i dati del database
archiviato nella memoria. Apache Tomcat (Console Web) e il server ERA memorizzano anche i dati nella cache e ciò
spiega l'aumento di utilizzo della memoria in questo esempio.
ERA Server è in grado di servire 80 repliche al secondo (288.000 all'ora). Di conseguenza, in una situazione ideale,
l'intervallo di replica su tutti i 100.000 client dovrebbe essere impostato su "ogni ~30 minuti" (carico di 200.000
repliche all'ora), ma ciò condurrebbe a un carico del server del 100%. L'intervallo di replica migliore è pertanto di 1
ora (100.000 repliche all'ora).
L'utilizzo dei dati di rete dipende dal numero di rapporti raccolti dai client. In questo caso, il numero corrispondeva a
circa 20 KB a replica, di conseguenza 80 repliche al secondo generano una velocità di rete di circa 1600 KB/s (20 Mbit/
s).
In questo esempio, è stato utilizzato uno scenario basato su un server singolo. Il carico di CPU e di rete verrà
distribuito in modo ottimale in caso di utilizzo di più di un proxy ERA (maggiore è il numero migliori saranno le
prestazioni). Tale situazione determinerà una distribuzione del carico sia di CPU sia di rete durante le repliche dei
client. È buona norma distribuire il carico di rete, specialmente nel caso di client distanti tra di loro. L'intervallo di
replica del proxy sul server può essere eseguito durante le ore di mancato utilizzo del sistema, quando la velocità
della rete dalle posizioni distanti è migliore.
1.4 Prodotti e lingue supportati
ESET Remote Administrator consente all'utente di distribuire, attivare o gestire i seguenti prodotti ESET:
Gestibile tramite ESET Remote Administrator 6
Versione
prodotto
Metodo di attivazione
ESET Endpoint Security per Windows
6.x e 5.x
6.x: chiave di licenza
5.x: nome utente/password
ESET Endpoint Antivirus per Windows
6.x e 5.x
ESET Endpoint Security per OS X
ESET Endpoint Antivirus per OS X
ESET Endpoint Security per Android
6.x
6.x
2.x
6.x: chiave di licenza
5.x: nome utente/password
Chiave di licenza
Chiave di licenza
Chiave di licenza
17
Gestibile tramite ESET Remote Administrator 6
ESET File Security per Windows Server
ESET Mail Security per Microsoft Exchange Server
ESET File Security per Microsoft Windows Server
ESET NOD32 Antivirus 4 Business Edition per Mac OS X
ESET NOD32 Antivirus 4 Business Edition per Linux Desktop
ESET Mail Security per Microsoft Exchange Server
ESET Mail Security per IBM Lotus Domino
ESET Security per Microsoft Windows Server Core
ESET Security per Microsoft SharePoint Server
ESET Security per Kerio
ESET File/Mail/Gateway Security per Linux/FreeBSD
ESET NOD32 Antivirus Business Edition
ESET Smart Security Business Edition
Versione
prodotto
Metodo di attivazione
6.x
6.x
4.5.x
4.x
4.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.5.x
4.2.76
4.2.76
Chiave di licenza
Chiave di licenza
Nome utente/password
NOTA: Le versioni dei prodotti ESET Windows Server precedenti a quelle visualizzate nella tabella indicata in
precedenza non possono al momento essere gestite utilizzando ESET Remote Administrator.
NOTA: consultare anche Informativa sulla fine del ciclo di vita dei prodotti ESET Business.
Lingue supportate
Lingua
Inglese (Stati Uniti)
Arabo (Egitto)
Cinese semplificato
Cinese tradizionale
Croato (Croazia)
Ceco (Repubblica Ceca)
Francese (Francia)
Francese (Canada)
Tedesco (Germania)
Italiano (Italia)
Giapponese
Coreano (Corea)
Polacco (Polonia)
Portoghese (Brasile)
Russo (Russia)
Spagnolo (Cile)
Spagnolo (Spagna)
Slovacco (Slovacchia)
18
Codice
en-US
ar-EG
zh-CN
zh-TW
hr-HR
cs-CZ
fr-FR
fr-FC
de-DE
it-IT
jp-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
1.5 Differenze rispetto alla versione 5
Consultare la tabella sottostante per acquisire dimestichezza con le principali differenze tra le varie versioni di ESET
Remote Administrator.
Differenza
Versione 6
Versione 5
Console
Console Web (basata su browser)
Console (applicazione Windows)
Componenti
Server, console Web (interfaccia
Server e console (GUI programma
Web, Java e Apache Tomcat necessari Windows)
su lato server), agente, proxy, Rogue
Detection Sensor, Connettore
dispositivi mobili, proxy HTTP Apache
per il caching di aggiornamento
Individuazione computer
Utilizzo di Rogue Detection Sensor
Installazione remota
Possibile distribuzione remota
Direttamente, monitoraggio
dell’agente ERA, installazione dei
dell’avanzamento in tempo reale
prodotti di protezione ESET eseguita
mediante l'agente ERA
Metodi di installazione remota
Installazione push remota, script del Installazione push remota, SSH, WMI,
programma di installazione in tempo invio tramite e-mail, script WSUS,
reale (invio tramite e-mail o supporto GPO, LogOn
rimovibile), GPO, SCCM
Supporto per i prodotti ESET Business Sì
(6.x)
Utilizzo dell’attività di ricerca della
rete
No
Criteri
Editor criteri rinnovato, con
Editor di configurazione dei criteri
possibilità di impostare i contrassegni strutturato
forza/applica, in quanto la
configurazione finale è il risultato di
criteri multipli (uniti dall’agente in
un’unica configurazione)
Gruppi
Gruppi statici e dinamici. Un gruppo Gruppi statici e parametrici
statico per computer. I gruppi
dinamici sono valutati da un agente,
indipendentemente dalla
connettività al server. L’appartenenza
è segnalata al server.
Creazione di report
Un efficace kit di creazione di report
consente all’utente di creare singoli
grafici di dati combinati. Possibilità di
inviare i report tramite e-mail in
formato CSV o PDF e di salvarli.
Un report separato impostato per il
dashboard basato su Web e modelli
di report generali in forma estesa e
personalizzabile. Esportazione in
formato HTML, ZIP e PDF.
Mirror
Il proxy HTTP Apache funge da proxy/
cache trasparente per i file scaricati
dai server ESET. Lo strumento del
mirror off-line è disponibile come
alternativa.
La funzionalità del mirror consente
all’utente di archiviare gli
aggiornamenti/i file in locale sul
disco rigido del server ERA
19
Supporto piattaforma sistema
operativo
Ambienti Windows, Linux, Mac e
Solo Windows
virtuali (possibilità di importazione di
un dispositivo virtuale). La replica da
server a server è obsoleta.
Database
MSSQL Express (impostazione
ODBC-connesso a MSAccess
predefinita), MSSQL, MySQL (MySQL (impostazione predefinita), MSSQL,
supportato solo su Linux)
MySQL, Oracle
20
2. Requisiti di sistema
È disponibile un set di prerequisiti relativi a hardware, database e software che è necessario soddisfare per
installare e utilizzare ESET Remote Administrator.
2.1 Sistemi operativi supportati
Le sezioni che seguono illustrano le versioni dei sistemi operativi supportate in Windows, Linux e Mac OS da uno
specifico componente di ESET Remote Administrator.
2.1.1 Windows
La tabella che segue presenta un elenco di sistemi operativi Windows supportati per ciascun componente di ESET
Remote Administrator:
Sistema operativo
Server
Windows Home Server 2003 SP2
Windows Home Server 2011 x64
Agente
Proxy
X
X
RD Sensor
MDM
X
X
Windows Server 2003 x86 SP2
Windows Server 2003 x86 R2 SP2
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2008 x64 R2 CORE
Windows Server 2008 x86
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Windows Server 2012 x64 CORE
Windows Server 2012 x64 R2
Windows Server 2012 x64 R2 CORE
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Microsoft SBS 2003 x86 SP2 **
Microsoft SBS 2003 x86 R2 **
Microsoft SBS 2008 x64
Microsoft SBS 2008 x64 SP2 **
Microsoft SBS 2011 x64 Standard
Microsoft SBS 2011 x64 Essential
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Server
Agente
Proxy
RD Sensor
MDM
Sistema operativo
X
X
Windows XP x86 SP3
Windows XP x64 SP2
X
X
X
X
Windows Vista x86 SP2
Windows Vista x64 SP2
X
X
X
X
X
X
X
X
X
Windows 7 x86 SP1
Windows 7 x64 SP1
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 8 x86
X*
X
X*
X
X*
21
Windows 8 x64
X*
X
X*
X
X*
Windows 8.1 x86
Windows 8.1 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
Windows 10 x86
Windows 10 x64
X*
X*
X
X
X*
X*
X
X
X*
X*
* L’installazione dei componenti ERA su un sistema operativo client potrebbe non essere allineata con la politica di
Microsoft in materia di gestione delle licenze. Consultare la politica di Microsoft in materia di gestione delle licenze
oppure rivolgersi al fornitore del software per maggiori informazioni. Nell’SMB/in piccoli ambienti di rete si
consiglia di considerare la possibilità di eseguire un’installazione ERA su Linux o degli accessori virtuali, se
applicabile.
** Microsoft SQL Server Express incluso in Microsoft Small Business Server (SBS) non è supportato da ESET Remote
Administrator. Se si desidera eseguire il database ERA su SBS, è necessario utilizzare una versione più recente di
Microsoft SQL Server Express o MySQL. Per ulteriori informazioni e istruzioni, consultare Installazione su Windows
SBS/Essentials.
Sulle versioni precedenti dei sistemi operativi Windows, per esempio Windows Server 2003, la crittografia dei
protocolli potrebbe non essere completamente supportata sul lato del sistema operativo. In questa configurazione,
verrà utilizzato TLSv1.0 al posto di TLSv1.2, (TLSv1.0 è considerato meno sicuro rispetto alle versioni più recenti).
Questa situazione si verifica anche nel momento in cui, a differenza del client, il sistema operativo supporta
TLSv1.2. In tal caso, la comunicazione si verifica mediante TLS1.0. Per garantire le comunicazioni più sicure, si
suggerisce di utilizzare sistemi operativi più recenti (Windows Server 2008 R2 e versioni successive dei server e
Windows Vista e versioni successive dei client).
NOTA: È possibile installare su un sistema operativo desktop e distribuire gli accessori virtuali di ESET Remote
Administrator. In questo modo è possibile eseguire ESET Remote Administrator su un sistema operativo non server
senza la necessità di utilizzare ESXi.
22
2.1.2 Linux
La tabella che segue consente di visualizzare un elenco di sistemi operativi Linux supportati per ciascun
componente di ESET Remote Administrator:
Sistema operativo
Server
Agente
Proxy
RD Sensor
MDM
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
CentOS 5 x86
CentOS 5 x64
CentOS 6 x86
CentOS 6 x64
CentOS 7 x86
CentOS 7 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SLED 11 x86
SLED 11 x64
SLES 11 x86
SLES 11 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
OpenSUSE 13 x86
OpenSUSE 13 x64
X
X
X
X
X
X
X
X
X
X
Debian 7 x86
Debian 7 x64
X
X
X
X
X
X
X
X
X
X
Fedora 19 x86
Fedora 19 x64
Fedora 20 x86
Fedora 20 x64
Fedora 23 x86
Fedora 23 x64
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Ubuntu 12.04 LTS x86 Desktop
Ubuntu 12.04 LTS x86 Server
RHEL 5 x86
RHEL 5 x64
RHEL Server 6 x86
RHEL Server 6 x64
RHEL Server 7 x86
RHEL Server 7 x64
23
2.1.3 OS X
Sistema operativo
OS X 10.7 Lion
OS X 10.8 Mountain Lion
OS X 10.9 Mavericks
OS X 10.10 Yosemite
OS X 10.11 El Capitan
Agente
X
X
X
X
X
NOTA: OS X è supportato solo come client. L’agente ERA e i prodotti ESET per OS X possono essere installati su OS
X. Tuttavia, il server ERA non può essere installato su OS X.
2.2 Ambienti di Desktop Provisioning supportati
Desktop Provisioning semplifica la gestione dei dispositivi e offre agli utenti finali computer desktop con
prestazioni ottimizzate.
I computer desktop si suddividono solitamente in PC fisici e PC virtuali. ESET Remote Administrator supporta la
maggior parte degli ambienti a condizione che sulla macchina client sia presente un’unità di sistema persistente.
Per gli ambienti virtualizzati e i sistemi operativi “streamed” (servizi di provisioning Citrix), consultare l’elenco di
hypervisor supportati e delle relative estensioni presentato di seguito.
Un’altra importante differenza consiste nel fatto che i computer desktop su cui viene eseguito il provisioning
utilizzano unità di sistema persistenti o non persistenti.
Computer desktop persistente
Computer desktop non persistente
I computer desktop persistenti presentano un livello di
personalizzazione in grado di acquisire tutti i dati
dell’utente, le impostazioni e le applicazioni installate.
Questo livello di personalizzazione rappresenta un
componente essenziale per l’agente ERA e i prodotti di
protezione ESET per una serie di motivi.
I computer desktop non persistenti abbandonano il livello
di personalizzazione dopo ogni utilizzo. Ciò significa che
l’utente può usufruire sempre di uno stato del computer
desktop “nuovo” o “pulito” senza inserire alcun dato o
impostazione.
Hypervisor supportati
Citrix XenServer
Microsoft Hyper-V
VMware vSphere
VMware ESXi
VMware Workstation
VMware View
Estensioni hypervisor supportate
Citrix VDI-in-a-box
Citrix XenDesktop
24
IMPORTANTE: le unità non persistenti non sono
supportate. L’unità di sistema sulle macchine su cui è
stato eseguito il provisioning deve essere Persistente. In
caso contrario, l’agente ERA non funzionerà
correttamente e sui computer desktop su cui è stato
eseguito il provisioning potrebbero verificarsi alcuni
problemi con i prodotto di protezione ESET.
Strumenti
(si applica sia alle macchine fisiche sia alle macchine virtuali)
Microsoft SCCM
Windows Server 2012 Server Manager
2.3 Hardware
Per il corretto funzionamento di ESET Remote Administrator, il sistema deve soddisfare i seguenti requisiti
hardware:
Memoria
Disco rigido
Processore
Connessione di rete
4 GB di RAM
Almeno 20 GB di spazio libero
Dual-Core, 2,0 GHz o superiore
1 Gbit/s
2.4 Database
ESET Remote Administrator supporta due tipi di server di database:
Microsoft SQL Server (incluse le edizioni Express e non-Express) 2008, 2008 R2, 2012, 2014
MySQL (la versione 5.5+ è supportata; si consiglia vivamente di utilizzare almeno la versione 5.6)
Specificare il server del database che si desidera utilizzare durante l’installazione del server ERA o del proxy ERA.
Microsoft SQL Server Express è installato per impostazione predefinita e fa parte del programma di installazione
integrato. È possibile utilizzare un Microsoft SQL Server esistente in esecuzione nell'ambiente. Tuttavia, è
necessario che vengano soddisfatti i requisiti minimi.
Requisiti hardware del server del database
Memoria
1 GB di RAM
Disco rigido
Almeno 10 GB di spazio libero
Velocità processore
Processore x86: 1,0 GHz
Processore x64: 1,4 GHz
Nota: per ottenere prestazioni ottimali, si consiglia di utilizzare un processore
con una potenza minima di 2,0 GHz.
Tipo di processore
Processore x86: Processore compatibile con Pentium III o superiore
Processore x64: AMD Opteron, AMD Athlon 64, Intel Xeon con supporto Intel
EM64T, Intel Pentium IV con supporto EM64T
Ulteriori informazioni
Microsoft SQL Server Express presenta un limite di 10 GB per ciascun database relazionale e non può essere
installato su un controller di dominio. Si sconsiglia di utilizzare Microsoft SQL Server Express in ambienti
Enterprise o in reti di grandi dimensioni. Se si utilizza Microsoft SBS, si consiglia di installare ESET Remote
Administrator su un server diverso o di non selezionare il componente SQL Server Express durante l’installazione
(tale operazione richiede l’utilizzo, da parte dell’utente, di un SQL o di un MySQL Server esistente per
l'esecuzione del database ERA).
Se si intende utilizzare l’account utente dedicato del database che avrà accesso solo al database ERA, è necessario
creare un account utente con privilegi specifici prima dell’installazione. Per ulteriori informazioni, consultare
Account utente dedicato del database. È inoltre necessario creare un database vuoto che sarà utilizzato da ESET
Consultare anche le istruzioni sull’installazione della configurazione di MySQL for Windows e di MySQL for Linux
per un funzionamento corretto con ESET Remote Administrator. Si tenga presente che MariaDB non è supportato
da ESET Remote Administrator.
25
Il server ERA e il proxy ERA non utilizzano un backup integrato. Si consiglia vivamente di eseguire il backup del
server del database al fine di prevenire la perdita dei dati.
2.5 Versioni supportate di Apache Tomcat
Apache Tomcat 6.x e versioni successive (a 32 bit e 64 bit) è supportato. Apache Tomcat è un componente
obbligatorio per l'esecuzione di ERA Web Console.
ESET Remote Administrator non supporta le versioni alfa/beta/RC di Apache Tomcat.
2.6 Browser Web supportati per ERA Web Console
Per un corretto funzionamento di ERA Web Console è necessario utilizzare i browser Web supportati indicati di
seguito. JavaScript deve essere abilitato.
Browser Web
Versione
Mozilla Firefox
20+
Microsoft Internet Explorer
10+
Microsoft Edge
Google Chrome
25+
23+
Safari
Opera
6+
15+
Nota
Si consiglia di eseguire regolarmente gli aggiornamenti di
Firefox.
La Visualizzazione Compatibilità potrebbe non funzionare
correttamente.
Si consiglia di eseguire regolarmente gli aggiornamenti di
Chrome.
2.7 Rete
È essenziale che sia sul server ERA sia sui computer client gestiti da ERA sia disponibile una connessione a Internet
funzionante in modo da poter raggiungere l’archivio e i server di attivazione di ESET. Se si preferisce non connettere
direttamente i client a Internet, è possibile utilizzare un server proxy (diverso dal proxy HTTP Apache o dal proxy
ERA) per facilitare le comunicazioni con la rete e con Internet.
I computer gestiti da ERA dovrebbero essere connessi alla stessa LAN e/o trovarsi nello stesso dominio Active
Directory del server ERA. Il server ERA deve essere visibile dai computer client. Inoltre, i computer client devono
essere in grado di comunicare con il server ERA per poter utilizzare la distribuzione remota e la funzione della
chiamata di riattivazione.
Porte utilizzate
Se la rete utilizza un firewall, consultare l’elenco di possibili porte per la comunicazione di rete utilizzate in caso di
installazione di ESET Remote Administrator e dei relativi componenti nell’infrastruttura.
2.7.1 Porte utilizzate
Nei seguenti grafici vengono riportate tutte le possibili porte di comunicazione sulla rete utilizzate quando ESET
Remote Administrator e i relativi componenti sono installati sull'infrastruttura. Altre comunicazioni vengono
eseguite tramite i processi del sistema operativo nativo (ad esempio NetBIOS su TCP/IP).
Server ERA:
Protocollo Porta
Utilizzo
Descrizioni
TCP
TCP
ERA Server in ascolto
ERA Server in ascolto
Comunicazione tra gli agenti ERA e ERA Server
Comunicazione tra ERA Web Console ed ERA
Server, utilizzata per l'installazione assistita
26
2222
2223
ERA Web Console in esecuzione sul server Web Apache Tomcat:
Protocollo Porta
Utilizzo
Descrizioni
TCP
In ascolto
Chiamata Console Web HTTP SSL
Protocollo Porta
Utilizzo
Descrizioni
TCP
In ascolto
Comunicazione tra gli agenti ERA e il proxy ERA
Protocollo Porta
Utilizzo
Descrizioni
TCP
In ascolto
Proxy HTTP (caching di aggiornamento)
Protocollo Porta
Utilizzo
Descrizioni
UDP
1237
In ascolto
Chiamata di riattivazione per IPv4
UDP
1238
In ascolto
Chiamata di riattivazione per IPv6
443
Proxy ERA:
2222
Proxy HTTP Apache:
3128
Agente ERA:
Connettore dispositivi mobili:
Protocollo Porta
Utilizzo
Descrizioni
TCP
9977
Comunicazione interna tra il Connettore dispositivi
mobili e l'agente ERA
TCP
9978
Comunicazione interna tra il Connettore dispositivi
mobili e l'agente ERA
TCP
9980
In ascolto
Registrazione dispositivo mobile
TCP
9981
In ascolto
Comunicazione dispositivo mobile
TCP
5223
Comunicazione esterna con i servizi delle notifiche
push di Apple
TCP
2195
Invio di notifiche ai servizi delle notifiche push di
Apple
TCP
2196
Servizio commenti delle notifiche push di Apple
TCP
443
Esegui il fallback solo sulla rete Wi-Fi, quando i
dispositivi non riescono a raggiungere le APN sulla
porta 5223
Agente ERA: utilizzato per la distribuzione da remoto dell'agente ERA su un computer di destinazione su cui è
installato il sistema operativo Windows:
Protocollo Porta
Utilizzo
Descrizioni
TCP
139
TCP
445
UDP
137
UDP
138
Porta di destinazione dal punto Utilizzo della condivisione ADMIN$
di vista di ERA Server
Porta di destinazione dal punto Accesso diretto alle risorse condivise tramite TCP/
IP durante l'installazione remota (un'alternativa a
TCP 139)
Porta di destinazione dal punto Risoluzione dei nomi durante l'installazione remota
Porta di destinazione dal punto Ricerca durante l'installazione remota
27
Le porte predefinite 2222, 2223 possono essere modificate se già in uso da parte di altre applicazioni.
NOTA: per un corretto funzionamento di ESET Remote Administrator, nessuna delle porte indicate in precedenza
potrà essere utilizzata da altre applicazioni.
NOTA: configurare il/i firewall nella rete in modo da consentire la comunicazione tramite le porte indicate sopra.
28
3. Processo di installazione
Per consultare le istruzioni per l'aggiornamento dell'installazione ERA esistente, accedere a Procedure di
aggiornamento.
I programmi di installazione di ESET Remote Administrator sono disponibili in formati diversi per supportare vari
metodi di installazione. Ad esempio, nella sezione Download del sito Web di ESET sotto a Remote Administrator 6
(fare clic su per espandere la categoria). Da qui, è possibile scaricare i seguenti elementi:
Il pacchetto del programma di installazione integrato di ERA per Windows in formato compresso
Un'immagine ISO contenente tutti i programmi di installazione di ESET Remote Administrator (eccetto gli
accessori virtuali di ERA)
Gli accessori virtuali (file OVA). la distribuzione dell'accessorio virtuale ERA è consigliata per gli utenti che
desiderano eseguire ESET Remote Administrator in un ambiente virtualizzato o preferiscono un'installazione
senza problemi. Consultare la Guida completa alla distribuzione degli accessori virtuali di ERA per istruzioni
dettagliate.
Installazione passo dopo passo su Linux
Programmi di installazione singoli per ciascun componente: per la piattaforma Windows e Linux
Non modificare il campo Nome del computer della macchina del server ERA dopo l’installazione. Per ulteriori
informazioni, consultare Modifica dell’indirizzo IP o del nome dell’host sul server ERA.
3.1 Installazione integrata su Windows
ESET Remote Administrator può essere installato in alcuni modi diversi, scegliere il tipo di installazione più adatto
alle proprie esigenze e all'ambiente. Il metodo più semplice è l'utilizzo del programma d'installazione integrato
ESET Remote Administrator (ERA). Questo metodo consente di installare ESET Remote Administrator e i sui
componenti su una sola macchina.
L'installazione dei componenti consente di installare diversi componenti di ESET Remote Administrator su varie
macchine. Ciò conferisce all'utente una maggiore libertà di personalizzazione dell'installazione. È possibile, infatti,
installare ciascun componente su qualsiasi macchina, a condizione che vengano soddisfatti i requisiti di sistema.
È possibile installare ERA utilizzando:
L’installazione del pacchetto integrato del server ERA, del proxy,del proxy HTTP Apache o del Connettore
dispositivi mobili
I programmi di installazione indipendenti per i componenti ERA (installazione dei componenti)
Gli scenari di installazione personalizzata includono:
L’installazione su Windows Small Business Server/Essentials
L’installazione con i certificati personalizzati
L’installazione su un cluster di failover
29
Molti scenari di installazione richiedono l'installazione di vari componenti di ESET Remote Administrator su
macchine diverse per adattare le architetture di rete, soddisfare requisiti in termini di prestazioni e così via. I
seguenti pacchetti di installazione sono disponibili per componenti ESET Remote Administrator singoli:
Componenti principali
Server ERA
ERA Web Console
Agente ERA (deve essere installato sui computer client, facoltativo sul server ERA)
Componenti facoltativi
Proxy ERA
RD Sensor
Proxy Apache HTTP
Strumento Mirror
Per ulteriori informazioni sull'installazione dell'ultima versione (6.x) di ESET Remote Administrator, consultare
questo articolo della Knowledge Base.
3.1.1 Installa il server ERA
Il programma di installazione ERA integrato è disponibile solo per sistemi operativi Windows. Questa funzione
consente all'utente di installare tutti i componenti ERA tramite la procedura di installazione guidata ERA.
1. Fare doppio clic sul pacchetto di installazione per eseguirlo, selezionare Server Remote Administrator e fare clic
su Avanti. Se necessario, è possibile regolare le impostazioni della lingua nel menu a discesa Lingua prima di
procedere.
30
2. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Selezionare i componenti
applicabili per eseguire l’installazione e fare clic su Installa.
MICROSOFT SQL SERVER EXPRESS:
Se è già stata installata un’altra versione di Microsoft SQL Server o MySQL oppure si prevede di effettuare la
connessione a un altro SQL Server, deselezionare questo componente.
Non sarà possibile installare Microsoft SQL Server Express su un controller di dominio. Ciò si verificherà molto
probabilmente in caso di utilizzo di Windows SBS/Essentials. Si consiglia di installare ESET Remote
Administrator su un altro server oppure di utilizzare Microsoft SQL Server o MySQL Server per eseguire il
database ERA. Ulteriori informazioni.
IMPORTANTE: IL PROXY HTTP APACHE NON DOVREBBE ESSERE INSTALLATO DA TUTTI GLI UTENTI:
Questa operazione creerà e applicherà automaticamente vari criteri basati su proxy per i client, che
potrebbero incidere sulla capacità dell’utente di scaricare gli aggiornamenti. Si consiglia di deselezionare la
casella di controllo accanto a Proxy HTTP Apache. Se si hanno dei dubbi sulla necessità di installare questo
componente, è possibile installare il proxy HTTP Apache in un secondo momento, se lo si desidera.
Qual è la differenza tra il proxy ERA e il proxy HTTP Apache?
31
3. Se durante il controllo dei prerequisiti vengono rilevati degli errori, è necessario risolverli di conseguenza.
Assicurarsi che il sistema soddisfi tutti i prerequisiti.
Se il sistema non dispone di spazio sul disco sufficiente per l'installazione di ERA, potrebbe comparire la
seguente notifica:
Sull'unità di sistema sono disponibili solo 32 MB
Sul disco devono essere disponibili almeno 5000 MB.
32
4. Al termine del controllo dei prerequisiti e se l'ambiente soddisfa tutti i requisiti, verrà avviata l'installazione.
5. Inserire una Chiave di licenza valida (indicata nell’e-mail relativa al nuovo acquisto ricevuta da ESET) e fare clic su
Avanti. Se si utilizzano credenziali di licenza legacy (nome utente e password), è necessario convertirle in una
chiave di licenza. In alternativa, è possibile selezionare Attiva in seguito. Se si seleziona Attiva in seguito,
consultare il capitolo Attivazione per ulteriori informazioni.
33
6. Se si sceglie di installare Microsoft SQL Server Express nel passaggio 2, verrà eseguito un controllo della
connessione al database. Andare direttamente al passaggio 9. In presenza di un server del database esistente,
verrà richiesto di inserire i dettagli della connessione al database al passaggio successivo.
7. Se si utilizza un SQL Server o MySQL esistente, configurare le impostazioni di connessione di conseguenza.
Immettere il Nome del database, il Nome host e il Numero della porta (queste informazioni sono disponibili in
Microsoft SQL Server Configuration Manager) e i dettagli dell'account del database (nome utente e password) nei
campi appropriati, quindi fare clic su Avanti. La connessione con il database sarà verificata. Se è presente un
database ERA esistente (da un'installazione di ERA precedente) sul server del database, questo sarà rilevato. È
possibile scegliere Utilizza il database esistente e applica l'aggiornamento o Rimuovi il database esistente e
installa la nuova versione.
NOTA: per l’inserimento delle informazioni relative all’Account del database sono disponibili due opzioni. È
possibile utilizzare un account utente dedicato del database che avrà accesso solo al database ERA e, in
alternativa, un Account SA (MS SQL) o un Account root (MySQL). Se si decide di utilizzare un account utente
dedicato, è necessario crearlo con privilegi specifici. Per ulteriori informazioni, consultare Account utente
dedicato del database. Se non si intende utilizzare un account utente dedicato, inserire l’account amministratore
(SA o radice).
Se nella finestra precedente è stato inserito un Account SA o un Account radice, fare clic su Sì per continuare a
utilizzare l'account SA/radice come utente del database per ESET Remote Administrator.
Facendo clic su No, è necessario selezionare Crea nuovo utente (se non ne è già stato creato uno) o Utilizza
utente esistente (se si è in possesso di un account utente dedicato del database, come indicato qui).
34
8. All'utente verrà chiesto di immettere una password per l'account Amministratore della console Web. Questa
password è importante poiché verrà utilizzata per accedere a ERA Web Console. Fare clic su Avanti.
35
9. È possibile lasciare intatti questi campi oppure inserire le informazioni aziendali che compariranno nei dettagli
dei certificati dell’agente ERA e del server ERA. Se si sceglie di inserire una password nel campo Password
dell’autorità, fare attenzione a non dimenticarla. Fare clic su Avanti.
10. Verrà visualizzato l’avanzamento dell’installazione.
36
11. Al termine dell’installazione, comparirà il messaggio “Installazione del server ESET Remote Administrator
eseguita correttamente” oltre all’indirizzo URL di ERA Web Console. Fare clic sull'indirizzo URL per aprire la
console Web oppure su Fine.
Se l’installazione non viene eseguita correttamente:
Rivedere i file dei rapporti di installazione del pacchetto di installazione integrato; la posizione della directory dei
rapporti è sempre la stessa durante l'esecuzione del programma di installazione integrato, per esempio:
C:\Users\Administrator\Downloads\x64\logs\
Consultare la sezione Risoluzione dei problemi.
37
3.1.2 Installa il proxy ERA
AVVISO: non installare mai il server ERA e il proxy ERA sullo stesso computer.
1. Fare doppio clic sul pacchetto di installazione per eseguirlo, selezionare Proxy Remote Administrator e fare clic
su Avanti.
2. Selezionare i componenti che si desidera installare. In assenza di un server del database, è possibile installare
Microsoft SQL Server Express, che è incluso nel pacchetto di installazione (scelta non consigliata per le reti
Enterprise e/o di grandi dimensioni). È inoltre possibile installare ESET RD Sensor dal pacchetto di installazione.
38
3. Se si sceglie di installare Microsoft SQL Server Express nel passaggio 2, verrà eseguito un controllo della
connessione al database. Andare direttamente al passaggio 10. In presenza di un server del database esistente,
verrà richiesto di inserire i dettagli della connessione al database al passaggio successivo.
Inserire le informazioni indicate di seguito per consentire la connessione al database:
39
a. Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows
b. Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL
Server/SQL Server Native Client 10.0/ODBC Driver 11 per SQL Server
c. Nome host: nome host o indirizzo IP del server del database
d. Porta utilizzata per la connessione con il server
e. Nome utente/Password dell'account amministratore database
Se nella finestra precedente è stato inserito un Account SA o un Account radice, fare clic su Sì per continuare a
utilizzare l'account SA/radice come utente del database per ESET Remote Administrator.
Facendo clic su No, è necessario selezionare Crea nuovo utente (se non ne è già stato creato uno) o Utilizza
utente esistente (se si è in possesso di un account utente dedicato del database, come indicato qui).
40
Questo passaggio consentirà di verificare la connessione al database. Se la connessione è corretta, è possibile
procedere al passaggio successivo.
4. Configurare la connessione del proxy a ESET Remote Administrator. Inserire un Host del server (nome host/
indirizzo IP del server) e la Porta del server (2222).
5. Selezionare un Certificato del computer e una password per il certificato. Facoltativamente, è possibile
aggiungere un’Autorità di certificazione. Questo valore è necessario solo in caso di utilizzo di certificati privi di
firma.
41
6. L’Agente ERA sarà installato in aggiunta al proxy ERA. Seguire le istruzioni a schermo per completare
l’installazione nel caso in cui l’agente ERA non sia già stato installato.
42
3.1.3 Installa ERA Mobile Device Connector (come strumento indipendente)
Per installare il Connettore dispositivi mobili come strumento indipendente su un server diverso dal server ERA in
esecuzione, seguire la procedura indicata di seguito.
AVVISO: il Connettore dispositivi mobili deve essere accessibile da Internet in modo da consentire la gestione
dei dispositivi mobili in qualsiasi momento, indipendentemente dalla loro posizione.
NOTA: tenere presente che il dispositivo mobile comunica con il Connettore dispositivi mobili, influendo
inevitabilmente sull'utilizzo dei dati mobili. Ciò vale soprattutto per il roaming.
Per installare il Connettore dispositivi mobili su Windows, adottare la procedura illustrata di seguito:
1. Leggere prima i prerequisiti e assicurarsi che vengano soddisfatti.
2. Avviare il pacchetto di installazione. Selezionare Installa ERA Mobile Device Connector (come strumento
indipendente) e fare clic su Avanti.
2. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Selezionare i componenti
applicabili per eseguire l’installazione e fare clic su Installa.
3. Fare clic su Sfoglia, accedere alla posizione del Certificato SSL per la comunicazione tramite HTTPS e digitare la
password per questo certificato:
43
4. Specificare il Nome host di MDM: si tratta del dominio pubblico o dell’indirizzo IP pubblico del server MDM
raggiungibile dai dispositivi mobili tramite la connessione a Internet.
IMPORTANTE: il nome host di MDM deve essere inserito nello stesso formato specificato nel Certificato del
server HTTPS. In caso contrario, il dispositivo mobile iOS rifiuterà l’installazione del Profilo di MDM. Per esempio, in
presenza di un indirizzo IP specificato nel certificato HTTPS, è necessario digitare questo valore nel campo Nome
host di MDM. Se è stato specificato l'FQDN (per es. mdm.mycompany.com) nel campo Certificato HTTPS, inserire
questo valore nel campo Nome host di MDM. Inoltre, in caso di utilizzo di un carattere jolly * (per es.
*.mycompany.com ) nel campo Certificato HTTPS, è possibile utilizzare mdm.mycompany.com nel campo Nome host di
MDM.
44
5. Poiché il programma di installazione deve creare un nuovo database che sarà utilizzato dal Connettore dispositivi
mobili, è necessario fornire i dettagli della connessione:
Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows
Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL
Server/SQL Server Native Client 10.0/Driver ODBC 11 per SQL Server
Nome del database: è possibile lasciare il nome predefinito o modificarlo, se necessario
Nome host: nome host o indirizzo IP del server del database
Porta: porta utilizzata per la connessione al server del database
Nome utente/Password dell'account dell’amministratore del database
NOTA: è consigliabile utilizzare lo stesso server del database che si utilizza per il database ERA. Tuttavia, se
richiesto, è possibile utilizzare un server del database diverso. Dopo aver fatto clic sul pulsante Avanti, il
programma di installazione del Connettore dispositivi mobili creerà il proprio database.
6. Specificare l'utente per il nuovo database del Connettore dispositivi mobili. È possibile scegliere Crea nuovo
utente o Utilizza utente del database esistente. Digitare la password per l'utente del database.
7. Immettere l’Host del server (nome o indirizzo IP del server ERA) e la Porta del server (la porta predefinita è 2222.
Se si utilizza una porta differente, sostituire quella predefinita con il numero di porta personalizzato).
8. Sono ora disponibili due opzioni per proseguire con l'installazione:
o Installazione assistita dal server: sarà necessario fornire le credenziali di amministratore di ERA Web Console (il
programma di installazione scaricherà automaticamente i certificati richiesti).
1. Immettere l’Host del server (nome o indirizzo IP del server ERA) e la Porta della console Web (lasciare la
porta predefinita 2223 se non si utilizza una porta personalizzata). Fornire inoltre le credenziali
dell'account amministratore della console Web: nome utente/password.
2. Se richiesto, accettare il certificato, facendo clic su Sì. Procedere al passaggio 9.
o Installazione off-line: sarà necessario fornire il Certificato del proxy che può essere esportato da ESET Remote
Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato.
1. Fare clic su Sfoglia e accedere al percorso del Certificato del computer (ovvero il certificato del proxy
esportato da ERA). Lasciare vuoto il campo di testo Password del certificato poiché questo certificato non
richiede la password. Procedere al passaggio 9.
45
NOTA: se si utilizzano certificati personalizzati con ERA (anziché quelli predefiniti generati
automaticamente durante l'installazione di ESET Remote Administrator), utilizzare i certificati personalizzati
di conseguenza.
9. Specificare la cartella di destinazione per il Connettore dispositivi mobili (si consiglia di utilizzare il percorso
predefinito), fare clic su Avanti, quindi su Installa.
10. Al termine dell'installazione, verificare la corretta esecuzione del Connettore dispositivi mobili aprendo https://
your-mdm-hostname:enrollment-port (per esempio https://mdm.company.com:9980) nel browser Web in uso o
da un dispositivo mobile. Se l'installazione è stata eseguita correttamente, verrà visualizzato il seguente
messaggio:
11. È ora possibile attivare l'MDM da ERA Remote Administrator.
46
3.1.4 Disinstalla componenti
Per disinstallare i componenti ERA, eseguire il programma di installazione integrato di ERA utilizzato durante
l’installazione di ERA e selezionare Disinstalla componenti di Remote Administrator. È anche possibile selezionare
la Lingua dal menu a discesa prima di procedere.
Dopo aver accettato l'Accordo di licenza per l'utente finale (ALUF), fare clic su Avanti. Selezionare i componenti da
disinstallare e fare clic su Disinstalla.
47
NOTA: Potrebbe essere necessario riavviare il computer per completare la rimozione di alcuni componenti
particolari.
48
3.1.5 Certificati personalizzati con ERA
Se nell’ambiente è presente una PKI (infrastruttura a chiave pubblica) e si desidera che ESET Remote Administrator
utilizzi i certificati personalizzati per le comunicazioni tra i suoi componenti, adottare la seguente procedura per
eseguire l'impostazione completa.
NOTA: l’esempio illustrato sotto è stato eseguito su un Windows Server 2012 R2. In caso di utilizzo di una versione
diversa di Windows Server, alcune schermate potrebbero presentare delle leggere differenze per l’utente. Tuttavia,
l’obiettivo della procedura rimane invariato.
Ruoli del server richiesti:
Active Directory Certificate Services (AD CS).
Active Directory Domain Services.
1. Aprire Console di gestione e aggiungere gli snap-in dei Certificati:
Accedere al server come membro del gruppo Amministratore locale.
Eseguire mmc.exe per aprire la Console di gestione.
Fare clic su File nel menu in alto e selezionare Aggiungi/Rimuovi snap-in… (oppure premere CTRL+M).
Selezionare Certificati nel riquadro sulla sinistra e fare clic sul pulsante Aggiungi.
49
Selezionare Account del computer e fare clic su Avanti.
Assicurarsi che Computer locale sia selezionato (impostazione predefinita) e fare clic su Fine.
Fare clic su OK.
2. Creare una Richiesta di certificato personalizzata:
Fare doppio clic sui Certificati (computer locale) per espandere la voce.
Fare doppio clic su Personale per espandere la voce. Fare clic con il pulsante destro del mouse su Certificati e
selezionare Tutte le attività > Operazioni avanzate e scegliere Crea richiesta personalizzata...
50
In seguito all’apertura della finestra della procedura guidata Registrazione certificato, fare clic su Avanti.
Selezionare l’opzione Procedi senza criterio di registrazione e fare clic su Avanti per continuare.
Scegliere Chiave legacy (nessun modello) dall’elenco a discesa e assicurarsi che sia selezionato il formato di
richiesta PKCS #10. Fare clic su Avanti.
51
Espandere la sezione Dettagli facendo clic sulla freccia in giù, quindi fare clic sul pulsante Proprietà.
Nella scheda Generale, digitare un Nome facile da ricordare per il certificato; è anche possibile compilare il
campo Descrizione (facoltativo).
Nella scheda Soggetto, eseguire le operazioni indicate di seguito:
Nella sezione Nome soggetto, scegliere Nome comune dall’elenco a discesa in Tipo e inserire era server nel
campo Valore, quindi fare clic sul pulsante Aggiungi. CN=era server comparirà nella casella informativa sulla destra.
In caso di creazione di una richiesta di certificato per l'agente ERA o il proxy ERA, digitare era agent o era proxy nel
sottocampo Valore del campo Nome comune.
52
NOTA: il campo Nome comune deve contenere una delle seguenti stringhe: "server", "agente" o "proxy", in base
alla richiesta di certificato che si desidera creare.
Nella sezione Nome alternativo, scegliere DNS dall’elenco a discesa in Tipo e inserire * (asterisco) nel campo
Valore, quindi fare clic sul pulsante Aggiungi.
Nella scheda Estensioni, espandere la sezione Utilizzo chiave facendo clic sulla freccia in giù. Aggiungere i valori
desiderati tra le opzioni che seguono: Firma digitale, Chiave concordata, Crittografia a chiave. Deselezionare
l’opzione Rendi questi utilizzi delle chiavi critici utilizzando l’apposita casella di controllo.
53
Nella scheda Chiave privata, eseguire le operazioni indicate di seguito:
Espandere la sezione Provider di servizi crittografici facendo clic sulla freccia in giù. Comparirà un elenco di provider
di servizi crittografici (CSP). Assicurarsi che sia selezionato solo Microsoft RSA SChannel Cryptographic Provider
(Encryption).
54
NOTA: deselezionare tutti gli altri CSP (tranne Microsoft RSA SChannel Cryptographic Provider (Encryption), che
deve essere selezionato).
Espandere la sezione Opzioni chiave. Nel menu Dimensioni chiave, selezionare un valore di almeno 2048.
Selezionare Rendi chiave privata esportabile.
Espandere la sezione Tipo di chiave e selezionare l’opzione Exchange. Fare clic su Applica e verificare le
impostazioni.
Fare clic sul pulsante OK. Dopo aver visualizzato le informazioni sul certificato, fare clic sul pulsante Avanti per
continuare. Fare clic sul pulsante Sfoglia per selezionare il percorso in cui verrà salvata la richiesta di firma del
certificato (CSR). Digitare il nome del file e assicurarsi di aver selezionato Base 64.
55
Fare clic sul pulsante Fine per generare il CSR.
3. Importare la Richiesta di certificato personalizzata ed emettere un Certificato personalizzato a partire dalle
richieste in sospeso.
Aprire Gestione server, fare clic su Strumenti > Autorità di certificazione.
Nella struttura Autorità di certificazione (locale), selezionare la scheda Server in uso (solitamente FQDN) >
Proprietà > Modulo criterio e fare clic sul pulsante Proprietà.... Assicurarsi di aver selezionato Imposta stato
richiesta certificato su In sospeso. L’amministratore deve selezionare l’opzione Emetti esplicitamente il
certificato. In caso contrario, utilizzare il pulsante della radio per selezionare l'opzione. In caso di mancata
selezione, la funzione non verrà eseguita correttamente. In caso di modifica dell’impostazione, riavviare i servizi
dei certificati Active Directory.
56
Nella struttura Autorità di certificazione (locale), selezionare Server in uso (solitamente FQDN) > Tutte le attività >
Invia nuova richiesta... e accedere al file CSR creato al passaggio 2.
Il certificato sarà aggiunto tra le Richieste in sospeso. Selezionare il CSR nel riquadro di navigazione sulla destra.
Nel menu Azione, selezionare Tutte le attività > Emetti.
4. Esportare il Certificato personalizzato emesso nel file .tmp.
Fare clic su Certificati emessi nel riquadro sulla sinistra. Fare clic con il pulsante destro del mouse sul certificato
che si desidera esportare, quindi su Tutte le attività > Esporta dati binari...
Nella finestra di dialogo Esporta dati binari, scegliere Certificato binario nell’elenco a discesa e, nelle opzioni
Esporta, fare clic su Salva dati binari in un file, quindi su OK.
Nella finestra di dialogo Salva dati binari, spostare il percorso del file dove si desidera salvare il certificato e fare
clic su Salva.
5. Importare il file .tmp creato
Accedere a Certificato (computer locale) > fare clic con il pulsante destro del mouse su Personale, selezionare
Tutte le attività > Importa...
Fare clic su Avanti...
Individuare il file binario .tmp salvato in precedenza utilizzando Sfoglia... e fare clic su Apri. Selezionare Posiziona
tutti i certificati nel seguente archivio > Personale. Fare clic su Avanti.
Il certificato sarà importato dopo aver fatto clic su Fine.
57
6. Esportare il certificato contenente la chiave privata nel file .pfx.
In Certificati (computer locale) espandere Personale e fare clic su Certificati, selezionare il certificato creato che si
desidera esportare, nel menu Azione, e puntare su Tutte le attività> Esporta...
Nella Procedura guidata Esportazione certificato, fare clic su Sì, esporta la chiave privata (questa opzione
comparirà solo se la chiave privata è contrassegnata come esportabile e l’utente può accedervi).
In Esporta formato file, selezionare Includi tutti i certificati nel percorso di certificazione, selezionare la casella di
controllo Includi tutti i certificati nel percorso di certificazione se possibile e fare clic su Avanti.
Password, digitare una password per eseguire la crittografia della chiave privata che si sta esportando. In
Conferma password, digitare nuovamente la stessa password e fare clic su Avanti.
58
Nome del file, digitare un nome e un percorso per il file .pfx in cui saranno memorizzati il certificato esportato e
la chiave privata. Fare clic su Avanti, quindi su Fine.
7. Dopo aver creato il certificato .pfx personalizzato, è possibile configurare i componenti ERA per poterlo utilizzare.
NOTA: gli esempi precedenti illustrano le modalità di creazione del certificato del server ERA. Ripetere gli stessi
passaggi per i certificati dell'agente ERA e del proxy ERA. Il certificato del proxy ERA può essere utilizzato da ERA
MDM.
Configurare il server ERA per iniziare a utilizzare il certificato .pfx personalizzato.
59
Per consentire all’agente ERA o al proxy ERA/all’MDM di utilizzare il certificato personalizzato .pfx, eseguire la
riparazione del componente appropriato. Premere Avvio > Programmi e funzionalità, fare clic con il pulsante destro
del mouse sull’Agente ESET Remote Administrator e selezionare Cambia. Fare clic sul pulsante Avanti ed eseguire
Ripara. Fare clic su Avanti lasciando inalterati i campi Host del server e Porta del server. Fare clic sul pulsante Sfoglia
accanto a Certificato del computer e individuare il file del certificato personalizzato .pfx. Digitare la password del
certificato che è stata specificata al passaggio 6. Fare clic su Avanti per completare la riparazione. L'agente ERA
utilizza ora un certificato personalizzato .pfx.
3.1.6 Windows SBS/Essentials
Assicurarsi che vengano soddisfatti tutti i Requisiti, specialmente quelli relativi al Sistema operativo supportato.
NOTA:: alcune versioni precedenti di Microsoft SBS, incluse le versioni di Microsoft SQL Server Express, non sono
supportate da ESET Remote Administrator:
Microsoft SBS 2003 x86 SP2
Microsoft SBS 2003 x86 R2
Microsoft SBS 2008 x64 SP2
Se si è in possesso di una qualsiasi delle versioni di cui sopra di Windows Small Business Server e si desidera
installare il database ERA su Microsoft SBS, è necessario utilizzare una versione più recente di Microsoft SQL Server
Express.
o Se Microsoft SQL Express non è installato su SBS, seguire la procedura sottostante.
o Se Microsoft SQL Express non è installato su SBS ma non viene utilizzato, disinstallarlo e seguire la procedura
sottostante.
o Se si utilizza la versione di Microsoft SQL Server Express fornita unitamente a SBS, eseguire la migrazione del
database a una versione di SQL Express compatibile con il server ERA. Per eseguire questa operazione,
effettuare il backup dei database, disinstallare l'installazione precedente di Microsoft SQL Server Express e
seguire la procedura sottostante per installare una versione compatibile di Microsoft SQL Server Express e
ripristinare i database se necessario.
1. Scaricare il pacchetto del programma di installazione ERA in un formato compresso dalla sezione Download del
sito Web di ESET in Remote Administrator 6 (fare clic su + per espandere la categoria).
60
2. Decomprimere il file del programma di installazione scaricato al passaggio uno, aprire la cartella dei programmi di
installazione e fare doppio clic sul programma di installazione Microsoft SQL Express. Nell'esempio in questione,
si utilizza SQLEXPR_2014_x86_ENU:
o All'apertura del Centro di installazione, fare clic su Nuova installazione o aggiungere funzioni a un'installazione
esistente per avviare la procedura guidata di installazione.
NOTA: nel passaggio 8 del processo di installazione, impostare la modalità di autenticazione su Modalità mista
(autenticazione di SQL Server e autenticazione di Windows).
NOTA: per installare il server ERA su SBS, è necessario consentire le connessioni TCP/IP su SQL Server.
3. Installare ESET Remote Administrator mediante l'esecuzione di Setup.exe:
61
4. Selezionare i componenti che si desidera installare, assicurarsi di deselezionare Microsoft SQL Server Express e
fare clic su Installa.
3.2 Installazione componenti su Windows
Molti scenari di installazione richiedono l'installazione di vari componenti di ESET Remote Administrator su
macchine diverse per adattare le architetture di rete, soddisfare requisiti in termini di prestazioni e così via. I
seguenti pacchetti di installazione sono disponibili per componenti ESET Remote Administrator singoli:
Server ERA
ERA Web Console
Agente ERA (deve essere installato sui computer client, facoltativo sul server ERA)
Proxy ERA
RD Sensor
Proxy Apache HTTP
Strumento Mirror
Per ulteriori informazioni sull'installazione dell'ultima versione (6.x) di ESET Remote Administrator, consultare
questo articolo della Knowledge Base.
Se si desidera eseguire l'installazione nella lingua locale, è necessario avviare il programma di installazione MSI
dello specifico componente ERA attraverso la riga di comando.
Segue un esempio di esecuzione dell'installazione in lingua slovacca:
62
Per selezionare la lingua in cui si desidera eseguire il programma di installazione, specificare il parametro
TRANSFORMS corrispondente in base alla tabella che segue:
Lingua
Inglese (Stati Uniti)
Arabo (Egitto)
Cinese semplificato
Cinese tradizionale
Croato (Croazia)
Ceco (Repubblica Ceca)
Francese (Francia)
Francese (Canada)
Tedesco (Germania)
Italiano (Italia)
Giapponese
Coreano (Corea)
Polacco (Polonia)
Portoghese (Brasile)
Russo (Russia)
Spagnolo (Cile)
Spagnolo (Spagna)
Slovacco (Slovacchia)
Codice
en-US
ar-EG
zh-CN
zh-TW
hr-HR
cs-CZ
fr-FR
fr-FC
de-DE
it-IT
jp-JP
ko-KR
pl-PL
pt-BR
ru-RU
es-CL
es-ES
sk-SK
63
3.2.1 Installazione del server
Per installare il componente Server ERA su Windows, adottare la procedura che segue:
1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la .
2. Assicurarsi che vengano soddisfatti tutti i prerequisiti.
3. Eseguire il programma di installazione del server ERA e accettare l'EULA, se d'accordo.
4. Lasciare vuota la casella di controllo accanto a Questa è un’installazione cluster e fare clic su Avanti. Questa è
un’installazione cluster?
nel caso in cui si stia installando il server ERA su un cluster di failover, selezionare la casella di controllo accanto a
Questa è un'installazione cluster. Specificare il Percorso personalizzato ai dati dell'applicazione per puntare
all'archiviazione condivisa per il cluster. È necessario che i dati siano archiviati in una posizione che sia accessibile da
tutti i nodi all'interno del cluster.
5. Inserire una Chiave di licenza ERA valida o scegliere Attiva in seguito.
6. Selezionare un Account utente di servizio. Questo account verrà utilizzato per eseguire il servizio del server ESET
Remote Administrator. Sono disponibili le seguenti opzioni:
Account servizio di rete
Utente specificato: DOMINIO/NOME UTENTE
64
7. Effettuare la connessione a un database. Tutti i dati vengono memorizzati qui (password di ERA Web Console,
rapporti dei computer client, ecc.):
Nome database: è possibile lasciare il nome predefinito o modificarlo, se necessario
Porta: utilizzata per la connessione al server del database
Nome utente/Password dell'account amministratore database
NOTA: il server ERA memorizza enormi quantità di blob di dati nel database. Di conseguenza, è necessario
configurare MySQL per accettare pacchetti di grandi dimensioni che garantiscano un corretto funzionamento di
ERA.
procedere al passaggio successivo.
8. Selezionare un utente per ESET Remote Administrator che ha accesso al database. È possibile utilizzare un utente
esistente oppure ne verrà creato uno dalla configurazione.
10.Inserire una password per l'accesso alla Console Web.
65
11. ESET Remote Administrator utilizza certificati per la comunicazione client-server. È possibile selezionare i propri
certificati oppure i certificati creati dal Server.
12. Inserire le informazioni per tutti i certificati e la password per l’Autorità di certificazione. facendo attenzione a
non dimenticarla.
13. Verrà creato un nuovo Certificato del computer del server, per il quale dovrà essere selezionata anche una
password.
14. Nel passaggio successivo, selezionare una password per i Certificati del computer dell’agente e del proxy.
Facoltativamente, è possibile specificare informazioni aggiuntive sui certificati (scelta opzionale). È possibile
lasciare vuoto il campo Password dell'autorità ma se si immette la password, prestare attenzione a ricordarla.
15.La configurazione può eseguire un'attività di Sincronizzazione di gruppi statici iniziale. Selezionare il metodo
(Non sincronizzare, Sincronizza con la rete Windows, Sincronizza con Active Directory) e fare clic su Avanti.
16.Confermare o modificare la cartella di installazione per il server e fare clic su Avanti.
17.Fare clic su Installa per installare il server.
NOTA: al termine dell'installazione del server ERA, è possibile installare anche l'agente ERA sulla stessa macchina
(facoltativo). In tal modo, sarà possibile gestire il server allo stesso modo di un computer client.
3.2.1.1 Prerequisiti server - Windows
Per installare il server ERA su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti:
È necessario che sia disponibile una licenza valida.
Le porte richieste devono essere aperte e disponibili: per un elenco completo delle porte, fare clic qui.
Server del database (Microsoft SQL Server o MySQL) installato e in esecuzione. Per ulteriori informazioni,
consultare requisiti del database. Se non si dispone di un server del database esistente, si consiglia di revisionare
i dettagli della Configurazione di SQL Server per configurare correttamente SQL ai fini dell'utilizzo con ESET
Java Runtime Environment (JRE) deve essere installato (è possibile scaricarlo da http://java.com/en/download/),
utilizzare sempre l'ultima versione di Java rilasciata ufficialmente.
66
È necessario che sia installato Microsoft .NET Framework 3.5. Se si esegue Windows Server 2008 o 2012, è
possibile installarlo tramite la Procedura guidata regole e funzioni (come mostrato di seguito), mentre se si
utilizza Windows Server 2003, è possibile scaricare .NET 3.5 all'indirizzo http://www.microsoft.com/en-us/
download/details.aspx?id=21
3.2.2 Requisiti di Microsoft SQL Server
Uno dei prerequisiti consiste nell'installazione e nella configurazione di Microsoft SQL Server. È necessario che
vengano soddisfatti i seguenti requisiti:
Installare Microsoft SQL Server 2008 R2 o versioni successive e, in alternativa, Microsoft SQL Server 2008 R2
Express o versioni successive. Scegliere l'autenticazione Modalità mista durante l'installazione.
Se Microsoft SQL Server è già stato installato, impostare l'autenticazione su Modalità mista (autenticazione di SQL
Server e autenticazione di Windows). Per eseguire questa operazione, seguire le istruzioni contenute in questo
articolo della Knowledge Base.
Consentire le connessioni TCP/IP a SQL Server. Per eseguire questa operazione, seguire le istruzioni contenute in
questo articolo della Knowledge Base a partire dalla sezione II. Consentire le connessioni TCP/IP al database SQL.
NOTA: per la configurazione, la gestione e l’amministrazione di Microsoft SQL Server (database e utenti),
scaricare SQL Server Management Studio (SSMS).
NOTA: se si sceglie di installare Microsoft SQL Server Express durante l'installazione, non sarà possibile eseguire
l'operazione su un controller di dominio. Ciò si verificherà molto probabilmente se si utilizza Microsoft SBS. . Se si
utilizza Microsoft SBS, è consigliabile installare ESET Remote Administrator su un server diverso o non selezionare il
componente SQL Server Express durante l'installazione (poiché richiede l'utilizzo di un SQL Server o MySQL
esistente per l'esecuzione del database ERA). Per consultare le istruzioni per l'installazione del server ERA su un
controller di dominio, leggere questo articolo della Knowledge Base.
67
3.2.3 Installazione e configurazione di MySQL Server
Installazione
Scaricare MySQL Windows Installer da http://dev.mysql.com/downloads/installer/ ed eseguirlo.
Durante la configurazione dell’installazione, selezionare Personalizza > Server MySQL e Connettere ODBC per
eseguire l’installazione.
Configurazione
Aprire il seguente file in un editor di testo:
C:\ProgramData\MySQL\MySQL Server 5.7\my.ini
Trovare e modificare o aggiungere la seguente configurazione nella sezione [mysqld] del file my.ini:
max_allowed_packet=33M
Per MySQL 5.6.20 e 5.6.21 (è possibile determinare la versione di MySQL utilizzando mysql -v):
o innodb_log_file_size deve essere impostato almeno su 200 MB (per esempio innodb_log_file_size=200M)
Per MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group deve essere impostato almeno su 200 MB (* indica la
moltiplicazione; il prodotto dei due parametri deve essere > 200 MB. Il valore minimo per
innodb_log_files_in_group è 2)
Salvare e chiudere il file e inserire il seguente comando per riavviare il server MySQL e applicare la configurazione
(il nome del processo dipende dalla versione di MySQL, versione 5.7 = MySQL57, ecc.):
net stop mysql57
net start mysql57
Immettere il seguente comando nel prompt dei comandi per controllare se il server MySQL è in esecuzione:
sc query mysql57
68
3.2.4 Account utente dedicato del database
Se non si desidera utilizzare un Account SA (MS SQL) o un Account radice (MySQL), è possibile creare un Account
utente dedicato del database. L'account utente dedicato sarà utilizzato esclusivamente per accedere al database
ERA. Si consiglia di creare un account utente dedicato nel server del database prima di avviare l’installazione di ESET
Remote Administrator. È necessario inoltre creare un database vuoto al quale sarà possibile accedere mediante
ESET Remote Administrator utilizzando l'account utente dedicato.
NOTA: a un account utente dedicato del database è necessario garantire un set minimo di privilegi.
MySQL user privileges:
ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE VIEW, DELETE, DROP,
EXECUTE, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE, TRIGGER - per ulteriori informazioni sui privilegi
MySQL, consultare http://dev.mysql.com/doc/refman/5.7/en/grant.html
Ruoli a livello di database di Microsoft SQL Server:
L’utente di un database ERA deve essere membro del ruolo del database db_owner. Per ulteriori informazioni
sui ruoli a livello di database di Microsoft SQL Server, consultare https://msdn.microsoft.com/en-us/library/
ms189121%28v=sql.100%29.aspx
3.2.5 Installazione dell’agente
In questo argomento viene illustrata l'installazione locale dell'agente ERA locale su una workstation client.
NOTA: consultare il Manuale di gestione o questo articolo della Knowledge Base per scoprire altri metodi di
installazione dell'agente ERA sui client.
Per installare il componente Agente ERA a livello locale su Windows, adottare la procedura che segue:
2. Eseguire il programma di installazione dell'agente ERA e accettare l'EULA, se d'accordo.
nel caso in cui si stia installando l'agente ERA su un cluster di failover, selezionare la casella di controllo accanto
a Questa è un'installazione cluster. Specificare il Percorso personalizzato ai dati dell'applicazione per puntare
all'archiviazione condivisa del cluster. È necessario che i dati siano archiviati in una posizione che sia accessibile
per tutti i nodi all'interno del cluster.
69
4. Inserire l’Host del server (nome host o indirizzo IP del server ERA o del proxy ERA) e la Porta del server (la porta
predefinita è 2222. Se si utilizza una porta differente, sostituire quella predefinita con il numero di porta
personalizzato).
IMPORTANTE: accertarsi che l'Host del server corrisponda ad almeno uno dei valori (idealmente FQDN)
definiti nel campo Host del Certificato del server. In caso contrario, verrà visualizzato l'errore “Il certificato del
server ricevuto non è valido”. L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del
certificato del server, che indica che funzionerà con qualsiasi Host del server.
5. Selezionare una delle seguenti opzioni di installazione e attenersi ai passaggi relativi alla sezione appropriata qui
di seguito:
Installazione assistita dal server: sarà necessario fornire le credenziali dell'amministratore di ERA Web Console (i
certificati richiesti saranno scaricati automaticamente).
Installazione off-line: sarà necessario fornire un Certificato dell’agente, che può essere esportato da ESET
Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato.
3.2.5.1 Installazione dell’agente assistita dal server:
Per proseguire con l’installazione dell’agente assistita dal server illustrata nel capitolo precedente:
1. Inserire il nome host o l’indirizzo IP di ERA Web Console (corrispondente a quello del server ERA) nel campo Host
del server. Lasciare la Porta della console Web impostata sul valore predefinito 2223 se non si utilizza una porta
personalizzata. Inserire inoltre le credenziali dell'account della console Web nei campi Nome utente e Password.
IMPORTANTE: accertarsi che l’Host del server corrisponda ad almeno uno dei valori (idealmente FQDN)
definiti nel campo Host del Certificato del server. In caso contrario, verrà visualizzato l'errore “Il certificato del
server ricevuto non è valido”. L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del
certificato del server, che indica che funzionerà con qualsiasi Host del server.
2. Se si desidera accettare il certificato, fare clic su Sì quando richiesto.
3. Scegliere Non creare computer o Scegli gruppo statico personalizzato. Se si seleziona Scegli gruppo statico
personalizzato sarà possibile effettuare la scelta da un elenco di Gruppi statici esistenti in ERA. Il computer verrà
aggiunto nel gruppo selezionato dall'utente.
4. Specificare una cartella di destinazione per l'agente ERA (si consiglia di utilizzare il percorso predefinito), fare clic
su Avanti, quindi su Installa.
70
3.2.5.2 Installazione off-line dell’agente
Per proseguire con l’installazione off-line dell’agente illustrata nel capitolo precedente:
1. Fare clic su Sfoglia e accedere al percorso del certificato del computer (ovvero il certificato dell'agente esportato
da ERA). Lasciare vuoto il campo di testo Password del certificato in quanto questo certificato non richiede una
password. Non è necessario ricercare un’Autorità di certificazione (lasciare questo campo vuoto).
NOTA: se si utilizza un certificato personalizzato con ERA (anziché quelli predefiniti generati automaticamente
durante l'installazione di ESET Remote Administrator), utilizzarlo di conseguenza.
2. Fare clic su Avanti per eseguire l'installazione nella cartella predefinita oppure fare clic su Cambia per scegliere
un'altra cartella (si consiglia di utilizzare il percorso predefinito).
3.2.5.3 Disinstallazione dell’agente e risoluzione dei problemi
L’agente ERA può essere disinstallato in vari modi.
Disinstallazione remota con ERA Web Console
1. Accedere a ERA Web Console.
2. Dal riquadro Computer, selezionare un computer dal quale si desidera rimuovere l’agente ERA e fare clic su
Nuova attività.
In alternativa, selezionare più di un computer utilizzando le caselle di controllo corrispondenti e fare clic su
Attività > Nuova attività.
3. Digitare un Nome per l’attività.
4. Dal menu a discesa Categoria attività, selezionare ESET Remote Administrator.
5. Dal menu a discesa Attività, selezionare Interrompi gestione (disinstalla agente ERA).
6. Rivedere il Riepilogo dell’attività e fare clic su Fine.
NOTA: consultare anche le informazioni Attività client contenute nel Manuale di gestione.
Disinstallazione locale
1. Effettuare la connessione al computer dell’endpoint dal quale si desidera rimuovere l’agente ERA (per esempio
tramite RDP).
2. Accedere a Pannello di controllo > Programmi e funzionalità e fare doppio clic su Agente ESET Remote
Administrator.
3. Fare clic su Avanti > Rimuovi e seguire le istruzioni sulla disinstallazione.
IMPORTANTE: in caso di configurazione di una password mediante un criterio per gli agenti ERA in uso, sarà
necessario digitarla durante la disinstallazione. In alternativa, prima di procedere con la disinstallazione
dell’agente ERA, disattivare il criterio.
Risoluzione dei problemi relativi alla disinstallazione dell’agente ERA
Vedere i file di rapporto dell’agente ERA.
Non è possibile eseguire la disinstallazione dell’agente ERA con ESET Uninstaller.
Non è possibile disinstallare l'agente ERA utilizzando un metodo non standard (come la rimozione dei file e la
rimozione del servizio e delle voci di registro dell’agente ERA) con un prodotto ESET Endpoint installato sulla
stessa macchina, a causa della presenza di un sistema di Autodifesa attivato. Per ulteriori informazioni su tale
aspetto, consultare questo articolo della Knowledge Base.
71
3.2.6 Installazione della console Web
Per installare il componente ERA Web Console su Windows, seguire la procedura sottostante:
2. Verificare che vengano installati i seguenti componenti:
Server ERA.
Java: utilizzare sempre l'ultima versione di Java rilasciata ufficialmente (ERA Web Console richiede come
requisito minimo Java versione 7, ma si consiglia vivamente di utilizzare l'ultima versione).
Apache Tomcat (una versione supportata). Si consiglia di installare Apache Tomcat utilizzando Windows Service
Installer (.exe).
File della console Web (era.war) salvato sul disco rigido locale.
3. Copiare era.war nella cartella delle applicazioni Web di Apache Tomcat: Premere Avvio > Apache Tomcat >
Directory del programma Tomcat e aprire la cartella webapps (nella maggior parte dei sistemi operativi
posizionata in C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\).
4. Attendere alcuni minuti per consentire il completamento dell’estrazione del file e dell’installazione di ERA Web
Console.
5. Riavviare il servizio Apache Tomcat. Avvio > Apache Tomcat > Configura Tomcat. Fare clic su Arresta, attendere 30
secondi, quindi fare clic su Avvio.
6. Aprire ERA Web Console nel browser: http://localhost:8080/era/. A questo punto comparirà una schermata di
accesso.
NOTA: la porta HTTP, il cui valore predefinito è 8080, viene impostata durante l’installazione manuale di Apache
Tomcat. È inoltre possibile configurare la connessione HTTPS per Apache Tomcat.
3.2.7 Installazione del proxy
Per installare il componente ERA Proxy Server su Windows, seguire la procedura sottostante:
2. Eseguire il programma di installazione del proxy ERA e accettare l'Accordo di licenza per l’utente finale (EULA), se
d'accordo.
Nel caso in cui si stia installando il proxy ERA su un cluster di failover, selezionare la casella di controllo accanto a
Questa è un'installazione cluster. Se l'installazione viene eseguita su un cluster di failover, specificare il Percorso
personalizzato ai dati dell'applicazione per puntare all'archiviazione condivisa del cluster. È necessario che i dati
siano archiviati in una posizione che sia accessibile da tutti i nodi all'interno del cluster.
4. Selezionare un account utente di servizio. Questo account verrà utilizzato per eseguire il servizio del server ESET
Remote Administrator. Sono disponibili le seguenti opzioni:
a. Account servizio di rete
b. Account personalizzato: DOMINIO/NOME UTENTE
72
5. Effettuare la connessione a un database. Tutti i dati vengono memorizzati qui, dalla password di ERA Web
Console ai rapporti dei computer client. Verrà richiesto di inserire le informazioni seguenti:
a. Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows
b. Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL
Server/SQL Server Native Client 10.0/Driver ODBC 11 per SQL Server
c. Nome host: il nome host o l'indirizzo IP del server del database
d. La porta utilizzata per la connessione al server
e. Nome database: il nome host o l'indirizzo IP del server del database
f. Nome utente e password dell'account Amministratore del database
g. Nome utente e password del database ERA
procedere al passaggio successivo. Se non è possibile stabilire una connessione, verrà visualizzato un messaggio di
errore.
7. Selezionare una porta di comunicazione del proxy. Per impostazione predefinita, verrà utilizzata la porta 2222.
8. Configurare la connessione del proxy al server ESET Remote Administrator. Inserire un Host del server (nome
host/indirizzo IP del server ERA) e la Porta del server (2222).
IMPORTANTE: Accertarsi che l'Host del server corrisponda ad almeno uno dei valori (idealmente FQDN) definiti
nel campo Host del Certificato del server. In caso contrario, si riceverà l'errore "Il certificato del server ricevuto non
è valido". L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del certificato del server, che
indica che funzionerà con qualsiasi Host del server.
9. Selezionare un Certificato del computer e una password per il certificato. Facoltativamente, è possibile
aggiungere un’Autorità di certificazione. Questo valore deve essere inserito necessariamente solo per i certificati
privi di firma.
10.Selezionare una cartella in cui verrà installato il Proxy oppure lasciare selezionata la cartella predefinita.
11.Fare clic su Installa. Il Proxy verrà installato sul computer in uso.
NOTA: durante l'installazione del proxy ERA, l'installazione assistita dal server non è supportata.
3.2.7.1 Prerequisiti del proxy
Per installare il componente ERA Proxy Server su Windows, è necessario che vengano soddisfatti i seguenti
prerequisiti:
AVVISO: non installare mai il server ERA e il proxy ERA sullo stesso computer.
Il Server ERA ed ERA Web Console sono installati (su un computer server).
Il Certificato del proxy creato e scaricato sull'unità locale.
L'Autorità di certificazione preparata sull'unità locale.
Una licenza valida.
Un server del database già installato e configurato. Assicurarsi che vengano soddisfatti i Requisiti di Microsoft SQL.
Un driver ODBC per la connessione al server del database (MySQL/MS SQL) installato sul computer.
Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato su un computer locale.
Per la risoluzione dei problemi, è disponibile il file di rapporto del proxy ERA.
73
3.2.8 Installazione di RD Sensor
Per installare il componente RD Sensor su Windows, adottare la procedura che segue:
3. Fare doppio clic sul file del programma di installazione di RD Sensor per avviare l'installazione.
4. Selezionare il punto in cui RD Sensor verrà installato e fare clic su Avanti > Installa.
3.2.8.1 Prerequisiti di RD Sensor
Per installare il componente RD Sensor su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti:
WinPcap: utilizzare l'ultima versione di WinPcap (versione minima: 4.1.0)
È necessario configurare correttamente la rete (porte appropriate aperte, comunicazioni in entrata non bloccate
da un Firewall, ecc.)
Server ERA raggiungibile
Per poter supportare tutte le funzioni del programma, l'Agente ERA deve essere installato sul computer locale
Il file di rapporto di Rogue Detection Sensor è disponibile qui: C:\ProgramData\ESET\Rouge Detection Sensor
\Logs\
3.2.9 Installazione del Connettore dispositivi mobili
Per installare il componente del Connettore dispositivi mobili per il server ESET Remote Administrator, completare i
passaggi che seguono.
AVVISO: il Connettore dispositivi mobili deve essere accessibile da Internet in modo da consentire la gestione
dei dispositivi mobili in qualsiasi momento, indipendentemente dalla loro posizione.
2. Leggere prima i prerequisiti e assicurarsi che vengano soddisfatti.
3. Eseguire il programma di installazione Connettore dispositivi mobili e accettare l'EULA, se d'accordo.
4. Fare clic su Sfoglia, accedere alla posizione del Certificato SSL per la comunicazione tramite HTTPS e immettere la
password per questo certificato:
5. Specificare Nome host MDM: dominio pubblico o indirizzo IP pubblico del server MDM raggiungibile dai
dispositivi mobili tramite Internet.
IMPORTANTE: il nome host di MDM deve essere inserito nello stesso formato specificato nel Certificato del
server HTTPS. In caso contrario, il dispositivo mobile iOS rifiuterà l’installazione del Profilo di MDM. Per esempio, in
presenza di un indirizzo IP specificato nel certificato HTTPS, è necessario digitare questo valore nel campo Nome
host di MDM. Se è stato specificato l'FQDN (per es. mdm.mycompany.com) nel campo Certificato HTTPS, inserire
questo valore nel campo Nome host di MDM. Inoltre, in caso di utilizzo di un carattere jolly * (per es.
*.mycompany.com ) nel campo Certificato HTTPS, è possibile utilizzare mdm.mycompany.com nel campo Nome host di
MDM.
6. Sarà necessario creare un nuovo database che sarà utilizzato da Connettore dispositivi mobili. Pertanto, fornire i
dettagli della connessione:
74
Nome database: è possibile lasciare il nome predefinito o modificarlo, se necessario
Porta: utilizzata per la connessione al server del database
Nome utente/Password dell'account amministratore database
NOTA: è consigliabile utilizzare lo stesso server del database che si utilizza per il database ERA, anche se può
essere un server del database differente, se necessario. Fare clic sul pulsante Avanti. Il programma di installazione
di Connettore dispositivi mobili creerà il proprio database.
7. Specificare l'utente per il database del Connettore dispositivi mobili appena creato. È possibile scegliere
l'opzione Crea nuovo utente o Utilizza utente database esistente. Immettere la password per l'utente del
database.
8. Immettere l'Host del server (nome o indirizzo IP del server ERA) e la Porta server (la porta predefinita è 2222. Se
si utilizza una porta differente, sostituire quella predefinita con il numero di porta personalizzato).
9. Sono ora disponibili due opzioni per proseguire con l'installazione:
o Installazione assistita dal server: sarà necessario fornire le credenziali amministratore di ERA Web Console (i
1. Immettere l'Host del server (nome o indirizzo IP del server ERA) e la Porta console Web (lasciare la porta
predefinita 2223 se non si utilizza una porta personalizzata). Fornire inoltre le credenziali dell'account
amministratore della console Web: nome utente/password.
2. Se richiesto, accettare il certificato, facendo clic su Sì. Procedere al passaggio 9.
o Installazione off-line: sarà necessario fornire il Certificato del proxy che può essere esportato da ESET Remote
Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato.
1. Fare clic su Sfoglia e accedere al percorso del Certificato del computer (ovvero il certificato del proxy
esportato da ERA). Lasciare vuoto il campo di testo Password del certificato poiché questo certificato non
richiede la password. Procedere al passaggio 9.
NOTA: se si utilizzano certificati personalizzati con ERA (anziché quelli predefiniti generati
automaticamente durante l'installazione di ESET Remote Administrator ), utilizzare i certificati
personalizzati.
10.Specificare la cartella di destinazione per il Connettore dispositivi mobili (si consiglia di utilizzare il percorso
predefinito), fare clic su Avanti, quindi su Installa.
11. Al termine dell'installazione, verificare la corretta esecuzione del Connettore dispositivi mobili aprendo https://
your-mdm-hostname:enrollment-port (per esempio https://mdm.company.com:9980) nel browser Web in uso o
da un dispositivo mobile. Se l'installazione è stata eseguita correttamente, verrà visualizzato il seguente
messaggio: Server MDM funzionante e in esecuzione.
12. È ora possibile attivare MDM da ESET Remote Administrator.
75
3.2.9.1 Prerequisiti del Connettore dispositivi mobili
Per installare Connettore dispositivi mobili su Windows, è necessario che vengano soddisfatti i seguenti
prerequisiti:
Indirizzo IP o dominio pubblico accessibile da Internet.
NOTA: occorre modificare il nome host del server MDM nel file di configurazione. Tenere presente che, in caso di
modifica del nome host del server MDM, potrebbe essere necessario importare un nuovo Certificato del server
HTTPS che include questo nuovo nome host per consentire all’MDM di continuare a funzionare correttamente.
Porte aperte e disponibili; per un elenco completo delle porte, fare clic qui. Si consiglia di utilizzare i numeri
predefiniti delle porte 9981 e 9980, ma è anche possibile modificarli nel file di configurazione del server MDM, se
necessario. Assicurarsi che i dispositivi mobili siano in grado di effettuare la connessione mediante porte
specifiche. Modificare le impostazioni del firewall e/o della rete (se applicabile) per rendere possibile questa
operazione. Per ulteriori informazioni sull’architettura MDM, fare clic qui.
Impostazioni firewall: in caso di installazione del Connettore dispositivi mobili su un sistema operativo non
server, come ad esempio Windows 7 (solo per scopo di valutazione), assicurarsi di consentire le porte di
comunicazione attraverso la creazione di regole firewall per:
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP porta 9980
C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP porta 9981
C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, TCP porta 2222
NOTA: i percorsi effettivi ai file .exe possono variare in base alla posizione in cui ciascuno dei componenti
ERA è installato sul sistema operativo client dell'utente.
Java Runtime Environment (JRE) deve essere installato (è possibile scaricarlo da http://java.com/en/download/),
utilizzare sempre l'ultima versione di Java rilasciata ufficialmente.
Un server del database già installato e configurato. Assicurarsi che vengano soddisfatti i Requisiti di Microsoft SQL.
È necessario che sia installato Microsoft .NET Framework 3.5. Se si esegue Windows Server 2008 o 2012, è
possibile installarlo tramite la Procedura guidata regole e funzioni (come mostrato di seguito), mentre se si
utilizza Windows Server 2003, è possibile scaricare .NET 3.5 all'indirizzo http://www.microsoft.com/en-us/
download/details.aspx?id=21
L’utilizzo della RAM del connettore MDM è ottimizzato in modo che sia presente un massimo di 48 processi del
“modulo ESET Remote Administrator MDMCore” contemporaneamente in esecuzione. Inoltre, se l’utente
effettua la connessione a più dispositivi, i processi saranno regolarmente modificati per ciascun dispositivo che
necessita di utilizzare le risorse.
76
Requisiti del certificato
IMPORTANTE: sarà necessario un certificato SSL in formato PFX per comunicazioni sicure su HTTPS. Si consiglia
l'utilizzo del certificato fornito dall'autorità di certificazione. L'uso dei certificati autofirmati è sconsigliato poiché
non tutti i dispositivi mobili consentono agli utenti di accettare certificati autofirmati. Questo problema non si
verifica con i certificati firmati da un'autorità di certificazione poiché sono attendibili e non richiedono
l'accettazione da parte dell'utente.
NOTA: è necessario possedere un certificato firmato dall’AC e la chiave privata corrispondente e utilizzare
procedure standard per unire questi componenti (che utilizzano tradizionalmente OpenSSL) in un unico file .pfx:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Questa è una procedura standard per la maggior parte dei server che utilizzano i certificati SSL.
IMPORTANTE: in caso di Installazione off-line sarà necessario anche un Certificato dell'agente esportato da ESET
Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato con ERA.
3.2.9.2 Attivazione del Connettore dispositivi mobili
Dopo aver installato il Connettore dispositivi mobili, è necessario attivarlo con ESET Endpoint Security per licenze
Android:
1. Aggiungere la licenza di ESET Endpoint Security for Android in ERA License Management seguendo i passaggi
descritti qui.
2. Attivare il Connettore dispositivi mobili utilizzando le attività client di Attivazione del prodotto: la procedura è
identica a quella utilizzata durante l'attivazione di qualsiasi prodotto di protezione ESET su un computer client. In
questo caso, il Connettore dispositivi mobili rappresenta il computer client.
77
3.2.9.3 Funzionalità di gestione delle licenze MDM iOS
Il Connettore dispositivi mobili (server) archivia le informazioni sulle licenze per i dispositivi iOS. ESET non offre
un’applicazione su Apple App Store.
Le licenze sono legate ai dispositivi e possono essere attivate utilizzando un’Attività di attivazione del prodotto
(come accade per i sistemi Android).
I dispositivi non attivati o con licenze scadute compariranno con uno stato di protezione di colore rosso e con il
messaggio “Licenza non attivata”. Questi dispositivi rifiuteranno la gestione delle attività, l’impostazione dei criteri
e l’invio di rapporti non critici.
Durante la disinstallazione di MDM, lasciando selezionato Mantieni database, le licenze assegnate non saranno
disattivate. Queste licenze possono essere riutilizzate in caso di reinstallazione di MDM sul database in questione,
rimosse mediante ESET Remote Administrator o disattivate attraverso l’utilizzo di ESET License Administrator. In
caso di spostamento su un altro server MDM, sarà necessario eseguire nuovamente l’attività di attivazione del
prodotto.
3.2.9.4 Importa la catena di certificati HTTPS per MDM
È presente un requisito che consente di fornire l’intera catena di certificati per il server HTTPS di MDM. Ciò vale
principalmente in caso di utilizzo di un certificato firmato da un’autorità di certificazione di terze parti allo scopo di
stabilire il livello di affidabilità tra il dispositivo e il browser mobile.
È necessario che l’intera catena di certificati sia presente nel contenitore pkcs12 ( pfx file) impostato come
certificato del server HTTPS. È necessario inoltre importare la catena di certificati presente nell’archivio di
certificati Computer locale di Windows nelle Autorità di certificazione intermedie.
Eseguire mmc.exe per aprire la Console di gestione.
Selezionare File > Aggiungi/Rimuovi snap-in… o (CTRL+M).
Negli snap-in disponibili selezionare Certificati e fare clic su Aggiungi.
Selezionare Account computer per i certificati da gestire e fare clic su Avanti.
78
Selezionare Computer locale e premere Fine.
Fare clic su OK per ritornare alla console di gestione.
Selezionare le autorità di certificazione intermedie e, nel menu contestuale, scegliere Tutte le attività > Importa.
Selezionare il file del certificato HTTPS di MDM e importarlo.
Riavviare il servizio ESET Remote Administrator Mobile Device
Connector .
NOTA: in caso di mancata esecuzione di questa operazione, il server HTTPS di MDM invierà solo il certificato del
server e non l’intera catena (AC intermedie).
79
3.2.10 Installazione e cache del proxy HTTP Apache
Il proxy Apache HTTP è un servizio che può essere utilizzato in combinazione con ESET Remote Administrator 6 e
versioni successive ai fini della distribuzione degli aggiornamenti ai computer client e dei pacchetti di installazione
all'agente ERA. Il proxy HTTP svolge un ruolo simile a quello del server mirror in ESET Remote Administrator 5 e
nelle versioni precedenti. L'utilizzo del proxy HTTP offre i seguenti vantaggi:
Download dei nuovi aggiornamenti del database delle firme antivirali e degli aggiornamenti dei componenti
del prodotto e distribuzione di queste risorse ai client presenti nella rete.
Creazione della cache relativa ai pacchetti di installazione del prodotto ESET.
Riduzione al minimo del traffico Internet sulla rete in uso.
NOTA: per gli aggiornamenti dei database antivirus off-line, utilizzare lo strumento Mirror al posto del proxy
HTTP Apache. Questo strumento è disponibile per entrambe le piattaforme (Windows e Linux).
Per installare il proxy HTTP Apache su Windows, adottare la procedura indicata di seguito:
IMPORTANTE: se il proxy HTTP Apache è stato già installato su Windows e si desidera aggiornarlo alla versione
più recente, procedere all’Aggiornamento del proxy HTTP Apache .
2. Aprire ApacheHttp.zip ed estrarre i file in C:\Program Files\Apache HTTP Proxy
NOTA: se si desidera installare il proxy HTTP Apache su un altro disco rigido, è necessario sostituire C:\Program
Files\ con il percorso corrispondente nelle istruzioni fornite di seguito e nel file httpd.conf posizionato nella
directory Apache HTTP Proxy\bin. Per esempio, se si estrae il contenuto di ApacheHttp.zip in D:\Apache Http
Proxy, C:\Program Files\ deve essere sostituito con D:\Apache Http Proxy.
3. Aprire un prompt dei comandi amministrativo e il CD in C:\Program Files\Apache HTTP Proxy\bin
4. Eseguire il seguente comando:
httpd.exe -k install -n ApacheHttpProxy
5. Utilizzando un editor di testo come Notepad, aprire il file httpd.conf e aggiungere le seguenti righe in fondo al
file:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
NOTA: se si desidera posizionare la directory della cache in un altro punto, per esempio su un altro disco
rigido, come D:\Apache HTTP Proxy\cache, nell’ultima riga del codice precedente è necessario modificare "C:
\Program Files\Apache HTTP Proxy\cache" in "D:\Apache HTTP Proxy\cache" .
6. Impostare il servizio del proxy Apache HTTP utilizzando il seguente comando:
sc start ApacheHttpProxy
7. È possibile verificare che il servizio del proxy Apache HTTP sia in esecuzione nello snap-in services.msc (ricercare
ApacheHttpProxy). Per impostazione predefinita, il servizio è configurato per avviarsi automaticamente.
Attenersi ai passaggi indicati di seguito per configurare un nome utente e una password per il proxy HTTP Apache
(scelta consigliata):
80
1. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi elevato ed eseguendo il comando
indicato di seguito:
sc stop ApacheHttpProxy
2. Verificare la presenza dei seguenti moduli in C:\Program Files\Apache HTTP Proxy\conf\httpd.conf:
LoadModule
LoadModule
LoadModule
LoadModule
authn_core_module modules\mod_authn_core.dll
authn_file_module modules\mod_authn_file.dll
authz_groupfile_module modules\mod_authz_groupfile.dll
auth_basic_module modules\mod_auth_basic.dll
3. Aggiungere le seguenti righe nel percorso C:\Program Files\Apache HTTP Proxy\conf\httpd.conf in <Proxy
*> :
AuthType Basic
AuthName "Password Required"
AuthUserFile password.file
AuthGroupFile group.file
Require group usergroup
4. Utilizzare il comando htpasswd per creare un file denominato password.file nella cartella Apache HTTP Proxy\bin
\ (all'utente verrà richiesto di immettere la password):
htpasswd.exe -c ..\password.file username
5. Creare manualmente il file group.file nella cartella Apache HTTP Proxy\ con il seguente contenuto:
usergroup:username
6. Avviare il servizio ApacheHttpProxy eseguendo il comando indicato di seguito in un prompt dei comandi elevato:
7. Testare la connessione al proxy HTTP accedendo al seguente URL nel browser:
http://localhost:3128/index.html
NOTA: dopo aver completato correttamente l'installazione del proxy HTTP Apache, è possibile consentire solo la
comunicazione ESET (bloccando l'altro traffico - impostazione predefinita) o tutto il traffico. Apportare le modifiche
alla configurazione necessarie come descritto qui:
Inoltro per le sole comunicazioni ESET
Concatenamento del proxy (tutto il traffico)
Il comando seguente consentirà di visualizzare un elenco di contenuti attualmente posizionati nella cache:
C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe -a -p "C:\ProgramData\Apache HTTP Proxy\cache"
Utilizzare lo strumento htcacheclean per pulire la cache del disco. Il comando consigliato (impostazione delle
dimensioni della cache su 10 GB e limite dei file posizionati nella cache ~2000) è visualizzato qui:
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^
-p"C:\ProgramData\Apache HTTP Proxy\cache" -l10000M -L12000
Per pianificare una pulizia oraria della cache eseguire:
schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask^
/TR "\"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe\"^
-n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M -L12000"
Se si sceglie di consentire tutto il traffico, i comandi consigliati sono i seguenti:
"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^
-p"C:\ProgramData\Apache HTTP Proxy\cache" -l10000M
schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask
/TR "\"C:\Program Files\Apache HTTP Proxy\bin/htcacheclean.exe\"^
-n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M"
NOTA: il carattere ^ subito dopo la fine della riga nei comandi precedenti è essenziale; se non viene incluso, il
comando non verrà eseguito correttamente.
81
Per ulteriori informazioni, consultare questo articolo della Knowledge Base o la documentazione sull'autenticazione
e sull'autorizzazione di Apache.
3.2.11 Strumento Mirror
Lo strumento Mirror è necessario per gli aggiornamenti del database delle firme antivirali off-line. Se i computer
client non dispongono di una connessione a Internet ed è necessario eseguire gli aggiornamenti del database delle
firme antivirali, è possibile utilizzare lo strumento Mirror per scaricare i file di aggiornamento dai server di
aggiornamento ESET e memorizzarli a livello locale.
NOTA: lo strumento Mirror scarica solo le definizioni dei database antivirus, ma non i PCU (aggiornamenti dei
componenti di programma). Per aggiornare il prodotto di protezione ESET su computer client offline, si consiglia di
aggiornare il prodotto mediante l'attività del cliente di installazione software in ERA. In alternativa, è possibile
aggiornare i prodotti singolarmente.
Prerequisiti
La cartella di destinazione deve essere disponibile per la condivisione, servizio Samba/Windows o HTTP/FTP, a
seconda di come si desidera accedere agli aggiornamenti.
Occorre disporre di un file di licenza off-line che includa nome utente e password. Durante la generazione di un
file di licenza, accertarsi di selezionare la casella di controllo accanto a Includi nome utente e password. Occorre
inoltre inserire un nome del file di licenza.
Visual C++ Redistributables for Visual Studio 2010 deve essere installato sul sistema.
Non esiste una fase di installazione, lo strumento è costituito da due file:
o Windows:
MirrorTool.exe
e updater.dll
o Linux:
MirrorTool
Utilizzo
82
e updater.so
Per visualizzare la guida dello strumento Mirror, eseguire MirrorTool
disponibili per lo strumento:
--help
per visualizzare tutti i comandi
Il parametro --updateServer è facoltativo. Quando viene utilizzato, occorre specificare l'URL completo del server
di aggiornamento.
Il parametro --offlineLicenseFilename è obbligatorio. Occorre specificare un percorso per il file di licenza offline (come specificato sopra).
Per creare un mirror, eseguire MirrorTool con almeno i parametri richiesti minimi. Esempio:
o Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
o Linux:
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp
--offlineLicenseFilename /tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Impostazioni dello strumento Mirror e dell'aggiornamento
Per automatizzare la distribuzione degli aggiornamenti del database delle firme antivirali, è possibile creare un
programma per l'esecuzione dello strumento Mirror. Per eseguire questa operazione, aprire la console Web e
accedere a Attività client > Sistema operativo > Esegui comando. Selezionare Riga di comando da eseguire
(incluso un percorso a MirrorTool.exe) e un'attivazione ragionevole (per esempio CRON per ogni ora 0 0 * * * ? *).
In alternativa, è possibile utilizzare l'Utilità di pianificazione di Windows o Cron di Linux.
Per configurare gli aggiornamenti su un computer client, creare un nuovo criterio e configurareServer di
aggiornamento per puntare all'indirizzo mirror o alla cartella condivisa.
83
3.2.12 Cluster di failover
Di seguito sono indicati i passaggi per utenti esperti necessari per installare ESET Remote Administrator in un
ambiente con cluster di failover.
1. Creare un cluster di failover con un’unità condivisa:
a. Istruzioni per creare un cluster di failover in Windows Server 2012
b. Istruzioni per creare un cluster di failover in Windows Server 2008
2. Nella Procedura guidata Crea cluster inserire il nome host desiderato (crearne uno) e l’indirizzo IP.
3. Accedere all’unità condivisa del cluster on-line sul nodo1 e installare il server ERA utilizzando il programma di
installazione indipendente, assicurandosi che l’opzione Questa è un’installazione cluster sia selezionata durante
l’installazione e scegliere l’unità condivisa come percorso di archiviazione dei dati dell’applicazione. Creare un
nome host e inserirlo per il certificato del server di ERA Server accanto ai nomi host precompilati. Non
dimenticare il nome host creato e utilizzarlo nel passaggio 6 durante la creazione del ruolo del server ERA nella
Gestione cluster.
4. Interrompere ERA Server sul nodo1, accedere all’unità condivisa del cluster on-line sul nodo2 e installare il server
ERA utilizzando il programma di installazione indipendente. Assicurarsi che l’opzione Questa è un’installazione
cluster sia selezionata durante l’installazione. Scegliere il disco condiviso come archiviazione dei dati applicativi.
Mantenere intatti la connessione e i certificati del database (durante la riesecuzione dell’installazione sul
nodo1).
5. Aprire tutte le porte di ERA Server su tutti i nodi del firewall per le connessioni in entrata.
6. Nella Gestione configurazione cluster creare e avviare un ruolo (Configura ruolo > Seleziona ruolo > Servizio
generico...) per il servizio ERA Server: scegliere il servizio ESET Remote Administrator Server dall’elenco
visualizzato di servizi disponibili. È estremamente importante utilizzare lo stesso nome host del ruolo utilizzato
nel passaggio 3 relativo al certificato del server.
7. Installare l’agente ERA su tutti i nodi del cluster utilizzando il programma di installazione indipendente. Nelle
schermate Configurazione dell’agente e Connessione a Remote Administrator, utilizzare il nome host del
passaggio n. 6. Quando richiesto, assicurarsi che l’opzione Questa è un’installazione cluster non sia selezionata e
archiviare i dati dell’agente sul nodo locale (non sull’unità del cluster).
NOTA: il termine Ruolo è presente solo in Windows Server 2012. In Windows Server 2008 viene invece
utilizzato il termine Servizi e applicazioni.
8. ERA il database e il server Web (Apache Tomcat) non sono supportati su un cluster. Di conseguenza, devono
essere installati su un’unità non clusterizzata o su un’altra macchina.
La console Web può essere facilmente installata su un computer separato e adeguatamente configurata per
effettuare la connessione al ruolo Cluster del server ERA. In seguito all’installazione della console Web,
posizionare il file di configurazione nel seguente percorso:
C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era
\g2webconsole\server\modules\config\EraWebServerConfig.properties
aprire il file con Notepad o con qualsiasi altro editor di testi semplice e, nella riga di server_address=localhost,
sostituire il localhost con l’indirizzo IP o il nome host del ruolo Cluster del server ERA.
84
3.3 Installazione componenti su Linux
Nella maggior parte degli scenari di installazione, è necessario installare vari componenti ESET Remote
Administrator su diverse macchine per adattare le varie architetture di rete, soddisfare requisiti in termini di
prestazioni e così via.
Per istruzioni dettagliate relative all’installazione del server ERA, consultare questa sezione.
Per installare l’ultima versione (6.x) di ESET Remote Administrator for Linux, consultare il capitolo Attività di
aggiornamento dei componenti in questo articolo della Knowledge Base.
Si tenga presente che nelle build successive a Fedora, versione 22, il comando yum è sostituito dal comando
In caso di utilizzo di Fedora versione 22 o successive, utilizzare dnf al posto di yum.
dnf
.
Server ERA
ERA Web Console
Agente ERA
un server del Database
Proxy ERA
Sensore RD
Proxy Apache HTTP
Strumento Mirror
3.3.1 Installazione passo dopo passo del server ERA su Linux
In questo scenario verrà simulata l'installazione passo dopo passo del server ERA e di ERA Web Console. Per
completare l’installazione, è necessario utilizzare il comando sudo o eseguire l’operazione con privilegi root.
Prima dell’installazione, verificare che il server del database sia presente nella rete e assicurarsi di potervi accedere
sul server locale/remoto. In assenza di server del database, installarne e configurarne uno nuovo. Verrà eseguita la
simulazione dell'installazione mediante l'utilizzo di MySQL.
Nota: i componenti di ERA Linux (agente, server, console Web) sono installazioni indipendenti. Questi file di
installazione sono disponibili nella categoria Programmi di installazione indipendenti di ESET Remote Administrator
6 sul sito Web di ESET.
1. Installare i pacchetti necessari per il server ERA:
Distribuzioni Debian e Ubuntu
sudo apt-get install xvfb cifs-utils unixodbc libmyodbc
Distribuzioni CentOS, RedHat e Fedora
sudo yum install mysql-connector-odbc
xorg-x11-server-Xvfb cifs-utils
OpenSUSE
sudo zypper install xorg-x11-server-extra cifs-utils
unixobdc myodbc-unixbox
2. Accedere alla cartella nella quale è stato scaricato il server ERA e rendere eseguibile il pacchetto di installazione:
chmod +x Server-Linux-x86_64.sh
3. Configurare la connessione al server MySQL, come illustrato nell'argomento Configurazione MySQL.
4. Verificare la configurazione del driver ODBC di MySQL, come illustrato nell’argomento Configurazione dell’ODBC.
5. Personalizzare i parametri di installazione ed eseguire l'installazione del server ERA. Per ulteriori informazioni,
consultare Installazione server - Linux.
85
6. Installare i pacchetti java e tomcat richiesti per ERA Web Console, come illustrato nell’argomento Prerequisiti di
ERA Web Console.
7. Distribuire e testare la console Web, come illustrato nell’argomento Installazione di ERA Web Console.
8. Installare l’agente ERA sulla macchina del server.
Nota: in caso di problemi con la connessione HTTPS alla console Web, consultare questo articolo sulla
Configurazione della connessione HTTPS/SSL.
3.3.2 Installazione e configurazione di MySQL
Installazione
Se MySQL è già stato installato e configurato, procedere con la Configurazione.
MariaDB è un database predefinito in numerosi ambienti Linux che, tuttavia, non è supportato da <%
ESET_REMOTE_ADMINISTRATOR%>. Assicurarsi di installare MySQL per consentire a <%
ESET_REMOTE_ADMINISTRATOR%> di funzionare correttamente.
L’installazione di MySQL cambierà in base alla distribuzione Linux e alla versione utilizzata:
Per installare MySQL utilizzare il seguente comando:
sudo apt-get install mysql-server
Installazione avanzata: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-apt-repo.html
Distribuzioni CentOS, Red Hat e Fedora
sudo yum install mysql-server
Installazione avanzata: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-yum-repo.html
Distribuzione OpenSUSE
sudo zypper install mysql-community-server
Installazione manuale
Scaricare e installare l’edizione MySQL Community Server da:
http://dev.mysql.com/downloads/
Configurazione
Eseguire il seguente comando per aprire il file my.cnf (my.ini per l’installazione Windows) in un editor di testo:
sudo nano /etc/mysql/my.cnf
(se il file non è presente, provare con /etc/my.cnf)
Aggiungere la seguente configurazione nella sezione [mysqld] del file my.cnf:
max_allowed_packet=33M
Per MySQL 5.6.20 e 5.6.21 (è possibile determinare la versione di MySQL utilizzando mysql -v):
o innodb_log_file_size deve essere impostato almeno su 200 MB (per esempio innodb_log_file_size=200M)
Per MySQL >= 5.6.22:
o innodb_log_file_size*innodb_log_files_in_group deve essere impostato almeno su 200 MB (* indica la
moltiplicazione; il prodotto dei due parametri deve essere > 200 MB. Il valore minimo per
innodb_log_files_in_group è 2)
Salvare e chiudere il file e inserire il seguente comando per riavviare il server MySQL e applicare la configurazione
(in alcuni casi, il nome del servizio è mysqld):
86
sudo service mysql restart
Eseguire il seguente comando per configurare MySQL insieme ai privilegi e alla password (questa opzione è
facoltativa e potrebbe non funzionare per alcune distribuzioni Linux):
/usr/bin/mysql_secure_installation
Immettere il comando seguente per controllare se il server MySQL è in esecuzione:
sudo netstat -tap | grep mysql
Se il server MySQL è in esecuzione, verrà visualizzata la riga seguente. Tenere presente che l'identificatore del
processo PID (7668 nell'esempio sotto) sarà diverso:
tcp 0 0 localhost:mysql *:* LISTEN 7668/mysqld
3.3.3 Installazione e configurazione dell’ODBC
Installazione
Per installare il driver MySQL ODBC (Open Database Connectivity) eseguire il comando seguente da un prompt del
terminale:
sudo apt-get install libmyodbc libodbc1
Distribuzioni CentOS, Red Hat e Fedora
sudo yum install mysql-connector-odbc
sudo zypper install myodbc-unixbox
Configurazione
Eseguire il comando seguente per aprire il file odbcinst.ini in un editor di testo:
sudo nano /etc/odbcinst.ini
Copiare la seguente configurazione nel file odbcinst.ini (assicurarsi che i percorsi al Driver e alla Configurazione
siano corretti), quindi salvare e chiudere il file:
[MySQL]
Description = ODBC for MySQL
Driver = /usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so
Setup = /usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so
FileUsage = 1
Se si utilizza una versione di Ubuntu a 32 bit, utilizzare i tasti Driver e Configurazione e modificare il percorso in:
/usr/lib/i386-linux-gnu/odbc/
Per alcune distribuzioni, il driver dovrebbe trovarsi in una posizione diversa. Per trovare il file, utilizzare il seguente
comando:
sudo find /usr -iname "*libmyodbc*"
I prodotti ERA richiedono il driver MySQL per supportare il multithreading. Questa è l'impostazione predefinita per
le versioni del pacchetto unixODBC più recenti (2.3.0 o successive). Le versioni precedenti richiedono la
configurazione di threading esplicita. Se è disponibile una versione precedente (il comando odbcinst --version
consentirà di visualizzare la versione installata), aggiungere il seguente parametro nel file odbcinst.ini:
Threading = 0
Aggiornare i file di configurazione che controllano l'accesso ODBC ai server del database sull'host corrente
eseguendo il comando seguente:
sudo odbcinst -i -d -f /etc/odbcinst.ini
87
3.3.4 Installazione server - Linux
L'installazione del componente Server ERA su Linux viene eseguita attraverso un comando nel terminale. È possibile
preparare uno script di installazione ed eseguirlo utilizzando il comando sudo. Prima di avviare l’installazione,
assicurarsi che vengano soddisfatti tutti i prerequisiti.
Esempio di script di installazione
(Le nuove ri ghe vengono s epa ra te da "\" per l a copi a del l 'i ntero coma ndo s ul termi na l e)
sudo ./Server-Linux-x86_64.sh \
--skip-license \
--db-driver=MySQL \
--db-hostname=127.0.0.1 \
--db-port=3306 \
--db-admin-username=root \
--db-admin-password=Admin123 \
--server-root-password=Admin123 \
--db-user-username=root \
--db-user-password=Admin123 \
--cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL"
Il server ERA e il servizio eraserver verranno installati nella seguente posizione:
/opt/eset/RemoteAdministrator/Server
È possibile modificare i seguenti attributi:
Attributo
Descrizione
--uninstall
Disinstalla il prodotto
-
--keep-database
Il database non verrà rimosso durante la disinstallazione
-
--locale
Identificatore delle impostazioni locali (LCID) del server
installato (impostazione predefinita: en_US). Per visualizzare le
opzioni disponibili, consultare la sezione lingue supportate.
Nota: è possibile impostare una lingua per ciascuna sessione di
ERA Web Console.
L'installazione non chiederà all'utente la conferma dell'accordo
di licenza
Salta la generazione di certificati (utilizzare questa opzione
insieme al parametro --percorso-cert-server)
Chiave di licenza ESET. Questa opzione può essere impostata in
un momento successivo.
Identificatore globale univoco del prodotto. Se non impostato,
questo valore verrà generato.
Porta del server ESET Remote Administrator (ERA) (impostazione
predefinita: 2222)
Porta della console ESET Remote Administrator (impostazione
predefinita: 2223)
Password per l'accesso alla console Web dell'utente
"Amministratore", lunghezza minima 8 caratteri
Tipo di database che verrà utilizzato (valori possibili: MySQL
Server , Microsoft SQL Server )
Driver ODBC utilizzato per la connessione al database (il
comando odbcinst -q -d fornisce un elenco di driver
disponibili; utilizzare, per esempio, uno di questi driver: --dbdriver="MySQL" )
Nome del computer o indirizzo IP del server del database
Sì
--skip-license
--skip-cert
--license-key
--product-guid
--server-port
--console-port
--server-root-password
--db-type
--db-driver
--db-hostname
88
Necessario
Sì
Sì
Sì
Attributo
Descrizione
--db-port
Porta del server del database (impostazione predefinita: 3306)
Sì
--db-name
Nome del database del server ERA (impostazione predefinita:
era_db )
Nome utente dell'amministratore del database (utilizzato
dall'installazione per la creazione e la modifica del database)
Password dell'amministratore del database
-
--db-admin-username
--db-admin-password
Necessario
Sì
Sì
Nome utente del server ERA del database (utilizzato dal server
ERA per la connessione al database); questo valore non deve
superare 16 caratteri
Password dell'utente del server ERA del database
Sì
Sì
--server-cert-password
Contiene tutti i nomi e/o gli indirizzi IP possibili del computer
sul quale verrà installato il server ERA. Questo valore sarà
necessario per la ricerca di una corrispondenza con il nome del
server specificato nel certificato dell'agente che tenta di
connettersi al server.
Percorso al certificato del peer del server (utilizzare questa
opzione se è stato anche specificato il comando --skip-cert)
Password del certificato del peer del server
--agent-cert-password
Password del certificato del peer dell'agente
-
--cert-auth-password
Password dell'autorità di certificazione
-
--cert-auth-path
Percorso al file dell'autorità di certificazione del server
-
--cert-auth-common-name
Nome comune dell'autorità di certificazione (utilizzare "")
-
--cert-organizational-unit
-
-
--cert-organization
-
-
--cert-locality
-
-
--cert-state
-
-
--cert-country
-
-
--cert-validity
-
--ad-server
Validità del certificato in giorni o anni (specificare
nell'argomento --cert-validity-unit)
Unità per la validità del certificato, i valori possibili sono "Anni"
o "Giorni" (impostazione predefinita: Years)
Server Active Directory
--ad-user-name
Nome dell'utente autorizzato a fare ricerche nella rete AD
-
--ad-user-password
Password utente Active Directory
-
--ad-cdn-include
Percorso alla struttura ad albero Active Directory per cui verrà
effettuata la sincronizzazione; utilizzare le parentesi vuote ""
per sincronizzare un intero albero
-
--db-user-username
--db-user-password
--cert-hostname
--server-cert-path
--cert-validity-unit
Sì
-
-
Rapporto programma di installazione
Il rapporto del programma di installazione, che rappresenta uno strumento utile per la risoluzione dei problemi, è
disponibile nei File di rapporto.
89
Dopo l’installazione, verificare che il servizio del server ERA sia in esecuzione utilizzando il comando visualizzato di
seguito:
service eraserver status
3.3.4.1 Prerequisiti server - Linux
Per installare il server ERA su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti:
È necessario che sia disponibile una licenza valida.
Occorre installare e configurare un server del database con un account radice. Non si deve creare un account
utente prima dell'installazione, il programma di installazione può creare l'account.
NOTA: il server ERA memorizza enormi quantità di blob di dati nel database. Di conseguenza, è necessario
configurare MySQL per accettare pacchetti di grandi dimensioni che garantiscano un corretto funzionamento di
ERA.
ODBC Driver: il driver ODBCviene utilizzato per stabilire la connessione con il server del database (MySQL / MS
SQL).
Configurare il file di installazione del server impostato come eseguibile. Per eseguire questa operazione,
utilizzare il comando del terminale seguente:
chmod +x Server-Linux-x86_64.sh
La versione minima supportata di openSSL è openssl-1.0.1e-30 (il comando openssl
visualizzare la versione corrente)
version
consente di
Xvfb : richiesto per una stampa corretta del report (Genera report) sui sistemi Linux Server privi di interfaccia
grafica.
Cifs-utils: richiesto per una distribuzione corretta dell'agente su Windows OS.
Qt4 WebKit Librerie: utilizzate per la stampa dei report in formato PDF e PS (è necessaria la versione 4.8, non la
versione 5). Tutte le altre dipendenze di Qt4 verranno installate automaticamente. Nel caso di CentOS, potrebbe
non essere presente alcun pacchetto negli archivi ufficiali. È possibile installarlo da un archivio di terze parti (per
esempio, archivi EPEL) o compilarlo in modo autonomo su una macchina di destinazione.
Kinit + klist: utilizzato per l'autenticazione Kerberos durante l'attività di sincronizzazione AD e l'accesso con un
utente del dominio. È inoltre richiesta una corretta configurazione di Kerberos (/etc/krb5.conf).
Wbinfo + ntlm auth: utilizzato per l'autenticazione con gli account di dominio + autenticazione NTLM con server
SMTP (invio di e-mail).
Ldapsearch: utilizzato nell'attività di sincronizzazione AD.
90
Snmptrap: utilizzato per inviare i trap SNMP. Facoltativo se si prevede di non utilizzare questa funzionalità. Anche
l'SNMP richiede una configurazione.
SELinux devel Pacchetto: utilizzato durante l'installazione del prodotto per la creazione dei moduli del criterio
SELinux. È richiesto solo su sistemi con SELinux attivato (CentOS, Fedora, RHEL). SELinux potrebbe causare
problemi con altre applicazioni. Non è necessario per il server ERA.
La tabella sottostante contiene i comandi del terminale appropriati per ciascun pacchetto descritto in precedenza
sia per le distribuzioni Debian e Ubuntu sia per le distribuzioni Centos, Red Hat e Fedora:
CentOS, distribuzioni Red Hat e
Fedora
OpenSUSE distribution
yum install mysql-connector-odbc
zypper install unixodbc
myodbc-unixbox
yum install xorg-x11-server-Xvfb
zypper install xorg-x11-server-extra
yum install cifs-utils
zypper install cifs-utils
ODBC Driver
apt-get install unixodbc
libmyodbc
xvfb
apt-get install xvfb
cifs-utils
apt-get install cifs-utils
Qt4 WebKit librerie
Consultare questo articolo della
Knowledge Base.
kinit+klist - facoltativo (necessario per il servizio Active Directory)
zypper install libqtwebkit4
apt-get install krb5-user
zypper install krb5
apt-get install libqtwebkit4
yum install krb5-workstation
wbinfo + ntlm_auth
apt-get install winbind
yum install samba-winbind-clients zypper install samba-winbind
ldapsearch
apt-get install ldap-utils
yum install openldap-clients
zypper install openldap2-client
yum install net-snmp-utils
zypper install net-snmp
snmptrap
apt-get install snmp
SELinux devel pacchetto (facoltativo; SELinux potrebbe causare problemi con altre applicazioni. Non è necessario
per il server ERA).
apt-get install selinux-policy-dev
yum install policycoreutils-devel zypper install selinux-policy-devel
3.3.5 Installazione agente - Linux
L'installazione del componente dell’agente ERA su Linux viene eseguita attraverso un comando nel terminale.
Assicurarsi che vengano soddisfatti tutti i prerequisiti. La connessione al server ERA viene risolta utilizzando i
parametri --hostname e --port (la porta non viene utilizzata quando viene fornito un record SRV). I possibili formati
di connessione sono i seguenti:
Nome host e porta
Indirizzo IPv4 e porta
Indirizzo IPv6 e porta
Record di servizio (record SRV): per configurare il record delle risorse DNS in Linux, è necessario che il computer si
trovi in un dominio con un server DNS funzionante. Consultare il capitolo Record di risorse DNS.
Il record SRV deve iniziare con il prefisso "_NOME._tcp" dove "NOME" rappresenta una denominazione
personalizzata, ad esempio "era".
91
./Agent-Linux-x86_64.sh \
--skip-license \
--cert-path=/home/admin/Desktop/agent.pfx \
--cert-auth-path=/home/admin/Desktop/CA.der \
--cert-password=N3lluI4#2aCC \
--hostname=10.1.179.36 \
--port=2222
Attributo
Descrizione
--skip-license
L'installazione non chiederà all'utente la conferma dell'accordo di licenza
--cert-path
Percorso locale al file del certificato dell'agente (maggiori informazioni sul
certificato)
--cert-auth-path
Percorso al file dell'autorità di certificazione del server (maggiori informazioni
sull’autorità)
--cert-password
Password dell'autorità di certificazione. Deve corrispondere alla password del
certificato dell'agente
--hostname
Nome host o indirizzo IP del server ERA (proxy ERA) al quale effettuare la
connessione
--port
Porta del server ERA o del proxy ERA (il valore predefinito è 2222)
Parametri facoltativi
Attributo
Descrizione
--product-guid
GUID prodotto (se non definito, verrà generato)
--cert-content
Contenuto codificato in Base64 del certificato della chiave pubblica codificata
PKCS12 più chiave privata utilizzata per la configurazione di canali di
comunicazione protetti con il server e gli agenti. Utilizzare solo una tra le opzioni
--cert-path e --cert-content .
--cert-auth-content
Contenuto codificato in Base64 del certificato della chiave privata dell'autorità di
certificazione codificata in DER utilizzato per la verifica dei peer remoti (proxy o
server). Utilizzare solo una tra le opzioni --cert-auth-path e --cert-authcontent .
--webconsole-hostname
Nome host o indirizzo IP utilizzato dalla console Web per effettuare la
connessione al server (se il campo viene lasciato vuoto, il valore verrà copiato dal
campo "nome host")
--webconsole-port
Porta utilizzata dalla console Web per effettuare la connessione al server
(impostazione predefinita: 2223)
--webconsole-user
Nome utente utilizzato dalla console Web per effettuare la connessione al server
(impostazione predefinita: Administrator)
--webconsole-password
Password utilizzata dalla console Web per effettuare la connessione al server
Connessione e certificati
È necessario fornire la Connessione al server ERA: --hostname, --port (la porta non è necessaria se è stato fornito
il record di servizio, impostazione predefinita: 2222)
Fornire queste informazioni di connessione per l'Installazione assistita dal server: --webconsole-port, -webconsole-user, --webconsole-password
Fornire le informazioni del certificato per l'Installazione off-line: --cert-path, --cert-password
I parametri di installazione --cert-path e --cert-auth-path richiedono i file di certificazione ( .pfx e .der) che
possono essere esportati da ERA Web Console (leggere Come esportare il file .pfx e il file .der).
Parametri relativi al tipo di password
92
I parametri relativi al tipo di password possono essere forniti come variabili di ambiente, file, letture da stdn o
come testo normale, vale a dire:
--password=env:SECRET_PASSWORD dove SECRET_PASSWORD è una variabile di ambiente con password
--password=file:/opt/secret dove la prima riga del file regolare/opt/segreto contiene la password
--password=stdin comunica al programma di installazione di leggere la password dall'input standard
--password="pass:PASSWORD" equivale a --password="PASSWORD" ed è obbligatorio se la password effettiva è
"stdin" (standard input) o una stringa che inizia con "env:" , "file:" o "pass:"
Per verificare la correttezza dell'installazione, controllare che il servizio sia attivo eseguendo il seguente comando:
sudo service eraagent status
3.3.5.1 Prerequisiti dell'agente - Linux
Per installare il componente agente ERA su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti:
Sul computer server, che deve essere raggiungibile dalla rete, devono essere installati il Server ERA ed ERA Web
Console
È necessario che sia presente un Certificato dell’agente
È necessario che sia presente un file della chiave pubblica dell’Autorità di certificazione del server
Il file di installazione dell'agente deve essere impostato come file eseguibile (a tale scopo, eseguire chmod +x sul
file)
La versione minima supportata di openssl è openssl-1.0.1e-30
3.3.6 Installazione della console Web - Linux
Prima di installare il componente ERA Web Console, assicurarsi che vengano soddisfatti tutti i prerequisiti. Seguire i
passaggi indicati di seguito per installare ERA Web Console:
1. Eseguire i seguenti comandi per copiare il file era.war nella cartella Tomcat:
sudo cp era.war /var/lib/tomcat7/webapps/
sudo cp era.war /var/lib/tomcat/webapps/
sudo cp era.war /usr/share/tomcat/webapps/
In alternativa, è possibile estrarre i contenuti di era.war in /var/lib/tomcat/webapps/era/
2. Eseguire il seguente comando per riavviare il servizio Tomcat e utilizzare il file .war:
sudo service tomcat7 restart
sudo service tomcat restart
sudo service tomcat restart
Testare la connessione a ERA Web Console in seguito all'installazione. Aprire il seguente collegamento nel browser
in uso su localhost (dovrebbe comparire una schermata di accesso):
http://localhost:8080/era
era
oppure, in caso di accesso al server da remoto, http://IP_ADDRES_OR_HOSTNAME:8080/
NOTA: la porta HTTP, il cui valore predefinito è 8080, viene impostata durante l’installazione manuale di Apache
Tomcat. È inoltre possibile configurare la connessione HTTPS per Apache Tomcat.
93
3.3.6.1 Prerequisiti di ERA Web Console - Linux
Prima di installare il componente ERA Web Console su Linux, è necessario che vengano soddisfatti i seguenti
prerequisiti:
Java: utilizzare sempre l'ultima versione di Java rilasciata ufficialmente (ERA Web Console richiede come
requisito minimo Java versione 7 o openjdk, ma si consiglia vivamente di utilizzare l'ultima versione).
Apache Tomcat (una versione supportata)
File della console Web (era.war) salvato sul disco rigido locale.
Per installare i(l) pacchetti/o Java e/o Apache Tomcat, utilizzare i seguenti comandi del terminale, a seconda
della(e) distribuzione(i) Linux:
sudo apt-get install openjdk-7-jdk tomcat7
sudo yum install java-1.8.0-openjdk tomcat
sudo zypper install java-1_8_0-openjdk tomcat
3.3.7 Installazione proxy - Linux
2. Eseguire uno script di installazione per installare il server del proxy. Di seguito viene fornito un esempio di script
di installazione.
Impostazioni connessione
È necessario specificare una destinazione con un:
Nome host
Indirizzo IPv4
Indirizzo IPv6
Record di risorse DNS: il computer Linux deve trovarsi nel dominio. Consultare il capitolo Record di risorse DNS.
È necessario specificare la porta: utilizzare la porta 2222 sia per il server sia per il proxy.
./Proxy-Linux-x86_64.sh \
--db-hostname=10.1.179.28 \
--db-name=era_6_db_proxy \
--db-admin-username=sa \
--db-admin-password=admin.1 \
--db-user-username=tester \
--db-user-password=Admin.1 \
--db-port=1433 \
--db-type="MS SQL Server" \
--db-driver=SQL \
--skip-license \
--hostname=10.1.179.30 \
--port=2222 \
--cert-path=/home/adminko/Desktop/proxy.pfx \
--cert-auth-path=/home/adminko/Desktop/CA-server.der \
--cert-password=root \
--server-root-password=jjf#jDjr
È possibile modificare i seguenti attributi:
Attributo
Descrizione
--db-hostname
Nome del computer o indirizzo IP del server del database
(impostazione predefinita: localhost)
94
Necessario
Sì
Attributo
Descrizione
--db-name
Nome del database da utilizzare (impostazione predefinita:
era_db o era_proxy_db )
Nome utente dell'amministratore del database (utilizzato
dall'installazione per la creazione e la modifica del database;
impostazione predefinita: root)
Password dell'amministratore del database
Nome utente del server ERA del database (utilizzato dal server
ERA per la connessione al database); questo valore non deve
superare 16 caratteri
Password dell'utente del server ERA del database
Porta del server del database (impostazione predefinita: 3306)
Tipo di database che verrà utilizzato (impostazioni possibili:
MySQL Server , MS SQL Server ; impostazione predefinita: MySQL
Server )
Driver ODBC utilizzato per la connessione al database (il
comando odbcinst -q -d fornisce un elenco di driver
disponibili; utilizzare, per esempio, uno di questi driver: --dbdriver="MySQL" )
L'installazione non chiederà all'utente la conferma dell'accordo
di licenza
Nome host o indirizzo IP del server (impostazione predefinita:
localhost )
Porta del server (impostazione predefinita: 2222) o porta del
proxy (impostazione predefinita: 1236)
Porta che verrà utilizzata dal proxy (impostazione predefinita:
2222 )
GUID prodotto (se non definito, verrà generato)
Percorso locale al file del certificato del proxy
Contenuto codificato in Base64 del certificato della chiave
pubblica codificata PKCS12 più chiave privata utilizzata per la
configurazione di canali di comunicazione protetti con il server e
gli agenti
Percorso al file dell'autorità di certificazione del server
Contenuto codificato in Base64 del certificato della chiave
privata dell'autorità di certificazione codificata in DER utilizzato
per la verifica dei peer remoti (proxy o server)
Password dell'autorità di certificazione. Deve corrispondere alla
password del certificato dell'agente (il campo può essere vuoto
se la password non è stata utilizzata nel certificato del peer)
Il database non verrà rimosso durante la disinstallazione
--db-admin-username
--db-admin-password
--db-user-username
--db-user-password
--db-port
--db-type
--db-driver
--skip-license
--hostname
--port
--proxy-port
--product-guid
--cert-path
--cert-content
--cert-auth-path
--cert-auth-content
--cert-password
--keep-database
Necessario
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì*
Sì*
Sì**
Sì**
Sì
-
* Utilizzare solo una tra le opzioni --cert-path e --cert-content.
** Utilizzare solo una tra le opzioni --cert-auth-path e --cert-auth-content.
Per verificare che l'installazione sia stata eseguita correttamente, utilizzare il seguente comando che consentirà di
controllare l'effettiva esecuzione del servizio:
sudo service eraproxy status
95
3.3.7.1 Prerequisiti proxy - Linux
Per installare il componente proxy su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti:
Il Server ERA ed ERA Web Console sono installati (su un computer server).
Un server del database già installato e configurato.
Il certificato del proxy creato e scaricato sull'unità locale (in caso di creazione di un nuovo certificato, selezionare
il Prodotto come Proxy).
L'Autorità di certificazione preparata sull'unità locale.
Una licenza valida.
Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato su un computer locale.
File di installazione del proxy impostato come eseguibile ( chmod +x Proxy-Linux-x86_64.sh).
La versione minima supportata di openssl è openssl-1.0.1e-30
3.3.8 Installazione e prerequisiti di RD Sensor - Linux
Per installare il componente RD Sensor su Linux, seguire la procedura sottostante:
1. Verificare che vengano soddisfatti i seguenti prerequisiti:
o È possibile eseguire ricerche nella rete (le porte sono aperte, il firewall non blocca le comunicazioni in entrata,
ecc.).
o È possibile raggiungere il computer server.
o Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato sul computer locale.
o Il terminale è aperto.
o File di installazione di RD Sensor impostato come eseguibile:
chmod +x RDSensor-Linux-x86_64.sh
2. Utilizzare il seguente comando per eseguire il file di installazione come sudo:
sudo ./RDSensor-Linux-x86_64.sh
3. Leggere l'Accordo di Licenza per l'Utente Finale. Utilizzare la barra spaziatrice per procedere alla pagina successiva
dell'ALUF.
A questo punto, all'utente verrà richiesto di specificare se desidera accettare o meno la licenza. Digitare S in caso
di accettazione, N in caso contrario.
4. ESET Rogue Detection Sensor si avvierà al termine dell'installazione.
5. Per verificare la correttezza dell'installazione, controllare che il servizio sia attivo eseguendo il seguente
comando:
sudo service rdsensor status
6. Il file di rapporto di Rogue Detection Sensor è disponibile in File di rapporto:
/var/log/eset/RogueDetectionSensor/trace.log
96
3.3.9 Installazione di Connettore dispositivi mobili - Linux
Connettore dispositivi mobili può essere installato su un server differente da quello in cui è in esecuzione il server
ERA. Ad esempio, se si desidera rendere Connettore dispositivi mobili accessibile da Internet in modo da poter
gestire i dispositivi mobili dell'utente in qualsiasi momento.
L'installazione del componente Server ERA su Linux viene eseguita attraverso un comando nel terminale. Assicurarsi
che vengano soddisfatti tutti i prerequisiti. È possibile preparare uno script di installazione ed eseguirlo utilizzando
il comando sudo.
Molti parametri di installazione sono facoltativi, ma alcuni di essi sono obbligatori.
Per eseguire l'installazione, è necessario il certificato del computer ERA. Per ottenerlo, è possibile procedere in due
modi:
Installazione assistita dal server: sarà necessario fornire le credenziali amministratore di ERA Web Console (i
Installazione off-line: sarà necessario fornire un certificato del computer (il certificato del proxy esportato da ESET
Remote Administrator). In alternativa, è possibile utilizzare il proprio certificato personalizzato.
È necessario fornire i seguenti parametri del comando di installazione:
Certificato HTTPS (proxy):
--https-cert-path=
--https-cert-password=
Certificato del peer:
Per un'Installazione assistita dal server includere almeno:
--webconsole-password=
Per un'Installazione off-line includere:
--cert-path=
(la password non è necessaria per il certificato dell'agente predefinito creato durante
l'installazione iniziale del server ERA)
--cert-password=
Connessione al server ERA (nome o indirizzo IP):
--hostname=
Per un database MySQL includere:
--db-type="MySQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
Per un database MSSQL includere:
--db-type="Microsoft SQL Server"
--db-driver=
--db-admin-username=
--db-admin-password=
--db-user-password=
97
sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \
--https-cert-path="./proxycert.pfx" \
--https-cert-password="123456789" \
--port=2222 \
--db-type="MySQL" \
--db-driver="MySQL" \
--db-admin-username="root" \
--db-admin-password=123456789 \
--db-user-password=123456789 \
--db-hostname="127.0.0.1" \
--webconsole-password=123456789 \
--hostname=username.LOCAL \
--mdm-hostname=username.LOCAL
Per un elenco completo dei parametri disponibili (stampa messaggio della guida), usare:
--help
Al termine dell'installazione, verificare la corretta esecuzione di Connettore dispositivi mobili aprendo https://
your-mdm-hostname:enrollment-port (ad esempio https://eramdm:9980) nel browser Web. Se l'installazione è
stata eseguita correttamente, verrà visualizzato il seguente messaggio:
È anche possibile utilizzare questo URL per verificare la disponibilità del server Connettore dispositivi mobili da
Internet (se configurato in tal modo) visitandolo da un dispositivo mobile. Se non si riesce a visualizzare la pagina,
controllare il firewall e la configurazione dell'infrastruttura di rete.
3.3.9.1 Prerequisiti di Connettore dispositivi mobili - Linux
Per installare il Connettore dispositivi mobili su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti:
Un server del database già installato e configurato con un account radice (un account utente non deve essere
creato prima dell'installazione, il programma di installazione può creare l'account).
apt-get install unixodbc libmyodbc (Di s tri buzi oni Debi a n, Ubuntu)
yum install mysql-connector-odbc (Di s tri buzi oni CentOS, Red-Ha t, Fedora )
zypper install unixodbc myodbc-unixbox (Di s tri buzi oni OpenSUSE)
NOTA: utilizzare il pacchetto unixODBC_23 (non il pacchetto unixODBC predefinito) per consentire al server ERA
di connettersi al database MySQL senza problemi. Ciò è particolarmente utile nel caso di SUSE Linux.
o File di installazione MDMCore impostato come eseguibile.
chmod +x MDMCore-Linux-x86_64.sh
98
o In seguito all'installazione, verificare che il servizio MDMCore sia in esecuzione.
service mdmcore status
o La versione minima supportata di openSSL è openssl-1.0.1e-30
NOTA: se il database MDM su MySQL è troppo grande (migliaia di dispositivi) il valore predefinito
innodb_buffer_pool_size è troppo piccolo. Per ulteriori informazioni sull’ottimizzazione del database consultare:
http://dev.mysql.com/doc/refman/5.6/en/optimizing-innodb-diskio.html
IMPORTANTE: sarà necessario un Certificato SSL in formato .pfx per effettuare comunicazioni protette su HTTPS.
Si consiglia l'utilizzo di un certificato fornito da un'autorità di certificazione (AC). L'uso dei certificati autofirmati è
sconsigliato poiché non tutti i dispositivi mobili consentono agli utenti di accettare certificati autofirmati. Questo
problema non si verifica con i certificati firmati da un'autorità di certificazione poiché sono attendibili e non
richiedono l'accettazione da parte dell'utente.
NOTA: è necessario possedere un certificato firmato dall’AC e la chiave privata corrispondente e utilizzare
procedure standard per unire questi componenti (che utilizzano tradizionalmente OpenSSL) in un unico file .pfx:
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx
Questa è una procedura standard per la maggior parte dei server che utilizzano i certificati SSL.
IMPORTANTE: per l’Installazione off-line, sarà necessario anche un certificato del computer (il Certificato
dell'agente esportato da ESET Remote Administrator). In alternativa, è possibile utilizzare il proprio certificato
personalizzato con ERA.
3.3.10 Installazione del proxy Apache HTTP - Linux
Scegliere i passaggi di installazione del proxy Apache HTTP in base alla distribuzione Linux utilizzata sul server:
Informazioni su uno scenario di installazione generico Linux del proxy Apache HTTP
1. Installare il server Apache HTTP (versione minima: 2.4.10).
2. Assicurarsi che i seguenti moduli siano caricati:
access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile,
authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk
3. Aggiungere la configurazione della memorizzazione nella cache:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Se la directory /var/cache/apache2/mod_cache_disk non esiste, crearla e assegnare i privilegi Apache (r,w,x).
5. Aggiungere la configurazione del proxy:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. Attivare il proxy e la configurazione della memorizzazione nella cache aggiunti (se la configurazione si trova nel
file di configurazione Apache principale, saltare questo passaggio).
7. Se necessario, modificare l'ascolto sulla porta desiderata (impostazione predefinita: porta 3128).
8. Autenticazione facoltativa di base:
o Aggiungere la configurazione dell'autenticazione alla directory del proxy:
99
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
o Creare un file della password utilizzando htpasswd.exe
-c
o Creare manualmente un file denominato group.file con usergroup:username
9. Riavviare il server Apache HTTP.
Installazione di distribuzioni Linux per server Ubuntu 14.10 e altre distribuzioni Linux basate su Debian del proxy
Apache HTTP
1. Installare l'ultima versione del server Apache HTTP dall'archivio apt:
sudo apt-get install apache2
2. Eseguire il seguente comando per caricare i moduli Apache necessari:
sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile
authz_host proxy proxy_http proxy_connect cache cache_disk
3. Modificare il file di configurazione della memorizzazione nella cache Apache:
sudo vim /etc/apache2/conf-available/caching.conf
e copiare/incollare la seguente configurazione:
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/apache2/mod_cache_disk
4. Questo passaggio non è obbligatorio. Tuttavia, se la directory della cache non esiste, è necessario eseguire i
seguenti comandi:
sudo mkdir /var/cache/apache2/mod_cache_disk
sudo chown www-data /var/cache/apache2/mod_cache_disk
sudo chgrp www-data /var/cache/apache2/mod_cache_disk
5. Modificare il file di configurazione del proxy Apache:
sudo vim /etc/apache2/conf-available/proxy.conf
e copiare/incollare la seguente configurazione:
ProxyRequests On
ProxyVia On
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
6. Attivare i file di configurazione modificati negli ultimi passaggi:
sudo a2enconf caching.conf proxy.conf
7. Impostare la porta di ascolto del server Apache HTTP su 3128. Modificare il file /etc/apache2/ports.conf e
sostituire Listen 80 con Listen 3128.
8. Autenticazione facoltativa di base:
sudo vim /etc/apache2/conf-available/proxy.conf
copiare/incollare la configurazione dell'autenticazione prima di </Proxy>:
100
AuthType Basic
AuthUserFile /etc/apache2/password.file
AuthGroupFile /etc/apache2/group.file
installare apache2-utils e creare il file della nuova password (ad esempio nome utente: user, gruppo: usergroup):
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/apache2/password.file user
creare il file con i gruppi:
sudo vim /etc/apache2/group.file
e copiare/incollare la seguente riga:
usergroup:user
9. Riavviare il server Apache HTTP utilizzando il seguente comando:
sudo service apache2 restart
Inoltro per le sole comunicazioni ESET
Per consentire solo l’inoltro delle comunicazioni ESET, rimuovere i seguenti valori:
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
e aggiungere i seguenti valori:
<Proxy *>
Deny from all
</Proxy>
#*.eset.com:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s
Allow from all
</ProxyMatch>
#*.eset.eu:
Allow from all
</ProxyMatch>
#Antispam module (ESET Mail Security only):
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails
Allow from all
</ProxyMatch>
#Services (activation)
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs
Allow from all
</ProxyMatch>
#ESET servers accessed directly via IP address:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([
Allow from all
</ProxyMatch>
Per consentire l’inoltro di tutte le comunicazioni, aggiungere i seguenti valori:
101
<Proxy *>
Order deny,allow
Deny from all
Allow from all
</Proxy>
e rimuovere i seguenti valori:
<Proxy *>
Deny from all
</Proxy>
#*.eset.com:
ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,
Allow from all
</ProxyMatch>
#*.eset.eu:
Allow from all
</ProxyMatch>
#Antispam module (ESET Mail Security only):
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails
Allow from all
</ProxyMatch>
#Services (activation)
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs
Allow from all
</ProxyMatch>
#ESET servers accessed directly via IP address:
<ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([
Allow from all
</ProxyMatch>
Concatenamento del proxy (tutto il traffico)
Aggiungere i valori che seguono alla configurazione del proxy (la password funziona solo su un proxy figlio):
ProxyRemote * http://IP_ADDRESS:3128
3.3.11 Installazione proxy squid HTTP su server Ubuntu 14.10
È possibile utilizzare il proxy Squid al posto di Apache sul server Ubuntu. Per installare e configurare Squid sul server
Ubuntu 14.10 (e distribuzioni Linux basate su Debian simili), seguire la procedura sottostante:
1. Installare il pacchetto Squid3:
sudo apt-get install squid3
2. Modificare il file di configurazione Squid /etc/squid3/squid.conf e sostituire:
#cache_dir ufs /var/spool/squid3 100 16 256
con:
cache_dir ufs /var/spool/squid3 5000 16 256 max-size=200000000
NOTA: dimensioni cache in MB: 5000
3. Interrompere il servizio squid3.
sudo service squid3 stop
sudo squid3 -z
4. Modificare nuovamente il file di configurazione Squid e aggiungere http_access
http_access deny all per consentire a tutti i client di accedere al proxy.
5. Riavviare il servizio squid3:
102
allow all
prima di
sudo service squid3 restart
3.3.12 Strumento Mirror
Lo strumento Mirror è necessario per gli aggiornamenti del database delle firme antivirali off-line. Se i computer
client non dispongono di una connessione a Internet ed è necessario eseguire gli aggiornamenti del database delle
firme antivirali, è possibile utilizzare lo strumento Mirror per scaricare i file di aggiornamento dai server di
aggiornamento ESET e memorizzarli a livello locale.
NOTA: lo strumento Mirror scarica solo le definizioni dei database antivirus, ma non i PCU (aggiornamenti dei
componenti di programma). Per aggiornare il prodotto di protezione ESET su computer client offline, si consiglia di
aggiornare il prodotto mediante l'attività del cliente di installazione software in ERA. In alternativa, è possibile
aggiornare i prodotti singolarmente.
Prerequisiti
La cartella di destinazione deve essere disponibile per la condivisione, servizio Samba/Windows o HTTP/FTP, a
seconda di come si desidera accedere agli aggiornamenti.
Occorre disporre di un file di licenza off-line che includa nome utente e password. Durante la generazione di un
file di licenza, accertarsi di selezionare la casella di controllo accanto a Includi nome utente e password. Occorre
inoltre inserire un nome del file di licenza.
Visual C++ Redistributables for Visual Studio 2010 deve essere installato sul sistema.
Non esiste una fase di installazione, lo strumento è costituito da due file:
o Windows:
MirrorTool.exe
e updater.dll
o Linux:
MirrorTool
e updater.so
Utilizzo
103
Per visualizzare la guida dello strumento Mirror, eseguire MirrorTool
disponibili per lo strumento:
--help
per visualizzare tutti i comandi
Il parametro --updateServer è facoltativo. Quando viene utilizzato, occorre specificare l'URL completo del server
di aggiornamento.
Il parametro --offlineLicenseFilename è obbligatorio. Occorre specificare un percorso per il file di licenza offline (come specificato sopra).
Per creare un mirror, eseguire MirrorTool con almeno i parametri richiesti minimi. Esempio:
o Windows:
MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory
c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror
o Linux:
sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp
--offlineLicenseFilename /tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror
Impostazioni dello strumento Mirror e dell'aggiornamento
Per automatizzare la distribuzione degli aggiornamenti del database delle firme antivirali, è possibile creare un
programma per l'esecuzione dello strumento Mirror. Per eseguire questa operazione, aprire la console Web e
accedere a Attività client > Sistema operativo > Esegui comando. Selezionare Riga di comando da eseguire
(incluso un percorso a MirrorTool.exe) e un'attivazione ragionevole (per esempio CRON per ogni ora 0 0 * * * ? *).
In alternativa, è possibile utilizzare l'Utilità di pianificazione di Windows o Cron di Linux.
Per configurare gli aggiornamenti su un computer client, creare un nuovo criterio e configurareServer di
aggiornamento per puntare all'indirizzo mirror o alla cartella condivisa.
104
3.3.13 Cluster di failover - Linux
Di seguito viene illustrata la procedura di installazione e configurazione di ESET Remote Administrator su un cluster
ad alta disponibilità Red Hat.
Supporto cluster Linux
I componenti del server ESET Remote Administrator o del proxy ERA possono essere installati sul cluster Red Hat
Linux 6 e versioni successive. Il cluster di failover è supportato solo in modalità attiva/passiva, con l'amministratore
del cluster rgmanager.
Prerequisiti
È necessario che sia installato e configurato il cluster attivo/passivo. Deve essere attivo un solo nodo alla volta. Gli
altri nodi devono essere in standby. Non è supportato il bilanciamento del carico.
Archiviazione condivisa: sono supportate le archiviazioni condivise iSCSI SAN, NFS e altre soluzioni (qualsiasi
tecnologia o protocollo che consente l'accesso basato sui blocchi o sui file all'archiviazione condivisa e che faccia
apparire i dispositivi condivisi come dispositivi collegati localmente al sistema operativo). L'archiviazione
condivisa deve essere accessibile da ciascun nodo attivo nel cluster, mentre il sistema dei file condivisi deve
essere correttamente inizializzato (ad esempio utilizzando il file system EXT3 o EXT4).
Per la gestione del sistema sono richiesti i seguenti componenti aggiuntivi ad alta disponibilità:
o rgmanager
o Conga
rgmanager è lo stack del cluster ad alta disponibilità Red Hat tradizionale. È un componente obbligatorio.
L'interfaccia utente grafica (GUI) Conga è facoltativa. Il cluster di failover può essere gestito senza di essa. Per
prestazioni ottimali è tuttavia consigliabile installarla. Nella presente guida si presuppone che sia installata.
Per impedire il danneggiamento dei dati, è necessario che le Fencing siano configurate correttamente. È
necessario che l'amministratore del cluster configuri le recinzioni, se non ancora configurate.
Se non è già in esecuzione un cluster, è possibile fare riferimento alla seguente guida per configurare un cluster di
failover ad alta disponibilità (attivo/passivo) su Red Hat: Amministrazione cluster Red Hat Enterprise Linux 6.
Ambito
Componenti di ESET Remote Administrator che è possibile installare su un cluster ad alta disponibilità Red Hat
Linux:
Server ERA con agente ERA
Proxy ERA con agente ERA
NOTA: è necessario che l'agente ERA sia installato. In caso contrario, il servizio del cluster ERA non verrà eseguito.
NOTA: l'installazione del database ERA o di ERA Web Console su un cluster non è supportata.
Il seguente esempio di installazione si riferisce a un cluster a 2 nodi. È tuttavia possibile installare ESET Remote
Administrator su un cluster a nodi multipli utilizzando l'esempio a titolo di riferimento. I nodi del cluster
nell'esempio fornito sono denominati nodo1 e nodo2.
Passaggi dell'installazione
1. Installare il server ERA o il proxy ERA, quindi l'agente ERA sul nodo1. Durante l'installazione dell'agente ERA,
quando si utilizza il comando --hostname= è possibile specificare localhost (non utilizzare l'indirizzo IP o il nome
host reale di tale nodo specifico). In alternativa, è possibile specificare l'indirizzo IP esterno o il nome host
dell'interfaccia del cluster.
105
Si tenga presente che il nome host nel certificato del server o del proxy deve contenere l'IP esterno (o nome host)
dell'interfaccia del cluster (e non l'IP locale o il nome host del nodo).
Durante l'installazione dell'agente ERA, quando si utilizza il comando --hostname=, sono disponibili le seguenti
opzioni:
o È possibile specificare l'indirizzo IP esterno o il nome host dell'interfaccia del cluster.
o In alternativa, è possibile specificare il localhost (e non l'indirizzo IP o il nome host effettivo di quello specifico
nodo). In questo caso, il nome host del certificato del server ERA o del proxy ERA deve contenere anche il
localhost.
2. Interrompere e disabilitare i servizi Linux dell'agente ERA e del server ERA (o del proxy ERA) usando i seguenti
comandi:
chkconfig eraagent off
chkconfig eraserver off
service eraagent stop
service eraserver stop
3. Montare l'archiviazione condivisa sul nodo1. Nell'esempio, l'archiviazione condivisa è montata su /usr/share/
erag2cluster.
4. In /usr/share/erag2cluster, creare le seguenti directory:
/usr/share/erag2cluster/etc/opt
/usr/share/erag2cluster/opt
/usr/share/erag2cluster/var/log
/usr/share/erag2cluster/var/opt
5. Spostare in modo ricorsivo le seguenti directory nelle destinazioni riportate di seguito (origine > destinazione):
Spostare la cartella:
Spostare in:
/etc/opt/eset
/usr/share/erag2cluster/etc/opt/
/opt/eset
/usr/share/erag2cluster/opt/
/var/log/eset
/usr/share/erag2cluster/var/log/
/var/opt/eset
/usr/share/erag2cluster/var/opt/
6. Creare collegamenti simbolici:
ln
ln
ln
ln
-s
-s
-s
-s
/usr/share/erag2cluster/etc/opt/eset /etc/opt/eset
/usr/share/erag2cluster/opt/eset /opt/eset
/usr/share/erag2cluster/var/log/eset /var/log/eset
/usr/share/erag2cluster/var/opt/eset /var/opt/eset
7. Smontare l'archiviazione condivisa dal nodo1, montarla sulla stessa directory montata sul nodo1 (/usr/share/
erag2cluster) sul nodo2.
8. Sul nodo2 creare i seguenti collegamenti simbolici:
ln
ln
ln
ln
-s
-s
-s
-s
/usr/share/erag2cluster/etc/opt/eset /etc/opt/eset
/usr/share/erag2cluster/opt/eset /opt/eset
/usr/share/erag2cluster/var/log/eset /var/log/eset
/usr/share/erag2cluster/var/opt/eset /var/opt/eset
9. Copiare lo script eracluster_server ( eracluster_proxy) in /usr/share/cluster.
Gli script eracluster_server ( eracluster_proxy)) sono situati nella directory di configurazione del server ERA o
del proxy ERA.
I passaggi successivi sono eseguiti nell'interfaccia grafica utente di Conga Cluster Administration:
10. Creare un gruppo di servizi, ad esempio EraService.
Il servizio del cluster ESET Remote Administrator richiede tre risorse: indirizzo IP, file system e script.
11. Creare le risorse del servizio necessarie.
106
Aggiungere le risorse indirizzo IP, file system e script.
La risorsa file system deve puntare all'archiviazione condivisa.
Il punto di installazione della risorsa del file system deve essere impostato su /usr/share/erag2cluster.
Il parametro "Full Path to Script File" della risorsa dello script deve essere impostato su /usr/share/cluster/
eracluster_server (o /usr/share/cluster/eracluster_proxy).
12. Aggiungere le suddette risorse al gruppo EraService.
3.3.14 Come disinstallare o reinstallare un componente - Linux
Se si desidera eseguire una reinstallazione o un aggiornamento a una versione più recente, eseguire nuovamente lo
script di installazione.
Per disinstallare un componente (in questo caso il server ERA), eseguire il programma di installazione con il
parametro --uninstall, come illustrato di seguito:
sudo ./Server-Linux-x86_64.sh --uninstall --keep-database
Se si desidera disinstallare un altro componente, utilizzare il nome del pacchetto appropriato nel comando. Ad
esempio l'agente ERA:
sudo ./Agent-Linux-x86_64.sh --uninstall
IMPORTANTE: durante la disinstallazione, i file di configurazione e del database verranno rimossi. Per preservare
file del database, creare un dump SQL del database oppure utilizzare il parametro --keep-database.
In seguito alla disinstallazione, verificare che
il servizio eraserver sia stato eliminato.
la cartella /etc/opt/eset/RemoteAdministrator/Server/ sia stata eliminata.
NOTA: Si consiglia di creare una copia di backup del dump del database prima di eseguire la disinstallazione
qualora si desideri ripristinare i dati.
3.4 Installazione dei componenti su Mac OS X
Nella maggior parte degli scenari di installazione, è necessario installare vari componenti ESET Remote
Administrator su diverse macchine per adattare le varie architetture di rete, soddisfare requisiti in termini di
prestazioni e così via.
NOTA: OS X è supportato solo come client. L’agente ERA e i prodotti ESET per OS X possono essere installati su OS
X. Tuttavia, il server ERA non può essere installato su OS X.
3.4.1 Installazione dell’agente - Mac OS X
Questi passaggi si applicano in caso di esecuzione di un'installazione locale dell'agente.
1. Assicurarsi che vengano soddisfatti tutti i prerequisiti:
Il server ERA ed ERA Web Console sono installati (su un computer server).
È stato creato e preparato un certificato dell’agente sull’unità locale.
È stata preparata un’Autorità di certificazione sull’unità locale (obbligatorio solo per i certificati privi di firma).
NOTA: in caso di problemi con la distribuzione dell'agente ERA da remoto (l'attività server Distribuzione
dell’agente termina con lo stato Non riuscita), consultare Risoluzione dei problemi relativi alla distribuzione
dell'agente.
2. Scaricare il file di installazione (programma di installazione dell’agente indipendente .dmg). Questo file può
essere ottenuto:
scaricandolo nella sezione Download del sito Web di ESET
dall’amministratore del sistema
3. Fare doppio clic sul file .dmg, quindi avviare l’installazione facendo doppio clic sul file .pkg.
107
4. Procedere con l’installazione e, quando richiesto, inserire i dati della Connessione del server: Host del server
(nome host o indirizzo IP del server ERA) e Porta del server (per impostazione predefinita: 2222).
5. Selezionare un certificato del computer e una password per il certificato. Facoltativamente, è possibile
aggiungere un’Autorità di certificazione.
6. Rivedere la posizione dell'installazione e fare clic su Installa. L'agente verrà installato sul computer.
7. Il file di rapporto dell'agente ERA è disponibile qui:
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
3.5 Database
ESET Remote Administrator utilizza un database per archiviare i dati del client. Nelle sezioni che seguono vengono
illustrati in dettaglio il processo di installazione, backup, aggiornamento e migrazione del database del server ERA/
proxy ERA:
Rivedere la compatibilità del database e i requisiti di sistema per il server ERA.
Se non è stato configurato un database da utilizzare con il server ERA, tenere presente che Microsoft SQL Server
Express è incluso nel programma di installazione.
Se si utilizza Microsoft Small Business Server (SBS) o Essentials, si consiglia di verificare che vengano soddisfatti
tutti i requisiti e che si stia utilizzando un sistema operativo supportato. Se vengono soddisfatti tutti i requisiti,
seguire le istruzioni per l'installazione per Windows SBS/Essentials per installare ERA su questi sistemi operativi.
In caso di installazione di Microsoft SQL Server sul sistema, rivedere i requisiti indicati di seguito per assicurarsi
che la versione di Microsoft SQL Server sia supportata da ESET Remote Administrator. Se la versione di Microsoft
SQL Server non è supportata, effettuare l'aggiornamento a una versione compatibile di SQL Server.
Uno dei prerequisiti consiste nell'installazione e nella configurazione di Microsoft SQL Server. È necessario che
vengano soddisfatti i seguenti requisiti:
Installare Microsoft SQL Server 2008 R2 o versioni successive e, in alternativa, Microsoft SQL Server 2008 R2
Express o versioni successive. Scegliere l'autenticazione Modalità mista durante l'installazione.
Se Microsoft SQL Server è già stato installato, impostare l'autenticazione su Modalità mista (autenticazione di SQL
Server e autenticazione di Windows). Per eseguire questa operazione, seguire le istruzioni contenute in questo
articolo della Knowledge Base.
Consentire le connessioni TCP/IP a SQL Server. Per eseguire questa operazione, seguire le istruzioni contenute in
questo articolo della Knowledge Base a partire dalla sezione II. Consentire le connessioni TCP/IP al database SQL.
NOTA: per la configurazione, la gestione e l’amministrazione di Microsoft SQL Server (database e utenti),
scaricare SQL Server Management Studio (SSMS).
NOTA: se si sceglie di installare Microsoft SQL Server Express durante l'installazione, non sarà possibile eseguire
l'operazione su un controller di dominio. Ciò si verificherà molto probabilmente se si utilizza Microsoft SBS. . Se si
utilizza Microsoft SBS, è consigliabile installare ESET Remote Administrator su un server diverso o non selezionare il
componente SQL Server Express durante l'installazione (poiché richiede l'utilizzo di un SQL Server o MySQL
esistente per l'esecuzione del database ERA). Per consultare le istruzioni per l'installazione del server ERA su un
controller di dominio, leggere questo articolo della Knowledge Base.
108
3.5.1 Backup del server del database
Tutte le informazioni e le impostazioni relative a ESET Remote Administrator vengono salvate in un database. Si
consiglia di effettuare backup periodici del database al fine di prevenire la perdita di dati. Consultare la sezione
appropriata al database in uso tra quelle sottostanti:
MySQL
SQL Server
Il backup può anche essere utilizzato in un momento successivo durante la migrazione di ESET Remote
Administrator in un nuovo server.
Se si desidera ripristinare il backup del database, seguire la procedura sottostante:
MySQL
SQL Server
3.5.2 Aggiornamento del server del database
Seguire le istruzioni sottostanti per aggiornare un'istanza esistente di Microsoft SQL Server a una nuova versione da
utilizzare con il database del server ERA o del proxy ERA:
1. Interrompere tutti i servizi del server ERA o del proxy ERA in esecuzione che si connettono al server del database
da aggiornare. Interrompere anche qualsiasi altra applicazione che potrebbe connettersi all'istanza di Microsoft
SQL Server.
2. Eseguire il backup di tutti i database contenuti prima di procedere.
3. Eseguire l'aggiornamento del server del database in base alle istruzioni del fornitore.
4. Avviare tutti i servizi del server ERA e/o del proxy ERA e controllarne i registri di traccia per verificare che la
connessione del database funzioni correttamente.
Per ulteriori informazioni relative al database, consultare le seguenti pagine Web:
Eseguire l'aggiornamento a SQL Server https://msdn.microsoft.com/it-it/library/bb677622.aspx (è possibile fare
clic su Altre versioni per consultare le istruzioni per l'aggiornamento di una specifica versione di SQL Server)
Aggiornare MySQL Server (alla versione 5.6) http://dev.mysql.com/doc/refman/5.6/en/upgrading.html
3.5.3 Migrazione del database ERA
Fare clic sul collegamento sottostante appropriato per consultare le istruzioni sulle modalità di migrazione del
database del server ERA o del proxy ERA tra diverse istanze di SQL Server (ciò vale anche in caso di migrazione verso
un'altra versione di SQL Server o un SQL Server ospitato su un'altra macchina):
Processo di migrazione per SQL Server
Processo di migrazione per MySQL Server
Questo processo di migrazione è identico a quello di Microsoft SQL Server e di Microsoft SQL Server Express.
109
3.5.3.1 Processo di migrazione per SQL Server
Questo processo di migrazione è identico a quello relativo a Microsoft SQL Server e Microsoft SQL Server Express.
Per ulteriori informazioni, consultare il seguente articolo della Knowledge Base di Microsoft: https://
msdn.microsoft.com/en-us/library/ms189624.aspx.
Prerequisiti:
o È necessario installare le istanze di origine e di destinazione di SQL Server, che possono essere ospitate su
macchine diverse.
o L'istanza di destinazione di SQL Server deve avere almeno la stessa versione di quella di origine. Il ripristino
della versione precedente non è supportato.
o È necessario installare SQL Server Management Studio. Se le istanze di SQL Server si trovano su macchine
diverse, è necessario che il software sia presente su entrambe.
Migrazione:
1. Interrompere il servizio del server ERA o del proxy ERA.
2. Accedere all'istanza di origine di SQL Server mediante SQL Server Management Studio.
3. Creare un backup completo del database per il quale effettuare la migrazione. Si consiglia di specificare un nuovo
nome per il set di backup. In alternativa, se il set di backup è già stato utilizzato, verrà aggiunto il nuovo backup e
ciò determinerà la creazione di un file di backup inutilmente grande.
4. Mettere il database di origine off-line selezionando Attività > Metti off-line.
5. Copiare il file di backup (.bak) creato nel passaggio 3 in un punto accessibile dall'istanza di destinazione di SQL
Server. Per il file di backup del database potrebbe essere necessario modificare i diritti di accesso.
6. Portare il database di origine nuovamente on-line ma non avviare ancora il server ERA!
110
7. Accedere all'istanza di destinazione di SQL Server con SQL Server Management Studio.
8. Ripristinare il database sull'istanza di destinazione di SQL Server.
9. Digitare un nome per il nuovo database nel campo del database "A". In base alle preferenze dell'utente, è
possibile utilizzare lo stesso nome del vecchio database.
10. Selezionare Dal dispositivo in Specifica i set di backup di origine e la relativa posizione per effettuare il
ripristino, quindi fare clic su ... .
11. Fare clic su Aggiungi, accedere al file di backup e aprirlo.
12. Selezionare il backup più recente possibile per effettuare il ripristino (il set di backup può contenere backup
multipli).
111
13. Fare clic sulla pagina delle Opzioni della procedura guidata di ripristino. Facoltativamente, selezionare
Sovrascrivi il database esistente e assicurarsi che i punti di ripristino per il database ( .mdf) e per il rapporto ( .ldf)
siano corretti. Lasciando i valori predefiniti inalterati, verranno utilizzati i percorsi dall'istanza di origine di SQL
Server. Si prega pertanto di controllare questi valori.
o Se non si è sicuri del punto di archiviazione dei file del DB sull'istanza di destinazione di SQL Server, fare clic con
il pulsante destro del mouse su un database esistente, selezionare Proprietà e fare clic sulla scheda File. La
directory in cui è archiviato il database è visualizzata nella colonna Percorso della tabella visualizzata di seguito.
14.Fare clic su OK nella finestra della procedura guidata di ripristino.
15. Assicurarsi che sul nuovo server del database sia attiva l'autenticazione di SQL Server. Fare clic con il pulsante
destro del mouse sul server, quindi su Proprietà. Accedere a Sicurezza e verificare che sia selezionata la modalità
di autenticazione di SQL Server e Windows.
112
16.Creare un nuovo accesso per SQL Server (per il server/proxy ERA) nell'istanza di destinazione di SQL Server con
l'Autenticazione di SQL Server ed eseguire il mapping dell'accesso a un utente nel database ripristinato.
o Non attivare la scadenza della password.
o Caratteri consigliati per i nomi utente:
lettere ASCII minuscole, numeri e carattere di sottolineatura "_"
o Caratteri raccomandati per le password:
SOLO caratteri ASCII, incluse lettere ASCII minuscole e maiuscole, numeri, spazi, caratteri speciali
o Non utilizzare caratteri non-ASCII, parentesi graffe {} o @
o Si tenga presente che, in caso di mancata osservanza delle raccomandazioni sui caratteri di cui sopra,
potrebbero verificarsi problemi di connettività del database oppure sarà necessario effettuare l'escape dei
caratteri speciali nei passaggi successivi durante la modifica delle stringhe di connessione del database. In
questo documento non vengono illustrate le regole per effettuare l'escape dei caratteri.
113
17. Effettuare il mapping dell'accesso a un utente del database di destinazione. Nella scheda dei mapping
dell'utente, assicurarsi che l'utente del database sia in possesso dei seguenti ruoli: db_datareader,
db_datawriter, db_owner.
114
18. Per attivare le ultime funzioni del server del database, modificare il Livello di compatibilità del database
ripristinato aggiornandolo all'ultima versione. Fare clic con il pulsante destro del mouse sul nuovo database e
aprire le Proprietà del database.
115
NOTA: SQL Server Management Studio non è in grado di definire livelli di compatibilità successivi a quelli della
versione in uso. Ad esempio, SQL Server Management Studio 2008 non è in grado di impostare il livello di
compatibilità per SQL Server 2014.
19. Assicurarsi che il protocollo di connessione TCP/IP sia attivato per SQLEXPRESS e che la porta TCP/IP sia
impostata su 1433. È possibile eseguire questa operazione aprendo Sql Server Configuration Manager e
accedendo a SQL Server Network Configuration > Protocols for SQLEXPRESS. Fare clic con il pulsante destro del
mouse su TCP/IP e selezionare Attivato. Fare quindi doppio clic su TCP/IP, passare alla scheda Protocolli, scorrere
fino a IPAll e, nel campo Port, digitare 1433. Fare clic su OK e riavviare il servizio SQL Server.
116
20.Trovare startupconfiguration.ini sulla macchina dove è installato il server/proxy ERA.
o Per Windows Vista e versioni successive:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration
\startupconfiguration.ini
o Per le versioni di Windows precedenti:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Configuration\startupconfiguration.ini
o Per Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConfiguration.ini
20.Modificare la stringa di connessione del database nel server/proxy ERA startupconfiguration.ini
o Impostare l'indirizzo e la porta del nuovo server del database.
o Impostare il nuovo nome utente e la password ERA nella stringa di connessione.
Il risultato finale dovrebbe essere il seguente:
DatabaseType=MSSQLOdbc
DatabaseConnectionString=Driver=SQL Server;Server=localhost,1433;Uid=era_user1;Pwd={SecretPassword123};Ch
21.Avviare il server/proxy ERA e verificare che il relativo servizio venga eseguito correttamente.
117
3.5.3.2 Processo di migrazione per MySQL Server
Prerequisiti
È necessario installare le istanze di origine e di destinazione di SQL Server, che possono essere ospitate su
macchine diverse.
Gli strumenti MySQL devono essere disponibili su almeno uno dei computer (client mysqldump e mysql).
Collegamenti utili
http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html
http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html
http://dev.mysql.com/doc/refman/5.6/en/mysql.html
Processo di migrazione
Nei comandi, nei file di configurazione o nelle dichiarazioni di SQL sottostanti, sostituire sempre:
SRCHOST con l'indirizzo dell'istanza di origine del server del database
SRCROOTLOGIN con l'accesso dell'utente radice dell'istanza di origine di MySQL Server
SRCERADBNAME con il nome dell'istanza di origine del database ERA per il quale eseguire il backup
BACKUPFILE con il percorso al file in cui verrà archiviato il backup
TARGETHOST con l'indirizzo dell'istanza di destinazione del server del database
TARGETROOTLOGIN con l'accesso dell'utente radice dell'istanza di destinazione di MySQL Server
TARGETERADBNAME con il nome dell'istanza di destinazione del database ERA (in seguito alla migrazione)
TARGETERALOGIN con il nome di accesso per il nuovo utente del database ERA sull'istanza di destinazione di
MySQL Server
TARGETERAPASSWD con la password del nuovo utente del database ERA sull'istanza di destinazione di MySQL
Server
Non è necessario eseguire le dichiarazioni SQL sottostanti attraverso la riga di comando. Se è disponibile lo
strumento GUI, è possibile utilizzare un'applicazione già nota.
1. Interrompere i servizi del server/proxy ERA.
2. Creare un backup completo dell'istanza di origine del database ERA (database che si desidera migrare):
mysqldump --host SRCHOST --disable-keys --extended-insert --routines -u SRCROOTLOGIN -p SRCERADBNAME > BA
3. Preparare un database vuoto sull'istanza di destinazione di MySQL Server:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT
NOTA: utilizzare il carattere apostrofo ' al posto delle virgolette " sui sistemi Linux.
4. Ripristinare il database sull'istanza di destinazione di MySQL Server sul database vuoto preparato in precedenza:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE
5. Creare un utente per il database ERA sull'istanza di destinazione di MySQL Server:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TA
Caratteri consigliati per TARGETERALOGIN:
lettere ASCII minuscole, numeri e sottolineatura "_"
Caratteri consigliati per TARGETERAPASSWD:
solo caratteri ASCII, incluse lettere ASCII minuscole e maiuscole, numeri, spazi e caratteri speciali
Non utilizzare caratteri non-ASCII, parentesi graffe {} o @
118
Si tenga presente che, in caso di mancata osservanza delle raccomandazioni sui caratteri di cui sopra, potrebbero
verificarsi problemi di connettività del database oppure sarà necessario effettuare l'escape dei caratteri speciali nei
passaggi successivi durante la modifica delle stringhe di connessione del database. In questo documento non
vengono illustrate le regole per effettuare l'escape dei caratteri.
6. Garantire adeguati diritti di accesso all'utente del database ERA sull'istanza di destinazione di MySQL Server:
mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN
NOTA: sui sistemi Linux utilizzare il carattere apostrofo ' al posto delle virgolette ".
7. Trovare startupconfiguration.ini sulla macchina su cui è installato il server/proxy ERA.
o Per Windows Vista e versioni successive:
% PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration
\startupconfiguration.ini
o Per le versioni di Windows precedenti:
% ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData
\Configuration\startupconfiguration.ini
o Per Linux:
/etc/opt/eset/RemoteAdministrator/Server/StartupConfiguration.ini
8. Modificare la stringa di connessione del database nel server/proxy ERA
startupconfiguration.ini
o Impostare l'indirizzo e la porta del nuovo server del database
o Impostare il nome utente e la password
o Il risultato finale dovrebbe essere il seguente:
DatabaseType=MySqlOdbc
DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERAL
Password={TARGETERAPASSWD};CharSet=utf8;Database=TARGETERADBNAME;
9. Avviare il server/proxy ERA e verificare che il relativo servizio venga eseguito correttamente.
3.6 Immagine ISO
Un file di immagine ISO è uno dei formati in cui è possibile scaricare i programmi di installazione (categoria dei
programmi di installazione integrati) di ESET Remote Administrator. L'immagine ISO contiene i seguenti elementi:
Pacchetto di installazione ERA
Programmi di installazione separati per ciascun componente
L'immagine ISO è utile nel momento in cui si desidera mantenere tutti i programmi di installazione di ESET Remote
Administrator in un'unica posizione. Questo strumento consente inoltre di eliminare il bisogno di scaricare i
programmi di installazione dal sito Web di ESET tutte le volte che si desidera eseguire l'installazione. L'immagine
ISO è inoltre utile se si desidera installare ESET Remote Administrator su una macchina virtuale.
119
3.7 Record servizio DNS
Per configurare un record di risorse DNS:
1. Sul server DNS (server DNS sul controller di dominio) in uso, accedere a Pannello di controllo > Strumenti di
amministrazione.
2. Selezionare il valore DNS.
3. Nel DNS Manager, selezionare _tcp dalla struttura ad albero e creare un nuovo record Posizione del servizio
(SRV).
4. Inserire il nome del servizio nel campo Servizio in base alle regole DNS standard, digitare un simbolo di
sottolineatura (_) davanti al nome del servizio (utilizzare il proprio nome di servizio, per esempio _era).
5. Inserire il protocollo tcp nel campo Protocollo nel seguente formato: _tcp.
6. Inserire la porta 2222 nel campo Numero porta.
7. Inserire il Nome di dominio completo (FQDN) del server ERA nel campo Host che offre il servizio.
8. Salvare il record facendo clic su [OK], quindi su [Fine]. A questo punto, il record verrà visualizzato nell'elenco.
Per verificare il record DNS:
1. Accedere a un computer qualsiasi del dominio e aprire un prompt dei comandi (cmd.exe).
2. Digitare nslookup nel prompt dei comandi e premere Invio.
3. Digitare set querytype=srv e premere Invio.
4. Digitare _era._tcp.domain.name e premere Invio. La posizione del servizio verrà visualizzata correttamente.
NOTA: questa procedura vale sia per Windows che per Linux.
NOTA: non dimenticare di modificare il valore "Host che offre il servizio:" sull'FQDN del nuovo server durante
l'installazione del server ESET Remote Administrator su un'altra macchina.
120
4. Procedure di aggiornamento, migrazione e reinstallazione
Questa sezione descrive vari metodi di esecuzione dell’aggiornamento, della migrazione e della reinstallazione del
server ESET Remote Administrator e di altri componenti ERA.
1. Aggiornamento da una generazione precedente di ERA
Come aggiornare/eseguire la migrazione dalla generazione di ESET Remote Administrator 5 alla generazione di ESET
Remote Administrator 6 con lo Strumento di migrazione.
2. Aggiornamento da una versione precedente di ERA 6 a una versione più recente di ERA 6
Come eseguire l’aggiornamento dei componenti dell’infrastruttura ESET Remote Administrator.
NOTA: per cercare la versione di ciascun componente ERA in esecuzione, è necessario verificare la versione del
server ESET Remote Administrator. Accedere alla pagina Informazioni in ERA Web Console e consultare il seguente
articolo della Knowledge Base per un elenco di tutti le versioni dei componenti ERA per ciascun server ERA.
3. Migrazione o reinstallazione di ERA 6 da un server a un altro
Come eseguire la migrazione da un server a un altro o la reinstallazione di un server ERA.
NOTA: se si prevede di effettuare la migrazione da un server ERA a una nuova macchina server, è necessario
esportare/eseguire il backup di tutte le autorità di certificazione, nonché del certificato del server ERA. In caso
contrario, nessuno dei componenti ERA sarà in grado di comunicare con il nuovo server ERA.
4. Altre procedure
Come modificare un indirizzo IP o nome host sul server ERA.
4.1 Attività di aggiornamento dei componenti
In questo capitolo saranno presentati i seguenti argomenti:
Raccomandazioni
Elenco dei componenti aggiornati
Prima dell’aggiornamento
La procedura dell’attività di aggiornamento dei componenti di Remote Administrator
Risoluzione dei problemi
Raccomandazioni:
Si consiglia di utilizzare l’attività di aggiornamento dei componenti disponibile in ERA Web Console per eseguire
l’aggiornamento dell’infrastruttura ERA. L'esempio che segue illustra le modalità di configurazione dell'attività di
Aggiornamento dei componenti di Remote Administrator dalla versione di ERA 6.1.x o 6.2.x alla versione di ERA
6.3.x.
IMPORTANTE: per questa operazione è necessario eseguire il backup di tutti i certificati (autorità di
certificazione, certificato del server e certificato del proxy e dell’agente). Per effettuare il backup dei certificati,
eseguire le operazioni illustrate di seguito:
Esportare i Certificati dell’autorità di certificazione da un vecchio server ERA a un file .der e salvarli in un archivio
esterno.
Esportare i Certificati del computer (per l’agente ERA, il server ERA e il proxy ERA) e il file .pfx della chiave privata
da un vecchio server ERA e salvarli in un archivio esterno.
Quando si esegue questa attività, si consiglia vivamente di selezionare il Gruppo Tutti come destinazione per
assicurarsi che venga eseguito l’aggiornamento dell'intera infrastruttura ERA.
121
Elenco dei componenti aggiornati:
Server ERA
Agente ERA (l'attività aggiornerà tutti i computer presenti nella rete con gli agenti ERA installati se sono stati
selezionati come destinazioni per l’attività)
Proxy ERA
ERA Web Console (vale solo in caso di installazione con il programma di installazione ERA integrato o ERA Virtual
Appliance e qualsiasi distribuzione Linux [nella cartella di installazione: /var/lib/tomcat8/webapps/, /var/lib/
tomcat7/webapps/, /var/lib/tomcat6/webapps/, /var/lib/tomcat/webapps/ ])
ERA Mobile Device Connector (dalla versione 6.2.11.0 alla versione di ERA 6.3.x)
L'aggiornamento dei componenti che seguono deve essere eseguito manualmente:
Apache Tomcat (si consiglia vivamente di tenere costantemente aggiornato Apache Tomcat; consultare
Aggiornamento di Apache Tomcat)
Proxy HTTP Apache (è possibile installare questo componente utilizzando il programma di installazione integrato;
consultare Aggiornamento del proxy HTTP Apache)
ERA Rogue Detection Sensor
Prima dell’aggiornamento:
se non è possibile eseguire l'aggiornamento dei componenti su una macchina su cui è in esecuzione un server
ERA o la console Web, potrebbe non essere possibile accedere da remoto alla console Web. Si consiglia vivamente
di configurare l'accesso fisico alla macchina del server prima di eseguire l'aggiornamento. Qualora non sia possibile
effettuare l'accesso fisico alla macchina, assicurarsi di potervi accedere con i privilegi amministrativi mediante
l'utilizzo di un desktop remoto. Si consiglia anche di effettuare un backup dei database del server ERA e del
Connettore dispositivi mobili prima di eseguire l'operazione. Per eseguire il backup degli accessori virtuali, è
necessario creare uno snapshot o clonare la macchina virtuale.
Aggiornamento dalla versione 6.1.x di ERA.
In caso di aggiornamento dalla versione 6.1 di ERA e di utilizzo di un proxy ERA, le macchine client che
effettuano la connessione mediante il proxy ERA non riceveranno automaticamente l'agente ERA aggiornato. Si
consiglia di utilizzare i programmi di installazione in tempo reale dell’agente e di eseguire la distribuzione
mediante GPO o SCCM. Se è installato ERA 6.2, i client si aggiorneranno normalmente anche in caso di
connessione mediante il proxy ERA.
L’istanza del server ERA è installata su un cluster di failover.
in caso di installazione dell'istanza del server ERA su un cluster di failover, è necessario aggiornare
manualmente il componente del server ERA su ciascun nodo del cluster. Dopo aver effettuato l'aggiornamento
del server ERA, eseguire l'attività Aggiornamento dei componenti per aggiornare il resto dell'infrastruttura (per
esempio, gli agenti ERA sui computer client).
Agente ERA installato sui client Linux in esecuzione con systemd nell’infrastruttura.
In caso di installazione dell’agente ERA sui client Linux in esecuzione con systemd nell’infrastruttura (le
distribuzioni con gli script SysV init o upstart non subiranno modifiche), eseguire lo script indicato di seguito
prima di eseguire un’attività di aggiornamento dei componenti. Questa operazione è necessaria solo per la
versione 6.1.450.0 o una versione precedente.
122
#!/bin/sh -e
systemd_service=eraagent.service
systemd_service_path="/etc/systemd/system/$systemd_service"
if ! grep "^KillMode=" "$systemd_service_path" > /dev/null
then
echo "Applying 'KillMode' change to '$systemd_service_path'"
sed -i 's/\[Service\]/[Service]\nKillMode=process/' "$systemd_service_path"
else
echo "'KillMode' already set. No changes applied."
exit 0
fi
systemctl daemon-reload
if systemctl is active $systemd_service > /dev/null
then
echo "Restarting instance of '$systemd_service'"
systemctl restart $systemd_service
fi
Istruzioni importanti prima di eseguire l’aggiornamento del proxy HTTP Apache su Microsoft Windows
In caso di utilizzo del proxy HTTP Apache e di impostazioni personalizzate nel file httpd.conf (come nome utente e
password), eseguire il backup del file httpd.conf originale (posizionato in C:\Program Files\Apache HTTP Proxy
\conf\). In caso di mancato utilizzo delle impostazioni personalizzate, il backup del file httpd.conf non è necessario.
Effettuare l’aggiornamento a una versione più recente del proxy HTTP Apache utilizzando uno dei metodi illustrati
in Aggiornamento del proxy HTTP Apache.
AVVISO: dopo aver eseguito correttamente l’aggiornamento di Apache HTTP Proxy su Windows e nel file
originale sono presenti impostazioni personalizzate (come nome utente e password), copiare le
impostazioni dal file di backup httpd.conf e inserire solo le impostazioni personalizzate nel nuovo file httpd.conf.
Non utilizzare il file httpd.conf originale con la nuova versione aggiornata di Apache HTTP Proxy, in quanto non
funzionerà correttamente. Copiare solo le impostazioni personalizzate da questo file e utilizzare il nuovo file
httpd.conf . In alternativa, è possibile personalizzare manualmente il nuovo file httpd.conf . Le impostazioni sono
descritte in Installazione del proxy HTTP Apache - Windows.
httpd.conf
Istruzioni importanti prima di eseguire l’aggiornamento del proxy HTTP Apache sugli accessori virtuali
In caso di utilizzo del Proxy HTTP Apache e in presenza di impostazioni personalizzate nel file httpd.conf (come
nome utente e password), effettuare il backup del file httpd.conf originale (posizionato in /opt/apache/conf/)
ed eseguire l’attività di aggiornamento dei componenti di Remote Administrator per effettuare
l’aggiornamento del Proxy HTTP Apache. In caso di mancato utilizzo delle impostazioni personalizzate, non è
necessario creare un backup di httpd.conf.
Al termine dell'attività di aggiornamento dei componenti, eseguire il comando indicato di seguito utilizzando
l’attività client Esegui comando che aggiornerà il file httpd.conf (obbligatorio per consentire un’esecuzione
corretta della versione aggiornata del proxy HTTP Apache):
wget http://help.eset.com/era_install/63/apache/httpd.conf -O /tmp/httpd.conf\
-o /tmp/wgeterror.log && cp /tmp/httpd.conf /opt/apache/conf/httpd.conf
123
In alternativa, è possibile eseguire lo stesso comando direttamente dalla console di ERA Virtual Appliance.
Un’altra opzione consiste nel sostituire manualmente il file di configurazione del proxy HTTP Apache
httpd.conf .
AVVISO: se il file httpd.conf originale contiene impostazioni personalizzate (come nome utente e
password), copiare le impostazioni dal file di backup httpd.conf e aggiungere solo le impostazioni
personalizzate nel nuovo file httpd.conf. Non utilizzare il file httpd.conf originale con la nuova versione
aggiornata del proxy HTTP Apache, in quanto non funzionerà correttamente. Copiare solo le impostazioni
personalizzate da questo file e utilizzare il nuovo file httpd.conf. In alternativa, è possibile personalizzare
manualmente il nuovo file httpd.conf. Le impostazioni sono descritte in Installazione del proxy HTTP Apache Linux.
Procedura dell’attività di aggiornamento dei componenti di Remote Administrator:
1. Fare clic su Admin > Attività client e accedere a Tutte le attività > ESET Remote Administrator > Aggiornamento
componenti amministratore remoto.
2. Fare clic su Nuova per configurare la nuova attività.
124
Di base
3. Inserire un Nome e una Descrizione dell’attività.
4. Nel menu a discesa Attività, selezionare Aggiornamento dei componenti di Remote Administrator.
125
126
Destinazione
5. Contrassegnare le caselle di controllo accanto a tutte le destinazioni che ricevono questa attività (computer
singoli o interi gruppi). Fare clic su Aggiungi destinazioni per visualizzare tutti i gruppi statici e dinamici e i
membri corrispondenti. Selezionare Gruppo statico > Tutti per eseguire l'aggiornamento sull'infrastruttura
completa.
Attivazione
6. Nel menu a discesa Tipo di attivazione.
IMPORTANTE: per la versione 6.2.x e successive, selezionare Pianifica una volta e digitare Pianifica una volta
alle con l’Intervallo di ritardo casuale impostato su 12 ore.
127
IMPORTANTE: per la versione 6.1.x selezionare Espressione CRON. Nella casella Espressione CRON, inserire
un’espressione CRON per la data in cui si desidera avviare l’attività.
Per esempio R R R 15 5 ? 2015 eseguirà l'attività casualmente una volta a maggio 2015.
128
7.
IMPORTANTE: richiama appena possibile se un evento è mancante: Utilizzare questa opzione con prudenza. In
caso di utilizzo di più di un client virtualizzato, questa opzione causa l'aggiornamento di tutti i client in
contemporanea che comporterà, a sua volta, carichi elevati sull'infrastruttura virtuale.
8. Si consiglia di selezionare la casella di controllo accanto a Utilizza ora locale. Questa opzione fa riferimento all'ora
locale del(i) client e non del server. Fare clic su Fine al termine dell'operazione.
Impostazioni
9. Se d'accordo, contrassegnare la casella di controllo accanto a Accetto i termini dell’Accordo di licenza per l'utente
finale relativa alla richiesta. Per ulteriori informazioni, consultare Gestione Licenza o Accordo di licenza per
l'utente finale (EULA).
129
10.Fare clic su <Scegli server>, selezionare un prodotto e fare clic su OK.
NOTA: l’elenco di prodotti e di versioni è variabile e quello indicato di seguito costituisce solo un esempio.
130
131
Riepilogo
11.Rivedere il riepilogo delle impostazioni configurate e fare clic su Fine. L'attività è stata creata e verrà inviata ai
client.
Risoluzione dei problemi:
Verificare che sia possibile accedere all’archivio ERA da un computer aggiornato.
La riesecuzione dell'attività Aggiornamento dei componenti di Remote Administrator non funzionerà in presenza
di almeno un componente per il quale è già stato eseguito un aggiornamento a una versione più recente.
In assenza di motivi chiari della mancata esecuzione dell'aggiornamento dei componenti, è possibile eseguire
questa attività manualmente. Consultare le istruzioni per Windows o Linux.
Sulle macchine Linux che utilizzano systemd come gestore dei servizi, questa attività non può essere completata
correttamente. Le distribuzioni Linux con gli script SysV init o upstart non subiranno modifiche.
Per ulteriori informazioni sulla risoluzione dei problemi legati all’aggiornamento, consultare Informazioni
generali sulla risoluzione dei problemi.
132
4.1.1 Installazione del prodotto con aggiornamento dei componenti
Esistono due modi per eseguire un’installazione basata su componenti e una distribuzione da ESET Remote
Administrator dei prodotti ESET Business versione 6.x.
NOTA: l’installazione basata su componenti è supportata solo da ESET Endpoint Security; di conseguenza, non è
supportata da ESET Endpoint Antivirus. Selezionare i componenti per eseguire l’installazione utilizzando la
proprietà ADDLOCAL. Consultare anche Installazione avanzata di ESET Endpoint Security.
1. Utilizzo dell’attività Installazione del software
Scegliere un pacchetto dall'archivio o selezionare l’opzione Aggiungi percorso nel file msi, per esempio:
file://\\Win2012-server\share\ees_nt64_enu.msi (è necessario impostare le autorizzazioni corrette: nessuna
autenticazione)
aggiungere l’<elenco> ADDLOCAL= nei parametri di installazione
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,
WebControl,UpdateMirror,DocumentProtection,DeviceControl
(tutti i componenti senza NAP e firewall)
Consultare anche le istruzioni relative all’attività Installazione del software nel Manuale di gestione.
2. Utilizzo delle attività Esegui comando
Per esempio:
msiexec.exe /i \\Win2012-server\share\ees_nt64_enu.msi /qn
ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam,
WebControl,UpdateMirror,DocumentProtection,DeviceControl /lvx*
C:/install.log
Consultare anche le istruzioni relative all’attività Esegui comando nel Manuale di gestione.
4.2 Migrazione da una versione precedente di ERA
Se si desidera eseguire l’aggiornamento/la migrazione da una generazione precedente di ESET Remote
Administrator 5 a ESET Remote Administrator 6, è possibile utilizzare lo Strumento di migrazione che semplifica il
processo di aggiornamento. Lo strumento di migrazione è un'applicazione indipendente che si presenta sotto forma
di procedura guidata e che consente di effettuare una semplice migrazione dei dati di ERA 4.x/5.x in un database
intermedio e la successiva importazione in ERA 6.x.
IMPORTANTE: la versione dello strumento di migrazione deve corrispondere alla versione di ESET Remote
Administrator a cui si esegue la migrazione. Per trovare la versione dello strumento di migrazione necessaria,
consultare questo articolo della Knowledge Base.
Scaricare la versione appropriata di ESET Remote Administrator Migration Tool.
Eseguire lo strumento di migrazione a livello locale sul server ERA 4.x / 5.x precedente. Non è possibile eseguire
lo strumento di migrazione da una macchina remota.
Non viene eseguita la migrazione della configurazione del server ERA precedente.
Non viene eseguita la migrazione dei gruppi parametrici.
È possibile eseguire la migrazione di criteri con Migration Tool 6.2.x e versioni successive. Tuttavia, esistono alcuni
elementi specifici per la migrazione dei criteri:
Viene eseguita la migrazione solo dei criteri da un server ERA superiore.
Viene eseguita la migrazione solo delle definizioni dei criteri, ma non delle relazioni.
Sarò necessario assegnare manualmente i criteri migrati ai gruppi appropriati dopo la migrazione.
133
La gerarchia dei criteri viene omessa. Se è presente un contrassegno di sostituzione nell'ERA precedente,
esso viene convertito in forza nel criterio ERA 6 per la stessa impostazione.
Se sono presenti impostazioni per più prodotti in un solo criterio nell'ERA precedente, verrà creato un singolo
criterio per ogni prodotto in ERA 6.
NOTA: dopo la migrazione, si consiglia di controllare gli elementi (computer, gruppi statici, criteri, ecc.) per
verificarne la presenza e controllare che il risultato della migrazione soddisfi le aspettative. In caso di discrepanze, è
necessario un intervento, ad esempio la creazione manuale di criteri.
NOTA: se si verifica un errore durante il processo di migrazione, viene scritto nel file in migration.log che si
trova nella stessa cartella dello strumento di migrazione. Se si ha accesso in sola lettura a questa cartella, si aprirà al
suo posto una finestra di registro. La stessa cosa accade in caso di spazio insufficiente sul disco, in questo caso il file
di registro non viene creato e i risultati saranno visualizzati solo nella finestra di registro.
NOTA: per risolvere il problema del file MSVCP100.dll oppure MSVCR100.dll mancante, installare la versione più
recente di Microsoft Visual C++ 2010 Redistributable Package. È possibile utilizzare il seguente collegamento
Microsoft Visual C++ 2010 Redistributable Package (x86).
I seguenti scenari di migrazione conducono l'utente attraverso il processo di migrazione:
Scenario di migrazione 1: migrazione a ERA 6.x in esecuzione su un computer diverso da ERA 4.x / 5.x.
Scenario di migrazione 2: migrazione a ESET Remote Administrator 6.x in esecuzione sullo stesso computer di ERA
4.x / 5.x.
Scenario di migrazione 3: migrazione a ERA 6.x dove gli endpoint si connettono alla versione ERA 4.x/5.x
precedente fino a quando ERA 6.x distribuisce l'agente ERA.
134
4.2.1 Scenario di migrazione 1
Questo scenario contempla una migrazione a ERA 6.x in esecuzione su un computer differente da ERA 4.x/5.x. Per
ulteriori informazioni, consultare questo articolo della Knowledge Base in cui sono disponibili istruzioni dettagliate
per il completamento dell’installazione attraverso l’utilizzo del programma di installazione integrato.
1. Il primo passaggio della procedura di migrazione consiste nel verificare che ERA 6.x sia installato e in esecuzione
su un altro computer.
2. Avviare lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x/5.x e selezionare
Esporta per salvare i dati dalla vecchia versione di ERA a un file di database intermedio.
3. La procedura di migrazione guidata consente di trasferire solo dati specifici. Selezionare i dati che si desiderano
trasferire e fare clic su Avanti.
Dopo aver selezionato una cartella dove salvare il database temporaneo, verrà visualizzato lo stato dell'archivio
del database ERA 4.x/5.x.
Tutti i dati sono esportati su un database intermedio.
4. Al termine dell'esportazione dei dati è possibile scegliere tra due opzioni:
Un'opzione disponibile è Fine per terminare l'esportazione, Copiare il file del database temporaneo su un
server sul quale è in esecuzione ESET Remote Administrator 6.x e importare i dati tramite lo strumento di
migrazione ERA su tale server.
In alternativa, è possibile fare clic sul pulsante Importa ora e importare i dati direttamente in ESET Remote
Administrator 6.x tramite la rete. Specificare la connessione e i dati di accesso del nuovo server ERA.
NOTA: i Gruppi statici sincronizzati da Active Directory sono ignorati e non saranno esportati.
135
Se le impostazioni del server non consentono di importare dati specifici, lo strumento di migrazione di ESET
Remote Administrator consente di modificare le impostazioni di componenti specifici di ERA 6x.
Ciascuno dei componenti viene quindi importato. Per ciascun componente è disponibile un rapporto di
importazione (migrazione). Al termine dell'importazione, verranno visualizzati i risultati della procedura.
Nel caso in cui si dovesse eseguire la migrazione di utenti, le relative password vengono reimpostate e
sostituite con password generate casualmente. Tali password possono essere esportate in formato .CSV .
La procedura guidata dello strumento di migrazione genera inoltre uno script che può essere utilizzato per
preconfigurare gli agenti ERA sulle macchine client. Lo script è un file .bat eseguibile di piccole dimensioni
che può essere distribuito sui computer client.
È consigliabile rivedere le impostazioni e i dati per i quali è stata eseguita la migrazione per verificare che
l'importazione sia stata eseguita correttamente. È quindi possibile utilizzare questo script per distribuire
l'agente ERA su un gruppo ristretto di computer per verificare se si connettono correttamente al server.
Dopo aver connesso correttamente il gruppo di test, è possibile distribuire l'agente ai restanti computer,
manualmente o tramite l'attività di sincronizzazione AD.
NOTA: nel caso in cui uno qualsiasi dei restanti passaggi non dovesse riuscire, è necessario annullare le modifiche
apportate a ERA 6.x, configurare i computer per la connessione a ERA 4.x/5.x, recuperare i dati di backup da ERA
4.x/5.x e contattare il supporto tecnico ESET.
Questo scenario contempla una migrazione a ESET Remote Administrator 6.x in esecuzione sullo stesso computer su
cui è eseguito ERA 4.x/5.x. Prima di eseguire la migrazione dei dati, è necessario aver eseguito il backup di tutti i
dati (tramite lo strumento di manutenzione ESET) e aver interrotto i servizi ERA nel sistema operativo.
Guardare questo video illustrativo della Knowledge Base o leggere questo articolo della Knowledge Base per
consultare istruzioni dettagliate per il completamento dell'installazione mediante l'utilizzo del programma di
installazione integrato.
Scaricare lo strumento di migrazione di ESET Remote Administrator e procedere con i passaggi elencati di seguito.
NOTA: se si visualizza un errore di sistema, assicurarsi di aver installato il Microsoft Redistributable Package
richiesto.
136
1. Dopo aver avviato lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x / 5.x,
l'amministratore seleziona l'opzione Esporta per salvare i dati da ERA 4.x/5.x su un file di database intermedio. La
procedura di migrazione guidata consente di trasferire solo dati specifici:
NOTA: a causa del nuovo design e delle nuove funzionalità dei gruppi dinamici in ERA 6.x, non è possibile
trasferire i gruppi parametrici e le attività da ERA 4.x/5.x.
137
138
2. Dopo aver selezionato una cartella dove salvare il database temporaneo, la procedura guidata consentirà di
visualizzare lo stato di archiviazione del database ERA 4.x/5.x.
3. Tutti i dati sono esportati su un database intermedio.
Dopo aver esportato correttamente i dati e prima di distribuire ERA 6.x, è necessario aver disinstallato ERA
4.x/5.x. Prima di procedere con l’installazione di ERA 6.x, si consiglia di riavviare la macchina.
Quando la nuova versione ERA 6.x è stata installata, il database esportato può essere importato utilizzando lo
strumento di migrazione. All’amministratore viene richiesto di inserire l’indirizzo IP della macchina (che era
stato visualizzato nella schermata di conferma dell’installazione di ERA Console, ma senza il protocollo
":8443") nel campo Host e la password di amministratore configurata durante l’installazione e di selezionare
il file del database salvato.
139
Questo scenario contempla una migrazione a ERA 6.x dove gli endpoint si connettono alla versione ERA 4.x/5.x
precedente fino a quando ERA 6.x distribuisce l'agente ERA. Questo scenario si rivela utile solo se si desidera
scoprire l'aspetto di ERA 6.x con i dati ricavati da ERA 4.x/5.x, ma sono ancora presenti endpoint che effettuano la
connessione a ERA 4.x/5.x.
NOTA: questo scenario è consigliato esclusivamente agli utenti esperti. Non è consigliabile eseguire questo tipo
di migrazione, a meno che non siano disponibili altre opzioni.
1. Dopo aver avviato lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x / 5.x,
l'amministratore seleziona l'opzione Esporta per salvare i dati da ERA 4.x/5.x su un file di database intermedio. La
procedura di migrazione guidata consente di trasferire solo dati specifici:
NOTA: a causa del nuovo design e delle nuove funzionalità dei gruppi dinamici in ERA 6.x, non è possibile
trasferire i gruppi parametrici e le attività da ERA 4.x/5.x.
140
141
2. Dopo aver selezionato una cartella dove salvare il database temporaneo, la procedura guidata consentirà di
visualizzare lo stato di archiviazione del database ERA 4.x/5.x.
3. Tutti i dati sono esportati su un database intermedio.
4. Se ERA 6 verrà installato sullo stesso computer sul quale è installata la versione 4.x/5.x, è necessario modificare
le porte della versione ERA precedente e rinominare il servizio del server ( sc config ERA_SERVER DisplayName=
"ESET Remote Administrator g1" ).
5. ESET Remote Administrator 4.x/5.x deve essere nuovamente avviato in seguito all'esportazione dei dati
dell'utente.
6. Installare ESET Remote Administrator 6 e importare il database intermedio tramite lo strumento di migrazione.
All’amministratore viene richiesto di inserire l’indirizzo IP della macchina (che era stato visualizzato nella
schermata di conferma dell’installazione di ERA Console, ma senza il protocollo ":8443") nel campo Host e la
password di amministratore configurata durante l’installazione e di selezionare il file del database salvato.
142
A seguito di questo tipo di migrazione non ci saranno rapporti esportati tra il processo di backup del database di ERA
4.x/5.x e la distribuzione dell'agente su un computer client. Tali dati saranno tuttavia ancora presenti sulla copia
precedente di ERA 4.x/5.x.
4.3 Migrazione da un server a un altro
Esistono quattro diversi modi per effettuare la migrazione di ESET Remote Administrator da un server a un altro
(questi scenari possono essere utilizzati durante la reinstallazione del server ERA):
Installazione pulita - indirizzo IP uguale: la nuova installazione non utilizza il database precedente dal vecchio
server ERA e mantiene l’indirizzo IP originale.
Installazione pulita - indirizzo IP diverso : la nuova installazione non utilizza il database precedente dal vecchio
server ERA e presenta un indirizzo IP diverso.
Migrazione del database - indirizzo IP uguale: la migrazione del database può essere eseguita solo tra due
tipologie simili di database (da MySQL a MySQL o da MSSQL a MSSQL) e tra versioni simili di ERA.
Migrazione del database - indirizzo IP diverso: la migrazione del database può essere eseguita solo tra due
tipologie identiche di database (da MySQL a MySQL o da MSSQL a MSSQL) e tra versioni identiche di ERA.
NOTA: la migrazione da un server a un altro è supportata per la versione 6.2 e successive.
NOTA: in caso di aggiunta di nuovi computer client, utilizzare una nuova autorità di certificazione per firmare i
certificati dell’agente. Questa operazione viene eseguita solo in quanto non è possibile utilizzare un’AC importata
per firmare nuovi certificati del computer, ma solo per autenticare gli agenti ERA dei computer client per i quali è
stata eseguita la migrazione.
143
4.3.1 Installazione pulita - indirizzo IP uguale
L’obiettivo di questa procedura consiste nell’installare un’istanza completamente nuova del server ERA che non
utilizza il database precedente, ma conserva i record dei computer client. Il nuovo server ERA avrà lo stesso indirizzo
IP del server precedente, ma non utilizzerà il database del vecchio server ERA.
Sul (vecchio) server ERA attualmente in uso:
1. Esportare tutti i certificati dal server ERA corrente e salvarli sul dispositivo di archiviazione esterno.
o Esportare tutti i Certificati dell’autorità di certificazione dal server ERA e salvarli singolarmente come file .der.
o Esportare tutti i Certificati del computer (certificato del server, certificato dell’agente, certificato del proxy,
certificato MDM, ecc.) dal server ERA in un file .pfx. Nel file .pfx esportato sarà inclusa anche una chiave privata.
2. Interrompere il servizio del server ERA.
3. Spegnere la macchina del server ERA in uso (facoltativo).
IMPORTANTE: non disinstallare/rimuovere ancora il vecchio server ERA.
Sul nuovo server ERA:
IMPORTANTE: assicurarsi che la configurazione di rete sul nuovo server ERA (indirizzo IP, FQDN, nome del
computer, record DNS SRV) corrisponda a quella del vecchio server ERA.
1. Installare il server ERA utilizzando il programma di installazione del pacchetto integrato (Windows) oppure
scegliere un altro metodo di installazione (installazione manuale di Windows, di Linux o degli accessori virtuali).
2. Effettuare la connessione a ERA Web Console.
3. Importare tutte le AC che sono state esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le
istruzioni per l’importazione di una chiave pubblica.
4. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server dal
vecchio server ERA (esportato nel passaggio 1).
5. Importare tutte le licenze ESET necessarie in ERA.
6. Riavviare il servizio del server ERA e consultare questo articolo della Knowledge Base per ulteriori informazioni.
I computer client dovrebbero ora connettersi al nuovo server ERA utilizzando il certificato dell’agente ERA originale,
che è stato autenticato dall’AC importata dal vecchio server ERA. Se i client non riescono a effettuare la
connessione, consultare Problemi in seguito all’aggiornamento/alla migrazione del server ERA.
Disinstallazione del vecchio server ERA:
In caso di corretta esecuzione di tutti i componenti sul nuovo server ERA, rimuovere il vecchio server ERA prestando
attenzione e seguendo le istruzioni passo dopo passo fornite.
4.3.2 Installazione pulita - indirizzo IP diverso
L’obiettivo di questa procedura consiste nell’installare un’istanza completamente nuova del server ERA che non
utilizza il database precedente, ma conserva i record dei computer client. Il nuovo server ERA avrà un indirizzo IP/
nome host diverso, ma non utilizzerà il database del vecchio server ERA.
1. Generare un nuovo certificato del server ERA (con le informazioni sulla connessione per il nuovo server ERA). Nel
campo Nome host, lasciare il valore predefinito (un asterisco) nel campo Host per consentire la distribuzione di
questo certificato senza associazione a un nome DNS o un indirizzo IP specifico.
144
3. Creare un criterio per definire un nuovo indirizzo IP del server ERA e assegnarlo a tutti i computer. Attendere che
il criterio sia distribuito a tutti i computer client (i computer interromperanno la generazione di report nel
momento in cui riceveranno le informazioni sul nuovo server).
5. Spegnere la macchina del server ERA corrente (facoltativo).
3. Importare tutte le AC che sono state esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le
istruzioni per l’importazione di una chiave pubblica.
4. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server
precedente dal vecchio server ERA (esportato nel passaggio 1). Non interrompere il servizio del server ERA fino al
passaggio 6.
5. Importare tutte le licenze ESET necessarie in ERA.
4.3.3 Migrazione del database - indirizzo IP uguale
L’obiettivo di questa procedura consiste nell’installare un’istanza del tutto nuova del server ERA e nel mantenere il
database ERA esistente, inclusi i computer client esistenti. Il nuovo server ERA avrà lo stesso indirizzo IP del vecchio
server ERA e il database del vecchio server ERA sarà importato nella nuova macchina server prima dell’installazione.
IMPORTANTE: la funzione Migrazione dei database è supportata solo tra tipi di database identici (da MySQL a
MySQL o da MSSQL a MSSQL).
IMPORTANTE: è necessario eseguire la migrazione di un database tra istanze della stessa versione di ESET
Remote Administrator. Per esempio, nel caso di ERA 6.3.12.0, è possibile effettuare la migrazione solo verso ERA
versione 6.3.12.0. Consultare questo articolo della Knowledge Base per ulteriori informazioni sulle modalità di
determinazione delle versioni dei componenti ERA. Al termine della migrazione del database, se necessario, è
possibile eseguire un aggiornamento per scaricare l’ultima versione di ESET Remote Administrator.
145
3. Esportare/Eseguire il backup del database ERA.
IMPORTANTE: assicurarsi che la configurazione di rete sul nuovo server ERA (indirizzo IP, FQDN, nome del
computer, record DNS SRV) corrisponda a quella del vecchio server ERA.
1. Installare/Avviare un database ERA supportato.
2. Importare/Ripristinare il database ERA dal vecchio server ERA.
Specificare le impostazioni di connessione del database durante l’installazione del server ERA.
5. Importare tutte le AC esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per
l’importazione di una chiave pubblica.
4.3.4 Migrazione del database - indirizzo IP diverso
L’obiettivo di questa procedura consiste nell’installare un’istanza del tutto nuova del server ERA e nel mantenere il
database ERA esistente, inclusi i computer client esistenti. Il nuovo server ERA avrà un indirizzo IP diverso rispetto al
vecchio server ERA e il database del vecchio server ERA sarà importato nella nuova macchina server prima
dell’installazione.
IMPORTANTE: la funzione Migrazione dei database è supportata solo tra tipi di database identici (da MySQL a
MySQL o da MSSQL a MSSQL).
IMPORTANTE: è necessario eseguire la migrazione di un database tra istanze della stessa versione di ESET
Remote Administrator. Per esempio, nel caso di ERA 6.3.12.0, è possibile effettuare la migrazione solo verso ERA
versione 6.3.12.0. Consultare questo articolo della Knowledge Base per ulteriori informazioni sulle modalità di
determinazione delle versioni dei componenti ERA. Al termine della migrazione del database, se necessario, è
possibile eseguire un aggiornamento per scaricare l’ultima versione di ESET Remote Administrator.
146
1. Generare un nuovo certificato del server ERA (con le informazioni sulla connessione per il nuovo server ERA). Nel
campo Nome host, lasciare il valore predefinito (un asterisco) nel campo Host per consentire la distribuzione di
questo certificato senza associazione a un nome DNS o un indirizzo IP specifico.
3. Creare un criterio per definire un nuovo indirizzo IP del server ERA e assegnarlo a tutti i computer. Attendere che
il criterio sia distribuito a tutti i computer client (i computer interromperanno la generazione di report nel
momento in cui riceveranno le informazioni sul nuovo server).
5. Esportare/Eseguire il backup del database ERA.
1. Installare/Avviare un database ERA supportato.
2. Importare/Ripristinare il database ERA dal vecchio server ERA.
Specificare le impostazioni di connessione del database durante l’installazione del server ERA.
5. Importare tutte le AC esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per
l’importazione di una chiave pubblica.
6. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server
precedente dal vecchio server ERA (esportato nel passaggio 1). Non interrompere il servizio del server ERA fino al
passaggio 7.
147
4.3.5 Disinstallazione del vecchio server ERA
Durante la rimozione del vecchio server ERA, sono disponibili alcune opzioni:
IMPORTANTE: assicurarsi che il nuovo server ERA sia in esecuzione e che i computer client stiano effettuando
correttamente la connessione al nuovo server ERA.
1. Formattare il disco sul vecchio server. Questa è la procedura più semplice per la rimozione di ERA.
2. Se si desidera mantenere e riutilizzare il sistema operativo, è possibile disinstallare la vecchia versione di ERA,
ma prima di far ciò è necessario:
Pianificare un riavvio del sistema operativo del server dopo la disinstallazione
Assicurarsi che gli altri componenti ERA siano stati disinstallati (inclusi l’agente ERA, il Rouge Detection Sensor,
ecc.)
Non disinstallare il database salvo che non vi siano altri software dipendenti
148
4.4 Aggiornamento di ERA installato nel cluster di failover in Windows
Se è stato installato ERA Server in un ambiente di cluster di failover in Windows e si desidera aggiornare
l’installazione, procedere con i passaggi corrispondenti.
NOTA: il termine Ruolo è presente solo in Windows Server 2012. In Windows Server 2008 viene invece utilizzato il
termine Servizi e applicazioni.
Aggiornamento dalla versione 6.3 alla versione più recente
1. Interrompere il ruolo del cluster del server ERA nella Gestione cluster. Assicurarsi che il servizio ESET Remote
Administrator Server sia stato interrotto su tutti i nodi del cluster.
2. Accedere all’unità condivisa del cluster on-line sul nodo1 e aggiornare manualmente ERA Server eseguendo il
programma di installazione .msi più recente come nel caso di un’installazione di componenti. Al termine
dell’installazione (aggiornamento), assicurarsi che il servizio ESET Remote Administrator Server sia interrotto.
3. Accedere all’unità condivisa del cluster sul nodo2 e aggiornare ERA Server utilizzando il metodo illustrato nel
passaggio n. 2.
4. Dopo aver aggiornato il server ERA su tutti i nodi del cluster, avviare il ruolo del server ERA nella Gestione cluster.
5. Aggiornare manualmente l'agente ERA eseguendo la versione del programma di installazione .msi più recente su
tutti i nodi del cluster.
6. In ERA Console verificare che le versioni dell’agente e del server per tutti i nodi siano le più aggiornate.
Manuale per l’aggiornamento dalla versione 6.1 o 6.2 alla versione 6.3
Si tenga presente che per le vecchie versioni di ERA, il servizio dell’agente ERA veniva sempre eseguito solo sul
nodo attivo nel cluster di failover. A partire da ERA 6.3, il servizio dell’agente ERA viene sempre eseguito su tutti i
nodi. Ciò consente a ERA di monitorare costantemente tutti i nodi.
Si tenga presente che la modifica descritta in precedenza causerà la creazione, durante l’aggiornamento, di un
nuovo computer per almeno uno dei nodi del cluster. Se non si desidera avere una cronologia degli eventi, non
dimenticare di rimuovere manualmente i(l) vecchi(o) computer mediante ERA Console.
1. Interrompere il ruolo del cluster del server ERA nella Gestione cluster. Assicurarsi che il servizio ESET Remote
Administrator Server sia interrotto su tutti i nodi del cluster.
2. Se il servizio dell’agente ERA è stato impostato come dipendenza o risorsa per il ruolo del server ERA, rimuovere
completamente la risorsa/il servizio dell’agente ERA dalla Gestione cluster.
3. Accedere all’unità condivisa del cluster on-line sul nodo1 e aggiornare manualmente ERA Server eseguendo il
programma di installazione .msi più recente come nel caso di un’installazione di componenti. Al termine
dell’installazione (aggiornamento), assicurarsi che il servizio ESET Remote Administrator Server sia interrotto.
4. Accedere all’unità condivisa del cluster sul nodo2 e aggiornare ERA Server utilizzando il metodo illustrato nel
passaggio n. 3.
5. Accedere all’unità condivisa del cluster on-line sul nodo1 e disinstallare la vecchia versione dell’agente ERA (6.1 o
6.2).
6. Accedere all’unità condivisa del cluster on-line sul nodo2 e disinstallare la vecchia versione dell’agente ERA (6.1 o
6.2).
7. Avviare il ruolo del cluster del server ERA nella Gestione cluster.
8. Installare l’agente ERA su tutti i nodi del cluster utilizzando il programma di installazione indipendente. Nelle
schermate Configurazione dell’agente e Connessione a Remote Administrator, utilizzare il nome host del ruolo
del cluster del server ERA. Quando richiesto, assicurarsi che l’opzione Questa è un’installazione cluster non sia
selezionata e archiviare i dati dell’agente sul nodo locale (non sull’unità del cluster).
9. In ERA Console verificare che le versioni dell’agente e del server per per tutti i nodi siano le più recenti.
149
4.5 Aggiornamento del proxy HTTP Apache
Il proxy HTTP Apache è un servizio che può essere utilizzato in combinazione con ESET Remote Administrator 6 e
versioni successive ai fini della distribuzione degli aggiornamenti ai computer client e dei pacchetti di installazione
all'agente ERA.
Se il proxy HTTP Apache è stato installato in precedenza su Windows e si desidera aggiornarlo alla versione più
recente, questa operazione può essere eseguita in due modi: manualmente o tramite il Programma di installazione
integrato.
4.5.1 Istruzioni di Windows (programma di installazione integrato)
Se il programma di installazione integrato di ERA è archiviato sull’unità locale, è possibile utilizzare questo metodo
per eseguire un rapido aggiornamento del proxy HTTP Apache alla versione più recente. Se il programma di
installazione non è disponibile, la soluzione più rapida è l’aggiornamento manuale del proxy HTTP Apache.
1. Eseguire il backup dei seguenti file:
C:\Program Files\Apache HTTP Proxy\conf\httpd.conf
C:\Program Files\Apache HTTP Proxy\bin\password.file
C:\Program Files\Apache HTTP Proxy\bin\group.file
2. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi amministrativi ed eseguendo il
seguente comando:
3. Lanciare il programma di installazione integrato facendo doppio clic sul file setup.exe.
4. Selezionare Installa/Aggiorna proxy HTTP Apache e fare clic su Avanti.
150
Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Seguire le istruzioni a schermo
per completare l’installazione e fare clic su Fine.
In caso di utilizzo di un nome utente/una password per l’accesso al proxy HTTP Apache (passaggio n. 8
dell’argomento Installazione del proxy HTTP Apache), sostituire il seguente blocco di codice:
<Proxy *>
Deny from all
</Proxy>
con questo (disponibile nel backup di httpd.conf eseguito al passaggio 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
Se nel file httpd.conf sono presenti altri tipi di personalizzazione eseguiti nella precedente installazione di
Apache HTTP Proxy, è possibile copiare queste modifiche dal file di backup httpd.conf al nuovo file httpd.conf
(aggiornato).
5. Salvare le modifiche e avviare il servizio ApacheHttpProxy eseguendo il seguente comando in un prompt dei
comandi elevato:
151
6. Testare la connessione al proxy HTTP Apache accedendo al seguente URL nel browser:
Consultare i File di rapporto del proxy HTTP Apache se si desidera risolvere un problema.
4.5.2 Istruzioni di Windows (manuale)
Per installare la versione più recente del proxy HTTP Apache, seguire i passaggi indicati di seguito.
1. Eseguire il backup dei seguenti file:
C:\Program Files\Apache HTTP Proxy\conf\httpd.conf
C:\Program Files\Apache HTTP Proxy\bin\password.file
C:\Program Files\Apache HTTP Proxy\bin\group.file
2. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi amministrativi ed eseguendo il
seguente comando:
3. Scaricare il file del programma di installazione del proxy HTTP Apache dalla pagina Download del sito Web di ESET
ed estrarne il contenuto in C:\Program Files\Apache HTTP Proxy\. sovrascrivendo i file esistenti.
4. Accedere a C:\Program Files\Apache HTTP Proxy\conf, fare clic con il pulsante destro del mouse su httpd.conf dal
menu contestuale e selezionare Apri con > Notepad
5. Aggiungere il seguente codice in fondo al file httpd.conf:
ServerRoot "C:\Program Files\Apache HTTP Proxy"
DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs"
<Directory "C:\Program Files\Apache HTTP Proxy\htdocs">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
CacheRoot "C:\Program Files\Apache HTTP Proxy\cache"
6. In caso di impostazione di un nome utente/una password per l’accesso al proxy HTTP Apache (passaggio n. 8
dell’argomento Installazione del proxy HTTP Apache), sostituire il seguente blocco di codice:
<Proxy *>
Deny from all
</Proxy>
con questo (disponibile nel file di backup httpd.conf creato nel passaggio 1):
<Proxy *>
AuthType Basic
Order deny,allow
Deny from all
Allow from all
</Proxy>
Se nel file httpd.conf sono presenti altri tipi di personalizzazione eseguiti nella precedente installazione di
Apache HTTP Proxy, è possibile copiare queste modifiche dal file di backup httpd.conf al nuovo file httpd.conf
(aggiornato).
7. Salvare le modifiche e avviare il servizio ApacheHttpProxy eseguendo il seguente comando in un prompt dei
comandi amministrativi:
8. Testare la connessione al proxy HTTP Apache accedendo al seguente URL nel browser:
152
Consultare i File di rapporto del proxy HTTP Apache se si desidera risolvere un problema.
4.6 Aggiornamento di Apache Tomcat
In caso di installazione di una versione più recente di ESET Remote Administrator o di mancato aggiornamento di
Apache Tomcat per un periodo di tempo prolungato, si dovrebbe considerare la possibilità di installare la versione
più recente di Apache Tomcat. L’aggiornamento costante di servizi pubblici come Apache Tomcat e delle relative
dipendenze determinerà una riduzione dei rischi di protezione nell’ambiente in uso.
Per aggiornare Apache Tomcat, seguire le istruzioni relative al sistema operativo in uso:
Istruzioni di Windows (manuale) o istruzioni di Windows (integrate)
Istruzioni di Linux
4.6.1 Istruzioni di Windows (programma di installazione integrato)
Se il programma di installazione integrato di ERA è archiviato sull’unità locale, è possibile utilizzare questo metodo
per eseguire un rapido aggiornamento di Apache Tomcat alla versione più recente. In assenza del programma di
installazione, è possibile scaricare il programma di installazione Apache Tomcat ed eseguire l’aggiornamento
manualmente.
Seguire queste istruzioni in presenza di un programma di installazione integrato nell’unità locale:
AVVISO: durante la scrittura, Apache Tomcat supporta solo aggiornamenti dalla versione 7.x alla versione 7.x
dalla versione 6.3.12 e precedenti del programma di installazione integrato di ERA.
1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema. Consultare le istruzioni sul sito
Web di Java.
2. Controllare la versione di Apache Tomcat attualmente in uso. Se è disponibile una versione più recente, eseguire
un aggiornamento:
a. Aprire una finestra di dialogo Esegui, digitare services.msc and then e fare clic su OK.
b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, selezionare Proprietà e osservare il
numero della versione nella scheda Generale (per esempio 7.0.67).
3. Controllare l’elenco fornito di versioni di Apache Tomcat supportate per assicurarsi che la nuova versione sia
compatibile con i prodotti ESET.
Come eseguire l’aggiornamento
1. Interrompere il servizio Apache Tomcat e chiudere Tomcat7w.exe:
a. Aprire una finestra di dialogo Esegui, digitare services.msc e fare clic su OK.
b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, quindi su Interrompi.
c. Chiudere Tomcat7w.exe nella barra delle applicazioni.
153
2. Eseguire il backup dei seguenti file (in alcuni casi il nome della cartella è Tomcat 8.0):
C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml
C:\Program Files\Apache Software Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\tomcat-users.xml
C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/config/EraWebServerConfig.properties
3. Scaricare la versione supportata più recente del file del programma di installazione di Apache Tomcat apachetomcat-[versione].exe dal sito Web http://tomcat.apache.org.
4. Disinstallare la versione corrente di Apache Tomcat.
5. Eliminare la seguente cartella nel caso in cui fosse ancora presente nel sistema:
C:\Program Files\Apache Software Foundation\Tomcat 7.0\
6. Accedere alla cartella in cui è stato salvato il programma di installazione integrato.
7. Copiare apache-tomcat-[versione].exe nella directory./win32/installers o ./x64/installers. Eliminare il vecchio file
di installazione Tomcat da questa directory.
8. Aprire un prompt dei comandi, accedere alla cartella del programma di installazione integrato ed eseguire il
seguente comando:
Setup.exe --mode webconsole
9. Selezionare ESET Remote Administrator Webconsole nella finestra di configurazione, scegliere la Lingua e fare
clic su Avanti.
10. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti.
11. Nella finestra dei componenti fare clic su Installa.
12. Ripristinare EraWebServerConfig.properties nella posizione originale.
13. Effettuare la connessione a ERA Web Console e assicurarsi che il programma funzioni correttamente.
4.6.2 Istruzioni di Windows (manuale)
Utilizzare queste istruzioni per eseguire l’aggiornamento di Apache Tomcat in assenza di un programma di
installazione integrato di ESET:
1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema. Consultare le istruzioni sul sito
Web di Java.
un aggiornamento:
a. Aprire una finestra di dialogo Esegui, digitare services.msc and then e fare clic su OK.
b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, selezionare Proprietà e osservare il
numero della versione nella scheda Generale (per esempio 7.0.67).
1. Interrompere il servizio Apache Tomcat e chiudere Tomcat7w.exe:
a. Aprire una finestra di dialogo Esegui, digitare services.msc e fare clic su OK.
b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, quindi su Interrompi.
c. Chiudere Tomcat7w.exe nella barra delle applicazioni.
154
2. Eseguire il backup dei seguenti file (in alcuni casi il nome della cartella è Tomcat 8.0):
C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml
C:\Program Files\Apache Software Foundation\Tomcat 7.0\.keystore
C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\tomcat-users.xml
C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/
g2webconsole/server/modules/config/EraWebServerConfig.properties
3. Scaricare la versione supportata più recente del file del programma di installazione di Apache Tomcat apachetomcat-[versione].exe dal sito Web http://tomcat.apache.org.
4. Disinstallare la versione corrente di Apache Tomcat.
5. Eliminare la seguente cartella nel caso in cui fosse ancora presente nel sistema:
C:\Program Files\Apache Software Foundation\Tomcat 7.0\
6. Installare la versione più recente di Apache Tomcat che è stata scaricata.
7. Al termine dell’operazione, deselezionare la casella di controllo accanto a Esegui Apache Tomcat.
8. Ripristinare .keystore e server.xml nelle rispettive posizioni originali (valido solo in caso di installazione della
stessa versione superiore di Apache Tomcat, per esempio dalla versione 7.x alla versione 7.x o dalla versione 8.x
alla versione 8.x). In alternativa, è possibile configurare manualmente una Connessione HTTPS per Apache
Tomcat per ERA Web Console in base alle istruzioni contenute nella Knowledge Base (scelta consigliata).
9. Eseguire la distribuzione di ERA Web Console, vedere Installazione della console Web - Windows.
10. Ripristinare EraWebServerConfig.properties nella posizione originale.
11. Eseguire Apache Tomcat e impostare una macchina virtuale Java corretta:
Fare clic su Avvio > Tutti i programmi > Apache Tomcat > Monitor Tomcat e, nella scheda Generale, premere
Avvio.
Fare clic sulla scheda Java, selezionare la casella di controllo accanto a Utilizza impostazioni predefinite e fare
clic su OK. Consultare le istruzioni illustrate della Knowledge Base.
12. Effettuare la connessione a ERA Web Console e assicurarsi che il programma funzioni correttamente.
Risoluzione dei problemi
Se la configurazione di una connessione HTTPS per Apache Tomcat non viene eseguita correttamente, è possibile
saltare questo passaggio e utilizzare temporaneamente una connessione HTTP.
Se non si riesce a effettuare l’aggiornamento di Apache Tomcat, installare la versione originale e applicare la
configurazione illustrata al passaggio 2.
4.6.3 Istruzioni di Linux
Prima di aggiornare Apache Tomcat
1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema.
Verificare che il pacchetto openjdk sia stato aggiornato (vedere sezione sottostante).
un aggiornamento:
Eseguire il seguente comando: cd
cartella è tomcat7 o tomcat8)
/usr/share/tomcat/bin && ./version.sh
(in alcuni casi il nome della
155
1. Interrompere il servizio Apache Tomcat:
Eseguire il seguente comando: service
tomcat stop
(in alcuni casi il nome del servizio è tomcat7 o tomcat8)
2. Aggiornare Apache Tomcat e Java in base alla distribuzione Linux utilizzata. Eseguire i seguenti comandi nel
terminale:
Debian e distribuzioni Ubuntu
sudo-apt-get update
sudo apt-get install openjdk-7-jdk tomcat7
CentOS, Red Hat e distribuzioni
Fedora
yum update
yum install java-1.8.0-openjdk tomcat
OpenSUSE
zypper refresh
zypper install java-1_8_0-openjdk tomcat
IMPORTANTE: dopo aver installato una versione superiore di Apache Tomcat (per esempio Apache Tomcat dalla
versione 7.x alla versione 8.x):
Eseguire nuovamente la distribuzione di ERA Web Console (vedere Installazione di ERA Web Console - Linux) e
riutilizzare %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/
config/EraWebServerConfig.properties per mantenere le eventuali impostazioni personalizzate in ERA Web
Console.
Configurare una Connessione HTTPS per Apache Tomcat.
4.7 Modifica dell’indirizzo IP o del nome host sul server ERA
Per modificare un indirizzo IP o un nome host sul server ERA, seguire la procedura sottostante:
1. Se il certificato del server ERA contiene un indirizzo IP e/o un nome host specifico, creare un nuovo certificato del
server e includere il nuovo indirizzo IP o nome host. Tuttavia, se nel campo dell’host del certificato del server è
presente un carattere jolly *, andare direttamente al passaggio 2. In caso contrario, creare il nuovo certificato del
server aggiungendo il nuovo indirizzo IP e nome host separati da una virgola e includere anche l’indirizzo IP e il
nome host precedenti. In alternativa, nel campo dell’host è possibile aggiungere un carattere jolly *.
2. Firmare il nuovo certificato del server utilizzando l’autorità di certificazione del server ERA.
3. Creare un criterio che consente di modificare le connessioni client sul nuovo indirizzo IP o nome host
(preferibilmente l’indirizzo IP), ma includere una seconda connessione (alternativa) nel vecchio indirizzo IP o
nome host per consentire all’agente ERA di effettuare la connessione a entrambi i server. Per ulteriori
informazioni, consultare Crea criterio per consentire agli agenti ERA di connettersi al nuovo server ERA.
4. Applicare questo criterio ai computer client e consentire agli agenti ERA di eseguire la replica. Anche se il criterio
reindirizzerà i client al nuovo server (che non è in esecuzione), gli agenti ERA utilizzeranno le informazioni del
server alternative per effettuare la connessione all’indirizzo IP originale.
5. Impostare il nuovo certificato del server nelle impostazioni del server.
6. Riavviare il servizio del server ERA e modificare l’indirizzo IP o nome host.
156
5. Risoluzione dei problemi
Dal momento che ESET Remote Administrator è un prodotto complesso che utilizza vari strumenti di terze parti e
supporta numerose piattaforme di sistemi operativi, potrebbero verificarsi dei problemi che richiedono una
risoluzione.
La documentazione di ESET indica vari metodi di risoluzione dei problemi relativi a ESET Remote Administrator.
Consultare Risposte ai problemi di installazione comuni per la risoluzione di alcuni problemi comuni con ESET
Non si riesce a risolvere un problema?
Ciascun componente di ERA presenta un file di rapporto che può essere configurato in modo da garantire un
livello di dettaglio più o meno elevato. Esaminare i rapporti per identificare gli errori che potrebbero fornire una
spiegazione del problema riscontrato.
Se non si riesce a risolvere un problema, è possibile visitare il Forum di ESET Security e contattare la community di
ESET per ulteriori informazioni.
Se si contatta il Supporto tecnico di ESET, potrebbe essere necessario fornire i file di rapporto utilizzando ESET Log
Collector o lo Strumento di diagnostica. Se si contatta il Supporto tecnico, si consiglia vivamente di fornire i
rapporti per accelerare i tempi di gestione della richiesta di assistenza.
5.1 Risposte ai problemi di installazione comuni
Espandere la sezione del messaggio di errore che si desidera risolvere:
Server ERA
Il servizio del server ERA non si avvia:
Installazione non funzionante
Tale condizione potrebbe dipendere dalla mancanza delle chiavi di registro, dalla mancanza di alcuni file o
dalla presenza di autorizzazioni dei file non valide.
Nel programma di installazione integrato di ESET è disponibile un file di rapporto specifico. Durante
l’installazione manuale di un componente, utilizzare il metodo di Registrazione MSI.
Porta in ascolto già utilizzata (principalmente 2222 e 2223)
Utilizzare il comando appropriato per il sistema operativo in uso:
Windows:
netstat -an | find "2222"
netstat -an | find "2223"
Linux:
netstat | grep 2222
netstat | grep 2223
Database non in esecuzione/non raggiungibile
Server MS SQL: verificare che la porta 1433 sia disponibile sul server del database oppure provare a
effettuare la registrazione a SQL Server Management Studio.
MySQL: verificare che la porta 3306 sia disponibile sul server del database oppure provare a effettuare la
registrazione all’interfaccia del database (per esempio utilizzando l’interfaccia della linea di comando MySQL
o phpmyadmin).
157
Database danneggiato
Nel file di rapporto del server ERA saranno visualizzati errori SQL multipli. Si consiglia di ripristinare il database
da un file di backup. In assenza di backup, reinstallare ESET Remote Administrator.
Risorse di sistema insufficienti (RAM, spazio su disco)
Rivedere i processi in esecuzione e le prestazioni di sistema:
Utenti Windows: eseguire e rivedere le informazioni nella Gestione attività o nel Visualizzatore eventi
Gli utenti Linux potrebbero eseguire uno dei seguenti comandi:
df -h (per rivedere le informazioni relative allo spazio su disco)
cat /proc/meminfo (per rivedere le informazioni relative allo spazio nella memoria)
dmesg (per rivedere l’integrità del sistema Linux)
Errore con il connettore ODBC durante l’installazione del server ERA
Error: (Error 65533) ODBC connector compatibility check failed.
Please install ODBC driver with support for multi-threading.
Reinstallare una versione del driver ODBC che supporta il multithreading o riconfigurare odbcinst.ini, come
illustrato nella sezione di configurazione dell’ODBC.
Errore con la connessione a un database durante l’installazione del server ERA
L’installazione del server ERA termina con il seguente messaggio di errore:
Error: It is not possible to store big blocks of data in the database.
Please reconfigure the database server first.
Messaggio di errore dal rapporto di installazione:
Error: Execution test of long statement failed with exception:
CMysqlCodeTokenExecutor: CheckVariableInnodbLogFileSize:
Server variables innodb_log_file_size*innodb_log_files_in_group value 100663296 is too low.
Verificare che la configurazione del driver del database corrisponda a quella illustrata nella sezione di
configurazione dell’ODBC.
Agente ERA
Durante la disinstallazione dell'agente, viene visualizzato il messaggio "Il database non può essere aggiornato.
Rimuovere prima il prodotto."
Riparare l’agente ERA:
1. Accedere a Pannello di controllo > Programmi e funzionalità e fare doppio clic su Agente ESET Remote
Administrator.
2. Fare clic su Avanti > Ripara e seguire le istruzioni.
Esistono altri modi per disinstallare l’agente ERA?
Tutte le possibili modalità di disinstallazione dell’agente ERA sono descritte nella sezione di disinstallazione.
Console Web
In che modo è possibile risolvere i seguenti messaggi di errore nella console Web?
Accesso non riuscito, la connessione non è riuscita con lo stato “Non connesso”.
158
Verificare che il servizio del server ERA e il servizio del database siano in esecuzione. Assicurarsi inoltre che
la connessione non sia interrotta. Se i due servizi non sono in esecuzione, riavviarli, aggiornare la console
Web e provare nuovamente a eseguire l’accesso. Per ulteriori informazioni, rivedere i file di rapporto del
servizio del database (MS SQL, MySQL).
Accesso non riuscito: Errore di comunicazione
Verificare che Apache Tomcat sia in esecuzione e funzioni correttamente. Rivedere i file di rapporto per
Apache Tomcat.
Per ulteriori informazioni sul problema, consultare questo articolo della Knowledge Base.
ESET Remote Administrator Web Console non carica
Se ESET Remote Administrator Web Console (ERA Web Console) non è in esecuzione o se la schermata di
accesso appare costantemente in caricamento, seguire queste istruzioni della Knowledge Base.
Come si configura la connessione HTTPS/SSL sulla console Web?
Messaggio di errore:
Utilizzo di una connessione non crittografata. Configurare il server Web per utilizzare HTTPS
In caso di problemi con la connessione HTTPS alla console Web, consultare Configurazione della connessione
HTTPS/SSL.
Proxy HTTP Apache
Le dimensioni della cache del proxy HTTP Apache sono espresse in gigabyte e continuano a crescere
Se il proxy HTTP Apache è stato installato con il programma di installazione integrato, si attiveranno
automaticamente le attività di pulizia. Se le attività di pulizia non funzionano correttamente, eseguire una
pulizia manuale o pianificare un’attività di pulizia.
Dopo l’installazione del proxy HTTP Apache, gli aggiornamenti del database delle firme antivirali non funzionano
Se sulle workstation client non è possibile eseguire gli aggiornamenti, consultare le istruzioni contenute nella
Knowledge Base per disattivare temporaneamente il proxy HTTP Apache sulle workstation dell’endpoint. Dopo
aver risolto i problemi di connessione, considerare l’eventualità di attivare nuovamente il proxy HTTP Apache.
ESET Rogue Detector Sensor
Perché il messaggio di errore visualizzato di seguito viene registrato continuamente nel file trace.log di ESET Rogue
Detector?
Information: CPCAPDeviceSniffer [Thread 764]:
CPCAPDeviceSniffer on rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} throwed error:
Device open failed with error:Error opening adapter: The system cannot find the device specified. (20)
Questo è un problema che si verifica con WinPcap. Interrompere il servizio ESET Rogue Detector Sensor,
reinstallare l’ultima versione di WinPcap (versione minima richiesta: 4.1.0) e riavviare il servizio ESET Rogue
Detector Sensor.
Linux
Dipendenza libQtWebKit mancante su CentOS Linux
In caso di visualizzazione del seguente errore:
Error: CReportPrinterModule [Thread 7f5f4c7b8700]:
ReportPrinter: ReportPrinterTool exited with:
/opt/eset/RemoteAdministrator/Server//ReportPrinterTool:
error while loading shared libraries: libQtWebKit.so.4:
cannot open shared object file: No such file or directory [code:127]
159
Seguire le istruzioni contenute in questo articolo della Knowledge Base.
L’installazione del server ERA su CentOS 7 non è riuscita
In caso di visualizzazione del seguente errore:
Error: DbCheckConnection: locale::facet::_S_create_c_locale name not valid
Il problema è causato probabilmente dalle impostazioni dell’ambiente/locali. L'esecuzione del comando
indicato di seguito prima dello script del programma di installazione del server dovrebbe aiutare a risolvere il
problema:
export LC_ALL="en_US.UTF-8"
Server Microsoft SQL
Codice di errore -2068052081 durante l’installazione di Microsoft SQL Server.
Riavviare il computer ed eseguire nuovamente la configurazione. Se il problema persiste, disinstallare il client
nativo di SQL Server ed eseguire nuovamente l'installazione. Se questa soluzione non consente di risolvere il
problema, disinstallare tutti i prodotti di Microsoft SQL Server, riavviare il computer ed eseguire nuovamente
l'installazione.
Codice di errore -2067922943 durante l’installazione di Microsoft SQL Server.
Verificare che il sistema soddisfi i requisiti del database per ERA.
5.2 File di rapporto
Ciascun componente di ESET Remote Administrator esegue una registrazione. I componenti di ERA scrivono
informazioni su alcuni eventi nei file di rapporto. La posizione dei file di rapporto varia in base al componente.
Segue un elenco di posizioni dei file di rapporto:
Windows
ERA Server
C:\ProgramData\ESET\RemoteAdministrator\Server
\EraServerApplicationData\Logs\
ERA Agent
C:\ProgramData\ESET\RemoteAdministrator\Agent
\EraAgentApplicationData\Logs\
ERA Web Console e Apache Tomcat
C:\Program Files\Apache Software Foundation\Tomcat 7.0\Logs
Consultare anche https://tomcat.apache.org/tomcat-7.0-doc/
logging.html
Mobile Device Connector
C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\
ERA Proxy
C:\ProgramData\ESET\RemoteAdministrator\Proxy
\EraProxyApplicationData\Logs\
ERA Rogue Detection Sensor
C:\ProgramData\ESET\Rogue Detection Sensor\Logs\
Apache HTTP Proxy
C:\Program Files\Apache HTTP Proxy\logs\
C:\Program Files\Apache HTTP Proxy\logs\errorlog
sulle versioni precedenti dei sistemi
operativi Windows
C:\Documents and Settings\All Users\Application Data\ESET\...
160
NOTA: C:\ProgramData è nascosto per impostazione predefinita.
Per visualizzare la cartella...
1. Premere Avvio > Pannello di controllo > Opzioni cartella > Visualizza.
2. Selezionare Mostra file, cartelle e unità nascosti e fare clic su OK.
Linux
ERA Server
/var/log/eset/RemoteAdministrator/Server/
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
ERA Agent
/var/log/eset/RemoteAdministrator/Agent/
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
Mobile Device Connector
/var/log/eset/RemoteAdministrator/MDMCore/
/var/log/eset/RemoteAdministrator/MDMCore/Proxy/
Apache HTTP Proxy
/var/log/httpd/
ERA Web Console e Apache Tomcat
/var/log/tomcat6/ , /var/log/tomcat7/ o /var/log/tomcat8/
Consultare anche https://tomcat.apache.org/tomcat-7.0-doc/
logging.html
ERA Proxy
/var/log/eset/RemoteAdministrator/Proxy/
ERA RD Sensor
/var/log/eset/RogueDetectionSensor/
ERA Virtual Appliance
ERA VA configuration
/root/appliance-configuration-log.txt
ERA Server
/var/log/eset/RemoteAdministrator/EraServerInstaller.log
Apache HTTP Proxy
/opt/apache/logs/
OS X
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
/Users/%user%/Library/Logs/EraAgentInstaller.log
5.3 Strumento di diagnostica
Lo strumento di diagnostica fa parte di tutti i componenti di ERA. È utilizzato dagli agenti del Supporto tecnico e
dagli sviluppatori per la raccolta e la compressione dei rapporti ai fini della risoluzione di problemi relativi ai
componenti del prodotto.
Posizione dello strumento di diagnostica
Windows
Cartella C:\Program Files\ESET\RemoteAdministrator\<product>\ Diagnostic.exe.
Linux
Nella seguente directory sul server: /opt/eset/RemoteAdministrator/<product>/, è presente un eseguibile del
<prodotto> Diagnostic (una parola, ad esempio DiagnosticServer, DiagnosticAgent...)
161
Utilizzo (Windows)
1. Eseguire lo strumento utilizzando un prompt dei comandi.
2. Inserire la posizione dei file di rapporto da archiviare (nell’esempio in questione "logs") e premere Invio.
3. Inserire le informazioni che si desidera raccogliere (nell’esempio in questione 1
informazioni, vedere Azioni qui sotto.
trace status 3 ). Per ulteriori
4. Al termine dell’operazione, i file dei rapporti compressi in formato .zip sono disponibili nella directory
“rapporti” del percorso Strumento di diagnostica.
Azioni
ActionEraLogs - Viene creata una cartella in cui saranno salvati tutti i rapporti. Per specificare solo alcuni
rapporti, utilizzare uno spazio per separare ciascun file.
ActionGetDumps - Viene creata una nuova cartella. In caso di rilevamento di un problema, viene creato
generalmente un file dump di processo. Se il problema è serio, il sistema creerà un file dump. Per controllarlo
manualmente, accedere alla cartella %temp% (su Windows) oppure alla cartella /tmp/ (su Linux) e inserire un
file dmp.
NOTA: il servizio del componente (Agent, Proxy, Server, RD Sensor, FileServer) deve essere in esecuzione.
162
ActionGeneralApplicationInformation - Viene creata la cartella GeneralApplicationInformation e, al suo
interno, il file GeneralApplicationInformation.txt. Il file contiene informazioni testuali tra cui il nome e la
versione del prodotto correntemente installato.
ActionConfiguration - Viene creata una cartella di configurazione in cui verrà salvato il file storage.lua.
5.4 Problemi dopo l’aggiornamento/la migrazione del server ERA
Se non è possibile avviare il servizio ESET Remote Administrator Server a causa di un’installazione non corretta e di
messaggi di errore nei file di rapporto sconosciuti, eseguire un’operazione di riparazione seguendo i passaggi
indicati di seguito:
AVVISO: si consiglia di eseguire un Backup del server del database prima di avviare l’operazione di riparazione.
1. Premere Avvio > Pannello di controllo > Programmi e funzionalità e fare doppio clic su Server ESET Remote
Administrator.
2. Selezionare Ripara e fare clic su Avanti.
3. Riutilizzare le impostazioni della connessione al database esistenti e fare clic su Avanti. Fare clic su Sì nel caso
in cui venga richiesta una conferma.
4. Selezionare Utilizza la password di amministratore già archiviata nel database e fare clic su Avanti.
5. Selezionare Mantieni i certificati esistenti e fare clic su Avanti.
6. Fare clic su Ripara.
7. Effettuare nuovamente la connessione alla console Web e verificare che tutto sia corretto.
163
Altri scenari di risoluzione dei problemi:
Il server ERA non è in esecuzione ma è presente un backup del database:
1. Ripristinare il backup del database.
2. Verificare che la nuova macchina utilizzi lo stesso indirizzo IP o nome host dell’installazione precedente per
consentire all’agente di eseguire la connessione.
3. Riparare il server ESET Remote Administrator e utilizzare il database ripristinato.
Il server ERA non è in esecuzione ma sono stati esportati il certificato del server e l’autorità di certificazione:
1. Verificare che la nuova macchina utilizzi lo stesso indirizzo IP o nome host dell’installazione precedente per
consentire all’agente di eseguire la connessione.
2. Riparare il server ESET Remote Administrator utilizzando i certificati di backup (durante la riparazione,
selezionare Carica certificati dal file e seguire le istruzioni).
Il server ERA non è in esecuzione e non è presente un backup del database o il certificato del server ERA e l’autorità
di certificazione:
1. Riparare il server ESET Remote Administrator.
2. Riparare gli agenti ERA utilizzando uno dei metodi indicati di seguito:
Programma di installazione in tempo reale dell'agente
Distribuzione remota (questa operazione richiederà la disattivazione del firewall sulle macchine di
destinazione)
Programma di installazione dei componenti dell’agente manuale
5.5 Registrazione MSI
Questa funzione si rivela utile qualora non sia possibile installare correttamente un componente ERA su Windows,
per esempio l’agente ERA:
msiexec /i C:\Users\Administrator\Downloads\Agent-1.0.373.0_x64.msi /L*v log.txt
164
6. Primi passi
Dopo aver installato correttamente ESET Remote Administrator, è possibile iniziare la fase di impostazione delle
varie opzioni.
Innanzitutto, aprire ERA Web Console nel browser Web ed effettuare l'accesso.
Conoscere ERA Web Console
Prima di avviare la configurazione iniziale, si consiglia di acquisire dimestichezza con ERA Web Console, che
rappresenta l'interfaccia utilizzata per la gestione delle soluzioni di protezione ESET. Le Attività di post
installazione guideranno l'utente attraverso i passaggi consigliati per un'esperienza di configurazione ottimale.
Creazione dell'account utente
Durante l'installazione viene creato l'account amministratore predefinito. Si consiglia di salvare l'account
Amministratore e di creare un nuovo account per gestire i client e configurarne le autorizzazioni.
Aggiungere computer client, server e dispositivi mobili presenti nella rete in ERA
Durante l'installazione, è possibile ricercare computer (client) nella rete. I client trovati saranno elencati nella
sezione Computer in cui verrà avviato ESET Remote Administrator. Se i client non compaiono nella sezione
Computer, eseguire un'attività di Sincronizzazione dei gruppi statici per ricercare i computer e visualizzarli in
gruppi.
Distribuzione di un agente
Dopo aver trovato i computer client, eseguire la distribuzione dell'agente. L'agente fornisce la comunicazione
tra ESET Remote Administrator e i client.
Installazione del prodotto ESET (include l'attivazione)
Per preservare la sicurezza dei client e della rete, utilizzare l'attività di Installazione del software per installare i
prodotti ESET.
Creazione/modifica di gruppi
Si consiglia di ordinare i client in Gruppi statici o dinamici in base a vari criteri. Ciò consente di facilitare la
gestione dei client e di avere una panoramica della rete.
Creazione di un nuovo criterio
I criteri consentono di forzare specifiche configurazioni sui prodotti ESET sui computer client. Questo consente
all'utente di evitare di configurare manualmente il prodotto ESET di ciascun client. Una volta creato un nuovo
criterio con la configurazione personalizzata, è possibile assegnarlo a un gruppo (statico o dinamico) per
applicare le impostazioni personalizzate a tutti i computer presenti nel gruppo.
Assegnazione di un criterio a un gruppo
Come illustrato in precedenza, per poter applicare un criterio, è necessario assegnarlo a un gruppo. Ai computer
che appartengono al gruppo verrà applicato il criterio in questione. Il criterio verrà applicato tutte le volte che
un agente si connette al server ERA.
Configurazione delle Notifiche e creazione dei Report
Per avere un quadro più chiaro di ciò che accade con i computer client nell'ambiente, si consiglia di utilizzare le
notifiche e i report. Ad esempio, per ricevere una notifica quando si verifica un determinato evento o per
visualizzare o scaricare un report.
165
6.1 Aprire ERA Web Console
Esistono vari modi per aprire ERA Web Console:
Sul server locale (la macchina che ospita la console Web), digitare il seguente URL nel browser Web:
https://localhost/era/
Da qualsiasi postazione dotata di accesso a Internet, accedere al server Web e digitare l'URL nel seguente formato:
https://yourservername/era/
Sostituire "yourservername" con il nome effettivo o l'indirizzo IP del server Web.
Per accedere a ERA Virtual Appliance, utilizzare il seguente URL:
https://[IP address]:8443/
Sostituire "[IP address]" con l'indirizzo IP di ERA VM. Nel caso in cui non si ricordi l'indirizzo IP, consultare il
passaggio 9 delle istruzioni relative alla distribuzione degli Accessori virtuali.
Sul server locale (la macchina che ospita la console Web), fare clic su Avvio > Tutti i programmi > ESET > ESET
Remote Administrator > ESET Remote Administrator Webconsole: si aprirà una schermata di accesso nel browser
Web predefinito. Tale operazione non si applica a ERA Virtual Appliance.
NOTA: dal momento che la console Web utilizza un protocollo sicuro (HTTPS), nel browser Web potrebbe
comparire un messaggio relativo a un certificato di protezione o a una connessione non attendibile (le parole esatte
del messaggio dipendono dal browser in uso). Ciò dipende dal fatto che il browser desidera verificare l'identità del
sito al quale si tenta di accedere. Fare clic su Continuare con il sito Web (Internet Explorer) o Comprendo i rischi , su
Aggiungi eccezione..., quindi su Conferma eccezione di sicurezza (Firefox) per consentire l'accesso a ERA Web
Console. Questa condizione si applica nel momento in cui si tenta di accedere all'URL di ESET Remote Administrator
Web Console.
Quando il server Web (su cui viene eseguita ERA Web Console) è attivo, verrà visualizzata la seguente schermata.
In caso di primo accesso, fornire le credenziali inserite durante il Processo di installazione. Per ulteriori informazioni
su questa schermata, consultare la Schermata di accesso della console Web.
NOTA: nel raro caso in cui la schermata di accesso non venga visualizzata o rimanga bloccata sulla schermata di
166
caricamento, riavviare il servizio ESET Remote Administrator Server. Quando il servizio ESET Remote Administrator
Server è nuovamente attivo, riavviare il servizio Apache Tomcat. La schermata di accesso alla console Web verrà
quindi caricata correttamente.
167
7. API ESET Remote Administrator
ESET Remote Administrator ServerApi ( ServerApi.dll) è un'interfaccia di programmazione di applicazioni, un set di
funzioni e strumenti per creare applicazioni software personalizzate per soddisfare esigenze specifiche. Utilizzando
ServerApi, l'applicazione è in grado di fornire interfaccia, funzionalità e operazioni personalizzate normalmente
eseguite tramite ERA Web Console, come la gestione di ESET Remote Administrator, la generazione e la ricezione di
report, ecc.
Per ulteriori informazioni ed esempi in linguaggio C e un elenco di messaggi JSON disponibili, fare riferimento alla
seguente guida on-line:
http://help.eset.com/era/63/api/
168
8. Domande frequenti
Perché è necessario installare Java su un server? Questa operazione non crea un rischio per la protezione? La
maggior parte delle società e dei framework di sicurezza consiglia di disinstallare Java dai computer, soprattutto dai
server.
Per far funzionare correttamente ERA Web Console, è necessario installare Java. Java è uno standard industriale per
le console basate sul Web. Per funzionare, tutte le principali console Web utilizzano Java e un server Web (Apache
Tomcat). Java è necessario per supportare un server Web multipiattaforma.
Sebbene ERA Web Console richieda come requisito minimo Java versione 7, si consiglia vivamente di utilizzare
l'ultima versione di Java rilasciata ufficialmente. È possibile installare il server Web su una macchina dedicata,
qualora ci fossero rischi per la sicurezza.
In che modo è possibile determinare la porta utilizzata da SQL Server?
Esistono vari modi per determinare la porta utilizzata da SQL Server. Per ottenere risultati più accurati, è possibile
utilizzare SQL Server Configuration Manager. Nell'immagine sottostante è illustrato un esempio del percorso in cui
posizionare queste informazioni in SQL Server Configuration Manager:
Dopo aver installato SQL Server Express (incluso nel pacchetto ERA) su Windows Server 2012, sembra che
l'applicazione non sia in ascolto su una porta SQL standard. È molto probabile che sia in ascolto su una porta diversa
da quella predefinita, ovvero la 1433.
In che modo è possibile configurare MySQL per poter accettare pacchetti di grandi dimensioni?
Vedere Installazione e configurazione di MySQL per Windows o Linux.
169
In caso di installazione SQL da parte dell'utente, in che modo è possibile creare un database per ERA?
Non è necessario farlo. Il database viene creato dal Server.msi programma di installazione, non dal programma di
installazione ERA. Il programma di installazione ERA consente di semplificare la procedura per l'utente: questo
elemento, infatti, installa l'SQL Server, mentre il database viene creato dal programma di installazione server.msi.
Perché non è stato possibile eseguire correttamente l’installazione di ERA durante la configurazione del database?
Su MySQL è stata attivata la registrazione binaria.
R: ERA v6.2 non supporta per niente i database MySQL con l’attivazione dei rapporti binari. Disattivare i rapporti
binari in MySQL o utilizzare una versione più recente di ERA.
R: ERA v6.3 non supporta il formato di rapporto binario basato su DICHIARAZIONE. Utilizzare i formati di rapporto
binario RIGA o MISTO. Per ulteriori informazioni sui rapporti binari di MySQL, consultare https://dev.mysql.com/
doc/refman/5.6/en/binary-log.html e https://dev.mysql.com/doc/refman/5.6/en/replication-options-binarylog.html#sysvar_binlog_format
Il programma di installazione ERA crea un nuovo database al posto dell'utente in un'installazione SQL Server
esistente se vengono forniti i dettagli e le credenziali corretti relativi alla connessione di SQL Server? Sarebbe
preferibile che il programma di installazione supportasse varie versioni di SQL Server (2008, 2014, ecc.).
Il database viene creato da Server.msi. Diconseguenza, è in grado di creare un database ERA al posto dell'utente su
istanze di SQL Server installate singolarmente. Esatto, le versioni supportate di SQL Server sono 2008, 2012 e 2014.
In caso di installazione su un SQL Server esistente, per impostazione predefinita verrà utilizzata la modalità di
autenticazione di Windows integrata?
No, perché la modalità di autenticazione di Windows può essere disattivata su SQL Server e l'unico modo per
accedere consiste nell'utilizzare l'autenticazione di SQL Server (inserendo un nome utente e una password). È
necessario utilizzare l'autenticazione di SQL Server o la modalità mista. In caso di installazione manuale di SQL
Server, si consiglia di creare una password radice (l'utente radice è chiamato "sa", che sta per "security admin") e di
conservarla in un luogo sicuro per consultazioni successive. Durante l'aggiornamento del server ERA, potrebbe
essere necessario inserire la password radice.
È possibile utilizzare MariaDB al posto di MySQL?
MariaDB è un database predefinito in numerosi ambienti Linux che, tuttavia, non è supportato da <%
ESET_REMOTE_ADMINISTRATOR%>. Assicurarsi di installare MySQL per consentire a <%
ESET_REMOTE_ADMINISTRATOR%> di funzionare correttamente.
170
È stato necessario installare Microsoft .NET Framework 3.5, in quanto il programma di installazione di ERA ha
puntato su (http://www.microsoft.com/en-us/download/details.aspx?id=21). Tuttavia, non ha funzionato su una
nuova installazione di Windows Server 2012 R2 con SP1.
Non è possibile utilizzare questo programma di installazione su Windows Server 2012, a causa del criterio di
protezione Windows Server 2012. Microsoft .NET Framework deve essere installato mediante la Procedura guidata
regole e funzioni..
Microsoft .NET 4.5 Framework era già installato sul sistema in uso. Per aggiungere .NET 3.5., è stato necessario
installare la Procedura guidata regole e funzioni. Perché ESET Remote Administrator non supporta .NET 4.5?
Perché .NET 4.5 non possiede una compatibilità retroattiva con .NET 3.5., che è un prerequisito del programma di
installazione di SQL Server.
È estremamente complesso capire se l'installazione di SQL Server sia in esecuzione. Come è possibile capire cosa
succede se l'installazione dura più di 10 minuti?
Raramente, l'installazione di SQL Server può richiedere fino a 1 ora. I tempi di installazione dipendono dalle
prestazioni del sistema.
In che modo è possibile ripristinare la password dell'amministratore per la console Web (inserita durante la
configurazione)?
È possibile reimpostare la password scegliendo Ripara durante l'esecuzione del programma di installazione del
server. Si tenga presente che potrebbe essere necessario inserire la password per accedere al database ERA in caso
di mancato utilizzo dell'autenticazione di Windows durante la creazione del database.
NOTA: Prestare attenzione al fatto che alcune opzioni di riparazione potrebbero determinare la rimozione dei
dati archiviati.
Qual è il formato da utilizzare per l'importazione di un file contenente un elenco di computer da aggiungere a ERA?
Consultare la sezione delle Domande frequenti (FAQ) nel Manuale di gestione.
È possibile utilizzare IIS al posto di Apache? E per quanto riguarda un altro server HTTP?
IIS è un server HTTP. La console Web richiede un contenitore servlet Java (come Tomcat) per l'esecuzione, in quanto
il server HTTP non è sufficiente. Sono state trovate soluzioni su come modificare ISS in un contenitore servlet Java,
ma, in generale, non è supportato.
NOTA: non si sta utilizzando il server HTTP Apache, ma Apache Tomcat, che è un prodotto diverso.
ERA dispone di un'interfaccia della riga di comando?
Sì, esiste ESET Remote Administrator ServerApi.
171
È possibile installare ERA su un controller di dominio?
L'applicazione del server ERA può essere installata su un controller di dominio, ma potrebbero essere presenti
alcune restrizioni durante l'installazione di MS SQL sul controller di dominio Windows.
Esiste un modo per utilizzare la procedura guidata per l'installazione su un controller di dominio?
È possibile utilizzare la procedura guidata, ma occorre deselezionare l'installazione di SQL nella finestra di selezione
dei componenti.
L'installazione del server ERA rileverà se SQL è già installato sul sistema? Cosa accade se lo rileva? E per quanto
riguarda MySQL?
ERA verificherà l'esecuzione di SQL su un sistema qualora si utilizzi la procedura guidata e sia stata selezionata
l'installazione di SQL Express. Se SQL è già in esecuzione su un sistema, la procedura guidata consentirà di
visualizzare una notifica per disinstallare l'SQL esistente ed eseguire nuovamente l'installazione oppure per
installare ERA senza SQL Express. Vedere requisiti del database per ERA.
Dove è possibile trovare la mappatura dei componenti di ERA eseguita dalla versione finale di ERA?
Consultare questo articolo della Knowledge Base: http://support.eset.com/kb3690/
Come si esegue un aggiornamento basato su componenti di ESET Remote Administrator 6.1.21, 6.1.28 o 6.2.11 alla
versione più recente?
Sistema operativo Windows: http://support.eset.com/kb3668/
Sistema operativo Linux: http://support.eset.com/kb3670/
Come si aggiorna un sistema senza connessione a Internet?
Utilizzando un proxy HTTP installato su una macchina che può collegarsi ai server di aggiornamento ESET (dove i file
di aggiornamento sono memorizzati nella cache) e puntando gli endpoint su quel proxy HTTP su una rete locale. Se il
server non dispone di una connessione a Internet, è possibile abilitare la funzionalità mirror del prodotto endpoint
su una macchina, utilizzare un'unità USB per fornire i file di aggiornamento a quel computer e configurare tutti gli
altri computer off-line per utilizzarlo come server di aggiornamento.
Come si fa a reinstallare il server ERA e collegarlo a un server SQL esistente se il server SQL non è stato configurato
automaticamente dall'installazione ERA iniziale?
Se si installa la nuova istanza del server ERA utilizzando lo stesso account utente (ad esempio, un account
dell'amministratore del dominio) in cui è stato installato il server ERA originale, è possibile utilizzare MS SQL Server
tramite l'autenticazione di Windows.
172
Come risolvere i problemi di sincronizzazione con Active Directory su Linux?
Verificare che il nome del dominio contenga solo lettere maiuscole ( [email protected] anziché
[email protected] ).
Esiste un modo per utilizzare le proprie risorse di rete (ad esempio la condivisione SMB) al posto dell'archivio?
È possibile scegliere di fornire l'URL diretto in cui si trova un pacchetto. Se si utilizza la condivisione di file,
specificarla nel formato seguente: file:// seguito dal percorso di rete completo al file, per esempio:
file://\\eraserver\install\ees_nt64_ENU.msi
In che modo è possibile reimpostare o cambiare la password?
Idealmente, l'account amministratore dovrebbe essere utilizzato esclusivamente per la creazione di account di
singoli amministratori. Una volta creati, gli account amministratore non devono essere utilizzati ed è necessario
salvarne la password. Questa procedura consente di utilizzare l'account amministratore solo per la reimpostazione
della password/le informazioni dell’account.
Procedura di reimpostazione della password di un account ERA Administrator integrato:
1. Aprire Programmi e funzionalità (eseguire appwiz.cpl), individuare il server ESET Remote Administrator e fare clic
con il pulsante destro del mouse.
2. Selezionare Modifica dal menu contestuale.
3. Scegliere Ripara.
4. Specificare i dettagli di connessione del database.
5. Selezionare Utilizza il database esistente e applicare l'aggiornamento.
6. Deselezionare Utilizza la password già archiviata nel database e inserirne una nuova.
7. Effettuare l'accesso a ERA Web Console con la nuova password.
173
NOTA: si consiglia vivamente di creare account aggiuntivi con diritti di accesso specifici in base alle competenze
desiderate.
Come modificare le porte del server ERA e di ERA Web Console?
È necessario modificare la porta nella configurazione del server Web per consentire le connessioni del server Web
alla nuova porta. Per eseguire questa operazione, seguire i passaggi sottostanti:
1. Arrestare il server Web.
2. Modificare la porta nella configurazione del server Web.
a) Aprire il file webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/config/
EraWebServerConfig.properties
b) Impostare il nuovo numero della porta (per esempio, server_port=44591)
3. Riavviare il server Web.
In che modo è possibile eseguire la migrazione del server ERA su un nuovo sistema?
Per ulteriori informazioni sulle modalità di esecuzione di una migrazione, consultare
Aggiornamento da una versione precedente di ERA
o questo articolo della Knowledge Base di ESET: In che modo è possibile effettuare il passaggio dalla versione 5
alla versione 6 di ESET Remote Administrator?
È possibile eseguire l'aggiornamento direttamente da ERA v.5/v.4 a v.6 tramite il programma di installazione
integrato?
Dal momento che la funzione di aggiornamento diretto non è supportata, si consiglia di utilizzare lo strumento di
migrazione. Per ulteriori informazioni, consultare Aggiornamento da una versione precedente di ERA e questo
articolo della Knowledge Base di ESET: In che modo è possibile effettuare il passaggio dalla versione 5 alla versione
6 di ESET Remote Administrator?
Compaiono alcuni messaggi di errore o si verificano alcuni problemi con ESET Remote Administrator, cosa bisogna
fare?
Consultare la sezione delle Domande frequenti (FAQ) sulla risoluzione dei problemi.
174

ESET Remote Administrator - Installation and Upgrade Guide

Transcript

Documenti analoghi

KPX129 - Power Bike Descrizione del prodotto Informazione di

COR35441 - Spacenet pentagonale piccola, rossa Descrizione del

Registrazione manuale DAO350

Guida all`installazione del server Apache Tomcat

bersagliera installazione pannello luminoso

KPX320 - Free Runner - Cross Trainer

RIMOZIONE TOTALE DI SQL SERVER EXPRESS 2008 R2 Per

Installazione Archivio CDP per archivio Installazione Real Player

0217 C3 Picasso:0508 E71 443729.qxd.qxd