ESET REMOTE ADMINISTRATOR 6 Guida all'installazione, l'aggiornamento e la migrazione Fare clic qui per accedere alla versione più recente di questo documento Fare clic qui per visualizzare la versione della Guida on-line di questo documento ESET REMOTE ADMINISTRATOR 6 Copyright 2016 di ESET, spol. s r.o. ESET Remote Admi ni s tra tor 6 è s ta to s vi l uppa to da ESET, s pol . s r.o. Per ul teri ori i nforma zi oni , vi s i ta re i l s i to Web www.es et.i t. Tutti i di ri tti ri s erva ti . Sono vi eta te l a ri produzi one, l 'a rchi vi a zi one i n s i s temi di regi s tra zi one o l a tra s mi s s i one i n qua l s i a s i forma o con qua l s i a s i mezzo, el ettroni co, mecca ni co, tra mi te fotocopi a , regi s tra zi one, s ca ns i one o a l tro del l a pres ente documenta zi one i n a s s enza di a utori zza zi one s cri tta del l 'a utore. ESET, s pol . s r.o. s i ri s erva i l di ri tto di modi fi ca re qua l s i a s i pa rte del s oftwa re del l 'a ppl i ca zi one des cri tta s enza a l cun prea vvi s o. Supporto tecni co: www.es et.com/s upport REV. 6/7/2016 Contenuti 3.2.5.3 Disinstallazione dell’agente e risoluzione dei problemi ..................................................................................71 3.2.6 Installazione ..............................................................................72 della console Web 3.2.7 Installazione ..............................................................................72 del proxy 3.2.7.1 Prerequisiti ..................................................................................73 del proxy 3.2.8 Installazione ..............................................................................74 di RD Sensor 3.2.8.1 Prerequisiti ..................................................................................74 di RD Sensor 3.2.9 Installazione ..............................................................................74 del Connettore dispositivi mobili 3.2.9.1 Prerequisiti ..................................................................................76 del Connettore dispositivi mobili 3.2.9.2 Attivazione ..................................................................................77 del Connettore dispositivi mobili 3.2.9.3 Funzionalità ..................................................................................78 di gestione delle licenze MDM iOS 3.2.9.4 Importa ..................................................................................78 la catena di certificati HTTPS per MDM 3.2.10 Installazione ..............................................................................80 e cache del proxy HTTP Apache 3.2.11 Strumento ..............................................................................82 Mirror 3.2.12 Cluster ..............................................................................84 di failover 1. Installazione/Aggiornamento .......................................................5 1.1 Funzioni ....................................................................................................5 1.2 Architettura ....................................................................................................6 1.2.1 Server..............................................................................7 1.2.2 Console ..............................................................................8 Web 1.2.3 Agente..............................................................................8 1.2.4 Proxy ..............................................................................9 1.2.5 Rogue ..............................................................................10 Detection Sensor 1.2.6 Connettore ..............................................................................12 dispositivi mobili 1.3 Scenari ....................................................................................................12 di utilizzo 1.3.1 Server ..............................................................................13 singolo (aziende di piccole dimensioni) 1.3.2 Diramazioni ..............................................................................14 remote con proxy 1.3.3 Alta disponibilità ..............................................................................15 (Enterprise) 1.3.4 Esempi ..............................................................................16 di utilizzi pratici (Windows) 1.4 Prodotti ....................................................................................................17 e lingue supportati 3.3 Installazione ....................................................................................................85 componenti su Linux 3.3.1 Installazione passo dopo passo del server ERA su Linux..............................................................................85 1.5 Differenze ....................................................................................................19 rispetto alla versione 5 3.3.2 Installazione ..............................................................................86 e configurazione di MySQL 2. Requisiti .......................................................21 di sistema 3.3.3 Installazione ..............................................................................87 e configurazione dell’ODBC 2.1 Sistemi ....................................................................................................21 operativi supportati 3.3.4 Installazione ..............................................................................88 server - Linux 2.1.1 Windows ..............................................................................21 3.3.4.1 Prerequisiti ..................................................................................90 server - Linux 2.1.2 Linux..............................................................................23 3.3.5 Installazione ..............................................................................91 agente - Linux 2.1.3 OS X ..............................................................................24 3.3.5.1 Prerequisiti ..................................................................................93 dell'agente - Linux 2.2 Ambienti di Desktop Provisioning ....................................................................................................24 supportati 3.3.6 Installazione ..............................................................................93 della console Web - Linux 3.3.6.1 Prerequisiti ..................................................................................94 di ERA Web Console - Linux 2.3 Hardware ....................................................................................................25 3.3.7 Installazione ..............................................................................94 proxy - Linux 2.4 Database ....................................................................................................25 3.3.7.1 Prerequisiti ..................................................................................96 proxy - Linux 3.3.8 Installazione ..............................................................................96 e prerequisiti di RD Sensor - Linux 3.3.9 Installazione ..............................................................................97 di Connettore dispositivi mobili - Linux 3.3.9.1 Prerequisiti ..................................................................................98 di Connettore dispositivi mobili - Linux 3.3.10 Installazione ..............................................................................99 del proxy Apache HTTP - Linux Porte..............................................................................26 utilizzate 3.3.11 Installazione proxy squid HTTP su server Ubuntu 14.10 ..............................................................................102 3. Processo .......................................................29 di installazione 3.3.12 Strumento ..............................................................................103 Mirror 3.3.13 Cluster ..............................................................................105 di failover - Linux 3.3.14 Come disinstallare o reinstallare un componente Linux ..............................................................................107 2.5 Versioni ....................................................................................................26 supportate di Apache Tomcat 2.6 Browser Web supportati per ERA Web Console ....................................................................................................26 2.7 Rete ....................................................................................................26 2.7.1 3.1 Installazione ....................................................................................................29 integrata su Windows 3.1.1 Installa ..............................................................................30 il server ERA 3.1.2 Installa ..............................................................................38 il proxy ERA 3.1.3 Installa ERA Mobile Device Connector (come strumento ..............................................................................43 indipendente) 3.1.4 Disinstalla ..............................................................................47 componenti 3.1.5 Certificati ..............................................................................49 personalizzati con ERA 3.1.6 Windows ..............................................................................60 SBS/Essentials 3.2 Installazione ....................................................................................................62 componenti su Windows 3.4 Installazione dei componenti su Mac OS X....................................................................................................107 3.4.1 Installazione ..............................................................................107 dell’agente - Mac OS X 3.5 Database ....................................................................................................108 3.5.1 Backup ..............................................................................109 del server del database 3.5.2 Aggiornamento ..............................................................................109 del server del database 3.5.3 Migrazione ..............................................................................109 del database ERA 3.5.3.1 Processo ..................................................................................110 di migrazione per SQL Server 3.5.3.2 Processo ..................................................................................118 di migrazione per MySQL Server 3.2.1 Installazione ..............................................................................64 del server 3.2.1.1 Prerequisiti ..................................................................................66 server - Windows 3.2.2 Requisiti ..............................................................................67 di Microsoft SQL Server 3.2.3 Installazione ..............................................................................68 e configurazione di MySQL Server 3.6 Immagine ....................................................................................................119 ISO 3.2.4 Account ..............................................................................69 utente dedicato del database 3.7 Record ....................................................................................................120 servizio DNS 3.2.5 Installazione ..............................................................................69 dell’agente 3.2.5.1 Installazione ..................................................................................70 dell’agente assistita dal server: 3.2.5.2 Installazione ..................................................................................71 off-line dell’agente 4. Procedure di aggiornamento, migrazione e .......................................................121 reinstallazione 4.1 Attività di aggiornamento dei ....................................................................................................121 componenti 4.1.1 Installazione del prodotto con aggiornamento dei componenti ..............................................................................133 4.2 Migrazione da una versione precedente di ....................................................................................................133 ERA 4.2.1 Scenario ..............................................................................135 di migrazione 1 4.2.2 Scenario ..............................................................................136 di migrazione 2 4.2.3 Scenario ..............................................................................140 di migrazione 3 4.3 Migrazione ....................................................................................................143 da un server a un altro 4.3.1 Installazione ..............................................................................144 pulita - indirizzo IP uguale 4.3.2 Installazione ..............................................................................144 pulita - indirizzo IP diverso 4.3.3 Migrazione ..............................................................................145 del database - indirizzo IP uguale 4.3.4 Migrazione ..............................................................................146 del database - indirizzo IP diverso 4.3.5 Disinstallazione ..............................................................................148 del vecchio server ERA 4.4 Aggiornamento di ERA installato nel cluster ....................................................................................................149 di failover in Windows 4.5 Aggiornamento ....................................................................................................150 del proxy HTTP Apache 4.5.1 Istruzioni di Windows (programma di installazione integrato) ..............................................................................150 4.5.2 Istruzioni ..............................................................................152 di Windows (manuale) 4.6 Aggiornamento ....................................................................................................153 di Apache Tomcat 4.6.1 Istruzioni di Windows (programma di installazione integrato) ..............................................................................153 4.6.2 Istruzioni ..............................................................................154 di Windows (manuale) 4.6.3 Istruzioni ..............................................................................155 di Linux 4.7 Modifica dell’indirizzo IP o del nome ....................................................................................................156 host sul server ERA 5. Risoluzione .......................................................157 dei problemi 5.1 Risposte ai problemi di installazione comuni ....................................................................................................157 5.2 File ....................................................................................................160 di rapporto 5.3 Strumento ....................................................................................................161 di diagnostica 5.4 Problemi dopo l’aggiornamento/la ....................................................................................................163 migrazione del server ERA 5.5 Registrazione ....................................................................................................164 MSI 6. Primi .......................................................165 passi 6.1 Aprire ....................................................................................................166 ERA Web Console 7. API.......................................................168 ESET Remote Administrator 8. Domande .......................................................169 frequenti 1. Installazione/Aggiornamento ESET Remote Administrator (ERA) è un'applicazione che consente all'utente di gestire i prodotti ESET sulle workstation client, i server e i dispositivi mobili in un ambiente di rete da una postazione centrale. Il sistema di gestione delle attività integrato di ESET Remote Administrator consente all'utente di installare soluzioni di protezione ESET su computer remoti e di rispondere rapidamente ai nuovi problemi e alle nuove minacce. ESET Remote Administrator da solo non fornisce protezione contro codici dannosi. La protezione dell'ambiente dipende dalla presenza di una soluzione di protezione ESET, ad esempio ESET Endpoint Security su workstation e dispositivi mobili, o ESET File Security per Microsoft Windows Server sulle macchine server. ESET Remote Administrator si basa su due principi fondamentali: 1. Gestione centralizzata : l'intera rete può essere configurata, gestita e monitorata da un'unica posizione. 2. Scalabilità: il sistema può essere utilizzato in una piccola rete nonché in ambienti aziendali di grandi dimensioni. ESET Remote Administrator è progettato per garantire l'adattamento del sistema all'infrastruttura di lavoro. ESET Remote Administrator supporta la nuova generazione di prodotti di protezione ESET ed è anche compatibile con la generazione di prodotti precedente. Il Manuale di installazione/Aggiornamento illustra varie modalità di installazione di ESET Remote Administrator e si rivolge principalmente ai clienti Enterprise. Consultare il Manuale per le piccole e medie imprese se si desidera installare ESET Remote Administrator su una piattaforma Windows per gestire fino a 250 prodotti Windows ESET Endpoint. Le pagine della guida di ESET Remote Administrator includono una procedura completa per l'installazione e all'aggiornamento: Architettura di ESET Remote Administrator Strumento di migrazione Processi di installazione ESET License Administrator Processi di distribuzione e Distribuzione dell'agente mediante GPO o SCCM Primi passi dopo l'installazione di ESET Remote Administrator Attività di post installazione Manuale di gestione 1.1 Funzioni Di seguito sono illustrate alcune funzionalità e capacità completamente nuove presenti nella versione 6.3: Indipendenza dalla piattaforma: il server ERA funziona sia su Windows che su Linux. Attività post installazione: mostrano come ottenere il massimo da ESET Remote Administrator e guidano l'utente attraverso i vari passaggi consigliati per un'esperienza d'uso ottimale. ERA Web Console, ovvero l'interfaccia utente principale di ESET Remote Administrator, è accessibile attraverso il browser Web. Ciò facilita l'utilizzo di questa risorsa da qualsiasi posizione e dispositivo. ESET License Administrator: prima di iniziare a utilizzarlo, ESET Remote Administrator deve essere attivato mediante una chiave di licenza rilasciata da ESET. Vedere la sezione ESET License Administrator per consultare le istruzioni di attivazione del prodotto oppure la Guida on-line di ESET License Administrator per ulteriori informazioni sull'utilizzo di ESET License Administrator. Un Dashboard completamente personalizzabile offre una panoramica completa dello stato di protezione della rete e la sezione Amministrazione di ESET Remote Administrator Web Console (ERA Web Console) è uno strumento efficace e accessibile per la gestione dei prodotti ESET. Agente ERA: l'agente ERA deve essere installato su tutti i computer client che comunicano con il server ERA. 5 Notifiche: consentono di inviare informazioni rilevanti in tempo reale, mentre i Report consentono di ordinare in modo pratico vari tipi di dati da utilizzare in momenti successivi. 1.2 Architettura ESET Remote Administrator è una nuova generazione di sistemi di gestione remota e si differenzia notevolmente dalle versioni precedenti di ESET Remote Administrator. Poiché l'architettura è completamente diversa, non esiste compatibilità retroattiva con la precedente generazione di ESET Remote Administrator. Tuttavia, rimane la compatibilità con le versioni precedenti dei Prodotti di protezione ESET. Oltre a un nuovo ESET Remote Administrator, ESET ha rilasciato anche una nuova generazione di prodotti di protezione insieme a un nuovo sistema di assegnazione delle licenze. Per un utilizzo completo del portafoglio di soluzioni di protezione ESET, è necessario installare i seguenti componenti (piattaforme Windows e Linux): Server ERA ERA Web Console Agente ERA I seguenti componenti di supporto sono facoltativi. Si consiglia di installarli per ottenere prestazioni ottimizzate dall'applicazione sulla rete: Proxy ERA Sensore RD Connettore dispositivi mobili 6 1.2.1 Server ESET Server Remote Administrator (server ERA) è l'applicazione esecutiva che elabora tutti i dati ricevuti dai client che si connettono al server (attraverso l'Agente ERA). Per una corretta elaborazione dei dati, il server richiede una connessione stabile a un server del database sul quale sono archiviati i dati di rete. Per ottenere prestazioni ottimizzate, si consiglia di installare il server del database su un altro computer. 7 1.2.2 Console Web ERA Web Console è un'interfaccia utente basata sul Web che consente all'utente di gestire soluzioni di protezione ESET nell'ambiente di lavoro, di visualizzare una panoramica dello stato dei client sulla rete e di utilizzare da remoto soluzioni ESET su computer non gestiti. L'accesso alla console Web viene effettuato tramite il browser (vedere Browser Web supportati). Se si decide di rendere il server Web accessibile da Internet, è possibile utilizzare ESET Remote Administrator praticamente da qualsiasi posizione e dispositivo. 1.2.3 Agente L’agente ESET Remote Administrator (agente ERA) rappresenta un componente essenziale di ESET Remote Administrator 6. I client non comunicano direttamente con il server, ma è l'agente a facilitare la comunicazione. L'agente raccoglie informazioni dal client e le invia al server ERA. Se il server ERA invia un'attività per il client, ciò significa che l'attività viene inviata all'agente che provvede poi a inviarla al client. Per semplificare l'implementazione della protezione dell'endpoint, nella suite ERA è incluso l'agente ERA indipendente (a partire dalla versione 6). Si tratta di un servizio semplice, altamente modulare e leggero che copre tutte le comunicazioni tra il server ERA e qualsiasi prodotto ESET o sistema operativo. Anziché comunicare direttamente con il server ERA, i prodotti ESET comunicano attraverso l'agente. I computer client sui quali è installato l'agente ESET e che comunicano con il server ERA sono considerati "gestiti". È possibile installare l'agente su qualsiasi computer indipendentemente dal fatto che siano stati installati altri software ESET. 8 I vantaggi sono: Configurazione semplice: è possibile distribuire l'agente nell'ambito di un'installazione aziendale standard. Gestione della protezione in loco: poiché l'agente viene configurato in modo da memorizzare vari scenari di protezione, i tempi di reazione alle minacce vengono ridotti drasticamente. Gestione della protezione off-line: l'agente risponde a un evento se non è connesso al server ERA. 1.2.4 Proxy Il server del Proxy ERA è una versione leggera del componente server. Questo tipo di server viene utilizzato per garantire un elevato livello di scalabilità. Il server del proxy ERA consente all'utente di concentrare il traffico proveniente dagli agenti client. e ad agenti multipli di connettersi al proxy ERA che distribuirà il traffico al server ERA. Ciò consente di ottimizzare le query relative al database. Il proxy ERA è anche in grado di connettersi ad altri server proxy e successivamente al server ERA. Tutto dipende dall'ambiente di rete e dalla relativa configurazione. Qual è la differenza tra il proxy ERA e il proxy HTTP Apache? Il proxy ERA è anche responsabile della distribuzione passiva dei dati di configurazione (gruppi, criteri, attività, ecc.) agli agenti. L'inoltro non implica il coinvolgimento del server ERA. L'unico modo per configurare il proxy ERA (e tutti gli altri componenti) è rappresentato dal criterio inviato dal server ERA. Ciò significa che è necessario installare l'agente sulla macchina del proxy ERA per inviare la configurazione dal server ERA al componente del proxy ERA. NOTA: il server ERA non può connettersi direttamente al server del proxy ERA in assenza dell'agente. 9 Il Proxy ERA è un altro componente di ESET Remote Administrator che consente di soddisfare due requisiti. In caso di reti di medie dimensioni o aziendali caratterizzate dalla presenza di numerosi client (ad esempio, 10.000 client o più), è possibile utilizzare il proxy ERA per distribuire il carico tra molteplici proxy ERA, allo scopo di non sovraccaricare il Server ERA principale. Un altro vantaggio del proxy ERA consiste nella possibilità di utilizzarlo per connettersi a una filiale aziendale da remoto con un collegamento debole. Ciò significa che l'agente ERA su ciascun client non si connette direttamente al server ERA principale ma attraverso il proxy ERA, che si trova sulla stessa rete locale della filiale aziendale. Questo tipo di configurazione offre comunicazioni ottimizzate con la filiale aziendale. Il proxy ERA accetta connessioni da tutti gli agenti ERA locali, ne compila i dati e li carica sul server ERA principale (o un altro proxy ERA). Tale operazione consente alla rete di adattare altri client senza compromettere le proprie prestazioni e la qualità delle query relative al database. Per un corretto funzionamento del proxy ERA, il computer host sul quale è stato installato il proxy ERA deve prevedere un agente ESET installato ed essere connesso al livello superiore (l'eventuale server ERA o un proxy ERA superiore) della rete in uso. NOTA: Osservare uno scenario di distribuzione con il Proxy ERA. 1.2.5 Rogue Detection Sensor Rogue Detection Sensor (RD Sensor) è uno strumento di rilevamento di sistema rogue che consente di ricercare computer nella rete in uso. L'utilità del sensore consiste nella sua capacità di individuare nuovi computer da ESET Remote Administrator risparmiando all'utente il compito di ricercarli e aggiungerli manualmente. Le macchine rilevate vengono immediatamente localizzate e segnalate in un report predefinito, consentendo in tal modo all'utente di spostarle in gruppi statici specifici e di procedere con le attività di gestione. RD Sensor è un ascoltatore passivo che rileva i computer presenti nella rete e invia le relative informazioni al server ERA. A questo punto, il server ERA valuta se i PC trovati nella rete sono sconosciuti o già gestiti. 10 Ogni computer all'interno della struttura di rete (dominio, LDAP, rete Windows) viene aggiunto automaticamente all'elenco di computer del server ERA attraverso un'attività di sincronizzazione del server. RD Sensor è un metodo utile per ricercare computer non presenti nel dominio o in un'altra struttura di rete e aggiungerli al server ESET Remote Administrator. RD Sensor è in grado di ricordare i computer che sono già stati rilevati evitando in tal modo di inviare le stesse informazioni due volte. 11 1.2.6 Connettore dispositivi mobili ESET Mobile Device Connector (ESET MDC) è un componente che consente all’utente di gestire i dispositivi mobili (Android e iOS) con ESET Remote Administrator e di amministrare ESET Endpoint Security for Android. 1.3 Scenari di utilizzo Nei capitoli che seguono, verranno analizzati scenari di utilizzo per diversi ambienti di rete. Per istruzioni più dettagliate, consultare il capitolo appropriato: Server singolo (aziende di piccole dimensioni) Alta disponibilità (Enterprise) Diramazioni remote con proxy 12 1.3.1 Server singolo (aziende di piccole dimensioni) Per gestire reti di piccole dimensioni (massimo 1000 client), è sufficiente disporre solitamente di un'unica macchina su cui sono installati il server ERA e i relativi componenti (server Web fornito, database, ecc.). È possibile immaginarlo come un server singolo o un'installazione indipendente. Tutti i client gestiti sono connessi direttamente al server ERA attraverso l'agente ERA. L'amministratore si connette a ERA Web Console attraverso il browser Web da qualsiasi computer presente nella rete oppure esegue la console Web direttamente dal server ERA. 13 1.3.2 Diramazioni remote con proxy In una rete di medie dimensioni (formata, ad esempio, da 10.000 client), viene aggiunto un altro livello formato da server del proxy ERA. Gli agenti ERA sono connessi al server del proxy ERA, che viene aggiunto a causa della presenza di un collegamento debole al sito remoto (ad esempio, una filiale aziendale). Tuttavia, è sempre possibile collegare gli agenti ERA (collocati su un sito remoto) direttamente al server principale. 14 1.3.3 Alta disponibilità (Enterprise) Per gli ambienti Enterprise (formati, ad esempio, da 100.000 client), è necessario utilizzare componenti ERA aggiuntivi. Uno è l'RD Sensor, che aiuta l'utente a ricercare nuovi computer nella rete. L'altro è un livello dei server del proxy ERA. Gli agenti ERA sono collegati al server del proxy ERA e bilanciano, in tal modo, il carico sul server principale che rappresenta una risorsa importante per le prestazioni del sistema. È sempre possibile utilizzare questa configurazione per collegare gli agenti ERA direttamente al server principale. Per garantire ridondanza, viene inoltre implementato un database SQL su un cluster di failover. 15 1.3.4 Esempi di utilizzi pratici (Windows) Per ottenere prestazioni ottimizzate, si consiglia di utilizzare Microsoft SQL Server come database ESET Remote Administrator. Mentre ESET Remote Administrator è compatibile con MySQL, l'utilizzo di MySQL può influire negativamente sulle prestazioni del sistema in caso di gestione di grandi quantità di dati, tra cui dashboard, minacce e client. Lo stesso hardware con Microsoft SQL Server è in grado di gestire all'incirca 10 volte il numero di client rispetto a MySQL. Per scopi di testing, ciascun client archivia circa 30 rapporti nel database. Microsoft SQL Server utilizza grandi porzioni di RAM per la cache dei dati del database. Si consiglia pertanto di verificare che sia presente una quantità di memoria corrispondente almeno a quella presente sul disco di Microsoft SQL Server. Non è facile calcolare il numero esatto di risorse utilizzate da ESET Remote Administrator, in quanto queste variano in base alla configurazione di rete del sistema. Seguono i risultati dei test relativi a configurazioni di rete comuni: Esempio di test: massimo 5.000 client che si connettono a ERA Server Esempio di test: massimo 100.000 client che si connettono al server ERA Per ottenere una configurazione ottimale, in grado di soddisfare le esigenze dell'utente, si consiglia di eseguire il test su un numero inferiore di client e un hardware più lento e di elaborare i requisiti di sistema sulla base dei risultati del test. ESEMPIO DI TEST (5.000 CLIENT) Hardware/software Windows Server 2003 R2, architettura processore x86 Microsoft SQL Server Express 2008 R2 Intel Core2Duo E8400 @3 GHz 3 GB di RAM Seagate Barracuda 7200 rpm, 500 GB, cache 16 MB, Sata 3,0 GB/s Risultati ERA Web Console è molto reattiva (meno di 5 s) Consumo memoria: o Apache Tomcat 200 MB o ERA Server 200 MB o SQL Server Database 1 GB Prestazioni replica server: 10 repliche al secondo Dimensione database su disco: 1 GB (5.000 client, ciascuno con 30 rapporti nel database) Per questo esempio, è stato utilizzato SQL Server Express 2008 R2. Nonostante i limiti (database 10 GB, 1 CPU e utilizzo di 1 GB di RAM), questa configurazione era funzionale e ha registrato buone prestazioni. L'utilizzo di SQL Server Express è consigliato per i server contenenti meno di 5.000 client. È possibile utilizzare inizialmente SQL Server Express ed effettuare l'aggiornamento a Microsoft SQL Server (versione completa) qualora diventi necessario utilizzare un database di maggiori dimensioni. Tenere presente che le versioni precedenti di Express (<2008 R2) presentano un limite di 4 GB per il database su disco. Le prestazioni relative alle repliche del server definiscono un intervallo di repliche per i client. 10 repliche al secondo si traducono in 600 repliche al minuto. Di conseguenza, in un caso ideale, l'intervallo di replica su tutti i 5.000 client dovrebbe essere impostato su 8 minuti. Tale parametro determinerebbe però un carico del 100% sul server. In tal caso, è necessario pertanto impostare un intervallo più lungo. In questo esempio, si raccomanda un intervallo di replica di 20-30 minuti. 16 ESEMPIO DI TEST (100.000 CLIENT) Hardware/software Windows Server 2012 R2 Datacenter, architettura processore x64 Microsoft SQL Server 2012 Intel Xeon E5-2650v2 @2.60 GHz 64 GB di RAM Adattatore di rete Intel NIC/PRO/1000 PT Dual 2x Micron RealSSD C400 Unità SSD 256 GB (una per sistema + software, la seconda per i file dati SQL Server) Risultati La console Web è reattiva (meno di 30 s) Consumo memoria o Apache Tomcat 1 GB o ERA Server 2 GB o SQL Server Database 10 GB Prestazioni replica server: 80 repliche al secondo Dimensione database su disco: 10 GB (100.000 client, ciascuno con 30 rapporti nel database) In questo caso, si è scelto di installare tutti i componenti (Apache Tomcat + console Web, server ERA, SQL Server) su una macchina per testare la capacità del server ERA. Il numero elevato di client ha determinato un aumento dell'utilizzo della memoria e del disco da parte di Microsoft SQL Server. Per ottenere prestazioni ottimali, SQL Server memorizza nella cache quasi tutti i dati del database archiviato nella memoria. Apache Tomcat (Console Web) e il server ERA memorizzano anche i dati nella cache e ciò spiega l'aumento di utilizzo della memoria in questo esempio. ERA Server è in grado di servire 80 repliche al secondo (288.000 all'ora). Di conseguenza, in una situazione ideale, l'intervallo di replica su tutti i 100.000 client dovrebbe essere impostato su "ogni ~30 minuti" (carico di 200.000 repliche all'ora), ma ciò condurrebbe a un carico del server del 100%. L'intervallo di replica migliore è pertanto di 1 ora (100.000 repliche all'ora). L'utilizzo dei dati di rete dipende dal numero di rapporti raccolti dai client. In questo caso, il numero corrispondeva a circa 20 KB a replica, di conseguenza 80 repliche al secondo generano una velocità di rete di circa 1600 KB/s (20 Mbit/ s). In questo esempio, è stato utilizzato uno scenario basato su un server singolo. Il carico di CPU e di rete verrà distribuito in modo ottimale in caso di utilizzo di più di un proxy ERA (maggiore è il numero migliori saranno le prestazioni). Tale situazione determinerà una distribuzione del carico sia di CPU sia di rete durante le repliche dei client. È buona norma distribuire il carico di rete, specialmente nel caso di client distanti tra di loro. L'intervallo di replica del proxy sul server può essere eseguito durante le ore di mancato utilizzo del sistema, quando la velocità della rete dalle posizioni distanti è migliore. 1.4 Prodotti e lingue supportati ESET Remote Administrator consente all'utente di distribuire, attivare o gestire i seguenti prodotti ESET: Gestibile tramite ESET Remote Administrator 6 Versione prodotto Metodo di attivazione ESET Endpoint Security per Windows 6.x e 5.x 6.x: chiave di licenza 5.x: nome utente/password ESET Endpoint Antivirus per Windows 6.x e 5.x ESET Endpoint Security per OS X ESET Endpoint Antivirus per OS X ESET Endpoint Security per Android 6.x 6.x 2.x 6.x: chiave di licenza 5.x: nome utente/password Chiave di licenza Chiave di licenza Chiave di licenza 17 Gestibile tramite ESET Remote Administrator 6 ESET File Security per Windows Server ESET Mail Security per Microsoft Exchange Server ESET File Security per Microsoft Windows Server ESET NOD32 Antivirus 4 Business Edition per Mac OS X ESET NOD32 Antivirus 4 Business Edition per Linux Desktop ESET Mail Security per Microsoft Exchange Server ESET Mail Security per IBM Lotus Domino ESET Security per Microsoft Windows Server Core ESET Security per Microsoft SharePoint Server ESET Security per Kerio ESET File/Mail/Gateway Security per Linux/FreeBSD ESET NOD32 Antivirus Business Edition ESET Smart Security Business Edition Versione prodotto Metodo di attivazione 6.x 6.x 4.5.x 4.x 4.x 4.5.x 4.5.x 4.5.x 4.5.x 4.5.x 4.5.x 4.2.76 4.2.76 Chiave di licenza Chiave di licenza Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password Nome utente/password NOTA: Le versioni dei prodotti ESET Windows Server precedenti a quelle visualizzate nella tabella indicata in precedenza non possono al momento essere gestite utilizzando ESET Remote Administrator. NOTA: consultare anche Informativa sulla fine del ciclo di vita dei prodotti ESET Business. Lingue supportate Lingua Inglese (Stati Uniti) Arabo (Egitto) Cinese semplificato Cinese tradizionale Croato (Croazia) Ceco (Repubblica Ceca) Francese (Francia) Francese (Canada) Tedesco (Germania) Italiano (Italia) Giapponese Coreano (Corea) Polacco (Polonia) Portoghese (Brasile) Russo (Russia) Spagnolo (Cile) Spagnolo (Spagna) Slovacco (Slovacchia) 18 Codice en-US ar-EG zh-CN zh-TW hr-HR cs-CZ fr-FR fr-FC de-DE it-IT jp-JP ko-KR pl-PL pt-BR ru-RU es-CL es-ES sk-SK 1.5 Differenze rispetto alla versione 5 Consultare la tabella sottostante per acquisire dimestichezza con le principali differenze tra le varie versioni di ESET Remote Administrator. Differenza Versione 6 Versione 5 Console Console Web (basata su browser) Console (applicazione Windows) Componenti Server, console Web (interfaccia Server e console (GUI programma Web, Java e Apache Tomcat necessari Windows) su lato server), agente, proxy, Rogue Detection Sensor, Connettore dispositivi mobili, proxy HTTP Apache per il caching di aggiornamento Individuazione computer Utilizzo di Rogue Detection Sensor Installazione remota Possibile distribuzione remota Direttamente, monitoraggio dell’agente ERA, installazione dei dell’avanzamento in tempo reale prodotti di protezione ESET eseguita mediante l'agente ERA Metodi di installazione remota Installazione push remota, script del Installazione push remota, SSH, WMI, programma di installazione in tempo invio tramite e-mail, script WSUS, reale (invio tramite e-mail o supporto GPO, LogOn rimovibile), GPO, SCCM Supporto per i prodotti ESET Business Sì (6.x) Utilizzo dell’attività di ricerca della rete No Criteri Editor criteri rinnovato, con Editor di configurazione dei criteri possibilità di impostare i contrassegni strutturato forza/applica, in quanto la configurazione finale è il risultato di criteri multipli (uniti dall’agente in un’unica configurazione) Gruppi Gruppi statici e dinamici. Un gruppo Gruppi statici e parametrici statico per computer. I gruppi dinamici sono valutati da un agente, indipendentemente dalla connettività al server. L’appartenenza è segnalata al server. Creazione di report Un efficace kit di creazione di report consente all’utente di creare singoli grafici di dati combinati. Possibilità di inviare i report tramite e-mail in formato CSV o PDF e di salvarli. Un report separato impostato per il dashboard basato su Web e modelli di report generali in forma estesa e personalizzabile. Esportazione in formato HTML, ZIP e PDF. Mirror Il proxy HTTP Apache funge da proxy/ cache trasparente per i file scaricati dai server ESET. Lo strumento del mirror off-line è disponibile come alternativa. La funzionalità del mirror consente all’utente di archiviare gli aggiornamenti/i file in locale sul disco rigido del server ERA 19 Supporto piattaforma sistema operativo Ambienti Windows, Linux, Mac e Solo Windows virtuali (possibilità di importazione di un dispositivo virtuale). La replica da server a server è obsoleta. Database MSSQL Express (impostazione ODBC-connesso a MSAccess predefinita), MSSQL, MySQL (MySQL (impostazione predefinita), MSSQL, supportato solo su Linux) MySQL, Oracle 20 2. Requisiti di sistema È disponibile un set di prerequisiti relativi a hardware, database e software che è necessario soddisfare per installare e utilizzare ESET Remote Administrator. 2.1 Sistemi operativi supportati Le sezioni che seguono illustrano le versioni dei sistemi operativi supportate in Windows, Linux e Mac OS da uno specifico componente di ESET Remote Administrator. 2.1.1 Windows La tabella che segue presenta un elenco di sistemi operativi Windows supportati per ciascun componente di ESET Remote Administrator: Sistema operativo Server Windows Home Server 2003 SP2 Windows Home Server 2011 x64 Agente Proxy X X RD Sensor MDM X X Windows Server 2003 x86 SP2 Windows Server 2003 x64 SP2 Windows Server 2003 x86 R2 SP2 Windows Server 2003 x64 R2 SP2 X X X X X X X X X X X X X X X X Windows Server 2008 x64 R2 SP1 Windows Server 2008 x64 R2 CORE Windows Server 2008 x86 Windows Server 2008 x86 SP2 Windows Server 2008 x64 Windows Server 2008 x64 SP2 X X X X X X X X X X X X X X X X X X X X Windows Server 2012 x64 Windows Server 2012 x64 CORE Windows Server 2012 x64 R2 Windows Server 2012 x64 R2 CORE X X X X X X X X X X X X X X X X X X X X Microsoft SBS 2003 x86 SP2 ** Microsoft SBS 2003 x86 R2 ** Microsoft SBS 2008 x64 Microsoft SBS 2008 x64 SP2 ** Microsoft SBS 2011 x64 Standard Microsoft SBS 2011 x64 Essential X X X X X X X X X X X X X X X X X X X X X X X X Server Agente Proxy RD Sensor MDM Sistema operativo X X Windows XP x86 SP3 Windows XP x64 SP2 X X X X Windows Vista x86 SP2 Windows Vista x64 SP2 X X X X X X X X X Windows 7 x86 SP1 Windows 7 x64 SP1 X* X* X X X* X* X X X* X* Windows 8 x86 X* X X* X X* 21 Windows 8 x64 X* X X* X X* Windows 8.1 x86 Windows 8.1 x64 X* X* X X X* X* X X X* X* Windows 10 x86 Windows 10 x64 X* X* X X X* X* X X X* X* * L’installazione dei componenti ERA su un sistema operativo client potrebbe non essere allineata con la politica di Microsoft in materia di gestione delle licenze. Consultare la politica di Microsoft in materia di gestione delle licenze oppure rivolgersi al fornitore del software per maggiori informazioni. Nell’SMB/in piccoli ambienti di rete si consiglia di considerare la possibilità di eseguire un’installazione ERA su Linux o degli accessori virtuali, se applicabile. ** Microsoft SQL Server Express incluso in Microsoft Small Business Server (SBS) non è supportato da ESET Remote Administrator. Se si desidera eseguire il database ERA su SBS, è necessario utilizzare una versione più recente di Microsoft SQL Server Express o MySQL. Per ulteriori informazioni e istruzioni, consultare Installazione su Windows SBS/Essentials. Sulle versioni precedenti dei sistemi operativi Windows, per esempio Windows Server 2003, la crittografia dei protocolli potrebbe non essere completamente supportata sul lato del sistema operativo. In questa configurazione, verrà utilizzato TLSv1.0 al posto di TLSv1.2, (TLSv1.0 è considerato meno sicuro rispetto alle versioni più recenti). Questa situazione si verifica anche nel momento in cui, a differenza del client, il sistema operativo supporta TLSv1.2. In tal caso, la comunicazione si verifica mediante TLS1.0. Per garantire le comunicazioni più sicure, si suggerisce di utilizzare sistemi operativi più recenti (Windows Server 2008 R2 e versioni successive dei server e Windows Vista e versioni successive dei client). NOTA: È possibile installare su un sistema operativo desktop e distribuire gli accessori virtuali di ESET Remote Administrator. In questo modo è possibile eseguire ESET Remote Administrator su un sistema operativo non server senza la necessità di utilizzare ESXi. 22 2.1.2 Linux La tabella che segue consente di visualizzare un elenco di sistemi operativi Linux supportati per ciascun componente di ESET Remote Administrator: Sistema operativo Server Agente Proxy RD Sensor MDM X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X CentOS 5 x86 CentOS 5 x64 CentOS 6 x86 CentOS 6 x64 CentOS 7 x86 CentOS 7 x64 X X X X X X X X X X X X X X X X X X X X X X SLED 11 x86 SLED 11 x64 SLES 11 x86 SLES 11 x64 X X X X X X X X X X X X X X X X X X X X OpenSUSE 13 x86 OpenSUSE 13 x64 X X X X X X X X X X Debian 7 x86 Debian 7 x64 X X X X X X X X X X Fedora 19 x86 Fedora 19 x64 Fedora 20 x86 Fedora 20 x64 Fedora 23 x86 Fedora 23 x64 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Ubuntu 12.04 LTS x86 Desktop Ubuntu 12.04 LTS x86 Server Ubuntu 12.04 LTS x64 Desktop Ubuntu 12.04 LTS x64 Server Ubuntu 14.04 LTS x86 Desktop Ubuntu 14.04 LTS x86 Server Ubuntu 14.04 LTS x64 Desktop Ubuntu 14.04 LTS x64 Server RHEL 5 x86 RHEL 5 x64 RHEL Server 6 x86 RHEL Server 6 x64 RHEL Server 7 x86 RHEL Server 7 x64 23 2.1.3 OS X Sistema operativo OS X 10.7 Lion OS X 10.8 Mountain Lion OS X 10.9 Mavericks OS X 10.10 Yosemite OS X 10.11 El Capitan Agente X X X X X NOTA: OS X è supportato solo come client. L’agente ERA e i prodotti ESET per OS X possono essere installati su OS X. Tuttavia, il server ERA non può essere installato su OS X. 2.2 Ambienti di Desktop Provisioning supportati Desktop Provisioning semplifica la gestione dei dispositivi e offre agli utenti finali computer desktop con prestazioni ottimizzate. I computer desktop si suddividono solitamente in PC fisici e PC virtuali. ESET Remote Administrator supporta la maggior parte degli ambienti a condizione che sulla macchina client sia presente un’unità di sistema persistente. Per gli ambienti virtualizzati e i sistemi operativi “streamed” (servizi di provisioning Citrix), consultare l’elenco di hypervisor supportati e delle relative estensioni presentato di seguito. Un’altra importante differenza consiste nel fatto che i computer desktop su cui viene eseguito il provisioning utilizzano unità di sistema persistenti o non persistenti. Computer desktop persistente Computer desktop non persistente I computer desktop persistenti presentano un livello di personalizzazione in grado di acquisire tutti i dati dell’utente, le impostazioni e le applicazioni installate. Questo livello di personalizzazione rappresenta un componente essenziale per l’agente ERA e i prodotti di protezione ESET per una serie di motivi. I computer desktop non persistenti abbandonano il livello di personalizzazione dopo ogni utilizzo. Ciò significa che l’utente può usufruire sempre di uno stato del computer desktop “nuovo” o “pulito” senza inserire alcun dato o impostazione. Hypervisor supportati Citrix XenServer Microsoft Hyper-V VMware vSphere VMware ESXi VMware Workstation VMware View Estensioni hypervisor supportate Citrix VDI-in-a-box Citrix XenDesktop 24 IMPORTANTE: le unità non persistenti non sono supportate. L’unità di sistema sulle macchine su cui è stato eseguito il provisioning deve essere Persistente. In caso contrario, l’agente ERA non funzionerà correttamente e sui computer desktop su cui è stato eseguito il provisioning potrebbero verificarsi alcuni problemi con i prodotto di protezione ESET. Strumenti (si applica sia alle macchine fisiche sia alle macchine virtuali) Microsoft SCCM Windows Server 2012 Server Manager 2.3 Hardware Per il corretto funzionamento di ESET Remote Administrator, il sistema deve soddisfare i seguenti requisiti hardware: Memoria Disco rigido Processore Connessione di rete 4 GB di RAM Almeno 20 GB di spazio libero Dual-Core, 2,0 GHz o superiore 1 Gbit/s 2.4 Database ESET Remote Administrator supporta due tipi di server di database: Microsoft SQL Server (incluse le edizioni Express e non-Express) 2008, 2008 R2, 2012, 2014 MySQL (la versione 5.5+ è supportata; si consiglia vivamente di utilizzare almeno la versione 5.6) Specificare il server del database che si desidera utilizzare durante l’installazione del server ERA o del proxy ERA. Microsoft SQL Server Express è installato per impostazione predefinita e fa parte del programma di installazione integrato. È possibile utilizzare un Microsoft SQL Server esistente in esecuzione nell'ambiente. Tuttavia, è necessario che vengano soddisfatti i requisiti minimi. Requisiti hardware del server del database Memoria 1 GB di RAM Disco rigido Almeno 10 GB di spazio libero Velocità processore Processore x86: 1,0 GHz Processore x64: 1,4 GHz Nota: per ottenere prestazioni ottimali, si consiglia di utilizzare un processore con una potenza minima di 2,0 GHz. Tipo di processore Processore x86: Processore compatibile con Pentium III o superiore Processore x64: AMD Opteron, AMD Athlon 64, Intel Xeon con supporto Intel EM64T, Intel Pentium IV con supporto EM64T Ulteriori informazioni Microsoft SQL Server Express presenta un limite di 10 GB per ciascun database relazionale e non può essere installato su un controller di dominio. Si sconsiglia di utilizzare Microsoft SQL Server Express in ambienti Enterprise o in reti di grandi dimensioni. Se si utilizza Microsoft SBS, si consiglia di installare ESET Remote Administrator su un server diverso o di non selezionare il componente SQL Server Express durante l’installazione (tale operazione richiede l’utilizzo, da parte dell’utente, di un SQL o di un MySQL Server esistente per l'esecuzione del database ERA). Se si intende utilizzare l’account utente dedicato del database che avrà accesso solo al database ERA, è necessario creare un account utente con privilegi specifici prima dell’installazione. Per ulteriori informazioni, consultare Account utente dedicato del database. È inoltre necessario creare un database vuoto che sarà utilizzato da ESET Remote Administrator. Consultare anche le istruzioni sull’installazione della configurazione di MySQL for Windows e di MySQL for Linux per un funzionamento corretto con ESET Remote Administrator. Si tenga presente che MariaDB non è supportato da ESET Remote Administrator. 25 Il server ERA e il proxy ERA non utilizzano un backup integrato. Si consiglia vivamente di eseguire il backup del server del database al fine di prevenire la perdita dei dati. 2.5 Versioni supportate di Apache Tomcat Apache Tomcat 6.x e versioni successive (a 32 bit e 64 bit) è supportato. Apache Tomcat è un componente obbligatorio per l'esecuzione di ERA Web Console. ESET Remote Administrator non supporta le versioni alfa/beta/RC di Apache Tomcat. 2.6 Browser Web supportati per ERA Web Console Per un corretto funzionamento di ERA Web Console è necessario utilizzare i browser Web supportati indicati di seguito. JavaScript deve essere abilitato. Browser Web Versione Mozilla Firefox 20+ Microsoft Internet Explorer 10+ Microsoft Edge Google Chrome 25+ 23+ Safari Opera 6+ 15+ Nota Si consiglia di eseguire regolarmente gli aggiornamenti di Firefox. La Visualizzazione Compatibilità potrebbe non funzionare correttamente. Si consiglia di eseguire regolarmente gli aggiornamenti di Chrome. 2.7 Rete È essenziale che sia sul server ERA sia sui computer client gestiti da ERA sia disponibile una connessione a Internet funzionante in modo da poter raggiungere l’archivio e i server di attivazione di ESET. Se si preferisce non connettere direttamente i client a Internet, è possibile utilizzare un server proxy (diverso dal proxy HTTP Apache o dal proxy ERA) per facilitare le comunicazioni con la rete e con Internet. I computer gestiti da ERA dovrebbero essere connessi alla stessa LAN e/o trovarsi nello stesso dominio Active Directory del server ERA. Il server ERA deve essere visibile dai computer client. Inoltre, i computer client devono essere in grado di comunicare con il server ERA per poter utilizzare la distribuzione remota e la funzione della chiamata di riattivazione. Porte utilizzate Se la rete utilizza un firewall, consultare l’elenco di possibili porte per la comunicazione di rete utilizzate in caso di installazione di ESET Remote Administrator e dei relativi componenti nell’infrastruttura. 2.7.1 Porte utilizzate Nei seguenti grafici vengono riportate tutte le possibili porte di comunicazione sulla rete utilizzate quando ESET Remote Administrator e i relativi componenti sono installati sull'infrastruttura. Altre comunicazioni vengono eseguite tramite i processi del sistema operativo nativo (ad esempio NetBIOS su TCP/IP). Server ERA: Protocollo Porta Utilizzo Descrizioni TCP TCP ERA Server in ascolto ERA Server in ascolto Comunicazione tra gli agenti ERA e ERA Server Comunicazione tra ERA Web Console ed ERA Server, utilizzata per l'installazione assistita 26 2222 2223 ERA Web Console in esecuzione sul server Web Apache Tomcat: Protocollo Porta Utilizzo Descrizioni TCP In ascolto Chiamata Console Web HTTP SSL Protocollo Porta Utilizzo Descrizioni TCP In ascolto Comunicazione tra gli agenti ERA e il proxy ERA Protocollo Porta Utilizzo Descrizioni TCP In ascolto Proxy HTTP (caching di aggiornamento) Protocollo Porta Utilizzo Descrizioni UDP 1237 In ascolto Chiamata di riattivazione per IPv4 UDP 1238 In ascolto Chiamata di riattivazione per IPv6 443 Proxy ERA: 2222 Proxy HTTP Apache: 3128 Agente ERA: Connettore dispositivi mobili: Protocollo Porta Utilizzo Descrizioni TCP 9977 Comunicazione interna tra il Connettore dispositivi mobili e l'agente ERA TCP 9978 Comunicazione interna tra il Connettore dispositivi mobili e l'agente ERA TCP 9980 In ascolto Registrazione dispositivo mobile TCP 9981 In ascolto Comunicazione dispositivo mobile TCP 5223 Comunicazione esterna con i servizi delle notifiche push di Apple TCP 2195 Invio di notifiche ai servizi delle notifiche push di Apple TCP 2196 Servizio commenti delle notifiche push di Apple TCP 443 Esegui il fallback solo sulla rete Wi-Fi, quando i dispositivi non riescono a raggiungere le APN sulla porta 5223 Agente ERA: utilizzato per la distribuzione da remoto dell'agente ERA su un computer di destinazione su cui è installato il sistema operativo Windows: Protocollo Porta Utilizzo Descrizioni TCP 139 TCP 445 UDP 137 UDP 138 Porta di destinazione dal punto Utilizzo della condivisione ADMIN$ di vista di ERA Server Porta di destinazione dal punto Accesso diretto alle risorse condivise tramite TCP/ di vista di ERA Server IP durante l'installazione remota (un'alternativa a TCP 139) Porta di destinazione dal punto Risoluzione dei nomi durante l'installazione remota di vista di ERA Server Porta di destinazione dal punto Ricerca durante l'installazione remota di vista di ERA Server 27 Le porte predefinite 2222, 2223 possono essere modificate se già in uso da parte di altre applicazioni. NOTA: per un corretto funzionamento di ESET Remote Administrator, nessuna delle porte indicate in precedenza potrà essere utilizzata da altre applicazioni. NOTA: configurare il/i firewall nella rete in modo da consentire la comunicazione tramite le porte indicate sopra. 28 3. Processo di installazione Per consultare le istruzioni per l'aggiornamento dell'installazione ERA esistente, accedere a Procedure di aggiornamento. I programmi di installazione di ESET Remote Administrator sono disponibili in formati diversi per supportare vari metodi di installazione. Ad esempio, nella sezione Download del sito Web di ESET sotto a Remote Administrator 6 (fare clic su per espandere la categoria). Da qui, è possibile scaricare i seguenti elementi: Il pacchetto del programma di installazione integrato di ERA per Windows in formato compresso Un'immagine ISO contenente tutti i programmi di installazione di ESET Remote Administrator (eccetto gli accessori virtuali di ERA) Gli accessori virtuali (file OVA). la distribuzione dell'accessorio virtuale ERA è consigliata per gli utenti che desiderano eseguire ESET Remote Administrator in un ambiente virtualizzato o preferiscono un'installazione senza problemi. Consultare la Guida completa alla distribuzione degli accessori virtuali di ERA per istruzioni dettagliate. Installazione passo dopo passo su Linux Programmi di installazione singoli per ciascun componente: per la piattaforma Windows e Linux Non modificare il campo Nome del computer della macchina del server ERA dopo l’installazione. Per ulteriori informazioni, consultare Modifica dell’indirizzo IP o del nome dell’host sul server ERA. 3.1 Installazione integrata su Windows ESET Remote Administrator può essere installato in alcuni modi diversi, scegliere il tipo di installazione più adatto alle proprie esigenze e all'ambiente. Il metodo più semplice è l'utilizzo del programma d'installazione integrato ESET Remote Administrator (ERA). Questo metodo consente di installare ESET Remote Administrator e i sui componenti su una sola macchina. L'installazione dei componenti consente di installare diversi componenti di ESET Remote Administrator su varie macchine. Ciò conferisce all'utente una maggiore libertà di personalizzazione dell'installazione. È possibile, infatti, installare ciascun componente su qualsiasi macchina, a condizione che vengano soddisfatti i requisiti di sistema. È possibile installare ERA utilizzando: L’installazione del pacchetto integrato del server ERA, del proxy,del proxy HTTP Apache o del Connettore dispositivi mobili I programmi di installazione indipendenti per i componenti ERA (installazione dei componenti) Gli scenari di installazione personalizzata includono: L’installazione su Windows Small Business Server/Essentials L’installazione con i certificati personalizzati L’installazione su un cluster di failover 29 Molti scenari di installazione richiedono l'installazione di vari componenti di ESET Remote Administrator su macchine diverse per adattare le architetture di rete, soddisfare requisiti in termini di prestazioni e così via. I seguenti pacchetti di installazione sono disponibili per componenti ESET Remote Administrator singoli: Componenti principali Server ERA ERA Web Console Agente ERA (deve essere installato sui computer client, facoltativo sul server ERA) Componenti facoltativi Proxy ERA RD Sensor Connettore dispositivi mobili Proxy Apache HTTP Strumento Mirror Per ulteriori informazioni sull'installazione dell'ultima versione (6.x) di ESET Remote Administrator, consultare questo articolo della Knowledge Base. 3.1.1 Installa il server ERA Il programma di installazione ERA integrato è disponibile solo per sistemi operativi Windows. Questa funzione consente all'utente di installare tutti i componenti ERA tramite la procedura di installazione guidata ERA. 1. Fare doppio clic sul pacchetto di installazione per eseguirlo, selezionare Server Remote Administrator e fare clic su Avanti. Se necessario, è possibile regolare le impostazioni della lingua nel menu a discesa Lingua prima di procedere. 30 2. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Selezionare i componenti applicabili per eseguire l’installazione e fare clic su Installa. MICROSOFT SQL SERVER EXPRESS: Se è già stata installata un’altra versione di Microsoft SQL Server o MySQL oppure si prevede di effettuare la connessione a un altro SQL Server, deselezionare questo componente. Non sarà possibile installare Microsoft SQL Server Express su un controller di dominio. Ciò si verificherà molto probabilmente in caso di utilizzo di Windows SBS/Essentials. Si consiglia di installare ESET Remote Administrator su un altro server oppure di utilizzare Microsoft SQL Server o MySQL Server per eseguire il database ERA. Ulteriori informazioni. IMPORTANTE: IL PROXY HTTP APACHE NON DOVREBBE ESSERE INSTALLATO DA TUTTI GLI UTENTI: Questa operazione creerà e applicherà automaticamente vari criteri basati su proxy per i client, che potrebbero incidere sulla capacità dell’utente di scaricare gli aggiornamenti. Si consiglia di deselezionare la casella di controllo accanto a Proxy HTTP Apache. Se si hanno dei dubbi sulla necessità di installare questo componente, è possibile installare il proxy HTTP Apache in un secondo momento, se lo si desidera. Qual è la differenza tra il proxy ERA e il proxy HTTP Apache? 31 3. Se durante il controllo dei prerequisiti vengono rilevati degli errori, è necessario risolverli di conseguenza. Assicurarsi che il sistema soddisfi tutti i prerequisiti. Se il sistema non dispone di spazio sul disco sufficiente per l'installazione di ERA, potrebbe comparire la seguente notifica: Sull'unità di sistema sono disponibili solo 32 MB Sul disco devono essere disponibili almeno 5000 MB. 32 4. Al termine del controllo dei prerequisiti e se l'ambiente soddisfa tutti i requisiti, verrà avviata l'installazione. 5. Inserire una Chiave di licenza valida (indicata nell’e-mail relativa al nuovo acquisto ricevuta da ESET) e fare clic su Avanti. Se si utilizzano credenziali di licenza legacy (nome utente e password), è necessario convertirle in una chiave di licenza. In alternativa, è possibile selezionare Attiva in seguito. Se si seleziona Attiva in seguito, consultare il capitolo Attivazione per ulteriori informazioni. 33 6. Se si sceglie di installare Microsoft SQL Server Express nel passaggio 2, verrà eseguito un controllo della connessione al database. Andare direttamente al passaggio 9. In presenza di un server del database esistente, verrà richiesto di inserire i dettagli della connessione al database al passaggio successivo. 7. Se si utilizza un SQL Server o MySQL esistente, configurare le impostazioni di connessione di conseguenza. Immettere il Nome del database, il Nome host e il Numero della porta (queste informazioni sono disponibili in Microsoft SQL Server Configuration Manager) e i dettagli dell'account del database (nome utente e password) nei campi appropriati, quindi fare clic su Avanti. La connessione con il database sarà verificata. Se è presente un database ERA esistente (da un'installazione di ERA precedente) sul server del database, questo sarà rilevato. È possibile scegliere Utilizza il database esistente e applica l'aggiornamento o Rimuovi il database esistente e installa la nuova versione. NOTA: per l’inserimento delle informazioni relative all’Account del database sono disponibili due opzioni. È possibile utilizzare un account utente dedicato del database che avrà accesso solo al database ERA e, in alternativa, un Account SA (MS SQL) o un Account root (MySQL). Se si decide di utilizzare un account utente dedicato, è necessario crearlo con privilegi specifici. Per ulteriori informazioni, consultare Account utente dedicato del database. Se non si intende utilizzare un account utente dedicato, inserire l’account amministratore (SA o radice). Se nella finestra precedente è stato inserito un Account SA o un Account radice, fare clic su Sì per continuare a utilizzare l'account SA/radice come utente del database per ESET Remote Administrator. Facendo clic su No, è necessario selezionare Crea nuovo utente (se non ne è già stato creato uno) o Utilizza utente esistente (se si è in possesso di un account utente dedicato del database, come indicato qui). 34 8. All'utente verrà chiesto di immettere una password per l'account Amministratore della console Web. Questa password è importante poiché verrà utilizzata per accedere a ERA Web Console. Fare clic su Avanti. 35 9. È possibile lasciare intatti questi campi oppure inserire le informazioni aziendali che compariranno nei dettagli dei certificati dell’agente ERA e del server ERA. Se si sceglie di inserire una password nel campo Password dell’autorità, fare attenzione a non dimenticarla. Fare clic su Avanti. 10. Verrà visualizzato l’avanzamento dell’installazione. 36 11. Al termine dell’installazione, comparirà il messaggio “Installazione del server ESET Remote Administrator eseguita correttamente” oltre all’indirizzo URL di ERA Web Console. Fare clic sull'indirizzo URL per aprire la console Web oppure su Fine. Se l’installazione non viene eseguita correttamente: Rivedere i file dei rapporti di installazione del pacchetto di installazione integrato; la posizione della directory dei rapporti è sempre la stessa durante l'esecuzione del programma di installazione integrato, per esempio: C:\Users\Administrator\Downloads\x64\logs\ Consultare la sezione Risoluzione dei problemi. 37 3.1.2 Installa il proxy ERA AVVISO: non installare mai il server ERA e il proxy ERA sullo stesso computer. 1. Fare doppio clic sul pacchetto di installazione per eseguirlo, selezionare Proxy Remote Administrator e fare clic su Avanti. 2. Selezionare i componenti che si desidera installare. In assenza di un server del database, è possibile installare Microsoft SQL Server Express, che è incluso nel pacchetto di installazione (scelta non consigliata per le reti Enterprise e/o di grandi dimensioni). È inoltre possibile installare ESET RD Sensor dal pacchetto di installazione. 38 3. Se si sceglie di installare Microsoft SQL Server Express nel passaggio 2, verrà eseguito un controllo della connessione al database. Andare direttamente al passaggio 10. In presenza di un server del database esistente, verrà richiesto di inserire i dettagli della connessione al database al passaggio successivo. Inserire le informazioni indicate di seguito per consentire la connessione al database: 39 a. Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows b. Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 per SQL Server c. Nome host: nome host o indirizzo IP del server del database d. Porta utilizzata per la connessione con il server e. Nome utente/Password dell'account amministratore database Se nella finestra precedente è stato inserito un Account SA o un Account radice, fare clic su Sì per continuare a utilizzare l'account SA/radice come utente del database per ESET Remote Administrator. Facendo clic su No, è necessario selezionare Crea nuovo utente (se non ne è già stato creato uno) o Utilizza utente esistente (se si è in possesso di un account utente dedicato del database, come indicato qui). 40 Questo passaggio consentirà di verificare la connessione al database. Se la connessione è corretta, è possibile procedere al passaggio successivo. 4. Configurare la connessione del proxy a ESET Remote Administrator. Inserire un Host del server (nome host/ indirizzo IP del server) e la Porta del server (2222). 5. Selezionare un Certificato del computer e una password per il certificato. Facoltativamente, è possibile aggiungere un’Autorità di certificazione. Questo valore è necessario solo in caso di utilizzo di certificati privi di firma. 41 6. L’Agente ERA sarà installato in aggiunta al proxy ERA. Seguire le istruzioni a schermo per completare l’installazione nel caso in cui l’agente ERA non sia già stato installato. 42 3.1.3 Installa ERA Mobile Device Connector (come strumento indipendente) Per installare il Connettore dispositivi mobili come strumento indipendente su un server diverso dal server ERA in esecuzione, seguire la procedura indicata di seguito. AVVISO: il Connettore dispositivi mobili deve essere accessibile da Internet in modo da consentire la gestione dei dispositivi mobili in qualsiasi momento, indipendentemente dalla loro posizione. NOTA: tenere presente che il dispositivo mobile comunica con il Connettore dispositivi mobili, influendo inevitabilmente sull'utilizzo dei dati mobili. Ciò vale soprattutto per il roaming. Per installare il Connettore dispositivi mobili su Windows, adottare la procedura illustrata di seguito: 1. Leggere prima i prerequisiti e assicurarsi che vengano soddisfatti. 2. Avviare il pacchetto di installazione. Selezionare Installa ERA Mobile Device Connector (come strumento indipendente) e fare clic su Avanti. 2. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Selezionare i componenti applicabili per eseguire l’installazione e fare clic su Installa. 3. Fare clic su Sfoglia, accedere alla posizione del Certificato SSL per la comunicazione tramite HTTPS e digitare la password per questo certificato: 43 4. Specificare il Nome host di MDM: si tratta del dominio pubblico o dell’indirizzo IP pubblico del server MDM raggiungibile dai dispositivi mobili tramite la connessione a Internet. IMPORTANTE: il nome host di MDM deve essere inserito nello stesso formato specificato nel Certificato del server HTTPS. In caso contrario, il dispositivo mobile iOS rifiuterà l’installazione del Profilo di MDM. Per esempio, in presenza di un indirizzo IP specificato nel certificato HTTPS, è necessario digitare questo valore nel campo Nome host di MDM. Se è stato specificato l'FQDN (per es. mdm.mycompany.com) nel campo Certificato HTTPS, inserire questo valore nel campo Nome host di MDM. Inoltre, in caso di utilizzo di un carattere jolly * (per es. *.mycompany.com ) nel campo Certificato HTTPS, è possibile utilizzare mdm.mycompany.com nel campo Nome host di MDM. 44 5. Poiché il programma di installazione deve creare un nuovo database che sarà utilizzato dal Connettore dispositivi mobili, è necessario fornire i dettagli della connessione: Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/Driver ODBC 11 per SQL Server Nome del database: è possibile lasciare il nome predefinito o modificarlo, se necessario Nome host: nome host o indirizzo IP del server del database Porta: porta utilizzata per la connessione al server del database Nome utente/Password dell'account dell’amministratore del database NOTA: è consigliabile utilizzare lo stesso server del database che si utilizza per il database ERA. Tuttavia, se richiesto, è possibile utilizzare un server del database diverso. Dopo aver fatto clic sul pulsante Avanti, il programma di installazione del Connettore dispositivi mobili creerà il proprio database. 6. Specificare l'utente per il nuovo database del Connettore dispositivi mobili. È possibile scegliere Crea nuovo utente o Utilizza utente del database esistente. Digitare la password per l'utente del database. 7. Immettere l’Host del server (nome o indirizzo IP del server ERA) e la Porta del server (la porta predefinita è 2222. Se si utilizza una porta differente, sostituire quella predefinita con il numero di porta personalizzato). 8. Sono ora disponibili due opzioni per proseguire con l'installazione: o Installazione assistita dal server: sarà necessario fornire le credenziali di amministratore di ERA Web Console (il programma di installazione scaricherà automaticamente i certificati richiesti). 1. Immettere l’Host del server (nome o indirizzo IP del server ERA) e la Porta della console Web (lasciare la porta predefinita 2223 se non si utilizza una porta personalizzata). Fornire inoltre le credenziali dell'account amministratore della console Web: nome utente/password. 2. Se richiesto, accettare il certificato, facendo clic su Sì. Procedere al passaggio 9. o Installazione off-line: sarà necessario fornire il Certificato del proxy che può essere esportato da ESET Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato. 1. Fare clic su Sfoglia e accedere al percorso del Certificato del computer (ovvero il certificato del proxy esportato da ERA). Lasciare vuoto il campo di testo Password del certificato poiché questo certificato non richiede la password. Procedere al passaggio 9. 45 NOTA: se si utilizzano certificati personalizzati con ERA (anziché quelli predefiniti generati automaticamente durante l'installazione di ESET Remote Administrator), utilizzare i certificati personalizzati di conseguenza. 9. Specificare la cartella di destinazione per il Connettore dispositivi mobili (si consiglia di utilizzare il percorso predefinito), fare clic su Avanti, quindi su Installa. 10. Al termine dell'installazione, verificare la corretta esecuzione del Connettore dispositivi mobili aprendo https:// your-mdm-hostname:enrollment-port (per esempio https://mdm.company.com:9980) nel browser Web in uso o da un dispositivo mobile. Se l'installazione è stata eseguita correttamente, verrà visualizzato il seguente messaggio: 11. È ora possibile attivare l'MDM da ERA Remote Administrator. 46 3.1.4 Disinstalla componenti Per disinstallare i componenti ERA, eseguire il programma di installazione integrato di ERA utilizzato durante l’installazione di ERA e selezionare Disinstalla componenti di Remote Administrator. È anche possibile selezionare la Lingua dal menu a discesa prima di procedere. Dopo aver accettato l'Accordo di licenza per l'utente finale (ALUF), fare clic su Avanti. Selezionare i componenti da disinstallare e fare clic su Disinstalla. 47 NOTA: Potrebbe essere necessario riavviare il computer per completare la rimozione di alcuni componenti particolari. 48 3.1.5 Certificati personalizzati con ERA Se nell’ambiente è presente una PKI (infrastruttura a chiave pubblica) e si desidera che ESET Remote Administrator utilizzi i certificati personalizzati per le comunicazioni tra i suoi componenti, adottare la seguente procedura per eseguire l'impostazione completa. NOTA: l’esempio illustrato sotto è stato eseguito su un Windows Server 2012 R2. In caso di utilizzo di una versione diversa di Windows Server, alcune schermate potrebbero presentare delle leggere differenze per l’utente. Tuttavia, l’obiettivo della procedura rimane invariato. Ruoli del server richiesti: Active Directory Certificate Services (AD CS). Active Directory Domain Services. 1. Aprire Console di gestione e aggiungere gli snap-in dei Certificati: Accedere al server come membro del gruppo Amministratore locale. Eseguire mmc.exe per aprire la Console di gestione. Fare clic su File nel menu in alto e selezionare Aggiungi/Rimuovi snap-in… (oppure premere CTRL+M). Selezionare Certificati nel riquadro sulla sinistra e fare clic sul pulsante Aggiungi. 49 Selezionare Account del computer e fare clic su Avanti. Assicurarsi che Computer locale sia selezionato (impostazione predefinita) e fare clic su Fine. Fare clic su OK. 2. Creare una Richiesta di certificato personalizzata: Fare doppio clic sui Certificati (computer locale) per espandere la voce. Fare doppio clic su Personale per espandere la voce. Fare clic con il pulsante destro del mouse su Certificati e selezionare Tutte le attività > Operazioni avanzate e scegliere Crea richiesta personalizzata... 50 In seguito all’apertura della finestra della procedura guidata Registrazione certificato, fare clic su Avanti. Selezionare l’opzione Procedi senza criterio di registrazione e fare clic su Avanti per continuare. Scegliere Chiave legacy (nessun modello) dall’elenco a discesa e assicurarsi che sia selezionato il formato di richiesta PKCS #10. Fare clic su Avanti. 51 Espandere la sezione Dettagli facendo clic sulla freccia in giù, quindi fare clic sul pulsante Proprietà. Nella scheda Generale, digitare un Nome facile da ricordare per il certificato; è anche possibile compilare il campo Descrizione (facoltativo). Nella scheda Soggetto, eseguire le operazioni indicate di seguito: Nella sezione Nome soggetto, scegliere Nome comune dall’elenco a discesa in Tipo e inserire era server nel campo Valore, quindi fare clic sul pulsante Aggiungi. CN=era server comparirà nella casella informativa sulla destra. In caso di creazione di una richiesta di certificato per l'agente ERA o il proxy ERA, digitare era agent o era proxy nel sottocampo Valore del campo Nome comune. 52 NOTA: il campo Nome comune deve contenere una delle seguenti stringhe: "server", "agente" o "proxy", in base alla richiesta di certificato che si desidera creare. Nella sezione Nome alternativo, scegliere DNS dall’elenco a discesa in Tipo e inserire * (asterisco) nel campo Valore, quindi fare clic sul pulsante Aggiungi. Nella scheda Estensioni, espandere la sezione Utilizzo chiave facendo clic sulla freccia in giù. Aggiungere i valori desiderati tra le opzioni che seguono: Firma digitale, Chiave concordata, Crittografia a chiave. Deselezionare l’opzione Rendi questi utilizzi delle chiavi critici utilizzando l’apposita casella di controllo. 53 Nella scheda Chiave privata, eseguire le operazioni indicate di seguito: Espandere la sezione Provider di servizi crittografici facendo clic sulla freccia in giù. Comparirà un elenco di provider di servizi crittografici (CSP). Assicurarsi che sia selezionato solo Microsoft RSA SChannel Cryptographic Provider (Encryption). 54 NOTA: deselezionare tutti gli altri CSP (tranne Microsoft RSA SChannel Cryptographic Provider (Encryption), che deve essere selezionato). Espandere la sezione Opzioni chiave. Nel menu Dimensioni chiave, selezionare un valore di almeno 2048. Selezionare Rendi chiave privata esportabile. Espandere la sezione Tipo di chiave e selezionare l’opzione Exchange. Fare clic su Applica e verificare le impostazioni. Fare clic sul pulsante OK. Dopo aver visualizzato le informazioni sul certificato, fare clic sul pulsante Avanti per continuare. Fare clic sul pulsante Sfoglia per selezionare il percorso in cui verrà salvata la richiesta di firma del certificato (CSR). Digitare il nome del file e assicurarsi di aver selezionato Base 64. 55 Fare clic sul pulsante Fine per generare il CSR. 3. Importare la Richiesta di certificato personalizzata ed emettere un Certificato personalizzato a partire dalle richieste in sospeso. Aprire Gestione server, fare clic su Strumenti > Autorità di certificazione. Nella struttura Autorità di certificazione (locale), selezionare la scheda Server in uso (solitamente FQDN) > Proprietà > Modulo criterio e fare clic sul pulsante Proprietà.... Assicurarsi di aver selezionato Imposta stato richiesta certificato su In sospeso. L’amministratore deve selezionare l’opzione Emetti esplicitamente il certificato. In caso contrario, utilizzare il pulsante della radio per selezionare l'opzione. In caso di mancata selezione, la funzione non verrà eseguita correttamente. In caso di modifica dell’impostazione, riavviare i servizi dei certificati Active Directory. 56 Nella struttura Autorità di certificazione (locale), selezionare Server in uso (solitamente FQDN) > Tutte le attività > Invia nuova richiesta... e accedere al file CSR creato al passaggio 2. Il certificato sarà aggiunto tra le Richieste in sospeso. Selezionare il CSR nel riquadro di navigazione sulla destra. Nel menu Azione, selezionare Tutte le attività > Emetti. 4. Esportare il Certificato personalizzato emesso nel file .tmp. Fare clic su Certificati emessi nel riquadro sulla sinistra. Fare clic con il pulsante destro del mouse sul certificato che si desidera esportare, quindi su Tutte le attività > Esporta dati binari... Nella finestra di dialogo Esporta dati binari, scegliere Certificato binario nell’elenco a discesa e, nelle opzioni Esporta, fare clic su Salva dati binari in un file, quindi su OK. Nella finestra di dialogo Salva dati binari, spostare il percorso del file dove si desidera salvare il certificato e fare clic su Salva. 5. Importare il file .tmp creato Accedere a Certificato (computer locale) > fare clic con il pulsante destro del mouse su Personale, selezionare Tutte le attività > Importa... Fare clic su Avanti... Individuare il file binario .tmp salvato in precedenza utilizzando Sfoglia... e fare clic su Apri. Selezionare Posiziona tutti i certificati nel seguente archivio > Personale. Fare clic su Avanti. Il certificato sarà importato dopo aver fatto clic su Fine. 57 6. Esportare il certificato contenente la chiave privata nel file .pfx. In Certificati (computer locale) espandere Personale e fare clic su Certificati, selezionare il certificato creato che si desidera esportare, nel menu Azione, e puntare su Tutte le attività> Esporta... Nella Procedura guidata Esportazione certificato, fare clic su Sì, esporta la chiave privata (questa opzione comparirà solo se la chiave privata è contrassegnata come esportabile e l’utente può accedervi). In Esporta formato file, selezionare Includi tutti i certificati nel percorso di certificazione, selezionare la casella di controllo Includi tutti i certificati nel percorso di certificazione se possibile e fare clic su Avanti. Password, digitare una password per eseguire la crittografia della chiave privata che si sta esportando. In Conferma password, digitare nuovamente la stessa password e fare clic su Avanti. 58 Nome del file, digitare un nome e un percorso per il file .pfx in cui saranno memorizzati il certificato esportato e la chiave privata. Fare clic su Avanti, quindi su Fine. 7. Dopo aver creato il certificato .pfx personalizzato, è possibile configurare i componenti ERA per poterlo utilizzare. NOTA: gli esempi precedenti illustrano le modalità di creazione del certificato del server ERA. Ripetere gli stessi passaggi per i certificati dell'agente ERA e del proxy ERA. Il certificato del proxy ERA può essere utilizzato da ERA MDM. Configurare il server ERA per iniziare a utilizzare il certificato .pfx personalizzato. 59 Per consentire all’agente ERA o al proxy ERA/all’MDM di utilizzare il certificato personalizzato .pfx, eseguire la riparazione del componente appropriato. Premere Avvio > Programmi e funzionalità, fare clic con il pulsante destro del mouse sull’Agente ESET Remote Administrator e selezionare Cambia. Fare clic sul pulsante Avanti ed eseguire Ripara. Fare clic su Avanti lasciando inalterati i campi Host del server e Porta del server. Fare clic sul pulsante Sfoglia accanto a Certificato del computer e individuare il file del certificato personalizzato .pfx. Digitare la password del certificato che è stata specificata al passaggio 6. Fare clic su Avanti per completare la riparazione. L'agente ERA utilizza ora un certificato personalizzato .pfx. 3.1.6 Windows SBS/Essentials Assicurarsi che vengano soddisfatti tutti i Requisiti, specialmente quelli relativi al Sistema operativo supportato. NOTA:: alcune versioni precedenti di Microsoft SBS, incluse le versioni di Microsoft SQL Server Express, non sono supportate da ESET Remote Administrator: Microsoft SBS 2003 x86 SP2 Microsoft SBS 2003 x86 R2 Microsoft SBS 2008 x64 SP2 Se si è in possesso di una qualsiasi delle versioni di cui sopra di Windows Small Business Server e si desidera installare il database ERA su Microsoft SBS, è necessario utilizzare una versione più recente di Microsoft SQL Server Express. o Se Microsoft SQL Express non è installato su SBS, seguire la procedura sottostante. o Se Microsoft SQL Express non è installato su SBS ma non viene utilizzato, disinstallarlo e seguire la procedura sottostante. o Se si utilizza la versione di Microsoft SQL Server Express fornita unitamente a SBS, eseguire la migrazione del database a una versione di SQL Express compatibile con il server ERA. Per eseguire questa operazione, effettuare il backup dei database, disinstallare l'installazione precedente di Microsoft SQL Server Express e seguire la procedura sottostante per installare una versione compatibile di Microsoft SQL Server Express e ripristinare i database se necessario. 1. Scaricare il pacchetto del programma di installazione ERA in un formato compresso dalla sezione Download del sito Web di ESET in Remote Administrator 6 (fare clic su + per espandere la categoria). 60 2. Decomprimere il file del programma di installazione scaricato al passaggio uno, aprire la cartella dei programmi di installazione e fare doppio clic sul programma di installazione Microsoft SQL Express. Nell'esempio in questione, si utilizza SQLEXPR_2014_x86_ENU: o All'apertura del Centro di installazione, fare clic su Nuova installazione o aggiungere funzioni a un'installazione esistente per avviare la procedura guidata di installazione. NOTA: nel passaggio 8 del processo di installazione, impostare la modalità di autenticazione su Modalità mista (autenticazione di SQL Server e autenticazione di Windows). NOTA: per installare il server ERA su SBS, è necessario consentire le connessioni TCP/IP su SQL Server. 3. Installare ESET Remote Administrator mediante l'esecuzione di Setup.exe: 61 4. Selezionare i componenti che si desidera installare, assicurarsi di deselezionare Microsoft SQL Server Express e fare clic su Installa. 3.2 Installazione componenti su Windows Molti scenari di installazione richiedono l'installazione di vari componenti di ESET Remote Administrator su macchine diverse per adattare le architetture di rete, soddisfare requisiti in termini di prestazioni e così via. I seguenti pacchetti di installazione sono disponibili per componenti ESET Remote Administrator singoli: Componenti principali Server ERA ERA Web Console Agente ERA (deve essere installato sui computer client, facoltativo sul server ERA) Componenti facoltativi Proxy ERA RD Sensor Connettore dispositivi mobili Proxy Apache HTTP Strumento Mirror Per ulteriori informazioni sull'installazione dell'ultima versione (6.x) di ESET Remote Administrator, consultare questo articolo della Knowledge Base. Se si desidera eseguire l'installazione nella lingua locale, è necessario avviare il programma di installazione MSI dello specifico componente ERA attraverso la riga di comando. Segue un esempio di esecuzione dell'installazione in lingua slovacca: 62 Per selezionare la lingua in cui si desidera eseguire il programma di installazione, specificare il parametro TRANSFORMS corrispondente in base alla tabella che segue: Lingua Inglese (Stati Uniti) Arabo (Egitto) Cinese semplificato Cinese tradizionale Croato (Croazia) Ceco (Repubblica Ceca) Francese (Francia) Francese (Canada) Tedesco (Germania) Italiano (Italia) Giapponese Coreano (Corea) Polacco (Polonia) Portoghese (Brasile) Russo (Russia) Spagnolo (Cile) Spagnolo (Spagna) Slovacco (Slovacchia) Codice en-US ar-EG zh-CN zh-TW hr-HR cs-CZ fr-FR fr-FC de-DE it-IT jp-JP ko-KR pl-PL pt-BR ru-RU es-CL es-ES sk-SK 63 3.2.1 Installazione del server Per installare il componente Server ERA su Windows, adottare la procedura che segue: 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Assicurarsi che vengano soddisfatti tutti i prerequisiti. 3. Eseguire il programma di installazione del server ERA e accettare l'EULA, se d'accordo. 4. Lasciare vuota la casella di controllo accanto a Questa è un’installazione cluster e fare clic su Avanti. Questa è un’installazione cluster? nel caso in cui si stia installando il server ERA su un cluster di failover, selezionare la casella di controllo accanto a Questa è un'installazione cluster. Specificare il Percorso personalizzato ai dati dell'applicazione per puntare all'archiviazione condivisa per il cluster. È necessario che i dati siano archiviati in una posizione che sia accessibile da tutti i nodi all'interno del cluster. 5. Inserire una Chiave di licenza ERA valida o scegliere Attiva in seguito. 6. Selezionare un Account utente di servizio. Questo account verrà utilizzato per eseguire il servizio del server ESET Remote Administrator. Sono disponibili le seguenti opzioni: Account servizio di rete Utente specificato: DOMINIO/NOME UTENTE 64 7. Effettuare la connessione a un database. Tutti i dati vengono memorizzati qui (password di ERA Web Console, rapporti dei computer client, ecc.): Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 per SQL Server Nome database: è possibile lasciare il nome predefinito o modificarlo, se necessario Nome host: nome host o indirizzo IP del server del database Porta: utilizzata per la connessione al server del database Nome utente/Password dell'account amministratore database NOTA: il server ERA memorizza enormi quantità di blob di dati nel database. Di conseguenza, è necessario configurare MySQL per accettare pacchetti di grandi dimensioni che garantiscano un corretto funzionamento di ERA. Questo passaggio consentirà di verificare la connessione al database. Se la connessione è corretta, è possibile procedere al passaggio successivo. 8. Selezionare un utente per ESET Remote Administrator che ha accesso al database. È possibile utilizzare un utente esistente oppure ne verrà creato uno dalla configurazione. 10.Inserire una password per l'accesso alla Console Web. 65 11. ESET Remote Administrator utilizza certificati per la comunicazione client-server. È possibile selezionare i propri certificati oppure i certificati creati dal Server. 12. Inserire le informazioni per tutti i certificati e la password per l’Autorità di certificazione. facendo attenzione a non dimenticarla. 13. Verrà creato un nuovo Certificato del computer del server, per il quale dovrà essere selezionata anche una password. 14. Nel passaggio successivo, selezionare una password per i Certificati del computer dell’agente e del proxy. Facoltativamente, è possibile specificare informazioni aggiuntive sui certificati (scelta opzionale). È possibile lasciare vuoto il campo Password dell'autorità ma se si immette la password, prestare attenzione a ricordarla. 15.La configurazione può eseguire un'attività di Sincronizzazione di gruppi statici iniziale. Selezionare il metodo (Non sincronizzare, Sincronizza con la rete Windows, Sincronizza con Active Directory) e fare clic su Avanti. 16.Confermare o modificare la cartella di installazione per il server e fare clic su Avanti. 17.Fare clic su Installa per installare il server. NOTA: al termine dell'installazione del server ERA, è possibile installare anche l'agente ERA sulla stessa macchina (facoltativo). In tal modo, sarà possibile gestire il server allo stesso modo di un computer client. 3.2.1.1 Prerequisiti server - Windows Per installare il server ERA su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti: È necessario che sia disponibile una licenza valida. Le porte richieste devono essere aperte e disponibili: per un elenco completo delle porte, fare clic qui. Server del database (Microsoft SQL Server o MySQL) installato e in esecuzione. Per ulteriori informazioni, consultare requisiti del database. Se non si dispone di un server del database esistente, si consiglia di revisionare i dettagli della Configurazione di SQL Server per configurare correttamente SQL ai fini dell'utilizzo con ESET Remote Administrator. Java Runtime Environment (JRE) deve essere installato (è possibile scaricarlo da http://java.com/en/download/), utilizzare sempre l'ultima versione di Java rilasciata ufficialmente. 66 È necessario che sia installato Microsoft .NET Framework 3.5. Se si esegue Windows Server 2008 o 2012, è possibile installarlo tramite la Procedura guidata regole e funzioni (come mostrato di seguito), mentre se si utilizza Windows Server 2003, è possibile scaricare .NET 3.5 all'indirizzo http://www.microsoft.com/en-us/ download/details.aspx?id=21 3.2.2 Requisiti di Microsoft SQL Server Uno dei prerequisiti consiste nell'installazione e nella configurazione di Microsoft SQL Server. È necessario che vengano soddisfatti i seguenti requisiti: Installare Microsoft SQL Server 2008 R2 o versioni successive e, in alternativa, Microsoft SQL Server 2008 R2 Express o versioni successive. Scegliere l'autenticazione Modalità mista durante l'installazione. Se Microsoft SQL Server è già stato installato, impostare l'autenticazione su Modalità mista (autenticazione di SQL Server e autenticazione di Windows). Per eseguire questa operazione, seguire le istruzioni contenute in questo articolo della Knowledge Base. Consentire le connessioni TCP/IP a SQL Server. Per eseguire questa operazione, seguire le istruzioni contenute in questo articolo della Knowledge Base a partire dalla sezione II. Consentire le connessioni TCP/IP al database SQL. NOTA: per la configurazione, la gestione e l’amministrazione di Microsoft SQL Server (database e utenti), scaricare SQL Server Management Studio (SSMS). NOTA: se si sceglie di installare Microsoft SQL Server Express durante l'installazione, non sarà possibile eseguire l'operazione su un controller di dominio. Ciò si verificherà molto probabilmente se si utilizza Microsoft SBS. . Se si utilizza Microsoft SBS, è consigliabile installare ESET Remote Administrator su un server diverso o non selezionare il componente SQL Server Express durante l'installazione (poiché richiede l'utilizzo di un SQL Server o MySQL esistente per l'esecuzione del database ERA). Per consultare le istruzioni per l'installazione del server ERA su un controller di dominio, leggere questo articolo della Knowledge Base. 67 3.2.3 Installazione e configurazione di MySQL Server Installazione Scaricare MySQL Windows Installer da http://dev.mysql.com/downloads/installer/ ed eseguirlo. Durante la configurazione dell’installazione, selezionare Personalizza > Server MySQL e Connettere ODBC per eseguire l’installazione. Configurazione Aprire il seguente file in un editor di testo: C:\ProgramData\MySQL\MySQL Server 5.7\my.ini Trovare e modificare o aggiungere la seguente configurazione nella sezione [mysqld] del file my.ini: max_allowed_packet=33M Per MySQL 5.6.20 e 5.6.21 (è possibile determinare la versione di MySQL utilizzando mysql -v): o innodb_log_file_size deve essere impostato almeno su 200 MB (per esempio innodb_log_file_size=200M) Per MySQL >= 5.6.22: o innodb_log_file_size*innodb_log_files_in_group deve essere impostato almeno su 200 MB (* indica la moltiplicazione; il prodotto dei due parametri deve essere > 200 MB. Il valore minimo per innodb_log_files_in_group è 2) Salvare e chiudere il file e inserire il seguente comando per riavviare il server MySQL e applicare la configurazione (il nome del processo dipende dalla versione di MySQL, versione 5.7 = MySQL57, ecc.): net stop mysql57 net start mysql57 Immettere il seguente comando nel prompt dei comandi per controllare se il server MySQL è in esecuzione: sc query mysql57 68 3.2.4 Account utente dedicato del database Se non si desidera utilizzare un Account SA (MS SQL) o un Account radice (MySQL), è possibile creare un Account utente dedicato del database. L'account utente dedicato sarà utilizzato esclusivamente per accedere al database ERA. Si consiglia di creare un account utente dedicato nel server del database prima di avviare l’installazione di ESET Remote Administrator. È necessario inoltre creare un database vuoto al quale sarà possibile accedere mediante ESET Remote Administrator utilizzando l'account utente dedicato. NOTA: a un account utente dedicato del database è necessario garantire un set minimo di privilegi. MySQL user privileges: ALTER, ALTER ROUTINE, CREATE, CREATE ROUTINE, CREATE TEMPORARY TABLES, CREATE VIEW, DELETE, DROP, EXECUTE, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE, TRIGGER - per ulteriori informazioni sui privilegi MySQL, consultare http://dev.mysql.com/doc/refman/5.7/en/grant.html Ruoli a livello di database di Microsoft SQL Server: L’utente di un database ERA deve essere membro del ruolo del database db_owner. Per ulteriori informazioni sui ruoli a livello di database di Microsoft SQL Server, consultare https://msdn.microsoft.com/en-us/library/ ms189121%28v=sql.100%29.aspx 3.2.5 Installazione dell’agente In questo argomento viene illustrata l'installazione locale dell'agente ERA locale su una workstation client. NOTA: consultare il Manuale di gestione o questo articolo della Knowledge Base per scoprire altri metodi di installazione dell'agente ERA sui client. Per installare il componente Agente ERA a livello locale su Windows, adottare la procedura che segue: 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Eseguire il programma di installazione dell'agente ERA e accettare l'EULA, se d'accordo. 3. Lasciare vuota la casella di controllo accanto a Questa è un’installazione cluster e fare clic su Avanti. Questa è un’installazione cluster? nel caso in cui si stia installando l'agente ERA su un cluster di failover, selezionare la casella di controllo accanto a Questa è un'installazione cluster. Specificare il Percorso personalizzato ai dati dell'applicazione per puntare all'archiviazione condivisa del cluster. È necessario che i dati siano archiviati in una posizione che sia accessibile per tutti i nodi all'interno del cluster. 69 4. Inserire l’Host del server (nome host o indirizzo IP del server ERA o del proxy ERA) e la Porta del server (la porta predefinita è 2222. Se si utilizza una porta differente, sostituire quella predefinita con il numero di porta personalizzato). IMPORTANTE: accertarsi che l'Host del server corrisponda ad almeno uno dei valori (idealmente FQDN) definiti nel campo Host del Certificato del server. In caso contrario, verrà visualizzato l'errore “Il certificato del server ricevuto non è valido”. L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del certificato del server, che indica che funzionerà con qualsiasi Host del server. 5. Selezionare una delle seguenti opzioni di installazione e attenersi ai passaggi relativi alla sezione appropriata qui di seguito: Installazione assistita dal server: sarà necessario fornire le credenziali dell'amministratore di ERA Web Console (i certificati richiesti saranno scaricati automaticamente). Installazione off-line: sarà necessario fornire un Certificato dell’agente, che può essere esportato da ESET Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato. 3.2.5.1 Installazione dell’agente assistita dal server: Per proseguire con l’installazione dell’agente assistita dal server illustrata nel capitolo precedente: 1. Inserire il nome host o l’indirizzo IP di ERA Web Console (corrispondente a quello del server ERA) nel campo Host del server. Lasciare la Porta della console Web impostata sul valore predefinito 2223 se non si utilizza una porta personalizzata. Inserire inoltre le credenziali dell'account della console Web nei campi Nome utente e Password. IMPORTANTE: accertarsi che l’Host del server corrisponda ad almeno uno dei valori (idealmente FQDN) definiti nel campo Host del Certificato del server. In caso contrario, verrà visualizzato l'errore “Il certificato del server ricevuto non è valido”. L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del certificato del server, che indica che funzionerà con qualsiasi Host del server. 2. Se si desidera accettare il certificato, fare clic su Sì quando richiesto. 3. Scegliere Non creare computer o Scegli gruppo statico personalizzato. Se si seleziona Scegli gruppo statico personalizzato sarà possibile effettuare la scelta da un elenco di Gruppi statici esistenti in ERA. Il computer verrà aggiunto nel gruppo selezionato dall'utente. 4. Specificare una cartella di destinazione per l'agente ERA (si consiglia di utilizzare il percorso predefinito), fare clic su Avanti, quindi su Installa. 70 3.2.5.2 Installazione off-line dell’agente Per proseguire con l’installazione off-line dell’agente illustrata nel capitolo precedente: 1. Fare clic su Sfoglia e accedere al percorso del certificato del computer (ovvero il certificato dell'agente esportato da ERA). Lasciare vuoto il campo di testo Password del certificato in quanto questo certificato non richiede una password. Non è necessario ricercare un’Autorità di certificazione (lasciare questo campo vuoto). NOTA: se si utilizza un certificato personalizzato con ERA (anziché quelli predefiniti generati automaticamente durante l'installazione di ESET Remote Administrator), utilizzarlo di conseguenza. 2. Fare clic su Avanti per eseguire l'installazione nella cartella predefinita oppure fare clic su Cambia per scegliere un'altra cartella (si consiglia di utilizzare il percorso predefinito). 3.2.5.3 Disinstallazione dell’agente e risoluzione dei problemi L’agente ERA può essere disinstallato in vari modi. Disinstallazione remota con ERA Web Console 1. Accedere a ERA Web Console. 2. Dal riquadro Computer, selezionare un computer dal quale si desidera rimuovere l’agente ERA e fare clic su Nuova attività. In alternativa, selezionare più di un computer utilizzando le caselle di controllo corrispondenti e fare clic su Attività > Nuova attività. 3. Digitare un Nome per l’attività. 4. Dal menu a discesa Categoria attività, selezionare ESET Remote Administrator. 5. Dal menu a discesa Attività, selezionare Interrompi gestione (disinstalla agente ERA). 6. Rivedere il Riepilogo dell’attività e fare clic su Fine. NOTA: consultare anche le informazioni Attività client contenute nel Manuale di gestione. Disinstallazione locale 1. Effettuare la connessione al computer dell’endpoint dal quale si desidera rimuovere l’agente ERA (per esempio tramite RDP). 2. Accedere a Pannello di controllo > Programmi e funzionalità e fare doppio clic su Agente ESET Remote Administrator. 3. Fare clic su Avanti > Rimuovi e seguire le istruzioni sulla disinstallazione. IMPORTANTE: in caso di configurazione di una password mediante un criterio per gli agenti ERA in uso, sarà necessario digitarla durante la disinstallazione. In alternativa, prima di procedere con la disinstallazione dell’agente ERA, disattivare il criterio. Risoluzione dei problemi relativi alla disinstallazione dell’agente ERA Vedere i file di rapporto dell’agente ERA. Non è possibile eseguire la disinstallazione dell’agente ERA con ESET Uninstaller. Non è possibile disinstallare l'agente ERA utilizzando un metodo non standard (come la rimozione dei file e la rimozione del servizio e delle voci di registro dell’agente ERA) con un prodotto ESET Endpoint installato sulla stessa macchina, a causa della presenza di un sistema di Autodifesa attivato. Per ulteriori informazioni su tale aspetto, consultare questo articolo della Knowledge Base. 71 3.2.6 Installazione della console Web Per installare il componente ERA Web Console su Windows, seguire la procedura sottostante: 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Verificare che vengano installati i seguenti componenti: Server ERA. Java: utilizzare sempre l'ultima versione di Java rilasciata ufficialmente (ERA Web Console richiede come requisito minimo Java versione 7, ma si consiglia vivamente di utilizzare l'ultima versione). Apache Tomcat (una versione supportata). Si consiglia di installare Apache Tomcat utilizzando Windows Service Installer (.exe). File della console Web (era.war) salvato sul disco rigido locale. 3. Copiare era.war nella cartella delle applicazioni Web di Apache Tomcat: Premere Avvio > Apache Tomcat > Directory del programma Tomcat e aprire la cartella webapps (nella maggior parte dei sistemi operativi posizionata in C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\). 4. Attendere alcuni minuti per consentire il completamento dell’estrazione del file e dell’installazione di ERA Web Console. 5. Riavviare il servizio Apache Tomcat. Avvio > Apache Tomcat > Configura Tomcat. Fare clic su Arresta, attendere 30 secondi, quindi fare clic su Avvio. 6. Aprire ERA Web Console nel browser: http://localhost:8080/era/. A questo punto comparirà una schermata di accesso. NOTA: la porta HTTP, il cui valore predefinito è 8080, viene impostata durante l’installazione manuale di Apache Tomcat. È inoltre possibile configurare la connessione HTTPS per Apache Tomcat. 3.2.7 Installazione del proxy Per installare il componente ERA Proxy Server su Windows, seguire la procedura sottostante: 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 1. Assicurarsi che vengano soddisfatti tutti i prerequisiti. 2. Eseguire il programma di installazione del proxy ERA e accettare l'Accordo di licenza per l’utente finale (EULA), se d'accordo. 3. Lasciare vuota la casella di controllo accanto a Questa è un’installazione cluster e fare clic su Avanti. Questa è un’installazione cluster? Nel caso in cui si stia installando il proxy ERA su un cluster di failover, selezionare la casella di controllo accanto a Questa è un'installazione cluster. Se l'installazione viene eseguita su un cluster di failover, specificare il Percorso personalizzato ai dati dell'applicazione per puntare all'archiviazione condivisa del cluster. È necessario che i dati siano archiviati in una posizione che sia accessibile da tutti i nodi all'interno del cluster. 4. Selezionare un account utente di servizio. Questo account verrà utilizzato per eseguire il servizio del server ESET Remote Administrator. Sono disponibili le seguenti opzioni: a. Account servizio di rete b. Account personalizzato: DOMINIO/NOME UTENTE 72 5. Effettuare la connessione a un database. Tutti i dati vengono memorizzati qui, dalla password di ERA Web Console ai rapporti dei computer client. Verrà richiesto di inserire le informazioni seguenti: a. Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows b. Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/Driver ODBC 11 per SQL Server c. Nome host: il nome host o l'indirizzo IP del server del database d. La porta utilizzata per la connessione al server e. Nome database: il nome host o l'indirizzo IP del server del database f. Nome utente e password dell'account Amministratore del database g. Nome utente e password del database ERA Questo passaggio consentirà di verificare la connessione al database. Se la connessione è corretta, è possibile procedere al passaggio successivo. Se non è possibile stabilire una connessione, verrà visualizzato un messaggio di errore. 7. Selezionare una porta di comunicazione del proxy. Per impostazione predefinita, verrà utilizzata la porta 2222. 8. Configurare la connessione del proxy al server ESET Remote Administrator. Inserire un Host del server (nome host/indirizzo IP del server ERA) e la Porta del server (2222). IMPORTANTE: Accertarsi che l'Host del server corrisponda ad almeno uno dei valori (idealmente FQDN) definiti nel campo Host del Certificato del server. In caso contrario, si riceverà l'errore "Il certificato del server ricevuto non è valido". L'unica eccezione è la presenza di un carattere jolly (*) nel campo Host del certificato del server, che indica che funzionerà con qualsiasi Host del server. 9. Selezionare un Certificato del computer e una password per il certificato. Facoltativamente, è possibile aggiungere un’Autorità di certificazione. Questo valore deve essere inserito necessariamente solo per i certificati privi di firma. 10.Selezionare una cartella in cui verrà installato il Proxy oppure lasciare selezionata la cartella predefinita. 11.Fare clic su Installa. Il Proxy verrà installato sul computer in uso. NOTA: durante l'installazione del proxy ERA, l'installazione assistita dal server non è supportata. 3.2.7.1 Prerequisiti del proxy Per installare il componente ERA Proxy Server su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti: AVVISO: non installare mai il server ERA e il proxy ERA sullo stesso computer. Il Server ERA ed ERA Web Console sono installati (su un computer server). Il Certificato del proxy creato e scaricato sull'unità locale. L'Autorità di certificazione preparata sull'unità locale. Una licenza valida. Un server del database già installato e configurato. Assicurarsi che vengano soddisfatti i Requisiti di Microsoft SQL. Un driver ODBC per la connessione al server del database (MySQL/MS SQL) installato sul computer. Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato su un computer locale. Per la risoluzione dei problemi, è disponibile il file di rapporto del proxy ERA. 73 3.2.8 Installazione di RD Sensor Per installare il componente RD Sensor su Windows, adottare la procedura che segue: 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Assicurarsi che vengano soddisfatti tutti i prerequisiti. 3. Fare doppio clic sul file del programma di installazione di RD Sensor per avviare l'installazione. 4. Selezionare il punto in cui RD Sensor verrà installato e fare clic su Avanti > Installa. 3.2.8.1 Prerequisiti di RD Sensor Per installare il componente RD Sensor su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti: WinPcap: utilizzare l'ultima versione di WinPcap (versione minima: 4.1.0) È necessario configurare correttamente la rete (porte appropriate aperte, comunicazioni in entrata non bloccate da un Firewall, ecc.) Server ERA raggiungibile Per poter supportare tutte le funzioni del programma, l'Agente ERA deve essere installato sul computer locale Il file di rapporto di Rogue Detection Sensor è disponibile qui: C:\ProgramData\ESET\Rouge Detection Sensor \Logs\ 3.2.9 Installazione del Connettore dispositivi mobili Per installare il componente del Connettore dispositivi mobili per il server ESET Remote Administrator, completare i passaggi che seguono. AVVISO: il Connettore dispositivi mobili deve essere accessibile da Internet in modo da consentire la gestione dei dispositivi mobili in qualsiasi momento, indipendentemente dalla loro posizione. 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Leggere prima i prerequisiti e assicurarsi che vengano soddisfatti. 3. Eseguire il programma di installazione Connettore dispositivi mobili e accettare l'EULA, se d'accordo. 4. Fare clic su Sfoglia, accedere alla posizione del Certificato SSL per la comunicazione tramite HTTPS e immettere la password per questo certificato: 5. Specificare Nome host MDM: dominio pubblico o indirizzo IP pubblico del server MDM raggiungibile dai dispositivi mobili tramite Internet. IMPORTANTE: il nome host di MDM deve essere inserito nello stesso formato specificato nel Certificato del server HTTPS. In caso contrario, il dispositivo mobile iOS rifiuterà l’installazione del Profilo di MDM. Per esempio, in presenza di un indirizzo IP specificato nel certificato HTTPS, è necessario digitare questo valore nel campo Nome host di MDM. Se è stato specificato l'FQDN (per es. mdm.mycompany.com) nel campo Certificato HTTPS, inserire questo valore nel campo Nome host di MDM. Inoltre, in caso di utilizzo di un carattere jolly * (per es. *.mycompany.com ) nel campo Certificato HTTPS, è possibile utilizzare mdm.mycompany.com nel campo Nome host di MDM. 6. Sarà necessario creare un nuovo database che sarà utilizzato da Connettore dispositivi mobili. Pertanto, fornire i dettagli della connessione: 74 Database: MySQL Server/MS SQL Server/MS SQL Server tramite autenticazione di Windows Driver ODBC: Driver MySQL ODBC 5.1/Driver MySQL ODBC 5.2 Unicode/Driver MySQL ODBC 5.3 Unicode/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 per SQL Server Nome database: è possibile lasciare il nome predefinito o modificarlo, se necessario Nome host: nome host o indirizzo IP del server del database Porta: utilizzata per la connessione al server del database Nome utente/Password dell'account amministratore database NOTA: è consigliabile utilizzare lo stesso server del database che si utilizza per il database ERA, anche se può essere un server del database differente, se necessario. Fare clic sul pulsante Avanti. Il programma di installazione di Connettore dispositivi mobili creerà il proprio database. 7. Specificare l'utente per il database del Connettore dispositivi mobili appena creato. È possibile scegliere l'opzione Crea nuovo utente o Utilizza utente database esistente. Immettere la password per l'utente del database. 8. Immettere l'Host del server (nome o indirizzo IP del server ERA) e la Porta server (la porta predefinita è 2222. Se si utilizza una porta differente, sostituire quella predefinita con il numero di porta personalizzato). 9. Sono ora disponibili due opzioni per proseguire con l'installazione: o Installazione assistita dal server: sarà necessario fornire le credenziali amministratore di ERA Web Console (i certificati richiesti saranno scaricati automaticamente). 1. Immettere l'Host del server (nome o indirizzo IP del server ERA) e la Porta console Web (lasciare la porta predefinita 2223 se non si utilizza una porta personalizzata). Fornire inoltre le credenziali dell'account amministratore della console Web: nome utente/password. 2. Se richiesto, accettare il certificato, facendo clic su Sì. Procedere al passaggio 9. o Installazione off-line: sarà necessario fornire il Certificato del proxy che può essere esportato da ESET Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato. 1. Fare clic su Sfoglia e accedere al percorso del Certificato del computer (ovvero il certificato del proxy esportato da ERA). Lasciare vuoto il campo di testo Password del certificato poiché questo certificato non richiede la password. Procedere al passaggio 9. NOTA: se si utilizzano certificati personalizzati con ERA (anziché quelli predefiniti generati automaticamente durante l'installazione di ESET Remote Administrator ), utilizzare i certificati personalizzati. 10.Specificare la cartella di destinazione per il Connettore dispositivi mobili (si consiglia di utilizzare il percorso predefinito), fare clic su Avanti, quindi su Installa. 11. Al termine dell'installazione, verificare la corretta esecuzione del Connettore dispositivi mobili aprendo https:// your-mdm-hostname:enrollment-port (per esempio https://mdm.company.com:9980) nel browser Web in uso o da un dispositivo mobile. Se l'installazione è stata eseguita correttamente, verrà visualizzato il seguente messaggio: Server MDM funzionante e in esecuzione. 12. È ora possibile attivare MDM da ESET Remote Administrator. 75 3.2.9.1 Prerequisiti del Connettore dispositivi mobili Per installare Connettore dispositivi mobili su Windows, è necessario che vengano soddisfatti i seguenti prerequisiti: Indirizzo IP o dominio pubblico accessibile da Internet. NOTA: occorre modificare il nome host del server MDM nel file di configurazione. Tenere presente che, in caso di modifica del nome host del server MDM, potrebbe essere necessario importare un nuovo Certificato del server HTTPS che include questo nuovo nome host per consentire all’MDM di continuare a funzionare correttamente. Porte aperte e disponibili; per un elenco completo delle porte, fare clic qui. Si consiglia di utilizzare i numeri predefiniti delle porte 9981 e 9980, ma è anche possibile modificarli nel file di configurazione del server MDM, se necessario. Assicurarsi che i dispositivi mobili siano in grado di effettuare la connessione mediante porte specifiche. Modificare le impostazioni del firewall e/o della rete (se applicabile) per rendere possibile questa operazione. Per ulteriori informazioni sull’architettura MDM, fare clic qui. Impostazioni firewall: in caso di installazione del Connettore dispositivi mobili su un sistema operativo non server, come ad esempio Windows 7 (solo per scopo di valutazione), assicurarsi di consentire le porte di comunicazione attraverso la creazione di regole firewall per: C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP porta 9980 C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP porta 9981 C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, TCP porta 2222 NOTA: i percorsi effettivi ai file .exe possono variare in base alla posizione in cui ciascuno dei componenti ERA è installato sul sistema operativo client dell'utente. Java Runtime Environment (JRE) deve essere installato (è possibile scaricarlo da http://java.com/en/download/), utilizzare sempre l'ultima versione di Java rilasciata ufficialmente. Un server del database già installato e configurato. Assicurarsi che vengano soddisfatti i Requisiti di Microsoft SQL. È necessario che sia installato Microsoft .NET Framework 3.5. Se si esegue Windows Server 2008 o 2012, è possibile installarlo tramite la Procedura guidata regole e funzioni (come mostrato di seguito), mentre se si utilizza Windows Server 2003, è possibile scaricare .NET 3.5 all'indirizzo http://www.microsoft.com/en-us/ download/details.aspx?id=21 L’utilizzo della RAM del connettore MDM è ottimizzato in modo che sia presente un massimo di 48 processi del “modulo ESET Remote Administrator MDMCore” contemporaneamente in esecuzione. Inoltre, se l’utente effettua la connessione a più dispositivi, i processi saranno regolarmente modificati per ciascun dispositivo che necessita di utilizzare le risorse. 76 Requisiti del certificato IMPORTANTE: sarà necessario un certificato SSL in formato PFX per comunicazioni sicure su HTTPS. Si consiglia l'utilizzo del certificato fornito dall'autorità di certificazione. L'uso dei certificati autofirmati è sconsigliato poiché non tutti i dispositivi mobili consentono agli utenti di accettare certificati autofirmati. Questo problema non si verifica con i certificati firmati da un'autorità di certificazione poiché sono attendibili e non richiedono l'accettazione da parte dell'utente. NOTA: è necessario possedere un certificato firmato dall’AC e la chiave privata corrispondente e utilizzare procedure standard per unire questi componenti (che utilizzano tradizionalmente OpenSSL) in un unico file .pfx: openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx Questa è una procedura standard per la maggior parte dei server che utilizzano i certificati SSL. IMPORTANTE: in caso di Installazione off-line sarà necessario anche un Certificato dell'agente esportato da ESET Remote Administrator. In alternativa, è possibile utilizzare il proprio certificato personalizzato con ERA. 3.2.9.2 Attivazione del Connettore dispositivi mobili Dopo aver installato il Connettore dispositivi mobili, è necessario attivarlo con ESET Endpoint Security per licenze Android: 1. Aggiungere la licenza di ESET Endpoint Security for Android in ERA License Management seguendo i passaggi descritti qui. 2. Attivare il Connettore dispositivi mobili utilizzando le attività client di Attivazione del prodotto: la procedura è identica a quella utilizzata durante l'attivazione di qualsiasi prodotto di protezione ESET su un computer client. In questo caso, il Connettore dispositivi mobili rappresenta il computer client. 77 3.2.9.3 Funzionalità di gestione delle licenze MDM iOS Il Connettore dispositivi mobili (server) archivia le informazioni sulle licenze per i dispositivi iOS. ESET non offre un’applicazione su Apple App Store. Le licenze sono legate ai dispositivi e possono essere attivate utilizzando un’Attività di attivazione del prodotto (come accade per i sistemi Android). I dispositivi non attivati o con licenze scadute compariranno con uno stato di protezione di colore rosso e con il messaggio “Licenza non attivata”. Questi dispositivi rifiuteranno la gestione delle attività, l’impostazione dei criteri e l’invio di rapporti non critici. Durante la disinstallazione di MDM, lasciando selezionato Mantieni database, le licenze assegnate non saranno disattivate. Queste licenze possono essere riutilizzate in caso di reinstallazione di MDM sul database in questione, rimosse mediante ESET Remote Administrator o disattivate attraverso l’utilizzo di ESET License Administrator. In caso di spostamento su un altro server MDM, sarà necessario eseguire nuovamente l’attività di attivazione del prodotto. 3.2.9.4 Importa la catena di certificati HTTPS per MDM È presente un requisito che consente di fornire l’intera catena di certificati per il server HTTPS di MDM. Ciò vale principalmente in caso di utilizzo di un certificato firmato da un’autorità di certificazione di terze parti allo scopo di stabilire il livello di affidabilità tra il dispositivo e il browser mobile. È necessario che l’intera catena di certificati sia presente nel contenitore pkcs12 ( pfx file) impostato come certificato del server HTTPS. È necessario inoltre importare la catena di certificati presente nell’archivio di certificati Computer locale di Windows nelle Autorità di certificazione intermedie. Eseguire mmc.exe per aprire la Console di gestione. Selezionare File > Aggiungi/Rimuovi snap-in… o (CTRL+M). Negli snap-in disponibili selezionare Certificati e fare clic su Aggiungi. Selezionare Account computer per i certificati da gestire e fare clic su Avanti. 78 Selezionare Computer locale e premere Fine. Fare clic su OK per ritornare alla console di gestione. Selezionare le autorità di certificazione intermedie e, nel menu contestuale, scegliere Tutte le attività > Importa. Selezionare il file del certificato HTTPS di MDM e importarlo. Riavviare il servizio ESET Remote Administrator Mobile Device Connector . NOTA: in caso di mancata esecuzione di questa operazione, il server HTTPS di MDM invierà solo il certificato del server e non l’intera catena (AC intermedie). 79 3.2.10 Installazione e cache del proxy HTTP Apache Il proxy Apache HTTP è un servizio che può essere utilizzato in combinazione con ESET Remote Administrator 6 e versioni successive ai fini della distribuzione degli aggiornamenti ai computer client e dei pacchetti di installazione all'agente ERA. Il proxy HTTP svolge un ruolo simile a quello del server mirror in ESET Remote Administrator 5 e nelle versioni precedenti. L'utilizzo del proxy HTTP offre i seguenti vantaggi: Download dei nuovi aggiornamenti del database delle firme antivirali e degli aggiornamenti dei componenti del prodotto e distribuzione di queste risorse ai client presenti nella rete. Creazione della cache relativa ai pacchetti di installazione del prodotto ESET. Riduzione al minimo del traffico Internet sulla rete in uso. NOTA: per gli aggiornamenti dei database antivirus off-line, utilizzare lo strumento Mirror al posto del proxy HTTP Apache. Questo strumento è disponibile per entrambe le piattaforme (Windows e Linux). Per installare il proxy HTTP Apache su Windows, adottare la procedura indicata di seguito: IMPORTANTE: se il proxy HTTP Apache è stato già installato su Windows e si desidera aggiornarlo alla versione più recente, procedere all’Aggiornamento del proxy HTTP Apache . 1. Per scaricare il programma di installazione indipendente di un componente ERA, visitare la . 2. Aprire ApacheHttp.zip ed estrarre i file in C:\Program Files\Apache HTTP Proxy NOTA: se si desidera installare il proxy HTTP Apache su un altro disco rigido, è necessario sostituire C:\Program Files\ con il percorso corrispondente nelle istruzioni fornite di seguito e nel file httpd.conf posizionato nella directory Apache HTTP Proxy\bin. Per esempio, se si estrae il contenuto di ApacheHttp.zip in D:\Apache Http Proxy, C:\Program Files\ deve essere sostituito con D:\Apache Http Proxy. 3. Aprire un prompt dei comandi amministrativo e il CD in C:\Program Files\Apache HTTP Proxy\bin 4. Eseguire il seguente comando: httpd.exe -k install -n ApacheHttpProxy 5. Utilizzando un editor di testo come Notepad, aprire il file httpd.conf e aggiungere le seguenti righe in fondo al file: ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" NOTA: se si desidera posizionare la directory della cache in un altro punto, per esempio su un altro disco rigido, come D:\Apache HTTP Proxy\cache, nell’ultima riga del codice precedente è necessario modificare "C: \Program Files\Apache HTTP Proxy\cache" in "D:\Apache HTTP Proxy\cache" . 6. Impostare il servizio del proxy Apache HTTP utilizzando il seguente comando: sc start ApacheHttpProxy 7. È possibile verificare che il servizio del proxy Apache HTTP sia in esecuzione nello snap-in services.msc (ricercare ApacheHttpProxy). Per impostazione predefinita, il servizio è configurato per avviarsi automaticamente. Attenersi ai passaggi indicati di seguito per configurare un nome utente e una password per il proxy HTTP Apache (scelta consigliata): 80 1. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi elevato ed eseguendo il comando indicato di seguito: sc stop ApacheHttpProxy 2. Verificare la presenza dei seguenti moduli in C:\Program Files\Apache HTTP Proxy\conf\httpd.conf: LoadModule LoadModule LoadModule LoadModule authn_core_module modules\mod_authn_core.dll authn_file_module modules\mod_authn_file.dll authz_groupfile_module modules\mod_authz_groupfile.dll auth_basic_module modules\mod_auth_basic.dll 3. Aggiungere le seguenti righe nel percorso C:\Program Files\Apache HTTP Proxy\conf\httpd.conf in <Proxy *> : AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup 4. Utilizzare il comando htpasswd per creare un file denominato password.file nella cartella Apache HTTP Proxy\bin \ (all'utente verrà richiesto di immettere la password): htpasswd.exe -c ..\password.file username 5. Creare manualmente il file group.file nella cartella Apache HTTP Proxy\ con il seguente contenuto: usergroup:username 6. Avviare il servizio ApacheHttpProxy eseguendo il comando indicato di seguito in un prompt dei comandi elevato: sc start ApacheHttpProxy 7. Testare la connessione al proxy HTTP accedendo al seguente URL nel browser: http://localhost:3128/index.html NOTA: dopo aver completato correttamente l'installazione del proxy HTTP Apache, è possibile consentire solo la comunicazione ESET (bloccando l'altro traffico - impostazione predefinita) o tutto il traffico. Apportare le modifiche alla configurazione necessarie come descritto qui: Inoltro per le sole comunicazioni ESET Concatenamento del proxy (tutto il traffico) Il comando seguente consentirà di visualizzare un elenco di contenuti attualmente posizionati nella cache: C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe -a -p "C:\ProgramData\Apache HTTP Proxy\cache" Utilizzare lo strumento htcacheclean per pulire la cache del disco. Il comando consigliato (impostazione delle dimensioni della cache su 10 GB e limite dei file posizionati nella cache ~2000) è visualizzato qui: "C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^ -p"C:\ProgramData\Apache HTTP Proxy\cache" -l10000M -L12000 Per pianificare una pulizia oraria della cache eseguire: schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask^ /TR "\"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe\"^ -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M -L12000" Se si sceglie di consentire tutto il traffico, i comandi consigliati sono i seguenti: "C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^ -p"C:\ProgramData\Apache HTTP Proxy\cache" -l10000M schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask /TR "\"C:\Program Files\Apache HTTP Proxy\bin/htcacheclean.exe\"^ -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l10000M" NOTA: il carattere ^ subito dopo la fine della riga nei comandi precedenti è essenziale; se non viene incluso, il comando non verrà eseguito correttamente. 81 Per ulteriori informazioni, consultare questo articolo della Knowledge Base o la documentazione sull'autenticazione e sull'autorizzazione di Apache. 3.2.11 Strumento Mirror Lo strumento Mirror è necessario per gli aggiornamenti del database delle firme antivirali off-line. Se i computer client non dispongono di una connessione a Internet ed è necessario eseguire gli aggiornamenti del database delle firme antivirali, è possibile utilizzare lo strumento Mirror per scaricare i file di aggiornamento dai server di aggiornamento ESET e memorizzarli a livello locale. NOTA: lo strumento Mirror scarica solo le definizioni dei database antivirus, ma non i PCU (aggiornamenti dei componenti di programma). Per aggiornare il prodotto di protezione ESET su computer client offline, si consiglia di aggiornare il prodotto mediante l'attività del cliente di installazione software in ERA. In alternativa, è possibile aggiornare i prodotti singolarmente. Prerequisiti La cartella di destinazione deve essere disponibile per la condivisione, servizio Samba/Windows o HTTP/FTP, a seconda di come si desidera accedere agli aggiornamenti. Occorre disporre di un file di licenza off-line che includa nome utente e password. Durante la generazione di un file di licenza, accertarsi di selezionare la casella di controllo accanto a Includi nome utente e password. Occorre inoltre inserire un nome del file di licenza. Visual C++ Redistributables for Visual Studio 2010 deve essere installato sul sistema. Non esiste una fase di installazione, lo strumento è costituito da due file: o Windows: MirrorTool.exe e updater.dll o Linux: MirrorTool Utilizzo 82 e updater.so Per visualizzare la guida dello strumento Mirror, eseguire MirrorTool disponibili per lo strumento: --help per visualizzare tutti i comandi Il parametro --updateServer è facoltativo. Quando viene utilizzato, occorre specificare l'URL completo del server di aggiornamento. Il parametro --offlineLicenseFilename è obbligatorio. Occorre specificare un percorso per il file di licenza offline (come specificato sopra). Per creare un mirror, eseguire MirrorTool con almeno i parametri richiesti minimi. Esempio: o Windows: MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror o Linux: sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp --offlineLicenseFilename /tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror Impostazioni dello strumento Mirror e dell'aggiornamento Per automatizzare la distribuzione degli aggiornamenti del database delle firme antivirali, è possibile creare un programma per l'esecuzione dello strumento Mirror. Per eseguire questa operazione, aprire la console Web e accedere a Attività client > Sistema operativo > Esegui comando. Selezionare Riga di comando da eseguire (incluso un percorso a MirrorTool.exe) e un'attivazione ragionevole (per esempio CRON per ogni ora 0 0 * * * ? *). In alternativa, è possibile utilizzare l'Utilità di pianificazione di Windows o Cron di Linux. Per configurare gli aggiornamenti su un computer client, creare un nuovo criterio e configurareServer di aggiornamento per puntare all'indirizzo mirror o alla cartella condivisa. 83 3.2.12 Cluster di failover Di seguito sono indicati i passaggi per utenti esperti necessari per installare ESET Remote Administrator in un ambiente con cluster di failover. 1. Creare un cluster di failover con un’unità condivisa: a. Istruzioni per creare un cluster di failover in Windows Server 2012 b. Istruzioni per creare un cluster di failover in Windows Server 2008 2. Nella Procedura guidata Crea cluster inserire il nome host desiderato (crearne uno) e l’indirizzo IP. 3. Accedere all’unità condivisa del cluster on-line sul nodo1 e installare il server ERA utilizzando il programma di installazione indipendente, assicurandosi che l’opzione Questa è un’installazione cluster sia selezionata durante l’installazione e scegliere l’unità condivisa come percorso di archiviazione dei dati dell’applicazione. Creare un nome host e inserirlo per il certificato del server di ERA Server accanto ai nomi host precompilati. Non dimenticare il nome host creato e utilizzarlo nel passaggio 6 durante la creazione del ruolo del server ERA nella Gestione cluster. 4. Interrompere ERA Server sul nodo1, accedere all’unità condivisa del cluster on-line sul nodo2 e installare il server ERA utilizzando il programma di installazione indipendente. Assicurarsi che l’opzione Questa è un’installazione cluster sia selezionata durante l’installazione. Scegliere il disco condiviso come archiviazione dei dati applicativi. Mantenere intatti la connessione e i certificati del database (durante la riesecuzione dell’installazione sul nodo1). 5. Aprire tutte le porte di ERA Server su tutti i nodi del firewall per le connessioni in entrata. 6. Nella Gestione configurazione cluster creare e avviare un ruolo (Configura ruolo > Seleziona ruolo > Servizio generico...) per il servizio ERA Server: scegliere il servizio ESET Remote Administrator Server dall’elenco visualizzato di servizi disponibili. È estremamente importante utilizzare lo stesso nome host del ruolo utilizzato nel passaggio 3 relativo al certificato del server. 7. Installare l’agente ERA su tutti i nodi del cluster utilizzando il programma di installazione indipendente. Nelle schermate Configurazione dell’agente e Connessione a Remote Administrator, utilizzare il nome host del passaggio n. 6. Quando richiesto, assicurarsi che l’opzione Questa è un’installazione cluster non sia selezionata e archiviare i dati dell’agente sul nodo locale (non sull’unità del cluster). NOTA: il termine Ruolo è presente solo in Windows Server 2012. In Windows Server 2008 viene invece utilizzato il termine Servizi e applicazioni. 8. ERA il database e il server Web (Apache Tomcat) non sono supportati su un cluster. Di conseguenza, devono essere installati su un’unità non clusterizzata o su un’altra macchina. La console Web può essere facilmente installata su un computer separato e adeguatamente configurata per effettuare la connessione al ruolo Cluster del server ERA. In seguito all’installazione della console Web, posizionare il file di configurazione nel seguente percorso: C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era \g2webconsole\server\modules\config\EraWebServerConfig.properties aprire il file con Notepad o con qualsiasi altro editor di testi semplice e, nella riga di server_address=localhost, sostituire il localhost con l’indirizzo IP o il nome host del ruolo Cluster del server ERA. 84 3.3 Installazione componenti su Linux Nella maggior parte degli scenari di installazione, è necessario installare vari componenti ESET Remote Administrator su diverse macchine per adattare le varie architetture di rete, soddisfare requisiti in termini di prestazioni e così via. Per istruzioni dettagliate relative all’installazione del server ERA, consultare questa sezione. Per installare l’ultima versione (6.x) di ESET Remote Administrator for Linux, consultare il capitolo Attività di aggiornamento dei componenti in questo articolo della Knowledge Base. Si tenga presente che nelle build successive a Fedora, versione 22, il comando yum è sostituito dal comando In caso di utilizzo di Fedora versione 22 o successive, utilizzare dnf al posto di yum. dnf . Componenti principali Server ERA ERA Web Console Agente ERA un server del Database Componenti facoltativi Proxy ERA Sensore RD Connettore dispositivi mobili Proxy Apache HTTP Strumento Mirror 3.3.1 Installazione passo dopo passo del server ERA su Linux In questo scenario verrà simulata l'installazione passo dopo passo del server ERA e di ERA Web Console. Per completare l’installazione, è necessario utilizzare il comando sudo o eseguire l’operazione con privilegi root. Prima dell’installazione, verificare che il server del database sia presente nella rete e assicurarsi di potervi accedere sul server locale/remoto. In assenza di server del database, installarne e configurarne uno nuovo. Verrà eseguita la simulazione dell'installazione mediante l'utilizzo di MySQL. Nota: i componenti di ERA Linux (agente, server, console Web) sono installazioni indipendenti. Questi file di installazione sono disponibili nella categoria Programmi di installazione indipendenti di ESET Remote Administrator 6 sul sito Web di ESET. 1. Installare i pacchetti necessari per il server ERA: Distribuzioni Debian e Ubuntu sudo apt-get install xvfb cifs-utils unixodbc libmyodbc Distribuzioni CentOS, RedHat e Fedora sudo yum install mysql-connector-odbc xorg-x11-server-Xvfb cifs-utils OpenSUSE sudo zypper install xorg-x11-server-extra cifs-utils unixobdc myodbc-unixbox 2. Accedere alla cartella nella quale è stato scaricato il server ERA e rendere eseguibile il pacchetto di installazione: chmod +x Server-Linux-x86_64.sh 3. Configurare la connessione al server MySQL, come illustrato nell'argomento Configurazione MySQL. 4. Verificare la configurazione del driver ODBC di MySQL, come illustrato nell’argomento Configurazione dell’ODBC. 5. Personalizzare i parametri di installazione ed eseguire l'installazione del server ERA. Per ulteriori informazioni, consultare Installazione server - Linux. 85 6. Installare i pacchetti java e tomcat richiesti per ERA Web Console, come illustrato nell’argomento Prerequisiti di ERA Web Console. 7. Distribuire e testare la console Web, come illustrato nell’argomento Installazione di ERA Web Console. 8. Installare l’agente ERA sulla macchina del server. Nota: in caso di problemi con la connessione HTTPS alla console Web, consultare questo articolo sulla Configurazione della connessione HTTPS/SSL. 3.3.2 Installazione e configurazione di MySQL Installazione Se MySQL è già stato installato e configurato, procedere con la Configurazione. MariaDB è un database predefinito in numerosi ambienti Linux che, tuttavia, non è supportato da <% ESET_REMOTE_ADMINISTRATOR%>. Assicurarsi di installare MySQL per consentire a <% ESET_REMOTE_ADMINISTRATOR%> di funzionare correttamente. L’installazione di MySQL cambierà in base alla distribuzione Linux e alla versione utilizzata: Distribuzioni Debian e Ubuntu Per installare MySQL utilizzare il seguente comando: sudo apt-get install mysql-server Installazione avanzata: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-apt-repo.html Distribuzioni CentOS, Red Hat e Fedora Per installare MySQL utilizzare il seguente comando: sudo yum install mysql-server Installazione avanzata: https://dev.mysql.com/doc/refman/5.7/en/linux-installation-yum-repo.html Distribuzione OpenSUSE Per installare MySQL utilizzare il seguente comando: sudo zypper install mysql-community-server Installazione manuale Scaricare e installare l’edizione MySQL Community Server da: http://dev.mysql.com/downloads/ Configurazione Eseguire il seguente comando per aprire il file my.cnf (my.ini per l’installazione Windows) in un editor di testo: sudo nano /etc/mysql/my.cnf (se il file non è presente, provare con /etc/my.cnf) Aggiungere la seguente configurazione nella sezione [mysqld] del file my.cnf: max_allowed_packet=33M Per MySQL 5.6.20 e 5.6.21 (è possibile determinare la versione di MySQL utilizzando mysql -v): o innodb_log_file_size deve essere impostato almeno su 200 MB (per esempio innodb_log_file_size=200M) Per MySQL >= 5.6.22: o innodb_log_file_size*innodb_log_files_in_group deve essere impostato almeno su 200 MB (* indica la moltiplicazione; il prodotto dei due parametri deve essere > 200 MB. Il valore minimo per innodb_log_files_in_group è 2) Salvare e chiudere il file e inserire il seguente comando per riavviare il server MySQL e applicare la configurazione (in alcuni casi, il nome del servizio è mysqld): 86 sudo service mysql restart Eseguire il seguente comando per configurare MySQL insieme ai privilegi e alla password (questa opzione è facoltativa e potrebbe non funzionare per alcune distribuzioni Linux): /usr/bin/mysql_secure_installation Immettere il comando seguente per controllare se il server MySQL è in esecuzione: sudo netstat -tap | grep mysql Se il server MySQL è in esecuzione, verrà visualizzata la riga seguente. Tenere presente che l'identificatore del processo PID (7668 nell'esempio sotto) sarà diverso: tcp 0 0 localhost:mysql *:* LISTEN 7668/mysqld 3.3.3 Installazione e configurazione dell’ODBC Installazione Per installare il driver MySQL ODBC (Open Database Connectivity) eseguire il comando seguente da un prompt del terminale: Distribuzioni Debian e Ubuntu sudo apt-get install libmyodbc libodbc1 Distribuzioni CentOS, Red Hat e Fedora sudo yum install mysql-connector-odbc Distribuzione OpenSUSE sudo zypper install myodbc-unixbox Configurazione Eseguire il comando seguente per aprire il file odbcinst.ini in un editor di testo: sudo nano /etc/odbcinst.ini Copiare la seguente configurazione nel file odbcinst.ini (assicurarsi che i percorsi al Driver e alla Configurazione siano corretti), quindi salvare e chiudere il file: [MySQL] Description = ODBC for MySQL Driver = /usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so Setup = /usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so FileUsage = 1 Se si utilizza una versione di Ubuntu a 32 bit, utilizzare i tasti Driver e Configurazione e modificare il percorso in: /usr/lib/i386-linux-gnu/odbc/ Per alcune distribuzioni, il driver dovrebbe trovarsi in una posizione diversa. Per trovare il file, utilizzare il seguente comando: sudo find /usr -iname "*libmyodbc*" I prodotti ERA richiedono il driver MySQL per supportare il multithreading. Questa è l'impostazione predefinita per le versioni del pacchetto unixODBC più recenti (2.3.0 o successive). Le versioni precedenti richiedono la configurazione di threading esplicita. Se è disponibile una versione precedente (il comando odbcinst --version consentirà di visualizzare la versione installata), aggiungere il seguente parametro nel file odbcinst.ini: Threading = 0 Aggiornare i file di configurazione che controllano l'accesso ODBC ai server del database sull'host corrente eseguendo il comando seguente: sudo odbcinst -i -d -f /etc/odbcinst.ini 87 3.3.4 Installazione server - Linux L'installazione del componente Server ERA su Linux viene eseguita attraverso un comando nel terminale. È possibile preparare uno script di installazione ed eseguirlo utilizzando il comando sudo. Prima di avviare l’installazione, assicurarsi che vengano soddisfatti tutti i prerequisiti. Esempio di script di installazione (Le nuove ri ghe vengono s epa ra te da "\" per l a copi a del l 'i ntero coma ndo s ul termi na l e) sudo ./Server-Linux-x86_64.sh \ --skip-license \ --db-driver=MySQL \ --db-hostname=127.0.0.1 \ --db-port=3306 \ --db-admin-username=root \ --db-admin-password=Admin123 \ --server-root-password=Admin123 \ --db-user-username=root \ --db-user-password=Admin123 \ --cert-hostname="10.1.179.46;Ubuntu64-bb;Ubuntu64-bb.BB.LOCAL" Il server ERA e il servizio eraserver verranno installati nella seguente posizione: /opt/eset/RemoteAdministrator/Server È possibile modificare i seguenti attributi: Attributo Descrizione --uninstall Disinstalla il prodotto - --keep-database Il database non verrà rimosso durante la disinstallazione - --locale Identificatore delle impostazioni locali (LCID) del server installato (impostazione predefinita: en_US). Per visualizzare le opzioni disponibili, consultare la sezione lingue supportate. Nota: è possibile impostare una lingua per ciascuna sessione di ERA Web Console. L'installazione non chiederà all'utente la conferma dell'accordo di licenza Salta la generazione di certificati (utilizzare questa opzione insieme al parametro --percorso-cert-server) Chiave di licenza ESET. Questa opzione può essere impostata in un momento successivo. Identificatore globale univoco del prodotto. Se non impostato, questo valore verrà generato. Porta del server ESET Remote Administrator (ERA) (impostazione predefinita: 2222) Porta della console ESET Remote Administrator (impostazione predefinita: 2223) Password per l'accesso alla console Web dell'utente "Amministratore", lunghezza minima 8 caratteri Tipo di database che verrà utilizzato (valori possibili: MySQL Server , Microsoft SQL Server ) Driver ODBC utilizzato per la connessione al database (il comando odbcinst -q -d fornisce un elenco di driver disponibili; utilizzare, per esempio, uno di questi driver: --dbdriver="MySQL" ) Nome del computer o indirizzo IP del server del database Sì --skip-license --skip-cert --license-key --product-guid --server-port --console-port --server-root-password --db-type --db-driver --db-hostname 88 Necessario Sì Sì Sì Attributo Descrizione --db-port Porta del server del database (impostazione predefinita: 3306) Sì --db-name Nome del database del server ERA (impostazione predefinita: era_db ) Nome utente dell'amministratore del database (utilizzato dall'installazione per la creazione e la modifica del database) Password dell'amministratore del database - --db-admin-username --db-admin-password Necessario Sì Sì Nome utente del server ERA del database (utilizzato dal server ERA per la connessione al database); questo valore non deve superare 16 caratteri Password dell'utente del server ERA del database Sì Sì --server-cert-password Contiene tutti i nomi e/o gli indirizzi IP possibili del computer sul quale verrà installato il server ERA. Questo valore sarà necessario per la ricerca di una corrispondenza con il nome del server specificato nel certificato dell'agente che tenta di connettersi al server. Percorso al certificato del peer del server (utilizzare questa opzione se è stato anche specificato il comando --skip-cert) Password del certificato del peer del server --agent-cert-password Password del certificato del peer dell'agente - --cert-auth-password Password dell'autorità di certificazione - --cert-auth-path Percorso al file dell'autorità di certificazione del server - --cert-auth-common-name Nome comune dell'autorità di certificazione (utilizzare "") - --cert-organizational-unit - - --cert-organization - - --cert-locality - - --cert-state - - --cert-country - - --cert-validity - --ad-server Validità del certificato in giorni o anni (specificare nell'argomento --cert-validity-unit) Unità per la validità del certificato, i valori possibili sono "Anni" o "Giorni" (impostazione predefinita: Years) Server Active Directory --ad-user-name Nome dell'utente autorizzato a fare ricerche nella rete AD - --ad-user-password Password utente Active Directory - --ad-cdn-include Percorso alla struttura ad albero Active Directory per cui verrà effettuata la sincronizzazione; utilizzare le parentesi vuote "" per sincronizzare un intero albero - --db-user-username --db-user-password --cert-hostname --server-cert-path --cert-validity-unit Sì - - Rapporto programma di installazione Il rapporto del programma di installazione, che rappresenta uno strumento utile per la risoluzione dei problemi, è disponibile nei File di rapporto. 89 Dopo l’installazione, verificare che il servizio del server ERA sia in esecuzione utilizzando il comando visualizzato di seguito: service eraserver status 3.3.4.1 Prerequisiti server - Linux Per installare il server ERA su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti: È necessario che sia disponibile una licenza valida. Occorre installare e configurare un server del database con un account radice. Non si deve creare un account utente prima dell'installazione, il programma di installazione può creare l'account. NOTA: il server ERA memorizza enormi quantità di blob di dati nel database. Di conseguenza, è necessario configurare MySQL per accettare pacchetti di grandi dimensioni che garantiscano un corretto funzionamento di ERA. ODBC Driver: il driver ODBCviene utilizzato per stabilire la connessione con il server del database (MySQL / MS SQL). Configurare il file di installazione del server impostato come eseguibile. Per eseguire questa operazione, utilizzare il comando del terminale seguente: chmod +x Server-Linux-x86_64.sh La versione minima supportata di openSSL è openssl-1.0.1e-30 (il comando openssl visualizzare la versione corrente) version consente di Xvfb : richiesto per una stampa corretta del report (Genera report) sui sistemi Linux Server privi di interfaccia grafica. Cifs-utils: richiesto per una distribuzione corretta dell'agente su Windows OS. Qt4 WebKit Librerie: utilizzate per la stampa dei report in formato PDF e PS (è necessaria la versione 4.8, non la versione 5). Tutte le altre dipendenze di Qt4 verranno installate automaticamente. Nel caso di CentOS, potrebbe non essere presente alcun pacchetto negli archivi ufficiali. È possibile installarlo da un archivio di terze parti (per esempio, archivi EPEL) o compilarlo in modo autonomo su una macchina di destinazione. Kinit + klist: utilizzato per l'autenticazione Kerberos durante l'attività di sincronizzazione AD e l'accesso con un utente del dominio. È inoltre richiesta una corretta configurazione di Kerberos (/etc/krb5.conf). Wbinfo + ntlm auth: utilizzato per l'autenticazione con gli account di dominio + autenticazione NTLM con server SMTP (invio di e-mail). Ldapsearch: utilizzato nell'attività di sincronizzazione AD. 90 Snmptrap: utilizzato per inviare i trap SNMP. Facoltativo se si prevede di non utilizzare questa funzionalità. Anche l'SNMP richiede una configurazione. SELinux devel Pacchetto: utilizzato durante l'installazione del prodotto per la creazione dei moduli del criterio SELinux. È richiesto solo su sistemi con SELinux attivato (CentOS, Fedora, RHEL). SELinux potrebbe causare problemi con altre applicazioni. Non è necessario per il server ERA. La tabella sottostante contiene i comandi del terminale appropriati per ciascun pacchetto descritto in precedenza sia per le distribuzioni Debian e Ubuntu sia per le distribuzioni Centos, Red Hat e Fedora: Distribuzioni Debian e Ubuntu CentOS, distribuzioni Red Hat e Fedora OpenSUSE distribution yum install mysql-connector-odbc zypper install unixodbc myodbc-unixbox yum install xorg-x11-server-Xvfb zypper install xorg-x11-server-extra yum install cifs-utils zypper install cifs-utils ODBC Driver apt-get install unixodbc libmyodbc xvfb apt-get install xvfb cifs-utils apt-get install cifs-utils Qt4 WebKit librerie Consultare questo articolo della Knowledge Base. kinit+klist - facoltativo (necessario per il servizio Active Directory) zypper install libqtwebkit4 apt-get install krb5-user zypper install krb5 apt-get install libqtwebkit4 yum install krb5-workstation wbinfo + ntlm_auth apt-get install winbind yum install samba-winbind-clients zypper install samba-winbind ldapsearch apt-get install ldap-utils yum install openldap-clients zypper install openldap2-client yum install net-snmp-utils zypper install net-snmp snmptrap apt-get install snmp SELinux devel pacchetto (facoltativo; SELinux potrebbe causare problemi con altre applicazioni. Non è necessario per il server ERA). apt-get install selinux-policy-dev yum install policycoreutils-devel zypper install selinux-policy-devel 3.3.5 Installazione agente - Linux L'installazione del componente dell’agente ERA su Linux viene eseguita attraverso un comando nel terminale. Assicurarsi che vengano soddisfatti tutti i prerequisiti. La connessione al server ERA viene risolta utilizzando i parametri --hostname e --port (la porta non viene utilizzata quando viene fornito un record SRV). I possibili formati di connessione sono i seguenti: Nome host e porta Indirizzo IPv4 e porta Indirizzo IPv6 e porta Record di servizio (record SRV): per configurare il record delle risorse DNS in Linux, è necessario che il computer si trovi in un dominio con un server DNS funzionante. Consultare il capitolo Record di risorse DNS. Il record SRV deve iniziare con il prefisso "_NOME._tcp" dove "NOME" rappresenta una denominazione personalizzata, ad esempio "era". 91 Esempio di script di installazione (Le nuove ri ghe vengono s epa ra te da "\" per l a copi a del l 'i ntero coma ndo s ul termi na l e) ./Agent-Linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 Attributo Descrizione --skip-license L'installazione non chiederà all'utente la conferma dell'accordo di licenza --cert-path Percorso locale al file del certificato dell'agente (maggiori informazioni sul certificato) --cert-auth-path Percorso al file dell'autorità di certificazione del server (maggiori informazioni sull’autorità) --cert-password Password dell'autorità di certificazione. Deve corrispondere alla password del certificato dell'agente --hostname Nome host o indirizzo IP del server ERA (proxy ERA) al quale effettuare la connessione --port Porta del server ERA o del proxy ERA (il valore predefinito è 2222) Parametri facoltativi Attributo Descrizione --product-guid GUID prodotto (se non definito, verrà generato) --cert-content Contenuto codificato in Base64 del certificato della chiave pubblica codificata PKCS12 più chiave privata utilizzata per la configurazione di canali di comunicazione protetti con il server e gli agenti. Utilizzare solo una tra le opzioni --cert-path e --cert-content . --cert-auth-content Contenuto codificato in Base64 del certificato della chiave privata dell'autorità di certificazione codificata in DER utilizzato per la verifica dei peer remoti (proxy o server). Utilizzare solo una tra le opzioni --cert-auth-path e --cert-authcontent . --webconsole-hostname Nome host o indirizzo IP utilizzato dalla console Web per effettuare la connessione al server (se il campo viene lasciato vuoto, il valore verrà copiato dal campo "nome host") --webconsole-port Porta utilizzata dalla console Web per effettuare la connessione al server (impostazione predefinita: 2223) --webconsole-user Nome utente utilizzato dalla console Web per effettuare la connessione al server (impostazione predefinita: Administrator) --webconsole-password Password utilizzata dalla console Web per effettuare la connessione al server --cert-auth-password Password dell'autorità di certificazione Connessione e certificati È necessario fornire la Connessione al server ERA: --hostname, --port (la porta non è necessaria se è stato fornito il record di servizio, impostazione predefinita: 2222) Fornire queste informazioni di connessione per l'Installazione assistita dal server: --webconsole-port, -webconsole-user, --webconsole-password Fornire le informazioni del certificato per l'Installazione off-line: --cert-path, --cert-password I parametri di installazione --cert-path e --cert-auth-path richiedono i file di certificazione ( .pfx e .der) che possono essere esportati da ERA Web Console (leggere Come esportare il file .pfx e il file .der). Parametri relativi al tipo di password 92 I parametri relativi al tipo di password possono essere forniti come variabili di ambiente, file, letture da stdn o come testo normale, vale a dire: --password=env:SECRET_PASSWORD dove SECRET_PASSWORD è una variabile di ambiente con password --password=file:/opt/secret dove la prima riga del file regolare/opt/segreto contiene la password --password=stdin comunica al programma di installazione di leggere la password dall'input standard --password="pass:PASSWORD" equivale a --password="PASSWORD" ed è obbligatorio se la password effettiva è "stdin" (standard input) o una stringa che inizia con "env:" , "file:" o "pass:" Rapporto programma di installazione Il rapporto del programma di installazione, che rappresenta uno strumento utile per la risoluzione dei problemi, è disponibile nei File di rapporto. Per verificare la correttezza dell'installazione, controllare che il servizio sia attivo eseguendo il seguente comando: sudo service eraagent status 3.3.5.1 Prerequisiti dell'agente - Linux Per installare il componente agente ERA su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti: Sul computer server, che deve essere raggiungibile dalla rete, devono essere installati il Server ERA ed ERA Web Console È necessario che sia presente un Certificato dell’agente È necessario che sia presente un file della chiave pubblica dell’Autorità di certificazione del server Il file di installazione dell'agente deve essere impostato come file eseguibile (a tale scopo, eseguire chmod +x sul file) La versione minima supportata di openssl è openssl-1.0.1e-30 3.3.6 Installazione della console Web - Linux Prima di installare il componente ERA Web Console, assicurarsi che vengano soddisfatti tutti i prerequisiti. Seguire i passaggi indicati di seguito per installare ERA Web Console: 1. Eseguire i seguenti comandi per copiare il file era.war nella cartella Tomcat: Distribuzioni Debian e Ubuntu sudo cp era.war /var/lib/tomcat7/webapps/ Distribuzioni CentOS, RedHat e Fedora sudo cp era.war /var/lib/tomcat/webapps/ Distribuzione OpenSUSE sudo cp era.war /usr/share/tomcat/webapps/ In alternativa, è possibile estrarre i contenuti di era.war in /var/lib/tomcat/webapps/era/ 2. Eseguire il seguente comando per riavviare il servizio Tomcat e utilizzare il file .war: Distribuzioni Debian e Ubuntu sudo service tomcat7 restart Distribuzioni CentOS, RedHat e Fedora sudo service tomcat restart Distribuzione OpenSUSE sudo service tomcat restart Testare la connessione a ERA Web Console in seguito all'installazione. Aprire il seguente collegamento nel browser in uso su localhost (dovrebbe comparire una schermata di accesso): http://localhost:8080/era era oppure, in caso di accesso al server da remoto, http://IP_ADDRES_OR_HOSTNAME:8080/ NOTA: la porta HTTP, il cui valore predefinito è 8080, viene impostata durante l’installazione manuale di Apache Tomcat. È inoltre possibile configurare la connessione HTTPS per Apache Tomcat. 93 3.3.6.1 Prerequisiti di ERA Web Console - Linux Prima di installare il componente ERA Web Console su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti: Java: utilizzare sempre l'ultima versione di Java rilasciata ufficialmente (ERA Web Console richiede come requisito minimo Java versione 7 o openjdk, ma si consiglia vivamente di utilizzare l'ultima versione). Apache Tomcat (una versione supportata) File della console Web (era.war) salvato sul disco rigido locale. Per installare i(l) pacchetti/o Java e/o Apache Tomcat, utilizzare i seguenti comandi del terminale, a seconda della(e) distribuzione(i) Linux: Distribuzioni Debian e Ubuntu sudo apt-get install openjdk-7-jdk tomcat7 Distribuzioni CentOS, RedHat e Fedora sudo yum install java-1.8.0-openjdk tomcat Distribuzione OpenSUSE sudo zypper install java-1_8_0-openjdk tomcat 3.3.7 Installazione proxy - Linux 1. Assicurarsi che vengano soddisfatti tutti i prerequisiti. 2. Eseguire uno script di installazione per installare il server del proxy. Di seguito viene fornito un esempio di script di installazione. Impostazioni connessione È necessario specificare una destinazione con un: Nome host Indirizzo IPv4 Indirizzo IPv6 Record di risorse DNS: il computer Linux deve trovarsi nel dominio. Consultare il capitolo Record di risorse DNS. È necessario specificare la porta: utilizzare la porta 2222 sia per il server sia per il proxy. Esempio di script di installazione (Le nuove ri ghe vengono s epa ra te da "\" per l a copi a del l 'i ntero coma ndo s ul termi na l e) ./Proxy-Linux-x86_64.sh \ --db-hostname=10.1.179.28 \ --db-name=era_6_db_proxy \ --db-admin-username=sa \ --db-admin-password=admin.1 \ --db-user-username=tester \ --db-user-password=Admin.1 \ --db-port=1433 \ --db-type="MS SQL Server" \ --db-driver=SQL \ --skip-license \ --hostname=10.1.179.30 \ --port=2222 \ --cert-path=/home/adminko/Desktop/proxy.pfx \ --cert-auth-path=/home/adminko/Desktop/CA-server.der \ --cert-password=root \ --server-root-password=jjf#jDjr È possibile modificare i seguenti attributi: Attributo Descrizione --db-hostname Nome del computer o indirizzo IP del server del database (impostazione predefinita: localhost) 94 Necessario Sì Attributo Descrizione --db-name Nome del database da utilizzare (impostazione predefinita: era_db o era_proxy_db ) Nome utente dell'amministratore del database (utilizzato dall'installazione per la creazione e la modifica del database; impostazione predefinita: root) Password dell'amministratore del database Nome utente del server ERA del database (utilizzato dal server ERA per la connessione al database); questo valore non deve superare 16 caratteri Password dell'utente del server ERA del database Porta del server del database (impostazione predefinita: 3306) Tipo di database che verrà utilizzato (impostazioni possibili: MySQL Server , MS SQL Server ; impostazione predefinita: MySQL Server ) Driver ODBC utilizzato per la connessione al database (il comando odbcinst -q -d fornisce un elenco di driver disponibili; utilizzare, per esempio, uno di questi driver: --dbdriver="MySQL" ) L'installazione non chiederà all'utente la conferma dell'accordo di licenza Nome host o indirizzo IP del server (impostazione predefinita: localhost ) Porta del server (impostazione predefinita: 2222) o porta del proxy (impostazione predefinita: 1236) Porta che verrà utilizzata dal proxy (impostazione predefinita: 2222 ) GUID prodotto (se non definito, verrà generato) Percorso locale al file del certificato del proxy Contenuto codificato in Base64 del certificato della chiave pubblica codificata PKCS12 più chiave privata utilizzata per la configurazione di canali di comunicazione protetti con il server e gli agenti Percorso al file dell'autorità di certificazione del server Contenuto codificato in Base64 del certificato della chiave privata dell'autorità di certificazione codificata in DER utilizzato per la verifica dei peer remoti (proxy o server) Password dell'autorità di certificazione. Deve corrispondere alla password del certificato dell'agente (il campo può essere vuoto se la password non è stata utilizzata nel certificato del peer) Password dell'autorità di certificazione Il database non verrà rimosso durante la disinstallazione --db-admin-username --db-admin-password --db-user-username --db-user-password --db-port --db-type --db-driver --skip-license --hostname --port --proxy-port --product-guid --cert-path --cert-content --cert-auth-path --cert-auth-content --cert-password --cert-auth-password --keep-database Necessario Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì* Sì* Sì** Sì** Sì - * Utilizzare solo una tra le opzioni --cert-path e --cert-content. ** Utilizzare solo una tra le opzioni --cert-auth-path e --cert-auth-content. Per verificare che l'installazione sia stata eseguita correttamente, utilizzare il seguente comando che consentirà di controllare l'effettiva esecuzione del servizio: sudo service eraproxy status Il rapporto del programma di installazione, che rappresenta uno strumento utile per la risoluzione dei problemi, è disponibile nei File di rapporto. 95 3.3.7.1 Prerequisiti proxy - Linux Per installare il componente proxy su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti: Il Server ERA ed ERA Web Console sono installati (su un computer server). Un driver ODBC per la connessione al server del database (MySQL/MS SQL) installato sul computer. Un server del database già installato e configurato. Il certificato del proxy creato e scaricato sull'unità locale (in caso di creazione di un nuovo certificato, selezionare il Prodotto come Proxy). L'Autorità di certificazione preparata sull'unità locale. Una licenza valida. Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato su un computer locale. File di installazione del proxy impostato come eseguibile ( chmod +x Proxy-Linux-x86_64.sh). La versione minima supportata di openssl è openssl-1.0.1e-30 3.3.8 Installazione e prerequisiti di RD Sensor - Linux Per installare il componente RD Sensor su Linux, seguire la procedura sottostante: 1. Verificare che vengano soddisfatti i seguenti prerequisiti: o È possibile eseguire ricerche nella rete (le porte sono aperte, il firewall non blocca le comunicazioni in entrata, ecc.). o È possibile raggiungere il computer server. o Per poter supportare tutte le funzioni del programma, l'agente ERA deve essere installato sul computer locale. o Il terminale è aperto. o File di installazione di RD Sensor impostato come eseguibile: chmod +x RDSensor-Linux-x86_64.sh 2. Utilizzare il seguente comando per eseguire il file di installazione come sudo: sudo ./RDSensor-Linux-x86_64.sh 3. Leggere l'Accordo di Licenza per l'Utente Finale. Utilizzare la barra spaziatrice per procedere alla pagina successiva dell'ALUF. A questo punto, all'utente verrà richiesto di specificare se desidera accettare o meno la licenza. Digitare S in caso di accettazione, N in caso contrario. 4. ESET Rogue Detection Sensor si avvierà al termine dell'installazione. 5. Per verificare la correttezza dell'installazione, controllare che il servizio sia attivo eseguendo il seguente comando: sudo service rdsensor status 6. Il file di rapporto di Rogue Detection Sensor è disponibile in File di rapporto: /var/log/eset/RogueDetectionSensor/trace.log 96 3.3.9 Installazione di Connettore dispositivi mobili - Linux Connettore dispositivi mobili può essere installato su un server differente da quello in cui è in esecuzione il server ERA. Ad esempio, se si desidera rendere Connettore dispositivi mobili accessibile da Internet in modo da poter gestire i dispositivi mobili dell'utente in qualsiasi momento. L'installazione del componente Server ERA su Linux viene eseguita attraverso un comando nel terminale. Assicurarsi che vengano soddisfatti tutti i prerequisiti. È possibile preparare uno script di installazione ed eseguirlo utilizzando il comando sudo. Molti parametri di installazione sono facoltativi, ma alcuni di essi sono obbligatori. Per eseguire l'installazione, è necessario il certificato del computer ERA. Per ottenerlo, è possibile procedere in due modi: Installazione assistita dal server: sarà necessario fornire le credenziali amministratore di ERA Web Console (i certificati richiesti saranno scaricati automaticamente). Installazione off-line: sarà necessario fornire un certificato del computer (il certificato del proxy esportato da ESET Remote Administrator). In alternativa, è possibile utilizzare il proprio certificato personalizzato. È necessario fornire i seguenti parametri del comando di installazione: Certificato HTTPS (proxy): --https-cert-path= --https-cert-password= Certificato del peer: Per un'Installazione assistita dal server includere almeno: --webconsole-password= Per un'Installazione off-line includere: --cert-path= (la password non è necessaria per il certificato dell'agente predefinito creato durante l'installazione iniziale del server ERA) --cert-password= Connessione al server ERA (nome o indirizzo IP): --hostname= Per un database MySQL includere: --db-type="MySQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= Per un database MSSQL includere: --db-type="Microsoft SQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= 97 Esempio di script di installazione (Le nuove ri ghe vengono s epa ra te da "\" per l a copi a del l 'i ntero coma ndo s ul termi na l e) sudo ./MDMCore-Linux-x86_64-0.0.0.0.sh \ --https-cert-path="./proxycert.pfx" \ --https-cert-password="123456789" \ --port=2222 \ --db-type="MySQL" \ --db-driver="MySQL" \ --db-admin-username="root" \ --db-admin-password=123456789 \ --db-user-password=123456789 \ --db-hostname="127.0.0.1" \ --webconsole-password=123456789 \ --hostname=username.LOCAL \ --mdm-hostname=username.LOCAL Per un elenco completo dei parametri disponibili (stampa messaggio della guida), usare: --help Rapporto programma di installazione Il rapporto del programma di installazione, che rappresenta uno strumento utile per la risoluzione dei problemi, è disponibile nei File di rapporto. Al termine dell'installazione, verificare la corretta esecuzione di Connettore dispositivi mobili aprendo https:// your-mdm-hostname:enrollment-port (ad esempio https://eramdm:9980) nel browser Web. Se l'installazione è stata eseguita correttamente, verrà visualizzato il seguente messaggio: È anche possibile utilizzare questo URL per verificare la disponibilità del server Connettore dispositivi mobili da Internet (se configurato in tal modo) visitandolo da un dispositivo mobile. Se non si riesce a visualizzare la pagina, controllare il firewall e la configurazione dell'infrastruttura di rete. 3.3.9.1 Prerequisiti di Connettore dispositivi mobili - Linux Per installare il Connettore dispositivi mobili su Linux, è necessario che vengano soddisfatti i seguenti prerequisiti: Un server del database già installato e configurato con un account radice (un account utente non deve essere creato prima dell'installazione, il programma di installazione può creare l'account). Un driver ODBC per la connessione al server del database (MySQL/MS SQL) installato sul computer. apt-get install unixodbc libmyodbc (Di s tri buzi oni Debi a n, Ubuntu) yum install mysql-connector-odbc (Di s tri buzi oni CentOS, Red-Ha t, Fedora ) zypper install unixodbc myodbc-unixbox (Di s tri buzi oni OpenSUSE) NOTA: utilizzare il pacchetto unixODBC_23 (non il pacchetto unixODBC predefinito) per consentire al server ERA di connettersi al database MySQL senza problemi. Ciò è particolarmente utile nel caso di SUSE Linux. o File di installazione MDMCore impostato come eseguibile. chmod +x MDMCore-Linux-x86_64.sh 98 o In seguito all'installazione, verificare che il servizio MDMCore sia in esecuzione. service mdmcore status o La versione minima supportata di openSSL è openssl-1.0.1e-30 NOTA: se il database MDM su MySQL è troppo grande (migliaia di dispositivi) il valore predefinito innodb_buffer_pool_size è troppo piccolo. Per ulteriori informazioni sull’ottimizzazione del database consultare: http://dev.mysql.com/doc/refman/5.6/en/optimizing-innodb-diskio.html IMPORTANTE: sarà necessario un Certificato SSL in formato .pfx per effettuare comunicazioni protette su HTTPS. Si consiglia l'utilizzo di un certificato fornito da un'autorità di certificazione (AC). L'uso dei certificati autofirmati è sconsigliato poiché non tutti i dispositivi mobili consentono agli utenti di accettare certificati autofirmati. Questo problema non si verifica con i certificati firmati da un'autorità di certificazione poiché sono attendibili e non richiedono l'accettazione da parte dell'utente. NOTA: è necessario possedere un certificato firmato dall’AC e la chiave privata corrispondente e utilizzare procedure standard per unire questi componenti (che utilizzano tradizionalmente OpenSSL) in un unico file .pfx: openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx Questa è una procedura standard per la maggior parte dei server che utilizzano i certificati SSL. IMPORTANTE: per l’Installazione off-line, sarà necessario anche un certificato del computer (il Certificato dell'agente esportato da ESET Remote Administrator). In alternativa, è possibile utilizzare il proprio certificato personalizzato con ERA. 3.3.10 Installazione del proxy Apache HTTP - Linux Scegliere i passaggi di installazione del proxy Apache HTTP in base alla distribuzione Linux utilizzata sul server: Informazioni su uno scenario di installazione generico Linux del proxy Apache HTTP 1. Installare il server Apache HTTP (versione minima: 2.4.10). 2. Assicurarsi che i seguenti moduli siano caricati: access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile, authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk 3. Aggiungere la configurazione della memorizzazione nella cache: CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Se la directory /var/cache/apache2/mod_cache_disk non esiste, crearla e assegnare i privilegi Apache (r,w,x). 5. Aggiungere la configurazione del proxy: ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6. Attivare il proxy e la configurazione della memorizzazione nella cache aggiunti (se la configurazione si trova nel file di configurazione Apache principale, saltare questo passaggio). 7. Se necessario, modificare l'ascolto sulla porta desiderata (impostazione predefinita: porta 3128). 8. Autenticazione facoltativa di base: o Aggiungere la configurazione dell'autenticazione alla directory del proxy: 99 AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup o Creare un file della password utilizzando htpasswd.exe -c o Creare manualmente un file denominato group.file con usergroup:username 9. Riavviare il server Apache HTTP. Installazione di distribuzioni Linux per server Ubuntu 14.10 e altre distribuzioni Linux basate su Debian del proxy Apache HTTP 1. Installare l'ultima versione del server Apache HTTP dall'archivio apt: sudo apt-get install apache2 2. Eseguire il seguente comando per caricare i moduli Apache necessari: sudo a2enmod access_compat auth_basic authn_core authn_file authz_core authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk 3. Modificare il file di configurazione della memorizzazione nella cache Apache: sudo vim /etc/apache2/conf-available/caching.conf e copiare/incollare la seguente configurazione: CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Questo passaggio non è obbligatorio. Tuttavia, se la directory della cache non esiste, è necessario eseguire i seguenti comandi: sudo mkdir /var/cache/apache2/mod_cache_disk sudo chown www-data /var/cache/apache2/mod_cache_disk sudo chgrp www-data /var/cache/apache2/mod_cache_disk 5. Modificare il file di configurazione del proxy Apache: sudo vim /etc/apache2/conf-available/proxy.conf e copiare/incollare la seguente configurazione: ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6. Attivare i file di configurazione modificati negli ultimi passaggi: sudo a2enconf caching.conf proxy.conf 7. Impostare la porta di ascolto del server Apache HTTP su 3128. Modificare il file /etc/apache2/ports.conf e sostituire Listen 80 con Listen 3128. 8. Autenticazione facoltativa di base: sudo vim /etc/apache2/conf-available/proxy.conf copiare/incollare la configurazione dell'autenticazione prima di </Proxy>: 100 AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup installare apache2-utils e creare il file della nuova password (ad esempio nome utente: user, gruppo: usergroup): sudo apt-get install apache2-utils sudo htpasswd -c /etc/apache2/password.file user creare il file con i gruppi: sudo vim /etc/apache2/group.file e copiare/incollare la seguente riga: usergroup:user 9. Riavviare il server Apache HTTP utilizzando il seguente comando: sudo service apache2 restart Inoltro per le sole comunicazioni ESET Per consentire solo l’inoltro delle comunicazioni ESET, rimuovere i seguenti valori: <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> e aggiungere i seguenti valori: <Proxy *> Deny from all </Proxy> #*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s Allow from all </ProxyMatch> #*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s Allow from all </ProxyMatch> #Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails Allow from all </ProxyMatch> #Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs Allow from all </ProxyMatch> #ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([ Allow from all </ProxyMatch> Per consentire l’inoltro di tutte le comunicazioni, aggiungere i seguenti valori: 101 <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> e rimuovere i seguenti valori: <Proxy *> Deny from all </Proxy> #*.eset.com: ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s, Allow from all </ProxyMatch> #*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s Allow from all </ProxyMatch> #Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mails Allow from all </ProxyMatch> #Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs Allow from all </ProxyMatch> #ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([ Allow from all </ProxyMatch> Concatenamento del proxy (tutto il traffico) Aggiungere i valori che seguono alla configurazione del proxy (la password funziona solo su un proxy figlio): ProxyRemote * http://IP_ADDRESS:3128 3.3.11 Installazione proxy squid HTTP su server Ubuntu 14.10 È possibile utilizzare il proxy Squid al posto di Apache sul server Ubuntu. Per installare e configurare Squid sul server Ubuntu 14.10 (e distribuzioni Linux basate su Debian simili), seguire la procedura sottostante: 1. Installare il pacchetto Squid3: sudo apt-get install squid3 2. Modificare il file di configurazione Squid /etc/squid3/squid.conf e sostituire: #cache_dir ufs /var/spool/squid3 100 16 256 con: cache_dir ufs /var/spool/squid3 5000 16 256 max-size=200000000 NOTA: dimensioni cache in MB: 5000 3. Interrompere il servizio squid3. sudo service squid3 stop sudo squid3 -z 4. Modificare nuovamente il file di configurazione Squid e aggiungere http_access http_access deny all per consentire a tutti i client di accedere al proxy. 5. Riavviare il servizio squid3: 102 allow all prima di sudo service squid3 restart 3.3.12 Strumento Mirror Lo strumento Mirror è necessario per gli aggiornamenti del database delle firme antivirali off-line. Se i computer client non dispongono di una connessione a Internet ed è necessario eseguire gli aggiornamenti del database delle firme antivirali, è possibile utilizzare lo strumento Mirror per scaricare i file di aggiornamento dai server di aggiornamento ESET e memorizzarli a livello locale. NOTA: lo strumento Mirror scarica solo le definizioni dei database antivirus, ma non i PCU (aggiornamenti dei componenti di programma). Per aggiornare il prodotto di protezione ESET su computer client offline, si consiglia di aggiornare il prodotto mediante l'attività del cliente di installazione software in ERA. In alternativa, è possibile aggiornare i prodotti singolarmente. Prerequisiti La cartella di destinazione deve essere disponibile per la condivisione, servizio Samba/Windows o HTTP/FTP, a seconda di come si desidera accedere agli aggiornamenti. Occorre disporre di un file di licenza off-line che includa nome utente e password. Durante la generazione di un file di licenza, accertarsi di selezionare la casella di controllo accanto a Includi nome utente e password. Occorre inoltre inserire un nome del file di licenza. Visual C++ Redistributables for Visual Studio 2010 deve essere installato sul sistema. Non esiste una fase di installazione, lo strumento è costituito da due file: o Windows: MirrorTool.exe e updater.dll o Linux: MirrorTool e updater.so Utilizzo 103 Per visualizzare la guida dello strumento Mirror, eseguire MirrorTool disponibili per lo strumento: --help per visualizzare tutti i comandi Il parametro --updateServer è facoltativo. Quando viene utilizzato, occorre specificare l'URL completo del server di aggiornamento. Il parametro --offlineLicenseFilename è obbligatorio. Occorre specificare un percorso per il file di licenza offline (come specificato sopra). Per creare un mirror, eseguire MirrorTool con almeno i parametri richiesti minimi. Esempio: o Windows: MirrorTool.exe --mirrorType regular --intermediateUpdateDirectory c:\temp\mirrorTemp --offlineLicenseFilename c:\temp\offline.lf --outputDirectory c:\temp\mirror o Linux: sudo ./MirrorTool --mirrorType regular --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp --offlineLicenseFilename /tmp/mirrorTool/offline.lf --outputDirectory /tmp/mirrorTool/mirror Impostazioni dello strumento Mirror e dell'aggiornamento Per automatizzare la distribuzione degli aggiornamenti del database delle firme antivirali, è possibile creare un programma per l'esecuzione dello strumento Mirror. Per eseguire questa operazione, aprire la console Web e accedere a Attività client > Sistema operativo > Esegui comando. Selezionare Riga di comando da eseguire (incluso un percorso a MirrorTool.exe) e un'attivazione ragionevole (per esempio CRON per ogni ora 0 0 * * * ? *). In alternativa, è possibile utilizzare l'Utilità di pianificazione di Windows o Cron di Linux. Per configurare gli aggiornamenti su un computer client, creare un nuovo criterio e configurareServer di aggiornamento per puntare all'indirizzo mirror o alla cartella condivisa. 104 3.3.13 Cluster di failover - Linux Di seguito viene illustrata la procedura di installazione e configurazione di ESET Remote Administrator su un cluster ad alta disponibilità Red Hat. Supporto cluster Linux I componenti del server ESET Remote Administrator o del proxy ERA possono essere installati sul cluster Red Hat Linux 6 e versioni successive. Il cluster di failover è supportato solo in modalità attiva/passiva, con l'amministratore del cluster rgmanager. Prerequisiti È necessario che sia installato e configurato il cluster attivo/passivo. Deve essere attivo un solo nodo alla volta. Gli altri nodi devono essere in standby. Non è supportato il bilanciamento del carico. Archiviazione condivisa: sono supportate le archiviazioni condivise iSCSI SAN, NFS e altre soluzioni (qualsiasi tecnologia o protocollo che consente l'accesso basato sui blocchi o sui file all'archiviazione condivisa e che faccia apparire i dispositivi condivisi come dispositivi collegati localmente al sistema operativo). L'archiviazione condivisa deve essere accessibile da ciascun nodo attivo nel cluster, mentre il sistema dei file condivisi deve essere correttamente inizializzato (ad esempio utilizzando il file system EXT3 o EXT4). Per la gestione del sistema sono richiesti i seguenti componenti aggiuntivi ad alta disponibilità: o rgmanager o Conga rgmanager è lo stack del cluster ad alta disponibilità Red Hat tradizionale. È un componente obbligatorio. L'interfaccia utente grafica (GUI) Conga è facoltativa. Il cluster di failover può essere gestito senza di essa. Per prestazioni ottimali è tuttavia consigliabile installarla. Nella presente guida si presuppone che sia installata. Per impedire il danneggiamento dei dati, è necessario che le Fencing siano configurate correttamente. È necessario che l'amministratore del cluster configuri le recinzioni, se non ancora configurate. Se non è già in esecuzione un cluster, è possibile fare riferimento alla seguente guida per configurare un cluster di failover ad alta disponibilità (attivo/passivo) su Red Hat: Amministrazione cluster Red Hat Enterprise Linux 6. Ambito Componenti di ESET Remote Administrator che è possibile installare su un cluster ad alta disponibilità Red Hat Linux: Server ERA con agente ERA Proxy ERA con agente ERA NOTA: è necessario che l'agente ERA sia installato. In caso contrario, il servizio del cluster ERA non verrà eseguito. NOTA: l'installazione del database ERA o di ERA Web Console su un cluster non è supportata. Il seguente esempio di installazione si riferisce a un cluster a 2 nodi. È tuttavia possibile installare ESET Remote Administrator su un cluster a nodi multipli utilizzando l'esempio a titolo di riferimento. I nodi del cluster nell'esempio fornito sono denominati nodo1 e nodo2. Passaggi dell'installazione 1. Installare il server ERA o il proxy ERA, quindi l'agente ERA sul nodo1. Durante l'installazione dell'agente ERA, quando si utilizza il comando --hostname= è possibile specificare localhost (non utilizzare l'indirizzo IP o il nome host reale di tale nodo specifico). In alternativa, è possibile specificare l'indirizzo IP esterno o il nome host dell'interfaccia del cluster. 105 Si tenga presente che il nome host nel certificato del server o del proxy deve contenere l'IP esterno (o nome host) dell'interfaccia del cluster (e non l'IP locale o il nome host del nodo). Durante l'installazione dell'agente ERA, quando si utilizza il comando --hostname=, sono disponibili le seguenti opzioni: o È possibile specificare l'indirizzo IP esterno o il nome host dell'interfaccia del cluster. o In alternativa, è possibile specificare il localhost (e non l'indirizzo IP o il nome host effettivo di quello specifico nodo). In questo caso, il nome host del certificato del server ERA o del proxy ERA deve contenere anche il localhost. 2. Interrompere e disabilitare i servizi Linux dell'agente ERA e del server ERA (o del proxy ERA) usando i seguenti comandi: chkconfig eraagent off chkconfig eraserver off service eraagent stop service eraserver stop 3. Montare l'archiviazione condivisa sul nodo1. Nell'esempio, l'archiviazione condivisa è montata su /usr/share/ erag2cluster. 4. In /usr/share/erag2cluster, creare le seguenti directory: /usr/share/erag2cluster/etc/opt /usr/share/erag2cluster/opt /usr/share/erag2cluster/var/log /usr/share/erag2cluster/var/opt 5. Spostare in modo ricorsivo le seguenti directory nelle destinazioni riportate di seguito (origine > destinazione): Spostare la cartella: Spostare in: /etc/opt/eset /usr/share/erag2cluster/etc/opt/ /opt/eset /usr/share/erag2cluster/opt/ /var/log/eset /usr/share/erag2cluster/var/log/ /var/opt/eset /usr/share/erag2cluster/var/opt/ 6. Creare collegamenti simbolici: ln ln ln ln -s -s -s -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset /usr/share/erag2cluster/opt/eset /opt/eset /usr/share/erag2cluster/var/log/eset /var/log/eset /usr/share/erag2cluster/var/opt/eset /var/opt/eset 7. Smontare l'archiviazione condivisa dal nodo1, montarla sulla stessa directory montata sul nodo1 (/usr/share/ erag2cluster) sul nodo2. 8. Sul nodo2 creare i seguenti collegamenti simbolici: ln ln ln ln -s -s -s -s /usr/share/erag2cluster/etc/opt/eset /etc/opt/eset /usr/share/erag2cluster/opt/eset /opt/eset /usr/share/erag2cluster/var/log/eset /var/log/eset /usr/share/erag2cluster/var/opt/eset /var/opt/eset 9. Copiare lo script eracluster_server ( eracluster_proxy) in /usr/share/cluster. Gli script eracluster_server ( eracluster_proxy)) sono situati nella directory di configurazione del server ERA o del proxy ERA. I passaggi successivi sono eseguiti nell'interfaccia grafica utente di Conga Cluster Administration: 10. Creare un gruppo di servizi, ad esempio EraService. Il servizio del cluster ESET Remote Administrator richiede tre risorse: indirizzo IP, file system e script. 11. Creare le risorse del servizio necessarie. 106 Aggiungere le risorse indirizzo IP, file system e script. La risorsa file system deve puntare all'archiviazione condivisa. Il punto di installazione della risorsa del file system deve essere impostato su /usr/share/erag2cluster. Il parametro "Full Path to Script File" della risorsa dello script deve essere impostato su /usr/share/cluster/ eracluster_server (o /usr/share/cluster/eracluster_proxy). 12. Aggiungere le suddette risorse al gruppo EraService. 3.3.14 Come disinstallare o reinstallare un componente - Linux Se si desidera eseguire una reinstallazione o un aggiornamento a una versione più recente, eseguire nuovamente lo script di installazione. Per disinstallare un componente (in questo caso il server ERA), eseguire il programma di installazione con il parametro --uninstall, come illustrato di seguito: sudo ./Server-Linux-x86_64.sh --uninstall --keep-database Se si desidera disinstallare un altro componente, utilizzare il nome del pacchetto appropriato nel comando. Ad esempio l'agente ERA: sudo ./Agent-Linux-x86_64.sh --uninstall IMPORTANTE: durante la disinstallazione, i file di configurazione e del database verranno rimossi. Per preservare file del database, creare un dump SQL del database oppure utilizzare il parametro --keep-database. In seguito alla disinstallazione, verificare che il servizio eraserver sia stato eliminato. la cartella /etc/opt/eset/RemoteAdministrator/Server/ sia stata eliminata. NOTA: Si consiglia di creare una copia di backup del dump del database prima di eseguire la disinstallazione qualora si desideri ripristinare i dati. 3.4 Installazione dei componenti su Mac OS X Nella maggior parte degli scenari di installazione, è necessario installare vari componenti ESET Remote Administrator su diverse macchine per adattare le varie architetture di rete, soddisfare requisiti in termini di prestazioni e così via. NOTA: OS X è supportato solo come client. L’agente ERA e i prodotti ESET per OS X possono essere installati su OS X. Tuttavia, il server ERA non può essere installato su OS X. 3.4.1 Installazione dell’agente - Mac OS X Questi passaggi si applicano in caso di esecuzione di un'installazione locale dell'agente. 1. Assicurarsi che vengano soddisfatti tutti i prerequisiti: Il server ERA ed ERA Web Console sono installati (su un computer server). È stato creato e preparato un certificato dell’agente sull’unità locale. È stata preparata un’Autorità di certificazione sull’unità locale (obbligatorio solo per i certificati privi di firma). NOTA: in caso di problemi con la distribuzione dell'agente ERA da remoto (l'attività server Distribuzione dell’agente termina con lo stato Non riuscita), consultare Risoluzione dei problemi relativi alla distribuzione dell'agente. 2. Scaricare il file di installazione (programma di installazione dell’agente indipendente .dmg). Questo file può essere ottenuto: scaricandolo nella sezione Download del sito Web di ESET dall’amministratore del sistema 3. Fare doppio clic sul file .dmg, quindi avviare l’installazione facendo doppio clic sul file .pkg. 107 4. Procedere con l’installazione e, quando richiesto, inserire i dati della Connessione del server: Host del server (nome host o indirizzo IP del server ERA) e Porta del server (per impostazione predefinita: 2222). 5. Selezionare un certificato del computer e una password per il certificato. Facoltativamente, è possibile aggiungere un’Autorità di certificazione. 6. Rivedere la posizione dell'installazione e fare clic su Installa. L'agente verrà installato sul computer. 7. Il file di rapporto dell'agente ERA è disponibile qui: /Library/Application Support/com.eset.remoteadministrator.agent/Logs/ /Users/%user%/Library/Logs/EraAgentInstaller.log 3.5 Database ESET Remote Administrator utilizza un database per archiviare i dati del client. Nelle sezioni che seguono vengono illustrati in dettaglio il processo di installazione, backup, aggiornamento e migrazione del database del server ERA/ proxy ERA: Rivedere la compatibilità del database e i requisiti di sistema per il server ERA. Se non è stato configurato un database da utilizzare con il server ERA, tenere presente che Microsoft SQL Server Express è incluso nel programma di installazione. Se si utilizza Microsoft Small Business Server (SBS) o Essentials, si consiglia di verificare che vengano soddisfatti tutti i requisiti e che si stia utilizzando un sistema operativo supportato. Se vengono soddisfatti tutti i requisiti, seguire le istruzioni per l'installazione per Windows SBS/Essentials per installare ERA su questi sistemi operativi. In caso di installazione di Microsoft SQL Server sul sistema, rivedere i requisiti indicati di seguito per assicurarsi che la versione di Microsoft SQL Server sia supportata da ESET Remote Administrator. Se la versione di Microsoft SQL Server non è supportata, effettuare l'aggiornamento a una versione compatibile di SQL Server. Uno dei prerequisiti consiste nell'installazione e nella configurazione di Microsoft SQL Server. È necessario che vengano soddisfatti i seguenti requisiti: Installare Microsoft SQL Server 2008 R2 o versioni successive e, in alternativa, Microsoft SQL Server 2008 R2 Express o versioni successive. Scegliere l'autenticazione Modalità mista durante l'installazione. Se Microsoft SQL Server è già stato installato, impostare l'autenticazione su Modalità mista (autenticazione di SQL Server e autenticazione di Windows). Per eseguire questa operazione, seguire le istruzioni contenute in questo articolo della Knowledge Base. Consentire le connessioni TCP/IP a SQL Server. Per eseguire questa operazione, seguire le istruzioni contenute in questo articolo della Knowledge Base a partire dalla sezione II. Consentire le connessioni TCP/IP al database SQL. NOTA: per la configurazione, la gestione e l’amministrazione di Microsoft SQL Server (database e utenti), scaricare SQL Server Management Studio (SSMS). NOTA: se si sceglie di installare Microsoft SQL Server Express durante l'installazione, non sarà possibile eseguire l'operazione su un controller di dominio. Ciò si verificherà molto probabilmente se si utilizza Microsoft SBS. . Se si utilizza Microsoft SBS, è consigliabile installare ESET Remote Administrator su un server diverso o non selezionare il componente SQL Server Express durante l'installazione (poiché richiede l'utilizzo di un SQL Server o MySQL esistente per l'esecuzione del database ERA). Per consultare le istruzioni per l'installazione del server ERA su un controller di dominio, leggere questo articolo della Knowledge Base. 108 3.5.1 Backup del server del database Tutte le informazioni e le impostazioni relative a ESET Remote Administrator vengono salvate in un database. Si consiglia di effettuare backup periodici del database al fine di prevenire la perdita di dati. Consultare la sezione appropriata al database in uso tra quelle sottostanti: MySQL SQL Server Il backup può anche essere utilizzato in un momento successivo durante la migrazione di ESET Remote Administrator in un nuovo server. Se si desidera ripristinare il backup del database, seguire la procedura sottostante: MySQL SQL Server 3.5.2 Aggiornamento del server del database Seguire le istruzioni sottostanti per aggiornare un'istanza esistente di Microsoft SQL Server a una nuova versione da utilizzare con il database del server ERA o del proxy ERA: 1. Interrompere tutti i servizi del server ERA o del proxy ERA in esecuzione che si connettono al server del database da aggiornare. Interrompere anche qualsiasi altra applicazione che potrebbe connettersi all'istanza di Microsoft SQL Server. 2. Eseguire il backup di tutti i database contenuti prima di procedere. 3. Eseguire l'aggiornamento del server del database in base alle istruzioni del fornitore. 4. Avviare tutti i servizi del server ERA e/o del proxy ERA e controllarne i registri di traccia per verificare che la connessione del database funzioni correttamente. Per ulteriori informazioni relative al database, consultare le seguenti pagine Web: Eseguire l'aggiornamento a SQL Server https://msdn.microsoft.com/it-it/library/bb677622.aspx (è possibile fare clic su Altre versioni per consultare le istruzioni per l'aggiornamento di una specifica versione di SQL Server) Aggiornare MySQL Server (alla versione 5.6) http://dev.mysql.com/doc/refman/5.6/en/upgrading.html 3.5.3 Migrazione del database ERA Fare clic sul collegamento sottostante appropriato per consultare le istruzioni sulle modalità di migrazione del database del server ERA o del proxy ERA tra diverse istanze di SQL Server (ciò vale anche in caso di migrazione verso un'altra versione di SQL Server o un SQL Server ospitato su un'altra macchina): Processo di migrazione per SQL Server Processo di migrazione per MySQL Server Questo processo di migrazione è identico a quello di Microsoft SQL Server e di Microsoft SQL Server Express. 109 3.5.3.1 Processo di migrazione per SQL Server Questo processo di migrazione è identico a quello relativo a Microsoft SQL Server e Microsoft SQL Server Express. Per ulteriori informazioni, consultare il seguente articolo della Knowledge Base di Microsoft: https:// msdn.microsoft.com/en-us/library/ms189624.aspx. Prerequisiti: o È necessario installare le istanze di origine e di destinazione di SQL Server, che possono essere ospitate su macchine diverse. o L'istanza di destinazione di SQL Server deve avere almeno la stessa versione di quella di origine. Il ripristino della versione precedente non è supportato. o È necessario installare SQL Server Management Studio. Se le istanze di SQL Server si trovano su macchine diverse, è necessario che il software sia presente su entrambe. Migrazione: 1. Interrompere il servizio del server ERA o del proxy ERA. 2. Accedere all'istanza di origine di SQL Server mediante SQL Server Management Studio. 3. Creare un backup completo del database per il quale effettuare la migrazione. Si consiglia di specificare un nuovo nome per il set di backup. In alternativa, se il set di backup è già stato utilizzato, verrà aggiunto il nuovo backup e ciò determinerà la creazione di un file di backup inutilmente grande. 4. Mettere il database di origine off-line selezionando Attività > Metti off-line. 5. Copiare il file di backup (.bak) creato nel passaggio 3 in un punto accessibile dall'istanza di destinazione di SQL Server. Per il file di backup del database potrebbe essere necessario modificare i diritti di accesso. 6. Portare il database di origine nuovamente on-line ma non avviare ancora il server ERA! 110 7. Accedere all'istanza di destinazione di SQL Server con SQL Server Management Studio. 8. Ripristinare il database sull'istanza di destinazione di SQL Server. 9. Digitare un nome per il nuovo database nel campo del database "A". In base alle preferenze dell'utente, è possibile utilizzare lo stesso nome del vecchio database. 10. Selezionare Dal dispositivo in Specifica i set di backup di origine e la relativa posizione per effettuare il ripristino, quindi fare clic su ... . 11. Fare clic su Aggiungi, accedere al file di backup e aprirlo. 12. Selezionare il backup più recente possibile per effettuare il ripristino (il set di backup può contenere backup multipli). 111 13. Fare clic sulla pagina delle Opzioni della procedura guidata di ripristino. Facoltativamente, selezionare Sovrascrivi il database esistente e assicurarsi che i punti di ripristino per il database ( .mdf) e per il rapporto ( .ldf) siano corretti. Lasciando i valori predefiniti inalterati, verranno utilizzati i percorsi dall'istanza di origine di SQL Server. Si prega pertanto di controllare questi valori. o Se non si è sicuri del punto di archiviazione dei file del DB sull'istanza di destinazione di SQL Server, fare clic con il pulsante destro del mouse su un database esistente, selezionare Proprietà e fare clic sulla scheda File. La directory in cui è archiviato il database è visualizzata nella colonna Percorso della tabella visualizzata di seguito. 14.Fare clic su OK nella finestra della procedura guidata di ripristino. 15. Assicurarsi che sul nuovo server del database sia attiva l'autenticazione di SQL Server. Fare clic con il pulsante destro del mouse sul server, quindi su Proprietà. Accedere a Sicurezza e verificare che sia selezionata la modalità di autenticazione di SQL Server e Windows. 112 16.Creare un nuovo accesso per SQL Server (per il server/proxy ERA) nell'istanza di destinazione di SQL Server con l'Autenticazione di SQL Server ed eseguire il mapping dell'accesso a un utente nel database ripristinato. o Non attivare la scadenza della password. o Caratteri consigliati per i nomi utente: lettere ASCII minuscole, numeri e carattere di sottolineatura "_" o Caratteri raccomandati per le password: SOLO caratteri ASCII, incluse lettere ASCII minuscole e maiuscole, numeri, spazi, caratteri speciali o Non utilizzare caratteri non-ASCII, parentesi graffe {} o @ o Si tenga presente che, in caso di mancata osservanza delle raccomandazioni sui caratteri di cui sopra, potrebbero verificarsi problemi di connettività del database oppure sarà necessario effettuare l'escape dei caratteri speciali nei passaggi successivi durante la modifica delle stringhe di connessione del database. In questo documento non vengono illustrate le regole per effettuare l'escape dei caratteri. 113 17. Effettuare il mapping dell'accesso a un utente del database di destinazione. Nella scheda dei mapping dell'utente, assicurarsi che l'utente del database sia in possesso dei seguenti ruoli: db_datareader, db_datawriter, db_owner. 114 18. Per attivare le ultime funzioni del server del database, modificare il Livello di compatibilità del database ripristinato aggiornandolo all'ultima versione. Fare clic con il pulsante destro del mouse sul nuovo database e aprire le Proprietà del database. 115 NOTA: SQL Server Management Studio non è in grado di definire livelli di compatibilità successivi a quelli della versione in uso. Ad esempio, SQL Server Management Studio 2008 non è in grado di impostare il livello di compatibilità per SQL Server 2014. 19. Assicurarsi che il protocollo di connessione TCP/IP sia attivato per SQLEXPRESS e che la porta TCP/IP sia impostata su 1433. È possibile eseguire questa operazione aprendo Sql Server Configuration Manager e accedendo a SQL Server Network Configuration > Protocols for SQLEXPRESS. Fare clic con il pulsante destro del mouse su TCP/IP e selezionare Attivato. Fare quindi doppio clic su TCP/IP, passare alla scheda Protocolli, scorrere fino a IPAll e, nel campo Port, digitare 1433. Fare clic su OK e riavviare il servizio SQL Server. 116 20.Trovare startupconfiguration.ini sulla macchina dove è installato il server/proxy ERA. o Per Windows Vista e versioni successive: % PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration \startupconfiguration.ini o Per le versioni di Windows precedenti: % ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData \Configuration\startupconfiguration.ini o Per Linux: /etc/opt/eset/RemoteAdministrator/Server/StartupConfiguration.ini 20.Modificare la stringa di connessione del database nel server/proxy ERA startupconfiguration.ini o Impostare l'indirizzo e la porta del nuovo server del database. o Impostare il nuovo nome utente e la password ERA nella stringa di connessione. Il risultato finale dovrebbe essere il seguente: DatabaseType=MSSQLOdbc DatabaseConnectionString=Driver=SQL Server;Server=localhost,1433;Uid=era_user1;Pwd={SecretPassword123};Ch 21.Avviare il server/proxy ERA e verificare che il relativo servizio venga eseguito correttamente. 117 3.5.3.2 Processo di migrazione per MySQL Server Prerequisiti È necessario installare le istanze di origine e di destinazione di SQL Server, che possono essere ospitate su macchine diverse. Gli strumenti MySQL devono essere disponibili su almeno uno dei computer (client mysqldump e mysql). Collegamenti utili http://dev.mysql.com/doc/refman/5.6/en/copying-databases.html http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html http://dev.mysql.com/doc/refman/5.6/en/mysql.html Processo di migrazione Nei comandi, nei file di configurazione o nelle dichiarazioni di SQL sottostanti, sostituire sempre: SRCHOST con l'indirizzo dell'istanza di origine del server del database SRCROOTLOGIN con l'accesso dell'utente radice dell'istanza di origine di MySQL Server SRCERADBNAME con il nome dell'istanza di origine del database ERA per il quale eseguire il backup BACKUPFILE con il percorso al file in cui verrà archiviato il backup TARGETHOST con l'indirizzo dell'istanza di destinazione del server del database TARGETROOTLOGIN con l'accesso dell'utente radice dell'istanza di destinazione di MySQL Server TARGETERADBNAME con il nome dell'istanza di destinazione del database ERA (in seguito alla migrazione) TARGETERALOGIN con il nome di accesso per il nuovo utente del database ERA sull'istanza di destinazione di MySQL Server TARGETERAPASSWD con la password del nuovo utente del database ERA sull'istanza di destinazione di MySQL Server Non è necessario eseguire le dichiarazioni SQL sottostanti attraverso la riga di comando. Se è disponibile lo strumento GUI, è possibile utilizzare un'applicazione già nota. 1. Interrompere i servizi del server/proxy ERA. 2. Creare un backup completo dell'istanza di origine del database ERA (database che si desidera migrare): mysqldump --host SRCHOST --disable-keys --extended-insert --routines -u SRCROOTLOGIN -p SRCERADBNAME > BA 3. Preparare un database vuoto sull'istanza di destinazione di MySQL Server: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT NOTA: utilizzare il carattere apostrofo ' al posto delle virgolette " sui sistemi Linux. 4. Ripristinare il database sull'istanza di destinazione di MySQL Server sul database vuoto preparato in precedenza: mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE 5. Creare un utente per il database ERA sull'istanza di destinazione di MySQL Server: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TA Caratteri consigliati per TARGETERALOGIN: lettere ASCII minuscole, numeri e sottolineatura "_" Caratteri consigliati per TARGETERAPASSWD: solo caratteri ASCII, incluse lettere ASCII minuscole e maiuscole, numeri, spazi e caratteri speciali Non utilizzare caratteri non-ASCII, parentesi graffe {} o @ 118 Si tenga presente che, in caso di mancata osservanza delle raccomandazioni sui caratteri di cui sopra, potrebbero verificarsi problemi di connettività del database oppure sarà necessario effettuare l'escape dei caratteri speciali nei passaggi successivi durante la modifica delle stringhe di connessione del database. In questo documento non vengono illustrate le regole per effettuare l'escape dei caratteri. 6. Garantire adeguati diritti di accesso all'utente del database ERA sull'istanza di destinazione di MySQL Server: mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN NOTA: sui sistemi Linux utilizzare il carattere apostrofo ' al posto delle virgolette ". 7. Trovare startupconfiguration.ini sulla macchina su cui è installato il server/proxy ERA. o Per Windows Vista e versioni successive: % PROGRAMDATA %\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration \startupconfiguration.ini o Per le versioni di Windows precedenti: % ALLUSERSPROFILE %\ Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData \Configuration\startupconfiguration.ini o Per Linux: /etc/opt/eset/RemoteAdministrator/Server/StartupConfiguration.ini 8. Modificare la stringa di connessione del database nel server/proxy ERA startupconfiguration.ini o Impostare l'indirizzo e la porta del nuovo server del database o Impostare il nome utente e la password o Il risultato finale dovrebbe essere il seguente: DatabaseType=MySqlOdbc DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERAL Password={TARGETERAPASSWD};CharSet=utf8;Database=TARGETERADBNAME; 9. Avviare il server/proxy ERA e verificare che il relativo servizio venga eseguito correttamente. 3.6 Immagine ISO Un file di immagine ISO è uno dei formati in cui è possibile scaricare i programmi di installazione (categoria dei programmi di installazione integrati) di ESET Remote Administrator. L'immagine ISO contiene i seguenti elementi: Pacchetto di installazione ERA Programmi di installazione separati per ciascun componente L'immagine ISO è utile nel momento in cui si desidera mantenere tutti i programmi di installazione di ESET Remote Administrator in un'unica posizione. Questo strumento consente inoltre di eliminare il bisogno di scaricare i programmi di installazione dal sito Web di ESET tutte le volte che si desidera eseguire l'installazione. L'immagine ISO è inoltre utile se si desidera installare ESET Remote Administrator su una macchina virtuale. 119 3.7 Record servizio DNS Per configurare un record di risorse DNS: 1. Sul server DNS (server DNS sul controller di dominio) in uso, accedere a Pannello di controllo > Strumenti di amministrazione. 2. Selezionare il valore DNS. 3. Nel DNS Manager, selezionare _tcp dalla struttura ad albero e creare un nuovo record Posizione del servizio (SRV). 4. Inserire il nome del servizio nel campo Servizio in base alle regole DNS standard, digitare un simbolo di sottolineatura (_) davanti al nome del servizio (utilizzare il proprio nome di servizio, per esempio _era). 5. Inserire il protocollo tcp nel campo Protocollo nel seguente formato: _tcp. 6. Inserire la porta 2222 nel campo Numero porta. 7. Inserire il Nome di dominio completo (FQDN) del server ERA nel campo Host che offre il servizio. 8. Salvare il record facendo clic su [OK], quindi su [Fine]. A questo punto, il record verrà visualizzato nell'elenco. Per verificare il record DNS: 1. Accedere a un computer qualsiasi del dominio e aprire un prompt dei comandi (cmd.exe). 2. Digitare nslookup nel prompt dei comandi e premere Invio. 3. Digitare set querytype=srv e premere Invio. 4. Digitare _era._tcp.domain.name e premere Invio. La posizione del servizio verrà visualizzata correttamente. NOTA: questa procedura vale sia per Windows che per Linux. NOTA: non dimenticare di modificare il valore "Host che offre il servizio:" sull'FQDN del nuovo server durante l'installazione del server ESET Remote Administrator su un'altra macchina. 120 4. Procedure di aggiornamento, migrazione e reinstallazione Questa sezione descrive vari metodi di esecuzione dell’aggiornamento, della migrazione e della reinstallazione del server ESET Remote Administrator e di altri componenti ERA. 1. Aggiornamento da una generazione precedente di ERA Come aggiornare/eseguire la migrazione dalla generazione di ESET Remote Administrator 5 alla generazione di ESET Remote Administrator 6 con lo Strumento di migrazione. 2. Aggiornamento da una versione precedente di ERA 6 a una versione più recente di ERA 6 Come eseguire l’aggiornamento dei componenti dell’infrastruttura ESET Remote Administrator. NOTA: per cercare la versione di ciascun componente ERA in esecuzione, è necessario verificare la versione del server ESET Remote Administrator. Accedere alla pagina Informazioni in ERA Web Console e consultare il seguente articolo della Knowledge Base per un elenco di tutti le versioni dei componenti ERA per ciascun server ERA. 3. Migrazione o reinstallazione di ERA 6 da un server a un altro Come eseguire la migrazione da un server a un altro o la reinstallazione di un server ERA. NOTA: se si prevede di effettuare la migrazione da un server ERA a una nuova macchina server, è necessario esportare/eseguire il backup di tutte le autorità di certificazione, nonché del certificato del server ERA. In caso contrario, nessuno dei componenti ERA sarà in grado di comunicare con il nuovo server ERA. 4. Altre procedure Come modificare un indirizzo IP o nome host sul server ERA. 4.1 Attività di aggiornamento dei componenti In questo capitolo saranno presentati i seguenti argomenti: Raccomandazioni Elenco dei componenti aggiornati Prima dell’aggiornamento La procedura dell’attività di aggiornamento dei componenti di Remote Administrator Risoluzione dei problemi Raccomandazioni: Si consiglia di utilizzare l’attività di aggiornamento dei componenti disponibile in ERA Web Console per eseguire l’aggiornamento dell’infrastruttura ERA. L'esempio che segue illustra le modalità di configurazione dell'attività di Aggiornamento dei componenti di Remote Administrator dalla versione di ERA 6.1.x o 6.2.x alla versione di ERA 6.3.x. IMPORTANTE: per questa operazione è necessario eseguire il backup di tutti i certificati (autorità di certificazione, certificato del server e certificato del proxy e dell’agente). Per effettuare il backup dei certificati, eseguire le operazioni illustrate di seguito: Esportare i Certificati dell’autorità di certificazione da un vecchio server ERA a un file .der e salvarli in un archivio esterno. Esportare i Certificati del computer (per l’agente ERA, il server ERA e il proxy ERA) e il file .pfx della chiave privata da un vecchio server ERA e salvarli in un archivio esterno. Quando si esegue questa attività, si consiglia vivamente di selezionare il Gruppo Tutti come destinazione per assicurarsi che venga eseguito l’aggiornamento dell'intera infrastruttura ERA. 121 Elenco dei componenti aggiornati: Server ERA Agente ERA (l'attività aggiornerà tutti i computer presenti nella rete con gli agenti ERA installati se sono stati selezionati come destinazioni per l’attività) Proxy ERA ERA Web Console (vale solo in caso di installazione con il programma di installazione ERA integrato o ERA Virtual Appliance e qualsiasi distribuzione Linux [nella cartella di installazione: /var/lib/tomcat8/webapps/, /var/lib/ tomcat7/webapps/, /var/lib/tomcat6/webapps/, /var/lib/tomcat/webapps/ ]) ERA Mobile Device Connector (dalla versione 6.2.11.0 alla versione di ERA 6.3.x) L'aggiornamento dei componenti che seguono deve essere eseguito manualmente: Apache Tomcat (si consiglia vivamente di tenere costantemente aggiornato Apache Tomcat; consultare Aggiornamento di Apache Tomcat) Proxy HTTP Apache (è possibile installare questo componente utilizzando il programma di installazione integrato; consultare Aggiornamento del proxy HTTP Apache) ERA Rogue Detection Sensor Prima dell’aggiornamento: se non è possibile eseguire l'aggiornamento dei componenti su una macchina su cui è in esecuzione un server ERA o la console Web, potrebbe non essere possibile accedere da remoto alla console Web. Si consiglia vivamente di configurare l'accesso fisico alla macchina del server prima di eseguire l'aggiornamento. Qualora non sia possibile effettuare l'accesso fisico alla macchina, assicurarsi di potervi accedere con i privilegi amministrativi mediante l'utilizzo di un desktop remoto. Si consiglia anche di effettuare un backup dei database del server ERA e del Connettore dispositivi mobili prima di eseguire l'operazione. Per eseguire il backup degli accessori virtuali, è necessario creare uno snapshot o clonare la macchina virtuale. Aggiornamento dalla versione 6.1.x di ERA. In caso di aggiornamento dalla versione 6.1 di ERA e di utilizzo di un proxy ERA, le macchine client che effettuano la connessione mediante il proxy ERA non riceveranno automaticamente l'agente ERA aggiornato. Si consiglia di utilizzare i programmi di installazione in tempo reale dell’agente e di eseguire la distribuzione mediante GPO o SCCM. Se è installato ERA 6.2, i client si aggiorneranno normalmente anche in caso di connessione mediante il proxy ERA. L’istanza del server ERA è installata su un cluster di failover. in caso di installazione dell'istanza del server ERA su un cluster di failover, è necessario aggiornare manualmente il componente del server ERA su ciascun nodo del cluster. Dopo aver effettuato l'aggiornamento del server ERA, eseguire l'attività Aggiornamento dei componenti per aggiornare il resto dell'infrastruttura (per esempio, gli agenti ERA sui computer client). Agente ERA installato sui client Linux in esecuzione con systemd nell’infrastruttura. In caso di installazione dell’agente ERA sui client Linux in esecuzione con systemd nell’infrastruttura (le distribuzioni con gli script SysV init o upstart non subiranno modifiche), eseguire lo script indicato di seguito prima di eseguire un’attività di aggiornamento dei componenti. Questa operazione è necessaria solo per la versione 6.1.450.0 o una versione precedente. 122 #!/bin/sh -e systemd_service=eraagent.service systemd_service_path="/etc/systemd/system/$systemd_service" if ! grep "^KillMode=" "$systemd_service_path" > /dev/null then echo "Applying 'KillMode' change to '$systemd_service_path'" sed -i 's/\[Service\]/[Service]\nKillMode=process/' "$systemd_service_path" else echo "'KillMode' already set. No changes applied." exit 0 fi systemctl daemon-reload if systemctl is active $systemd_service > /dev/null then echo "Restarting instance of '$systemd_service'" systemctl restart $systemd_service fi Istruzioni importanti prima di eseguire l’aggiornamento del proxy HTTP Apache su Microsoft Windows In caso di utilizzo del proxy HTTP Apache e di impostazioni personalizzate nel file httpd.conf (come nome utente e password), eseguire il backup del file httpd.conf originale (posizionato in C:\Program Files\Apache HTTP Proxy \conf\). In caso di mancato utilizzo delle impostazioni personalizzate, il backup del file httpd.conf non è necessario. Effettuare l’aggiornamento a una versione più recente del proxy HTTP Apache utilizzando uno dei metodi illustrati in Aggiornamento del proxy HTTP Apache. AVVISO: dopo aver eseguito correttamente l’aggiornamento di Apache HTTP Proxy su Windows e nel file originale sono presenti impostazioni personalizzate (come nome utente e password), copiare le impostazioni dal file di backup httpd.conf e inserire solo le impostazioni personalizzate nel nuovo file httpd.conf. Non utilizzare il file httpd.conf originale con la nuova versione aggiornata di Apache HTTP Proxy, in quanto non funzionerà correttamente. Copiare solo le impostazioni personalizzate da questo file e utilizzare il nuovo file httpd.conf . In alternativa, è possibile personalizzare manualmente il nuovo file httpd.conf . Le impostazioni sono descritte in Installazione del proxy HTTP Apache - Windows. httpd.conf Istruzioni importanti prima di eseguire l’aggiornamento del proxy HTTP Apache sugli accessori virtuali In caso di utilizzo del Proxy HTTP Apache e in presenza di impostazioni personalizzate nel file httpd.conf (come nome utente e password), effettuare il backup del file httpd.conf originale (posizionato in /opt/apache/conf/) ed eseguire l’attività di aggiornamento dei componenti di Remote Administrator per effettuare l’aggiornamento del Proxy HTTP Apache. In caso di mancato utilizzo delle impostazioni personalizzate, non è necessario creare un backup di httpd.conf. Al termine dell'attività di aggiornamento dei componenti, eseguire il comando indicato di seguito utilizzando l’attività client Esegui comando che aggiornerà il file httpd.conf (obbligatorio per consentire un’esecuzione corretta della versione aggiornata del proxy HTTP Apache): wget http://help.eset.com/era_install/63/apache/httpd.conf -O /tmp/httpd.conf\ -o /tmp/wgeterror.log && cp /tmp/httpd.conf /opt/apache/conf/httpd.conf 123 In alternativa, è possibile eseguire lo stesso comando direttamente dalla console di ERA Virtual Appliance. Un’altra opzione consiste nel sostituire manualmente il file di configurazione del proxy HTTP Apache httpd.conf . AVVISO: se il file httpd.conf originale contiene impostazioni personalizzate (come nome utente e password), copiare le impostazioni dal file di backup httpd.conf e aggiungere solo le impostazioni personalizzate nel nuovo file httpd.conf. Non utilizzare il file httpd.conf originale con la nuova versione aggiornata del proxy HTTP Apache, in quanto non funzionerà correttamente. Copiare solo le impostazioni personalizzate da questo file e utilizzare il nuovo file httpd.conf. In alternativa, è possibile personalizzare manualmente il nuovo file httpd.conf. Le impostazioni sono descritte in Installazione del proxy HTTP Apache Linux. Procedura dell’attività di aggiornamento dei componenti di Remote Administrator: 1. Fare clic su Admin > Attività client e accedere a Tutte le attività > ESET Remote Administrator > Aggiornamento componenti amministratore remoto. 2. Fare clic su Nuova per configurare la nuova attività. 124 Di base 3. Inserire un Nome e una Descrizione dell’attività. 4. Nel menu a discesa Attività, selezionare Aggiornamento dei componenti di Remote Administrator. 125 126 Destinazione 5. Contrassegnare le caselle di controllo accanto a tutte le destinazioni che ricevono questa attività (computer singoli o interi gruppi). Fare clic su Aggiungi destinazioni per visualizzare tutti i gruppi statici e dinamici e i membri corrispondenti. Selezionare Gruppo statico > Tutti per eseguire l'aggiornamento sull'infrastruttura completa. Attivazione 6. Nel menu a discesa Tipo di attivazione. IMPORTANTE: per la versione 6.2.x e successive, selezionare Pianifica una volta e digitare Pianifica una volta alle con l’Intervallo di ritardo casuale impostato su 12 ore. 127 IMPORTANTE: per la versione 6.1.x selezionare Espressione CRON. Nella casella Espressione CRON, inserire un’espressione CRON per la data in cui si desidera avviare l’attività. Per esempio R R R 15 5 ? 2015 eseguirà l'attività casualmente una volta a maggio 2015. 128 7. IMPORTANTE: richiama appena possibile se un evento è mancante: Utilizzare questa opzione con prudenza. In caso di utilizzo di più di un client virtualizzato, questa opzione causa l'aggiornamento di tutti i client in contemporanea che comporterà, a sua volta, carichi elevati sull'infrastruttura virtuale. 8. Si consiglia di selezionare la casella di controllo accanto a Utilizza ora locale. Questa opzione fa riferimento all'ora locale del(i) client e non del server. Fare clic su Fine al termine dell'operazione. Impostazioni 9. Se d'accordo, contrassegnare la casella di controllo accanto a Accetto i termini dell’Accordo di licenza per l'utente finale relativa alla richiesta. Per ulteriori informazioni, consultare Gestione Licenza o Accordo di licenza per l'utente finale (EULA). 129 10.Fare clic su <Scegli server>, selezionare un prodotto e fare clic su OK. NOTA: l’elenco di prodotti e di versioni è variabile e quello indicato di seguito costituisce solo un esempio. 130 131 Riepilogo 11.Rivedere il riepilogo delle impostazioni configurate e fare clic su Fine. L'attività è stata creata e verrà inviata ai client. Risoluzione dei problemi: Verificare che sia possibile accedere all’archivio ERA da un computer aggiornato. La riesecuzione dell'attività Aggiornamento dei componenti di Remote Administrator non funzionerà in presenza di almeno un componente per il quale è già stato eseguito un aggiornamento a una versione più recente. In assenza di motivi chiari della mancata esecuzione dell'aggiornamento dei componenti, è possibile eseguire questa attività manualmente. Consultare le istruzioni per Windows o Linux. Sulle macchine Linux che utilizzano systemd come gestore dei servizi, questa attività non può essere completata correttamente. Le distribuzioni Linux con gli script SysV init o upstart non subiranno modifiche. Per ulteriori informazioni sulla risoluzione dei problemi legati all’aggiornamento, consultare Informazioni generali sulla risoluzione dei problemi. 132 4.1.1 Installazione del prodotto con aggiornamento dei componenti Esistono due modi per eseguire un’installazione basata su componenti e una distribuzione da ESET Remote Administrator dei prodotti ESET Business versione 6.x. NOTA: l’installazione basata su componenti è supportata solo da ESET Endpoint Security; di conseguenza, non è supportata da ESET Endpoint Antivirus. Selezionare i componenti per eseguire l’installazione utilizzando la proprietà ADDLOCAL. Consultare anche Installazione avanzata di ESET Endpoint Security. 1. Utilizzo dell’attività Installazione del software Scegliere un pacchetto dall'archivio o selezionare l’opzione Aggiungi percorso nel file msi, per esempio: file://\\Win2012-server\share\ees_nt64_enu.msi (è necessario impostare le autorizzazioni corrette: nessuna autenticazione) aggiungere l’<elenco> ADDLOCAL= nei parametri di installazione ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam, WebControl,UpdateMirror,DocumentProtection,DeviceControl (tutti i componenti senza NAP e firewall) Consultare anche le istruzioni relative all’attività Installazione del software nel Manuale di gestione. 2. Utilizzo delle attività Esegui comando Per esempio: msiexec.exe /i \\Win2012-server\share\ees_nt64_enu.msi /qn ADDLOCAL=WebAndEmail,ProtocolFiltering,WebAccessProtection,EmailClientProtection,Antispam, WebControl,UpdateMirror,DocumentProtection,DeviceControl /lvx* C:/install.log Consultare anche le istruzioni relative all’attività Esegui comando nel Manuale di gestione. 4.2 Migrazione da una versione precedente di ERA Se si desidera eseguire l’aggiornamento/la migrazione da una generazione precedente di ESET Remote Administrator 5 a ESET Remote Administrator 6, è possibile utilizzare lo Strumento di migrazione che semplifica il processo di aggiornamento. Lo strumento di migrazione è un'applicazione indipendente che si presenta sotto forma di procedura guidata e che consente di effettuare una semplice migrazione dei dati di ERA 4.x/5.x in un database intermedio e la successiva importazione in ERA 6.x. IMPORTANTE: la versione dello strumento di migrazione deve corrispondere alla versione di ESET Remote Administrator a cui si esegue la migrazione. Per trovare la versione dello strumento di migrazione necessaria, consultare questo articolo della Knowledge Base. Scaricare la versione appropriata di ESET Remote Administrator Migration Tool. Eseguire lo strumento di migrazione a livello locale sul server ERA 4.x / 5.x precedente. Non è possibile eseguire lo strumento di migrazione da una macchina remota. Non viene eseguita la migrazione della configurazione del server ERA precedente. Non viene eseguita la migrazione dei gruppi parametrici. È possibile eseguire la migrazione di criteri con Migration Tool 6.2.x e versioni successive. Tuttavia, esistono alcuni elementi specifici per la migrazione dei criteri: Viene eseguita la migrazione solo dei criteri da un server ERA superiore. Viene eseguita la migrazione solo delle definizioni dei criteri, ma non delle relazioni. Sarò necessario assegnare manualmente i criteri migrati ai gruppi appropriati dopo la migrazione. 133 La gerarchia dei criteri viene omessa. Se è presente un contrassegno di sostituzione nell'ERA precedente, esso viene convertito in forza nel criterio ERA 6 per la stessa impostazione. Se sono presenti impostazioni per più prodotti in un solo criterio nell'ERA precedente, verrà creato un singolo criterio per ogni prodotto in ERA 6. NOTA: dopo la migrazione, si consiglia di controllare gli elementi (computer, gruppi statici, criteri, ecc.) per verificarne la presenza e controllare che il risultato della migrazione soddisfi le aspettative. In caso di discrepanze, è necessario un intervento, ad esempio la creazione manuale di criteri. NOTA: se si verifica un errore durante il processo di migrazione, viene scritto nel file in migration.log che si trova nella stessa cartella dello strumento di migrazione. Se si ha accesso in sola lettura a questa cartella, si aprirà al suo posto una finestra di registro. La stessa cosa accade in caso di spazio insufficiente sul disco, in questo caso il file di registro non viene creato e i risultati saranno visualizzati solo nella finestra di registro. NOTA: per risolvere il problema del file MSVCP100.dll oppure MSVCR100.dll mancante, installare la versione più recente di Microsoft Visual C++ 2010 Redistributable Package. È possibile utilizzare il seguente collegamento Microsoft Visual C++ 2010 Redistributable Package (x86). I seguenti scenari di migrazione conducono l'utente attraverso il processo di migrazione: Scenario di migrazione 1: migrazione a ERA 6.x in esecuzione su un computer diverso da ERA 4.x / 5.x. Scenario di migrazione 2: migrazione a ESET Remote Administrator 6.x in esecuzione sullo stesso computer di ERA 4.x / 5.x. Scenario di migrazione 3: migrazione a ERA 6.x dove gli endpoint si connettono alla versione ERA 4.x/5.x precedente fino a quando ERA 6.x distribuisce l'agente ERA. 134 4.2.1 Scenario di migrazione 1 Questo scenario contempla una migrazione a ERA 6.x in esecuzione su un computer differente da ERA 4.x/5.x. Per ulteriori informazioni, consultare questo articolo della Knowledge Base in cui sono disponibili istruzioni dettagliate per il completamento dell’installazione attraverso l’utilizzo del programma di installazione integrato. 1. Il primo passaggio della procedura di migrazione consiste nel verificare che ERA 6.x sia installato e in esecuzione su un altro computer. 2. Avviare lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x/5.x e selezionare Esporta per salvare i dati dalla vecchia versione di ERA a un file di database intermedio. 3. La procedura di migrazione guidata consente di trasferire solo dati specifici. Selezionare i dati che si desiderano trasferire e fare clic su Avanti. Dopo aver selezionato una cartella dove salvare il database temporaneo, verrà visualizzato lo stato dell'archivio del database ERA 4.x/5.x. Tutti i dati sono esportati su un database intermedio. 4. Al termine dell'esportazione dei dati è possibile scegliere tra due opzioni: Un'opzione disponibile è Fine per terminare l'esportazione, Copiare il file del database temporaneo su un server sul quale è in esecuzione ESET Remote Administrator 6.x e importare i dati tramite lo strumento di migrazione ERA su tale server. In alternativa, è possibile fare clic sul pulsante Importa ora e importare i dati direttamente in ESET Remote Administrator 6.x tramite la rete. Specificare la connessione e i dati di accesso del nuovo server ERA. NOTA: i Gruppi statici sincronizzati da Active Directory sono ignorati e non saranno esportati. 135 Se le impostazioni del server non consentono di importare dati specifici, lo strumento di migrazione di ESET Remote Administrator consente di modificare le impostazioni di componenti specifici di ERA 6x. Ciascuno dei componenti viene quindi importato. Per ciascun componente è disponibile un rapporto di importazione (migrazione). Al termine dell'importazione, verranno visualizzati i risultati della procedura. Nel caso in cui si dovesse eseguire la migrazione di utenti, le relative password vengono reimpostate e sostituite con password generate casualmente. Tali password possono essere esportate in formato .CSV . La procedura guidata dello strumento di migrazione genera inoltre uno script che può essere utilizzato per preconfigurare gli agenti ERA sulle macchine client. Lo script è un file .bat eseguibile di piccole dimensioni che può essere distribuito sui computer client. È consigliabile rivedere le impostazioni e i dati per i quali è stata eseguita la migrazione per verificare che l'importazione sia stata eseguita correttamente. È quindi possibile utilizzare questo script per distribuire l'agente ERA su un gruppo ristretto di computer per verificare se si connettono correttamente al server. Dopo aver connesso correttamente il gruppo di test, è possibile distribuire l'agente ai restanti computer, manualmente o tramite l'attività di sincronizzazione AD. NOTA: nel caso in cui uno qualsiasi dei restanti passaggi non dovesse riuscire, è necessario annullare le modifiche apportate a ERA 6.x, configurare i computer per la connessione a ERA 4.x/5.x, recuperare i dati di backup da ERA 4.x/5.x e contattare il supporto tecnico ESET. 4.2.2 Scenario di migrazione 2 Questo scenario contempla una migrazione a ESET Remote Administrator 6.x in esecuzione sullo stesso computer su cui è eseguito ERA 4.x/5.x. Prima di eseguire la migrazione dei dati, è necessario aver eseguito il backup di tutti i dati (tramite lo strumento di manutenzione ESET) e aver interrotto i servizi ERA nel sistema operativo. Guardare questo video illustrativo della Knowledge Base o leggere questo articolo della Knowledge Base per consultare istruzioni dettagliate per il completamento dell'installazione mediante l'utilizzo del programma di installazione integrato. Scaricare lo strumento di migrazione di ESET Remote Administrator e procedere con i passaggi elencati di seguito. NOTA: se si visualizza un errore di sistema, assicurarsi di aver installato il Microsoft Redistributable Package richiesto. 136 1. Dopo aver avviato lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x / 5.x, l'amministratore seleziona l'opzione Esporta per salvare i dati da ERA 4.x/5.x su un file di database intermedio. La procedura di migrazione guidata consente di trasferire solo dati specifici: NOTA: a causa del nuovo design e delle nuove funzionalità dei gruppi dinamici in ERA 6.x, non è possibile trasferire i gruppi parametrici e le attività da ERA 4.x/5.x. 137 138 2. Dopo aver selezionato una cartella dove salvare il database temporaneo, la procedura guidata consentirà di visualizzare lo stato di archiviazione del database ERA 4.x/5.x. 3. Tutti i dati sono esportati su un database intermedio. Dopo aver esportato correttamente i dati e prima di distribuire ERA 6.x, è necessario aver disinstallato ERA 4.x/5.x. Prima di procedere con l’installazione di ERA 6.x, si consiglia di riavviare la macchina. Quando la nuova versione ERA 6.x è stata installata, il database esportato può essere importato utilizzando lo strumento di migrazione. All’amministratore viene richiesto di inserire l’indirizzo IP della macchina (che era stato visualizzato nella schermata di conferma dell’installazione di ERA Console, ma senza il protocollo ":8443") nel campo Host e la password di amministratore configurata durante l’installazione e di selezionare il file del database salvato. Se le impostazioni del server non consentono di importare dati specifici, lo strumento di migrazione di ESET Remote Administrator consente di modificare le impostazioni di componenti specifici di ERA 6x. Ciascuno dei componenti viene quindi importato. Per ciascun componente è disponibile un rapporto di importazione (migrazione). Al termine dell'importazione, verranno visualizzati i risultati della procedura. Nel caso in cui si dovesse eseguire la migrazione di utenti, le relative password vengono reimpostate e sostituite con password generate casualmente. Tali password possono essere esportate in formato .CSV . La procedura guidata dello strumento di migrazione genera inoltre uno script che può essere utilizzato per preconfigurare gli agenti ERA sulle macchine client. Lo script è un file .bat eseguibile di piccole dimensioni che può essere distribuito sui computer client. 139 È consigliabile rivedere le impostazioni e i dati per i quali è stata eseguita la migrazione per verificare che l'importazione sia stata eseguita correttamente. È quindi possibile utilizzare questo script per distribuire l'agente ERA su un gruppo ristretto di computer per verificare se si connettono correttamente al server. Dopo aver connesso correttamente il gruppo di test, è possibile distribuire l'agente ai restanti computer, manualmente o tramite l'attività di sincronizzazione AD. NOTA: nel caso in cui uno qualsiasi dei restanti passaggi non dovesse riuscire, è necessario annullare le modifiche apportate a ERA 6.x, configurare i computer per la connessione a ERA 4.x/5.x, recuperare i dati di backup da ERA 4.x/5.x e contattare il supporto tecnico ESET. 4.2.3 Scenario di migrazione 3 Questo scenario contempla una migrazione a ERA 6.x dove gli endpoint si connettono alla versione ERA 4.x/5.x precedente fino a quando ERA 6.x distribuisce l'agente ERA. Questo scenario si rivela utile solo se si desidera scoprire l'aspetto di ERA 6.x con i dati ricavati da ERA 4.x/5.x, ma sono ancora presenti endpoint che effettuano la connessione a ERA 4.x/5.x. NOTA: questo scenario è consigliato esclusivamente agli utenti esperti. Non è consigliabile eseguire questo tipo di migrazione, a meno che non siano disponibili altre opzioni. 1. Dopo aver avviato lo strumento di migrazione di ESET Remote Administrator sulla macchina ERA 4.x / 5.x, l'amministratore seleziona l'opzione Esporta per salvare i dati da ERA 4.x/5.x su un file di database intermedio. La procedura di migrazione guidata consente di trasferire solo dati specifici: NOTA: a causa del nuovo design e delle nuove funzionalità dei gruppi dinamici in ERA 6.x, non è possibile trasferire i gruppi parametrici e le attività da ERA 4.x/5.x. 140 141 2. Dopo aver selezionato una cartella dove salvare il database temporaneo, la procedura guidata consentirà di visualizzare lo stato di archiviazione del database ERA 4.x/5.x. 3. Tutti i dati sono esportati su un database intermedio. 4. Se ERA 6 verrà installato sullo stesso computer sul quale è installata la versione 4.x/5.x, è necessario modificare le porte della versione ERA precedente e rinominare il servizio del server ( sc config ERA_SERVER DisplayName= "ESET Remote Administrator g1" ). 5. ESET Remote Administrator 4.x/5.x deve essere nuovamente avviato in seguito all'esportazione dei dati dell'utente. 6. Installare ESET Remote Administrator 6 e importare il database intermedio tramite lo strumento di migrazione. All’amministratore viene richiesto di inserire l’indirizzo IP della macchina (che era stato visualizzato nella schermata di conferma dell’installazione di ERA Console, ma senza il protocollo ":8443") nel campo Host e la password di amministratore configurata durante l’installazione e di selezionare il file del database salvato. Se le impostazioni del server non consentono di importare dati specifici, lo strumento di migrazione di ESET Remote Administrator consente di modificare le impostazioni di componenti specifici di ERA 6x. Ciascuno dei componenti viene quindi importato. Per ciascun componente è disponibile un rapporto di importazione (migrazione). Al termine dell'importazione, verranno visualizzati i risultati della procedura. Nel caso in cui si dovesse eseguire la migrazione di utenti, le relative password vengono reimpostate e sostituite con password generate casualmente. Tali password possono essere esportate in formato .CSV . La procedura guidata dello strumento di migrazione genera inoltre uno script che può essere utilizzato per preconfigurare gli agenti ERA sulle macchine client. Lo script è un file .bat eseguibile di piccole dimensioni che può essere distribuito sui computer client. 142 È consigliabile rivedere le impostazioni e i dati per i quali è stata eseguita la migrazione per verificare che l'importazione sia stata eseguita correttamente. È quindi possibile utilizzare questo script per distribuire l'agente ERA su un gruppo ristretto di computer per verificare se si connettono correttamente al server. Dopo aver connesso correttamente il gruppo di test, è possibile distribuire l'agente ai restanti computer, manualmente o tramite l'attività di sincronizzazione AD. NOTA: nel caso in cui uno qualsiasi dei restanti passaggi non dovesse riuscire, è necessario annullare le modifiche apportate a ERA 6.x, configurare i computer per la connessione a ERA 4.x/5.x, recuperare i dati di backup da ERA 4.x/5.x e contattare il supporto tecnico ESET. A seguito di questo tipo di migrazione non ci saranno rapporti esportati tra il processo di backup del database di ERA 4.x/5.x e la distribuzione dell'agente su un computer client. Tali dati saranno tuttavia ancora presenti sulla copia precedente di ERA 4.x/5.x. 4.3 Migrazione da un server a un altro Esistono quattro diversi modi per effettuare la migrazione di ESET Remote Administrator da un server a un altro (questi scenari possono essere utilizzati durante la reinstallazione del server ERA): Installazione pulita - indirizzo IP uguale: la nuova installazione non utilizza il database precedente dal vecchio server ERA e mantiene l’indirizzo IP originale. Installazione pulita - indirizzo IP diverso : la nuova installazione non utilizza il database precedente dal vecchio server ERA e presenta un indirizzo IP diverso. Migrazione del database - indirizzo IP uguale: la migrazione del database può essere eseguita solo tra due tipologie simili di database (da MySQL a MySQL o da MSSQL a MSSQL) e tra versioni simili di ERA. Migrazione del database - indirizzo IP diverso: la migrazione del database può essere eseguita solo tra due tipologie identiche di database (da MySQL a MySQL o da MSSQL a MSSQL) e tra versioni identiche di ERA. NOTA: la migrazione da un server a un altro è supportata per la versione 6.2 e successive. NOTA: in caso di aggiunta di nuovi computer client, utilizzare una nuova autorità di certificazione per firmare i certificati dell’agente. Questa operazione viene eseguita solo in quanto non è possibile utilizzare un’AC importata per firmare nuovi certificati del computer, ma solo per autenticare gli agenti ERA dei computer client per i quali è stata eseguita la migrazione. 143 4.3.1 Installazione pulita - indirizzo IP uguale L’obiettivo di questa procedura consiste nell’installare un’istanza completamente nuova del server ERA che non utilizza il database precedente, ma conserva i record dei computer client. Il nuovo server ERA avrà lo stesso indirizzo IP del server precedente, ma non utilizzerà il database del vecchio server ERA. Sul (vecchio) server ERA attualmente in uso: 1. Esportare tutti i certificati dal server ERA corrente e salvarli sul dispositivo di archiviazione esterno. o Esportare tutti i Certificati dell’autorità di certificazione dal server ERA e salvarli singolarmente come file .der. o Esportare tutti i Certificati del computer (certificato del server, certificato dell’agente, certificato del proxy, certificato MDM, ecc.) dal server ERA in un file .pfx. Nel file .pfx esportato sarà inclusa anche una chiave privata. 2. Interrompere il servizio del server ERA. 3. Spegnere la macchina del server ERA in uso (facoltativo). IMPORTANTE: non disinstallare/rimuovere ancora il vecchio server ERA. Sul nuovo server ERA: IMPORTANTE: assicurarsi che la configurazione di rete sul nuovo server ERA (indirizzo IP, FQDN, nome del computer, record DNS SRV) corrisponda a quella del vecchio server ERA. 1. Installare il server ERA utilizzando il programma di installazione del pacchetto integrato (Windows) oppure scegliere un altro metodo di installazione (installazione manuale di Windows, di Linux o degli accessori virtuali). 2. Effettuare la connessione a ERA Web Console. 3. Importare tutte le AC che sono state esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per l’importazione di una chiave pubblica. 4. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server dal vecchio server ERA (esportato nel passaggio 1). 5. Importare tutte le licenze ESET necessarie in ERA. 6. Riavviare il servizio del server ERA e consultare questo articolo della Knowledge Base per ulteriori informazioni. I computer client dovrebbero ora connettersi al nuovo server ERA utilizzando il certificato dell’agente ERA originale, che è stato autenticato dall’AC importata dal vecchio server ERA. Se i client non riescono a effettuare la connessione, consultare Problemi in seguito all’aggiornamento/alla migrazione del server ERA. Disinstallazione del vecchio server ERA: In caso di corretta esecuzione di tutti i componenti sul nuovo server ERA, rimuovere il vecchio server ERA prestando attenzione e seguendo le istruzioni passo dopo passo fornite. 4.3.2 Installazione pulita - indirizzo IP diverso L’obiettivo di questa procedura consiste nell’installare un’istanza completamente nuova del server ERA che non utilizza il database precedente, ma conserva i record dei computer client. Il nuovo server ERA avrà un indirizzo IP/ nome host diverso, ma non utilizzerà il database del vecchio server ERA. Sul (vecchio) server ERA attualmente in uso: 1. Generare un nuovo certificato del server ERA (con le informazioni sulla connessione per il nuovo server ERA). Nel campo Nome host, lasciare il valore predefinito (un asterisco) nel campo Host per consentire la distribuzione di questo certificato senza associazione a un nome DNS o un indirizzo IP specifico. 144 2. Esportare tutti i certificati dal server ERA corrente e salvarli sul dispositivo di archiviazione esterno. o Esportare tutti i Certificati dell’autorità di certificazione dal server ERA e salvarli singolarmente come file .der. o Esportare tutti i Certificati del computer (certificato del server, certificato dell’agente, certificato del proxy, certificato MDM, ecc.) dal server ERA in un file .pfx. Nel file .pfx esportato sarà inclusa anche una chiave privata. 3. Creare un criterio per definire un nuovo indirizzo IP del server ERA e assegnarlo a tutti i computer. Attendere che il criterio sia distribuito a tutti i computer client (i computer interromperanno la generazione di report nel momento in cui riceveranno le informazioni sul nuovo server). 4. Interrompere il servizio del server ERA. 5. Spegnere la macchina del server ERA corrente (facoltativo). IMPORTANTE: non disinstallare/rimuovere ancora il vecchio server ERA. Sul nuovo server ERA: 1. Installare il server ERA utilizzando il programma di installazione del pacchetto integrato (Windows) oppure scegliere un altro metodo di installazione (installazione manuale di Windows, di Linux o degli accessori virtuali). 2. Effettuare la connessione a ERA Web Console. 3. Importare tutte le AC che sono state esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per l’importazione di una chiave pubblica. 4. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server precedente dal vecchio server ERA (esportato nel passaggio 1). Non interrompere il servizio del server ERA fino al passaggio 6. 5. Importare tutte le licenze ESET necessarie in ERA. 6. Riavviare il servizio del server ERA e consultare questo articolo della Knowledge Base per ulteriori informazioni. I computer client dovrebbero ora connettersi al nuovo server ERA utilizzando il certificato dell’agente ERA originale, che è stato autenticato dall’AC importata dal vecchio server ERA. Se i client non riescono a effettuare la connessione, consultare Problemi in seguito all’aggiornamento/alla migrazione del server ERA. Disinstallazione del vecchio server ERA: In caso di corretta esecuzione di tutti i componenti sul nuovo server ERA, rimuovere il vecchio server ERA prestando attenzione e seguendo le istruzioni passo dopo passo fornite. 4.3.3 Migrazione del database - indirizzo IP uguale L’obiettivo di questa procedura consiste nell’installare un’istanza del tutto nuova del server ERA e nel mantenere il database ERA esistente, inclusi i computer client esistenti. Il nuovo server ERA avrà lo stesso indirizzo IP del vecchio server ERA e il database del vecchio server ERA sarà importato nella nuova macchina server prima dell’installazione. IMPORTANTE: la funzione Migrazione dei database è supportata solo tra tipi di database identici (da MySQL a MySQL o da MSSQL a MSSQL). IMPORTANTE: è necessario eseguire la migrazione di un database tra istanze della stessa versione di ESET Remote Administrator. Per esempio, nel caso di ERA 6.3.12.0, è possibile effettuare la migrazione solo verso ERA versione 6.3.12.0. Consultare questo articolo della Knowledge Base per ulteriori informazioni sulle modalità di determinazione delle versioni dei componenti ERA. Al termine della migrazione del database, se necessario, è possibile eseguire un aggiornamento per scaricare l’ultima versione di ESET Remote Administrator. Sul (vecchio) server ERA attualmente in uso: 1. Esportare tutti i certificati dal server ERA corrente e salvarli sul dispositivo di archiviazione esterno. 145 o Esportare tutti i Certificati dell’autorità di certificazione dal server ERA e salvarli singolarmente come file .der. o Esportare tutti i Certificati del computer (certificato del server, certificato dell’agente, certificato del proxy, certificato MDM, ecc.) dal server ERA in un file .pfx. Nel file .pfx esportato sarà inclusa anche una chiave privata. 2. Interrompere il servizio del server ERA. 3. Esportare/Eseguire il backup del database ERA. 4. Spegnere la macchina del server ERA corrente (facoltativo). IMPORTANTE: non disinstallare/rimuovere ancora il vecchio server ERA. Sul nuovo server ERA: IMPORTANTE: assicurarsi che la configurazione di rete sul nuovo server ERA (indirizzo IP, FQDN, nome del computer, record DNS SRV) corrisponda a quella del vecchio server ERA. 1. Installare/Avviare un database ERA supportato. 2. Importare/Ripristinare il database ERA dal vecchio server ERA. 3. Installare il server ERA utilizzando il programma di installazione del pacchetto integrato (Windows) oppure scegliere un altro metodo di installazione (installazione manuale di Windows, di Linux o degli accessori virtuali). Specificare le impostazioni di connessione del database durante l’installazione del server ERA. 4. Effettuare la connessione a ERA Web Console. 5. Importare tutte le AC esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per l’importazione di una chiave pubblica. 6. Riavviare il servizio del server ERA e consultare questo articolo della Knowledge Base per ulteriori informazioni. I computer client dovrebbero ora connettersi al nuovo server ERA utilizzando il certificato dell’agente ERA originale, che è stato autenticato dall’AC importata dal vecchio server ERA. Se i client non riescono a effettuare la connessione, consultare Problemi in seguito all’aggiornamento/alla migrazione del server ERA. Disinstallazione del vecchio server ERA: In caso di corretta esecuzione di tutti i componenti sul nuovo server ERA, rimuovere il vecchio server ERA prestando attenzione e seguendo le istruzioni passo dopo passo fornite. 4.3.4 Migrazione del database - indirizzo IP diverso L’obiettivo di questa procedura consiste nell’installare un’istanza del tutto nuova del server ERA e nel mantenere il database ERA esistente, inclusi i computer client esistenti. Il nuovo server ERA avrà un indirizzo IP diverso rispetto al vecchio server ERA e il database del vecchio server ERA sarà importato nella nuova macchina server prima dell’installazione. IMPORTANTE: la funzione Migrazione dei database è supportata solo tra tipi di database identici (da MySQL a MySQL o da MSSQL a MSSQL). IMPORTANTE: è necessario eseguire la migrazione di un database tra istanze della stessa versione di ESET Remote Administrator. Per esempio, nel caso di ERA 6.3.12.0, è possibile effettuare la migrazione solo verso ERA versione 6.3.12.0. Consultare questo articolo della Knowledge Base per ulteriori informazioni sulle modalità di determinazione delle versioni dei componenti ERA. Al termine della migrazione del database, se necessario, è possibile eseguire un aggiornamento per scaricare l’ultima versione di ESET Remote Administrator. Sul (vecchio) server ERA attualmente in uso: 146 1. Generare un nuovo certificato del server ERA (con le informazioni sulla connessione per il nuovo server ERA). Nel campo Nome host, lasciare il valore predefinito (un asterisco) nel campo Host per consentire la distribuzione di questo certificato senza associazione a un nome DNS o un indirizzo IP specifico. 2. Esportare tutti i certificati dal server ERA corrente e salvarli sul dispositivo di archiviazione esterno. o Esportare tutti i Certificati dell’autorità di certificazione dal server ERA e salvarli singolarmente come file .der. o Esportare tutti i Certificati del computer (certificato del server, certificato dell’agente, certificato del proxy, certificato MDM, ecc.) dal server ERA in un file .pfx. Nel file .pfx esportato sarà inclusa anche una chiave privata. 3. Creare un criterio per definire un nuovo indirizzo IP del server ERA e assegnarlo a tutti i computer. Attendere che il criterio sia distribuito a tutti i computer client (i computer interromperanno la generazione di report nel momento in cui riceveranno le informazioni sul nuovo server). 4. Interrompere il servizio del server ERA. 5. Esportare/Eseguire il backup del database ERA. 6. Spegnere la macchina del server ERA corrente (facoltativo). IMPORTANTE: non disinstallare/rimuovere ancora il vecchio server ERA. Sul nuovo server ERA: 1. Installare/Avviare un database ERA supportato. 2. Importare/Ripristinare il database ERA dal vecchio server ERA. 3. Installare il server ERA utilizzando il programma di installazione del pacchetto integrato (Windows) oppure scegliere un altro metodo di installazione (installazione manuale di Windows, di Linux o degli accessori virtuali). Specificare le impostazioni di connessione del database durante l’installazione del server ERA. 4. Effettuare la connessione a ERA Web Console. 5. Importare tutte le AC esportate dal vecchio server ERA. Per eseguire questa operazione, seguire le istruzioni per l’importazione di una chiave pubblica. 6. Modificare il certificato del server ERA nelle Impostazioni del server per utilizzare il certificato del server precedente dal vecchio server ERA (esportato nel passaggio 1). Non interrompere il servizio del server ERA fino al passaggio 7. 7. Riavviare il servizio del server ERA e consultare questo articolo della Knowledge Base per ulteriori informazioni. I computer client dovrebbero ora connettersi al nuovo server ERA utilizzando il certificato dell’agente ERA originale, che è stato autenticato dall’AC importata dal vecchio server ERA. Se i client non riescono a effettuare la connessione, consultare Problemi in seguito all’aggiornamento/alla migrazione del server ERA. Disinstallazione del vecchio server ERA: In caso di corretta esecuzione di tutti i componenti sul nuovo server ERA, rimuovere il vecchio server ERA prestando attenzione e seguendo le istruzioni passo dopo passo fornite. 147 4.3.5 Disinstallazione del vecchio server ERA Durante la rimozione del vecchio server ERA, sono disponibili alcune opzioni: IMPORTANTE: assicurarsi che il nuovo server ERA sia in esecuzione e che i computer client stiano effettuando correttamente la connessione al nuovo server ERA. 1. Formattare il disco sul vecchio server. Questa è la procedura più semplice per la rimozione di ERA. 2. Se si desidera mantenere e riutilizzare il sistema operativo, è possibile disinstallare la vecchia versione di ERA, ma prima di far ciò è necessario: Pianificare un riavvio del sistema operativo del server dopo la disinstallazione Assicurarsi che gli altri componenti ERA siano stati disinstallati (inclusi l’agente ERA, il Rouge Detection Sensor, ecc.) Non disinstallare il database salvo che non vi siano altri software dipendenti 148 4.4 Aggiornamento di ERA installato nel cluster di failover in Windows Se è stato installato ERA Server in un ambiente di cluster di failover in Windows e si desidera aggiornare l’installazione, procedere con i passaggi corrispondenti. NOTA: il termine Ruolo è presente solo in Windows Server 2012. In Windows Server 2008 viene invece utilizzato il termine Servizi e applicazioni. Aggiornamento dalla versione 6.3 alla versione più recente 1. Interrompere il ruolo del cluster del server ERA nella Gestione cluster. Assicurarsi che il servizio ESET Remote Administrator Server sia stato interrotto su tutti i nodi del cluster. 2. Accedere all’unità condivisa del cluster on-line sul nodo1 e aggiornare manualmente ERA Server eseguendo il programma di installazione .msi più recente come nel caso di un’installazione di componenti. Al termine dell’installazione (aggiornamento), assicurarsi che il servizio ESET Remote Administrator Server sia interrotto. 3. Accedere all’unità condivisa del cluster sul nodo2 e aggiornare ERA Server utilizzando il metodo illustrato nel passaggio n. 2. 4. Dopo aver aggiornato il server ERA su tutti i nodi del cluster, avviare il ruolo del server ERA nella Gestione cluster. 5. Aggiornare manualmente l'agente ERA eseguendo la versione del programma di installazione .msi più recente su tutti i nodi del cluster. 6. In ERA Console verificare che le versioni dell’agente e del server per tutti i nodi siano le più aggiornate. Manuale per l’aggiornamento dalla versione 6.1 o 6.2 alla versione 6.3 Si tenga presente che per le vecchie versioni di ERA, il servizio dell’agente ERA veniva sempre eseguito solo sul nodo attivo nel cluster di failover. A partire da ERA 6.3, il servizio dell’agente ERA viene sempre eseguito su tutti i nodi. Ciò consente a ERA di monitorare costantemente tutti i nodi. Si tenga presente che la modifica descritta in precedenza causerà la creazione, durante l’aggiornamento, di un nuovo computer per almeno uno dei nodi del cluster. Se non si desidera avere una cronologia degli eventi, non dimenticare di rimuovere manualmente i(l) vecchi(o) computer mediante ERA Console. 1. Interrompere il ruolo del cluster del server ERA nella Gestione cluster. Assicurarsi che il servizio ESET Remote Administrator Server sia interrotto su tutti i nodi del cluster. 2. Se il servizio dell’agente ERA è stato impostato come dipendenza o risorsa per il ruolo del server ERA, rimuovere completamente la risorsa/il servizio dell’agente ERA dalla Gestione cluster. 3. Accedere all’unità condivisa del cluster on-line sul nodo1 e aggiornare manualmente ERA Server eseguendo il programma di installazione .msi più recente come nel caso di un’installazione di componenti. Al termine dell’installazione (aggiornamento), assicurarsi che il servizio ESET Remote Administrator Server sia interrotto. 4. Accedere all’unità condivisa del cluster sul nodo2 e aggiornare ERA Server utilizzando il metodo illustrato nel passaggio n. 3. 5. Accedere all’unità condivisa del cluster on-line sul nodo1 e disinstallare la vecchia versione dell’agente ERA (6.1 o 6.2). 6. Accedere all’unità condivisa del cluster on-line sul nodo2 e disinstallare la vecchia versione dell’agente ERA (6.1 o 6.2). 7. Avviare il ruolo del cluster del server ERA nella Gestione cluster. 8. Installare l’agente ERA su tutti i nodi del cluster utilizzando il programma di installazione indipendente. Nelle schermate Configurazione dell’agente e Connessione a Remote Administrator, utilizzare il nome host del ruolo del cluster del server ERA. Quando richiesto, assicurarsi che l’opzione Questa è un’installazione cluster non sia selezionata e archiviare i dati dell’agente sul nodo locale (non sull’unità del cluster). 9. In ERA Console verificare che le versioni dell’agente e del server per per tutti i nodi siano le più recenti. 149 4.5 Aggiornamento del proxy HTTP Apache Il proxy HTTP Apache è un servizio che può essere utilizzato in combinazione con ESET Remote Administrator 6 e versioni successive ai fini della distribuzione degli aggiornamenti ai computer client e dei pacchetti di installazione all'agente ERA. Se il proxy HTTP Apache è stato installato in precedenza su Windows e si desidera aggiornarlo alla versione più recente, questa operazione può essere eseguita in due modi: manualmente o tramite il Programma di installazione integrato. 4.5.1 Istruzioni di Windows (programma di installazione integrato) Se il programma di installazione integrato di ERA è archiviato sull’unità locale, è possibile utilizzare questo metodo per eseguire un rapido aggiornamento del proxy HTTP Apache alla versione più recente. Se il programma di installazione non è disponibile, la soluzione più rapida è l’aggiornamento manuale del proxy HTTP Apache. 1. Eseguire il backup dei seguenti file: C:\Program Files\Apache HTTP Proxy\conf\httpd.conf C:\Program Files\Apache HTTP Proxy\bin\password.file C:\Program Files\Apache HTTP Proxy\bin\group.file 2. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi amministrativi ed eseguendo il seguente comando: sc stop ApacheHttpProxy 3. Lanciare il programma di installazione integrato facendo doppio clic sul file setup.exe. 4. Selezionare Installa/Aggiorna proxy HTTP Apache e fare clic su Avanti. 150 Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. Seguire le istruzioni a schermo per completare l’installazione e fare clic su Fine. In caso di utilizzo di un nome utente/una password per l’accesso al proxy HTTP Apache (passaggio n. 8 dell’argomento Installazione del proxy HTTP Apache), sostituire il seguente blocco di codice: <Proxy *> Deny from all </Proxy> con questo (disponibile nel backup di httpd.conf eseguito al passaggio 1): <Proxy *> AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup Order deny,allow Deny from all Allow from all </Proxy> Se nel file httpd.conf sono presenti altri tipi di personalizzazione eseguiti nella precedente installazione di Apache HTTP Proxy, è possibile copiare queste modifiche dal file di backup httpd.conf al nuovo file httpd.conf (aggiornato). 5. Salvare le modifiche e avviare il servizio ApacheHttpProxy eseguendo il seguente comando in un prompt dei comandi elevato: sc start ApacheHttpProxy 151 6. Testare la connessione al proxy HTTP Apache accedendo al seguente URL nel browser: http://localhost:3128/index.html Consultare i File di rapporto del proxy HTTP Apache se si desidera risolvere un problema. 4.5.2 Istruzioni di Windows (manuale) Per installare la versione più recente del proxy HTTP Apache, seguire i passaggi indicati di seguito. 1. Eseguire il backup dei seguenti file: C:\Program Files\Apache HTTP Proxy\conf\httpd.conf C:\Program Files\Apache HTTP Proxy\bin\password.file C:\Program Files\Apache HTTP Proxy\bin\group.file 2. Interrompere il servizio ApacheHttpProxy aprendo un prompt dei comandi amministrativi ed eseguendo il seguente comando: sc stop ApacheHttpProxy 3. Scaricare il file del programma di installazione del proxy HTTP Apache dalla pagina Download del sito Web di ESET ed estrarne il contenuto in C:\Program Files\Apache HTTP Proxy\. sovrascrivendo i file esistenti. 4. Accedere a C:\Program Files\Apache HTTP Proxy\conf, fare clic con il pulsante destro del mouse su httpd.conf dal menu contestuale e selezionare Apri con > Notepad 5. Aggiungere il seguente codice in fondo al file httpd.conf: ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" 6. In caso di impostazione di un nome utente/una password per l’accesso al proxy HTTP Apache (passaggio n. 8 dell’argomento Installazione del proxy HTTP Apache), sostituire il seguente blocco di codice: <Proxy *> Deny from all </Proxy> con questo (disponibile nel file di backup httpd.conf creato nel passaggio 1): <Proxy *> AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup Order deny,allow Deny from all Allow from all </Proxy> Se nel file httpd.conf sono presenti altri tipi di personalizzazione eseguiti nella precedente installazione di Apache HTTP Proxy, è possibile copiare queste modifiche dal file di backup httpd.conf al nuovo file httpd.conf (aggiornato). 7. Salvare le modifiche e avviare il servizio ApacheHttpProxy eseguendo il seguente comando in un prompt dei comandi amministrativi: sc start ApacheHttpProxy 8. Testare la connessione al proxy HTTP Apache accedendo al seguente URL nel browser: 152 http://localhost:3128/index.html Consultare i File di rapporto del proxy HTTP Apache se si desidera risolvere un problema. 4.6 Aggiornamento di Apache Tomcat In caso di installazione di una versione più recente di ESET Remote Administrator o di mancato aggiornamento di Apache Tomcat per un periodo di tempo prolungato, si dovrebbe considerare la possibilità di installare la versione più recente di Apache Tomcat. L’aggiornamento costante di servizi pubblici come Apache Tomcat e delle relative dipendenze determinerà una riduzione dei rischi di protezione nell’ambiente in uso. Per aggiornare Apache Tomcat, seguire le istruzioni relative al sistema operativo in uso: Istruzioni di Windows (manuale) o istruzioni di Windows (integrate) Istruzioni di Linux 4.6.1 Istruzioni di Windows (programma di installazione integrato) Se il programma di installazione integrato di ERA è archiviato sull’unità locale, è possibile utilizzare questo metodo per eseguire un rapido aggiornamento di Apache Tomcat alla versione più recente. In assenza del programma di installazione, è possibile scaricare il programma di installazione Apache Tomcat ed eseguire l’aggiornamento manualmente. Seguire queste istruzioni in presenza di un programma di installazione integrato nell’unità locale: AVVISO: durante la scrittura, Apache Tomcat supporta solo aggiornamenti dalla versione 7.x alla versione 7.x dalla versione 6.3.12 e precedenti del programma di installazione integrato di ERA. Prima dell’aggiornamento 1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema. Consultare le istruzioni sul sito Web di Java. 2. Controllare la versione di Apache Tomcat attualmente in uso. Se è disponibile una versione più recente, eseguire un aggiornamento: a. Aprire una finestra di dialogo Esegui, digitare services.msc and then e fare clic su OK. b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, selezionare Proprietà e osservare il numero della versione nella scheda Generale (per esempio 7.0.67). 3. Controllare l’elenco fornito di versioni di Apache Tomcat supportate per assicurarsi che la nuova versione sia compatibile con i prodotti ESET. Come eseguire l’aggiornamento 1. Interrompere il servizio Apache Tomcat e chiudere Tomcat7w.exe: a. Aprire una finestra di dialogo Esegui, digitare services.msc e fare clic su OK. b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, quindi su Interrompi. c. Chiudere Tomcat7w.exe nella barra delle applicazioni. 153 2. Eseguire il backup dei seguenti file (in alcuni casi il nome della cartella è Tomcat 8.0): C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml C:\Program Files\Apache Software Foundation\Tomcat 7.0\.keystore C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\tomcat-users.xml C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/ g2webconsole/server/modules/config/EraWebServerConfig.properties 3. Scaricare la versione supportata più recente del file del programma di installazione di Apache Tomcat apachetomcat-[versione].exe dal sito Web http://tomcat.apache.org. 4. Disinstallare la versione corrente di Apache Tomcat. 5. Eliminare la seguente cartella nel caso in cui fosse ancora presente nel sistema: C:\Program Files\Apache Software Foundation\Tomcat 7.0\ 6. Accedere alla cartella in cui è stato salvato il programma di installazione integrato. 7. Copiare apache-tomcat-[versione].exe nella directory./win32/installers o ./x64/installers. Eliminare il vecchio file di installazione Tomcat da questa directory. 8. Aprire un prompt dei comandi, accedere alla cartella del programma di installazione integrato ed eseguire il seguente comando: Setup.exe --mode webconsole 9. Selezionare ESET Remote Administrator Webconsole nella finestra di configurazione, scegliere la Lingua e fare clic su Avanti. 10. Dopo aver accettato l'Accordo di licenza per l'utente finale (EULA), fare clic su Avanti. 11. Nella finestra dei componenti fare clic su Installa. 12. Ripristinare EraWebServerConfig.properties nella posizione originale. 13. Effettuare la connessione a ERA Web Console e assicurarsi che il programma funzioni correttamente. 4.6.2 Istruzioni di Windows (manuale) Utilizzare queste istruzioni per eseguire l’aggiornamento di Apache Tomcat in assenza di un programma di installazione integrato di ESET: Prima dell’aggiornamento 1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema. Consultare le istruzioni sul sito Web di Java. 2. Controllare la versione di Apache Tomcat attualmente in uso. Se è disponibile una versione più recente, eseguire un aggiornamento: a. Aprire una finestra di dialogo Esegui, digitare services.msc and then e fare clic su OK. b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, selezionare Proprietà e osservare il numero della versione nella scheda Generale (per esempio 7.0.67). 3. Controllare l’elenco fornito di versioni di Apache Tomcat supportate per assicurarsi che la nuova versione sia compatibile con i prodotti ESET. Come eseguire l’aggiornamento 1. Interrompere il servizio Apache Tomcat e chiudere Tomcat7w.exe: a. Aprire una finestra di dialogo Esegui, digitare services.msc e fare clic su OK. b. Fare clic con il pulsante destro del mouse sul servizio Apache Tomcat, quindi su Interrompi. c. Chiudere Tomcat7w.exe nella barra delle applicazioni. 154 2. Eseguire il backup dei seguenti file (in alcuni casi il nome della cartella è Tomcat 8.0): C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml C:\Program Files\Apache Software Foundation\Tomcat 7.0\.keystore C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\tomcat-users.xml C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-INF/classes/sk/eset/era/ g2webconsole/server/modules/config/EraWebServerConfig.properties 3. Scaricare la versione supportata più recente del file del programma di installazione di Apache Tomcat apachetomcat-[versione].exe dal sito Web http://tomcat.apache.org. 4. Disinstallare la versione corrente di Apache Tomcat. 5. Eliminare la seguente cartella nel caso in cui fosse ancora presente nel sistema: C:\Program Files\Apache Software Foundation\Tomcat 7.0\ 6. Installare la versione più recente di Apache Tomcat che è stata scaricata. 7. Al termine dell’operazione, deselezionare la casella di controllo accanto a Esegui Apache Tomcat. 8. Ripristinare .keystore e server.xml nelle rispettive posizioni originali (valido solo in caso di installazione della stessa versione superiore di Apache Tomcat, per esempio dalla versione 7.x alla versione 7.x o dalla versione 8.x alla versione 8.x). In alternativa, è possibile configurare manualmente una Connessione HTTPS per Apache Tomcat per ERA Web Console in base alle istruzioni contenute nella Knowledge Base (scelta consigliata). 9. Eseguire la distribuzione di ERA Web Console, vedere Installazione della console Web - Windows. 10. Ripristinare EraWebServerConfig.properties nella posizione originale. 11. Eseguire Apache Tomcat e impostare una macchina virtuale Java corretta: Fare clic su Avvio > Tutti i programmi > Apache Tomcat > Monitor Tomcat e, nella scheda Generale, premere Avvio. Fare clic sulla scheda Java, selezionare la casella di controllo accanto a Utilizza impostazioni predefinite e fare clic su OK. Consultare le istruzioni illustrate della Knowledge Base. 12. Effettuare la connessione a ERA Web Console e assicurarsi che il programma funzioni correttamente. Risoluzione dei problemi Se la configurazione di una connessione HTTPS per Apache Tomcat non viene eseguita correttamente, è possibile saltare questo passaggio e utilizzare temporaneamente una connessione HTTP. Se non si riesce a effettuare l’aggiornamento di Apache Tomcat, installare la versione originale e applicare la configurazione illustrata al passaggio 2. 4.6.3 Istruzioni di Linux Prima di aggiornare Apache Tomcat 1. Verificare che l’aggiornamento di Java venga eseguito correttamente sul sistema. Verificare che il pacchetto openjdk sia stato aggiornato (vedere sezione sottostante). 2. Controllare la versione di Apache Tomcat attualmente in uso. Se è disponibile una versione più recente, eseguire un aggiornamento: Eseguire il seguente comando: cd cartella è tomcat7 o tomcat8) /usr/share/tomcat/bin && ./version.sh (in alcuni casi il nome della 3. Controllare l’elenco fornito di versioni di Apache Tomcat supportate per assicurarsi che la nuova versione sia compatibile con i prodotti ESET. 155 Come eseguire l’aggiornamento 1. Interrompere il servizio Apache Tomcat: Eseguire il seguente comando: service tomcat stop (in alcuni casi il nome del servizio è tomcat7 o tomcat8) 2. Aggiornare Apache Tomcat e Java in base alla distribuzione Linux utilizzata. Eseguire i seguenti comandi nel terminale: Debian e distribuzioni Ubuntu sudo-apt-get update sudo apt-get install openjdk-7-jdk tomcat7 CentOS, Red Hat e distribuzioni Fedora yum update yum install java-1.8.0-openjdk tomcat OpenSUSE zypper refresh zypper install java-1_8_0-openjdk tomcat IMPORTANTE: dopo aver installato una versione superiore di Apache Tomcat (per esempio Apache Tomcat dalla versione 7.x alla versione 8.x): Eseguire nuovamente la distribuzione di ERA Web Console (vedere Installazione di ERA Web Console - Linux) e riutilizzare %TOMCAT_HOME%/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/ config/EraWebServerConfig.properties per mantenere le eventuali impostazioni personalizzate in ERA Web Console. Configurare una Connessione HTTPS per Apache Tomcat. 4.7 Modifica dell’indirizzo IP o del nome host sul server ERA Per modificare un indirizzo IP o un nome host sul server ERA, seguire la procedura sottostante: 1. Se il certificato del server ERA contiene un indirizzo IP e/o un nome host specifico, creare un nuovo certificato del server e includere il nuovo indirizzo IP o nome host. Tuttavia, se nel campo dell’host del certificato del server è presente un carattere jolly *, andare direttamente al passaggio 2. In caso contrario, creare il nuovo certificato del server aggiungendo il nuovo indirizzo IP e nome host separati da una virgola e includere anche l’indirizzo IP e il nome host precedenti. In alternativa, nel campo dell’host è possibile aggiungere un carattere jolly *. 2. Firmare il nuovo certificato del server utilizzando l’autorità di certificazione del server ERA. 3. Creare un criterio che consente di modificare le connessioni client sul nuovo indirizzo IP o nome host (preferibilmente l’indirizzo IP), ma includere una seconda connessione (alternativa) nel vecchio indirizzo IP o nome host per consentire all’agente ERA di effettuare la connessione a entrambi i server. Per ulteriori informazioni, consultare Crea criterio per consentire agli agenti ERA di connettersi al nuovo server ERA. 4. Applicare questo criterio ai computer client e consentire agli agenti ERA di eseguire la replica. Anche se il criterio reindirizzerà i client al nuovo server (che non è in esecuzione), gli agenti ERA utilizzeranno le informazioni del server alternative per effettuare la connessione all’indirizzo IP originale. 5. Impostare il nuovo certificato del server nelle impostazioni del server. 6. Riavviare il servizio del server ERA e modificare l’indirizzo IP o nome host. 156 5. Risoluzione dei problemi Dal momento che ESET Remote Administrator è un prodotto complesso che utilizza vari strumenti di terze parti e supporta numerose piattaforme di sistemi operativi, potrebbero verificarsi dei problemi che richiedono una risoluzione. La documentazione di ESET indica vari metodi di risoluzione dei problemi relativi a ESET Remote Administrator. Consultare Risposte ai problemi di installazione comuni per la risoluzione di alcuni problemi comuni con ESET Remote Administrator. Non si riesce a risolvere un problema? Ciascun componente di ERA presenta un file di rapporto che può essere configurato in modo da garantire un livello di dettaglio più o meno elevato. Esaminare i rapporti per identificare gli errori che potrebbero fornire una spiegazione del problema riscontrato. Se non si riesce a risolvere un problema, è possibile visitare il Forum di ESET Security e contattare la community di ESET per ulteriori informazioni. Se si contatta il Supporto tecnico di ESET, potrebbe essere necessario fornire i file di rapporto utilizzando ESET Log Collector o lo Strumento di diagnostica. Se si contatta il Supporto tecnico, si consiglia vivamente di fornire i rapporti per accelerare i tempi di gestione della richiesta di assistenza. 5.1 Risposte ai problemi di installazione comuni Espandere la sezione del messaggio di errore che si desidera risolvere: Server ERA Il servizio del server ERA non si avvia: Installazione non funzionante Tale condizione potrebbe dipendere dalla mancanza delle chiavi di registro, dalla mancanza di alcuni file o dalla presenza di autorizzazioni dei file non valide. Nel programma di installazione integrato di ESET è disponibile un file di rapporto specifico. Durante l’installazione manuale di un componente, utilizzare il metodo di Registrazione MSI. Porta in ascolto già utilizzata (principalmente 2222 e 2223) Utilizzare il comando appropriato per il sistema operativo in uso: Windows: netstat -an | find "2222" netstat -an | find "2223" Linux: netstat | grep 2222 netstat | grep 2223 Database non in esecuzione/non raggiungibile Server MS SQL: verificare che la porta 1433 sia disponibile sul server del database oppure provare a effettuare la registrazione a SQL Server Management Studio. MySQL: verificare che la porta 3306 sia disponibile sul server del database oppure provare a effettuare la registrazione all’interfaccia del database (per esempio utilizzando l’interfaccia della linea di comando MySQL o phpmyadmin). 157 Database danneggiato Nel file di rapporto del server ERA saranno visualizzati errori SQL multipli. Si consiglia di ripristinare il database da un file di backup. In assenza di backup, reinstallare ESET Remote Administrator. Risorse di sistema insufficienti (RAM, spazio su disco) Rivedere i processi in esecuzione e le prestazioni di sistema: Utenti Windows: eseguire e rivedere le informazioni nella Gestione attività o nel Visualizzatore eventi Gli utenti Linux potrebbero eseguire uno dei seguenti comandi: df -h (per rivedere le informazioni relative allo spazio su disco) cat /proc/meminfo (per rivedere le informazioni relative allo spazio nella memoria) dmesg (per rivedere l’integrità del sistema Linux) Errore con il connettore ODBC durante l’installazione del server ERA Error: (Error 65533) ODBC connector compatibility check failed. Please install ODBC driver with support for multi-threading. Reinstallare una versione del driver ODBC che supporta il multithreading o riconfigurare odbcinst.ini, come illustrato nella sezione di configurazione dell’ODBC. Errore con la connessione a un database durante l’installazione del server ERA L’installazione del server ERA termina con il seguente messaggio di errore: Error: It is not possible to store big blocks of data in the database. Please reconfigure the database server first. Messaggio di errore dal rapporto di installazione: Error: Execution test of long statement failed with exception: CMysqlCodeTokenExecutor: CheckVariableInnodbLogFileSize: Server variables innodb_log_file_size*innodb_log_files_in_group value 100663296 is too low. Verificare che la configurazione del driver del database corrisponda a quella illustrata nella sezione di configurazione dell’ODBC. Agente ERA Durante la disinstallazione dell'agente, viene visualizzato il messaggio "Il database non può essere aggiornato. Rimuovere prima il prodotto." Riparare l’agente ERA: 1. Accedere a Pannello di controllo > Programmi e funzionalità e fare doppio clic su Agente ESET Remote Administrator. 2. Fare clic su Avanti > Ripara e seguire le istruzioni. Esistono altri modi per disinstallare l’agente ERA? Tutte le possibili modalità di disinstallazione dell’agente ERA sono descritte nella sezione di disinstallazione. Console Web In che modo è possibile risolvere i seguenti messaggi di errore nella console Web? Accesso non riuscito, la connessione non è riuscita con lo stato “Non connesso”. 158 Verificare che il servizio del server ERA e il servizio del database siano in esecuzione. Assicurarsi inoltre che la connessione non sia interrotta. Se i due servizi non sono in esecuzione, riavviarli, aggiornare la console Web e provare nuovamente a eseguire l’accesso. Per ulteriori informazioni, rivedere i file di rapporto del servizio del database (MS SQL, MySQL). Accesso non riuscito: Errore di comunicazione Verificare che Apache Tomcat sia in esecuzione e funzioni correttamente. Rivedere i file di rapporto per Apache Tomcat. Per ulteriori informazioni sul problema, consultare questo articolo della Knowledge Base. ESET Remote Administrator Web Console non carica Se ESET Remote Administrator Web Console (ERA Web Console) non è in esecuzione o se la schermata di accesso appare costantemente in caricamento, seguire queste istruzioni della Knowledge Base. Come si configura la connessione HTTPS/SSL sulla console Web? Messaggio di errore: Utilizzo di una connessione non crittografata. Configurare il server Web per utilizzare HTTPS In caso di problemi con la connessione HTTPS alla console Web, consultare Configurazione della connessione HTTPS/SSL. Proxy HTTP Apache Le dimensioni della cache del proxy HTTP Apache sono espresse in gigabyte e continuano a crescere Se il proxy HTTP Apache è stato installato con il programma di installazione integrato, si attiveranno automaticamente le attività di pulizia. Se le attività di pulizia non funzionano correttamente, eseguire una pulizia manuale o pianificare un’attività di pulizia. Dopo l’installazione del proxy HTTP Apache, gli aggiornamenti del database delle firme antivirali non funzionano Se sulle workstation client non è possibile eseguire gli aggiornamenti, consultare le istruzioni contenute nella Knowledge Base per disattivare temporaneamente il proxy HTTP Apache sulle workstation dell’endpoint. Dopo aver risolto i problemi di connessione, considerare l’eventualità di attivare nuovamente il proxy HTTP Apache. ESET Rogue Detector Sensor Perché il messaggio di errore visualizzato di seguito viene registrato continuamente nel file trace.log di ESET Rogue Detector? Information: CPCAPDeviceSniffer [Thread 764]: CPCAPDeviceSniffer on rpcap://\Device\NPF_{2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} throwed error: Device open failed with error:Error opening adapter: The system cannot find the device specified. (20) Questo è un problema che si verifica con WinPcap. Interrompere il servizio ESET Rogue Detector Sensor, reinstallare l’ultima versione di WinPcap (versione minima richiesta: 4.1.0) e riavviare il servizio ESET Rogue Detector Sensor. Linux Dipendenza libQtWebKit mancante su CentOS Linux In caso di visualizzazione del seguente errore: Error: CReportPrinterModule [Thread 7f5f4c7b8700]: ReportPrinter: ReportPrinterTool exited with: /opt/eset/RemoteAdministrator/Server//ReportPrinterTool: error while loading shared libraries: libQtWebKit.so.4: cannot open shared object file: No such file or directory [code:127] 159 Seguire le istruzioni contenute in questo articolo della Knowledge Base. L’installazione del server ERA su CentOS 7 non è riuscita In caso di visualizzazione del seguente errore: Error: DbCheckConnection: locale::facet::_S_create_c_locale name not valid Il problema è causato probabilmente dalle impostazioni dell’ambiente/locali. L'esecuzione del comando indicato di seguito prima dello script del programma di installazione del server dovrebbe aiutare a risolvere il problema: export LC_ALL="en_US.UTF-8" Server Microsoft SQL Codice di errore -2068052081 durante l’installazione di Microsoft SQL Server. Riavviare il computer ed eseguire nuovamente la configurazione. Se il problema persiste, disinstallare il client nativo di SQL Server ed eseguire nuovamente l'installazione. Se questa soluzione non consente di risolvere il problema, disinstallare tutti i prodotti di Microsoft SQL Server, riavviare il computer ed eseguire nuovamente l'installazione. Codice di errore -2067922943 durante l’installazione di Microsoft SQL Server. Verificare che il sistema soddisfi i requisiti del database per ERA. 5.2 File di rapporto Ciascun componente di ESET Remote Administrator esegue una registrazione. I componenti di ERA scrivono informazioni su alcuni eventi nei file di rapporto. La posizione dei file di rapporto varia in base al componente. Segue un elenco di posizioni dei file di rapporto: Windows ERA Server C:\ProgramData\ESET\RemoteAdministrator\Server \EraServerApplicationData\Logs\ ERA Agent C:\ProgramData\ESET\RemoteAdministrator\Agent \EraAgentApplicationData\Logs\ ERA Web Console e Apache Tomcat C:\Program Files\Apache Software Foundation\Tomcat 7.0\Logs Consultare anche https://tomcat.apache.org/tomcat-7.0-doc/ logging.html Mobile Device Connector C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\ ERA Proxy C:\ProgramData\ESET\RemoteAdministrator\Proxy \EraProxyApplicationData\Logs\ ERA Rogue Detection Sensor C:\ProgramData\ESET\Rogue Detection Sensor\Logs\ Apache HTTP Proxy C:\Program Files\Apache HTTP Proxy\logs\ C:\Program Files\Apache HTTP Proxy\logs\errorlog sulle versioni precedenti dei sistemi operativi Windows C:\Documents and Settings\All Users\Application Data\ESET\... 160 NOTA: C:\ProgramData è nascosto per impostazione predefinita. Per visualizzare la cartella... 1. Premere Avvio > Pannello di controllo > Opzioni cartella > Visualizza. 2. Selezionare Mostra file, cartelle e unità nascosti e fare clic su OK. Linux ERA Server /var/log/eset/RemoteAdministrator/Server/ /var/log/eset/RemoteAdministrator/EraServerInstaller.log ERA Agent /var/log/eset/RemoteAdministrator/Agent/ /var/log/eset/RemoteAdministrator/EraAgentInstaller.log Mobile Device Connector /var/log/eset/RemoteAdministrator/MDMCore/ /var/log/eset/RemoteAdministrator/MDMCore/Proxy/ Apache HTTP Proxy /var/log/httpd/ ERA Web Console e Apache Tomcat /var/log/tomcat6/ , /var/log/tomcat7/ o /var/log/tomcat8/ Consultare anche https://tomcat.apache.org/tomcat-7.0-doc/ logging.html ERA Proxy /var/log/eset/RemoteAdministrator/Proxy/ ERA RD Sensor /var/log/eset/RogueDetectionSensor/ ERA Virtual Appliance ERA VA configuration /root/appliance-configuration-log.txt ERA Server /var/log/eset/RemoteAdministrator/EraServerInstaller.log Apache HTTP Proxy /opt/apache/logs/ OS X /Library/Application Support/com.eset.remoteadministrator.agent/Logs/ /Users/%user%/Library/Logs/EraAgentInstaller.log 5.3 Strumento di diagnostica Lo strumento di diagnostica fa parte di tutti i componenti di ERA. È utilizzato dagli agenti del Supporto tecnico e dagli sviluppatori per la raccolta e la compressione dei rapporti ai fini della risoluzione di problemi relativi ai componenti del prodotto. Posizione dello strumento di diagnostica Windows Cartella C:\Program Files\ESET\RemoteAdministrator\<product>\ Diagnostic.exe. Linux Nella seguente directory sul server: /opt/eset/RemoteAdministrator/<product>/, è presente un eseguibile del <prodotto> Diagnostic (una parola, ad esempio DiagnosticServer, DiagnosticAgent...) 161 Utilizzo (Windows) 1. Eseguire lo strumento utilizzando un prompt dei comandi. 2. Inserire la posizione dei file di rapporto da archiviare (nell’esempio in questione "logs") e premere Invio. 3. Inserire le informazioni che si desidera raccogliere (nell’esempio in questione 1 informazioni, vedere Azioni qui sotto. trace status 3 ). Per ulteriori 4. Al termine dell’operazione, i file dei rapporti compressi in formato .zip sono disponibili nella directory “rapporti” del percorso Strumento di diagnostica. Azioni ActionEraLogs - Viene creata una cartella in cui saranno salvati tutti i rapporti. Per specificare solo alcuni rapporti, utilizzare uno spazio per separare ciascun file. ActionGetDumps - Viene creata una nuova cartella. In caso di rilevamento di un problema, viene creato generalmente un file dump di processo. Se il problema è serio, il sistema creerà un file dump. Per controllarlo manualmente, accedere alla cartella %temp% (su Windows) oppure alla cartella /tmp/ (su Linux) e inserire un file dmp. NOTA: il servizio del componente (Agent, Proxy, Server, RD Sensor, FileServer) deve essere in esecuzione. 162 ActionGeneralApplicationInformation - Viene creata la cartella GeneralApplicationInformation e, al suo interno, il file GeneralApplicationInformation.txt. Il file contiene informazioni testuali tra cui il nome e la versione del prodotto correntemente installato. ActionConfiguration - Viene creata una cartella di configurazione in cui verrà salvato il file storage.lua. 5.4 Problemi dopo l’aggiornamento/la migrazione del server ERA Se non è possibile avviare il servizio ESET Remote Administrator Server a causa di un’installazione non corretta e di messaggi di errore nei file di rapporto sconosciuti, eseguire un’operazione di riparazione seguendo i passaggi indicati di seguito: AVVISO: si consiglia di eseguire un Backup del server del database prima di avviare l’operazione di riparazione. 1. Premere Avvio > Pannello di controllo > Programmi e funzionalità e fare doppio clic su Server ESET Remote Administrator. 2. Selezionare Ripara e fare clic su Avanti. 3. Riutilizzare le impostazioni della connessione al database esistenti e fare clic su Avanti. Fare clic su Sì nel caso in cui venga richiesta una conferma. 4. Selezionare Utilizza la password di amministratore già archiviata nel database e fare clic su Avanti. 5. Selezionare Mantieni i certificati esistenti e fare clic su Avanti. 6. Fare clic su Ripara. 7. Effettuare nuovamente la connessione alla console Web e verificare che tutto sia corretto. 163 Altri scenari di risoluzione dei problemi: Il server ERA non è in esecuzione ma è presente un backup del database: 1. Ripristinare il backup del database. 2. Verificare che la nuova macchina utilizzi lo stesso indirizzo IP o nome host dell’installazione precedente per consentire all’agente di eseguire la connessione. 3. Riparare il server ESET Remote Administrator e utilizzare il database ripristinato. Il server ERA non è in esecuzione ma sono stati esportati il certificato del server e l’autorità di certificazione: 1. Verificare che la nuova macchina utilizzi lo stesso indirizzo IP o nome host dell’installazione precedente per consentire all’agente di eseguire la connessione. 2. Riparare il server ESET Remote Administrator utilizzando i certificati di backup (durante la riparazione, selezionare Carica certificati dal file e seguire le istruzioni). Il server ERA non è in esecuzione e non è presente un backup del database o il certificato del server ERA e l’autorità di certificazione: 1. Riparare il server ESET Remote Administrator. 2. Riparare gli agenti ERA utilizzando uno dei metodi indicati di seguito: Programma di installazione in tempo reale dell'agente Distribuzione remota (questa operazione richiederà la disattivazione del firewall sulle macchine di destinazione) Programma di installazione dei componenti dell’agente manuale 5.5 Registrazione MSI Questa funzione si rivela utile qualora non sia possibile installare correttamente un componente ERA su Windows, per esempio l’agente ERA: msiexec /i C:\Users\Administrator\Downloads\Agent-1.0.373.0_x64.msi /L*v log.txt 164 6. Primi passi Dopo aver installato correttamente ESET Remote Administrator, è possibile iniziare la fase di impostazione delle varie opzioni. Innanzitutto, aprire ERA Web Console nel browser Web ed effettuare l'accesso. Conoscere ERA Web Console Prima di avviare la configurazione iniziale, si consiglia di acquisire dimestichezza con ERA Web Console, che rappresenta l'interfaccia utilizzata per la gestione delle soluzioni di protezione ESET. Le Attività di post installazione guideranno l'utente attraverso i passaggi consigliati per un'esperienza di configurazione ottimale. Creazione dell'account utente Durante l'installazione viene creato l'account amministratore predefinito. Si consiglia di salvare l'account Amministratore e di creare un nuovo account per gestire i client e configurarne le autorizzazioni. Aggiungere computer client, server e dispositivi mobili presenti nella rete in ERA Durante l'installazione, è possibile ricercare computer (client) nella rete. I client trovati saranno elencati nella sezione Computer in cui verrà avviato ESET Remote Administrator. Se i client non compaiono nella sezione Computer, eseguire un'attività di Sincronizzazione dei gruppi statici per ricercare i computer e visualizzarli in gruppi. Distribuzione di un agente Dopo aver trovato i computer client, eseguire la distribuzione dell'agente. L'agente fornisce la comunicazione tra ESET Remote Administrator e i client. Installazione del prodotto ESET (include l'attivazione) Per preservare la sicurezza dei client e della rete, utilizzare l'attività di Installazione del software per installare i prodotti ESET. Creazione/modifica di gruppi Si consiglia di ordinare i client in Gruppi statici o dinamici in base a vari criteri. Ciò consente di facilitare la gestione dei client e di avere una panoramica della rete. Creazione di un nuovo criterio I criteri consentono di forzare specifiche configurazioni sui prodotti ESET sui computer client. Questo consente all'utente di evitare di configurare manualmente il prodotto ESET di ciascun client. Una volta creato un nuovo criterio con la configurazione personalizzata, è possibile assegnarlo a un gruppo (statico o dinamico) per applicare le impostazioni personalizzate a tutti i computer presenti nel gruppo. Assegnazione di un criterio a un gruppo Come illustrato in precedenza, per poter applicare un criterio, è necessario assegnarlo a un gruppo. Ai computer che appartengono al gruppo verrà applicato il criterio in questione. Il criterio verrà applicato tutte le volte che un agente si connette al server ERA. Configurazione delle Notifiche e creazione dei Report Per avere un quadro più chiaro di ciò che accade con i computer client nell'ambiente, si consiglia di utilizzare le notifiche e i report. Ad esempio, per ricevere una notifica quando si verifica un determinato evento o per visualizzare o scaricare un report. 165 6.1 Aprire ERA Web Console Esistono vari modi per aprire ERA Web Console: Sul server locale (la macchina che ospita la console Web), digitare il seguente URL nel browser Web: https://localhost/era/ Da qualsiasi postazione dotata di accesso a Internet, accedere al server Web e digitare l'URL nel seguente formato: https://yourservername/era/ Sostituire "yourservername" con il nome effettivo o l'indirizzo IP del server Web. Per accedere a ERA Virtual Appliance, utilizzare il seguente URL: https://[IP address]:8443/ Sostituire "[IP address]" con l'indirizzo IP di ERA VM. Nel caso in cui non si ricordi l'indirizzo IP, consultare il passaggio 9 delle istruzioni relative alla distribuzione degli Accessori virtuali. Sul server locale (la macchina che ospita la console Web), fare clic su Avvio > Tutti i programmi > ESET > ESET Remote Administrator > ESET Remote Administrator Webconsole: si aprirà una schermata di accesso nel browser Web predefinito. Tale operazione non si applica a ERA Virtual Appliance. NOTA: dal momento che la console Web utilizza un protocollo sicuro (HTTPS), nel browser Web potrebbe comparire un messaggio relativo a un certificato di protezione o a una connessione non attendibile (le parole esatte del messaggio dipendono dal browser in uso). Ciò dipende dal fatto che il browser desidera verificare l'identità del sito al quale si tenta di accedere. Fare clic su Continuare con il sito Web (Internet Explorer) o Comprendo i rischi , su Aggiungi eccezione..., quindi su Conferma eccezione di sicurezza (Firefox) per consentire l'accesso a ERA Web Console. Questa condizione si applica nel momento in cui si tenta di accedere all'URL di ESET Remote Administrator Web Console. Quando il server Web (su cui viene eseguita ERA Web Console) è attivo, verrà visualizzata la seguente schermata. In caso di primo accesso, fornire le credenziali inserite durante il Processo di installazione. Per ulteriori informazioni su questa schermata, consultare la Schermata di accesso della console Web. NOTA: nel raro caso in cui la schermata di accesso non venga visualizzata o rimanga bloccata sulla schermata di 166 caricamento, riavviare il servizio ESET Remote Administrator Server. Quando il servizio ESET Remote Administrator Server è nuovamente attivo, riavviare il servizio Apache Tomcat. La schermata di accesso alla console Web verrà quindi caricata correttamente. 167 7. API ESET Remote Administrator ESET Remote Administrator ServerApi ( ServerApi.dll) è un'interfaccia di programmazione di applicazioni, un set di funzioni e strumenti per creare applicazioni software personalizzate per soddisfare esigenze specifiche. Utilizzando ServerApi, l'applicazione è in grado di fornire interfaccia, funzionalità e operazioni personalizzate normalmente eseguite tramite ERA Web Console, come la gestione di ESET Remote Administrator, la generazione e la ricezione di report, ecc. Per ulteriori informazioni ed esempi in linguaggio C e un elenco di messaggi JSON disponibili, fare riferimento alla seguente guida on-line: http://help.eset.com/era/63/api/ 168 8. Domande frequenti Perché è necessario installare Java su un server? Questa operazione non crea un rischio per la protezione? La maggior parte delle società e dei framework di sicurezza consiglia di disinstallare Java dai computer, soprattutto dai server. Per far funzionare correttamente ERA Web Console, è necessario installare Java. Java è uno standard industriale per le console basate sul Web. Per funzionare, tutte le principali console Web utilizzano Java e un server Web (Apache Tomcat). Java è necessario per supportare un server Web multipiattaforma. Sebbene ERA Web Console richieda come requisito minimo Java versione 7, si consiglia vivamente di utilizzare l'ultima versione di Java rilasciata ufficialmente. È possibile installare il server Web su una macchina dedicata, qualora ci fossero rischi per la sicurezza. In che modo è possibile determinare la porta utilizzata da SQL Server? Esistono vari modi per determinare la porta utilizzata da SQL Server. Per ottenere risultati più accurati, è possibile utilizzare SQL Server Configuration Manager. Nell'immagine sottostante è illustrato un esempio del percorso in cui posizionare queste informazioni in SQL Server Configuration Manager: Dopo aver installato SQL Server Express (incluso nel pacchetto ERA) su Windows Server 2012, sembra che l'applicazione non sia in ascolto su una porta SQL standard. È molto probabile che sia in ascolto su una porta diversa da quella predefinita, ovvero la 1433. In che modo è possibile configurare MySQL per poter accettare pacchetti di grandi dimensioni? Vedere Installazione e configurazione di MySQL per Windows o Linux. 169 In caso di installazione SQL da parte dell'utente, in che modo è possibile creare un database per ERA? Non è necessario farlo. Il database viene creato dal Server.msi programma di installazione, non dal programma di installazione ERA. Il programma di installazione ERA consente di semplificare la procedura per l'utente: questo elemento, infatti, installa l'SQL Server, mentre il database viene creato dal programma di installazione server.msi. Perché non è stato possibile eseguire correttamente l’installazione di ERA durante la configurazione del database? Su MySQL è stata attivata la registrazione binaria. R: ERA v6.2 non supporta per niente i database MySQL con l’attivazione dei rapporti binari. Disattivare i rapporti binari in MySQL o utilizzare una versione più recente di ERA. R: ERA v6.3 non supporta il formato di rapporto binario basato su DICHIARAZIONE. Utilizzare i formati di rapporto binario RIGA o MISTO. Per ulteriori informazioni sui rapporti binari di MySQL, consultare https://dev.mysql.com/ doc/refman/5.6/en/binary-log.html e https://dev.mysql.com/doc/refman/5.6/en/replication-options-binarylog.html#sysvar_binlog_format Il programma di installazione ERA crea un nuovo database al posto dell'utente in un'installazione SQL Server esistente se vengono forniti i dettagli e le credenziali corretti relativi alla connessione di SQL Server? Sarebbe preferibile che il programma di installazione supportasse varie versioni di SQL Server (2008, 2014, ecc.). Il database viene creato da Server.msi. Diconseguenza, è in grado di creare un database ERA al posto dell'utente su istanze di SQL Server installate singolarmente. Esatto, le versioni supportate di SQL Server sono 2008, 2012 e 2014. In caso di installazione su un SQL Server esistente, per impostazione predefinita verrà utilizzata la modalità di autenticazione di Windows integrata? No, perché la modalità di autenticazione di Windows può essere disattivata su SQL Server e l'unico modo per accedere consiste nell'utilizzare l'autenticazione di SQL Server (inserendo un nome utente e una password). È necessario utilizzare l'autenticazione di SQL Server o la modalità mista. In caso di installazione manuale di SQL Server, si consiglia di creare una password radice (l'utente radice è chiamato "sa", che sta per "security admin") e di conservarla in un luogo sicuro per consultazioni successive. Durante l'aggiornamento del server ERA, potrebbe essere necessario inserire la password radice. È possibile utilizzare MariaDB al posto di MySQL? MariaDB è un database predefinito in numerosi ambienti Linux che, tuttavia, non è supportato da <% ESET_REMOTE_ADMINISTRATOR%>. Assicurarsi di installare MySQL per consentire a <% ESET_REMOTE_ADMINISTRATOR%> di funzionare correttamente. 170 È stato necessario installare Microsoft .NET Framework 3.5, in quanto il programma di installazione di ERA ha puntato su (http://www.microsoft.com/en-us/download/details.aspx?id=21). Tuttavia, non ha funzionato su una nuova installazione di Windows Server 2012 R2 con SP1. Non è possibile utilizzare questo programma di installazione su Windows Server 2012, a causa del criterio di protezione Windows Server 2012. Microsoft .NET Framework deve essere installato mediante la Procedura guidata regole e funzioni.. Microsoft .NET 4.5 Framework era già installato sul sistema in uso. Per aggiungere .NET 3.5., è stato necessario installare la Procedura guidata regole e funzioni. Perché ESET Remote Administrator non supporta .NET 4.5? Perché .NET 4.5 non possiede una compatibilità retroattiva con .NET 3.5., che è un prerequisito del programma di installazione di SQL Server. È estremamente complesso capire se l'installazione di SQL Server sia in esecuzione. Come è possibile capire cosa succede se l'installazione dura più di 10 minuti? Raramente, l'installazione di SQL Server può richiedere fino a 1 ora. I tempi di installazione dipendono dalle prestazioni del sistema. In che modo è possibile ripristinare la password dell'amministratore per la console Web (inserita durante la configurazione)? È possibile reimpostare la password scegliendo Ripara durante l'esecuzione del programma di installazione del server. Si tenga presente che potrebbe essere necessario inserire la password per accedere al database ERA in caso di mancato utilizzo dell'autenticazione di Windows durante la creazione del database. NOTA: Prestare attenzione al fatto che alcune opzioni di riparazione potrebbero determinare la rimozione dei dati archiviati. Qual è il formato da utilizzare per l'importazione di un file contenente un elenco di computer da aggiungere a ERA? Consultare la sezione delle Domande frequenti (FAQ) nel Manuale di gestione. È possibile utilizzare IIS al posto di Apache? E per quanto riguarda un altro server HTTP? IIS è un server HTTP. La console Web richiede un contenitore servlet Java (come Tomcat) per l'esecuzione, in quanto il server HTTP non è sufficiente. Sono state trovate soluzioni su come modificare ISS in un contenitore servlet Java, ma, in generale, non è supportato. NOTA: non si sta utilizzando il server HTTP Apache, ma Apache Tomcat, che è un prodotto diverso. ERA dispone di un'interfaccia della riga di comando? Sì, esiste ESET Remote Administrator ServerApi. 171 È possibile installare ERA su un controller di dominio? L'applicazione del server ERA può essere installata su un controller di dominio, ma potrebbero essere presenti alcune restrizioni durante l'installazione di MS SQL sul controller di dominio Windows. Esiste un modo per utilizzare la procedura guidata per l'installazione su un controller di dominio? È possibile utilizzare la procedura guidata, ma occorre deselezionare l'installazione di SQL nella finestra di selezione dei componenti. L'installazione del server ERA rileverà se SQL è già installato sul sistema? Cosa accade se lo rileva? E per quanto riguarda MySQL? ERA verificherà l'esecuzione di SQL su un sistema qualora si utilizzi la procedura guidata e sia stata selezionata l'installazione di SQL Express. Se SQL è già in esecuzione su un sistema, la procedura guidata consentirà di visualizzare una notifica per disinstallare l'SQL esistente ed eseguire nuovamente l'installazione oppure per installare ERA senza SQL Express. Vedere requisiti del database per ERA. Dove è possibile trovare la mappatura dei componenti di ERA eseguita dalla versione finale di ERA? Consultare questo articolo della Knowledge Base: http://support.eset.com/kb3690/ Come si esegue un aggiornamento basato su componenti di ESET Remote Administrator 6.1.21, 6.1.28 o 6.2.11 alla versione più recente? Sistema operativo Windows: http://support.eset.com/kb3668/ Sistema operativo Linux: http://support.eset.com/kb3670/ Come si aggiorna un sistema senza connessione a Internet? Utilizzando un proxy HTTP installato su una macchina che può collegarsi ai server di aggiornamento ESET (dove i file di aggiornamento sono memorizzati nella cache) e puntando gli endpoint su quel proxy HTTP su una rete locale. Se il server non dispone di una connessione a Internet, è possibile abilitare la funzionalità mirror del prodotto endpoint su una macchina, utilizzare un'unità USB per fornire i file di aggiornamento a quel computer e configurare tutti gli altri computer off-line per utilizzarlo come server di aggiornamento. Come si fa a reinstallare il server ERA e collegarlo a un server SQL esistente se il server SQL non è stato configurato automaticamente dall'installazione ERA iniziale? Se si installa la nuova istanza del server ERA utilizzando lo stesso account utente (ad esempio, un account dell'amministratore del dominio) in cui è stato installato il server ERA originale, è possibile utilizzare MS SQL Server tramite l'autenticazione di Windows. 172 Come risolvere i problemi di sincronizzazione con Active Directory su Linux? Verificare che il nome del dominio contenga solo lettere maiuscole ( [email protected] anziché [email protected] ). Esiste un modo per utilizzare le proprie risorse di rete (ad esempio la condivisione SMB) al posto dell'archivio? È possibile scegliere di fornire l'URL diretto in cui si trova un pacchetto. Se si utilizza la condivisione di file, specificarla nel formato seguente: file:// seguito dal percorso di rete completo al file, per esempio: file://\\eraserver\install\ees_nt64_ENU.msi In che modo è possibile reimpostare o cambiare la password? Idealmente, l'account amministratore dovrebbe essere utilizzato esclusivamente per la creazione di account di singoli amministratori. Una volta creati, gli account amministratore non devono essere utilizzati ed è necessario salvarne la password. Questa procedura consente di utilizzare l'account amministratore solo per la reimpostazione della password/le informazioni dell’account. Procedura di reimpostazione della password di un account ERA Administrator integrato: 1. Aprire Programmi e funzionalità (eseguire appwiz.cpl), individuare il server ESET Remote Administrator e fare clic con il pulsante destro del mouse. 2. Selezionare Modifica dal menu contestuale. 3. Scegliere Ripara. 4. Specificare i dettagli di connessione del database. 5. Selezionare Utilizza il database esistente e applicare l'aggiornamento. 6. Deselezionare Utilizza la password già archiviata nel database e inserirne una nuova. 7. Effettuare l'accesso a ERA Web Console con la nuova password. 173 NOTA: si consiglia vivamente di creare account aggiuntivi con diritti di accesso specifici in base alle competenze desiderate. Come modificare le porte del server ERA e di ERA Web Console? È necessario modificare la porta nella configurazione del server Web per consentire le connessioni del server Web alla nuova porta. Per eseguire questa operazione, seguire i passaggi sottostanti: 1. Arrestare il server Web. 2. Modificare la porta nella configurazione del server Web. a) Aprire il file webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/config/ EraWebServerConfig.properties b) Impostare il nuovo numero della porta (per esempio, server_port=44591) 3. Riavviare il server Web. In che modo è possibile eseguire la migrazione del server ERA su un nuovo sistema? Per ulteriori informazioni sulle modalità di esecuzione di una migrazione, consultare Aggiornamento da una versione precedente di ERA o questo articolo della Knowledge Base di ESET: In che modo è possibile effettuare il passaggio dalla versione 5 alla versione 6 di ESET Remote Administrator? È possibile eseguire l'aggiornamento direttamente da ERA v.5/v.4 a v.6 tramite il programma di installazione integrato? Dal momento che la funzione di aggiornamento diretto non è supportata, si consiglia di utilizzare lo strumento di migrazione. Per ulteriori informazioni, consultare Aggiornamento da una versione precedente di ERA e questo articolo della Knowledge Base di ESET: In che modo è possibile effettuare il passaggio dalla versione 5 alla versione 6 di ESET Remote Administrator? Compaiono alcuni messaggi di errore o si verificano alcuni problemi con ESET Remote Administrator, cosa bisogna fare? Consultare la sezione delle Domande frequenti (FAQ) sulla risoluzione dei problemi. 174