史萊姆論壇 - 查看單個文章

psac · 2006-02-04, 08:50 PM

Mcafee EPO 3.5 佈署要點

-------------------------------------------------------------------------

本來是要發在那邊板塊的,不過這個東西一上來肯定就有人問版本什麼的,而且又是個大公司的解決方案。

1.首先安裝epo3.5+hotfix1

這裡會用到sql server,你可以用資料庫認證帳號,或者系統認證帳號,關鍵看你的sql server怎麼配。注意如果是系統帳號,驗證屬於administrator組,因為是sql server的內裝系統管理組。

安裝的時候會提示輸入管理密碼(我沒仔細看這一步,後來一直用預設admin密碼嘗試...),這個就是安裝完畢後登入時admin用戶的密碼。

如果不出意外的話,安裝應該沒什麼問題。關鍵還是和sqlserver的帳號問題。

2.規劃

實際上還是有必要做一定的規劃,按你的網路大小,做一定的規劃。server要能經過路由ping通相關客戶端網段(雖然一些客戶端機是xp,預設防火牆是關閉icmp ping的,但是似乎只用能正確解析mac位址即可,即廣播到該機即可,無所謂直接是否接收,和wol的機理有點像),做到了這一點,agent就能正常工作。

3.agent

先澄清一點,agent應該是佈署的最後一步,雖然我首先講agent方面。因為你在伺服器上做好所有設定,一安裝agent,相應的操作就能按照你事先規劃的進行了。

我翻閱了罈子裡古銅兄的文章,對我很有說明。不過我改正一點,只要在客戶端正確佈署了agent,那麼就安裝相關軟體卸載什麼的,就可以都在伺服器端做,不是已經做了個遙控在客戶端機麼 :P 我覺得mcafee的精華之處就是在agent這裡,所有的軟體都能和它融合在一起,怪不得叫commmon framework。

agnet可以從伺服器端推入客戶端(域環境)或者手動式安裝(非域環境).

我在初期一直被agent搞混了。以為要重新產生agent安裝程序,才能達到正確自訂agent的目的,其實不然。利用額外的sitelist.xml文件就能達到這一點。(其實也就是個ip和連接阜訊息嘛) 如果你的客戶端和伺服器都在同一網段,那麼這個對你沒什麼用。但是像用防火牆外網IP映射局內網伺服器,N層路由的情況,肯定要用特別的指令執行agent安裝程序才可以達到正確佈署的目的。

framepkg.exe可以在getting started wizard裡面當,也可以搜尋安裝目錄直接拷貝出來。

我做的agent自訂安裝的教本,存成install.bat,主要是靜默自動安裝framepkg,sitelist.xml可以從console裡匯出,並根據你在客戶端對伺服器的對應關係,相應修改serverip那個字段。(因為有IP映射轉發這些情況存在,可能不同的網段,相同的伺服器有不同的IP稱謂)。

下面這一句是安裝agent之後,馬上回call伺服器,不然你得等相應的時間設定後才能看到客戶端機主動聯繫伺服器。

@FRAMEPKG /INSTALL=AGENT /USELANGUAGE=0804 /SITEINFO=SiteList.xml /S
@"C:\Program Files\Network Associates\Common Framework\cmdagent" /c /e
卸載

@FRAMEPKG /REMOVE=AGENT
只要成功安裝了agent,那麼基本上可以說成功了一大半,接下來的工作,基本上都在伺服器上做就好了,客戶端機就不用再動了。

4.Repository

軟體倉庫用來匯入和管理epo的各種軟體,對於新佈署,你至少得做check in package這一步,把軟體包加進來。會用到軟體的PkgCatalog.z這個文件,如果你用那些重新封裝過的版本,會提示文件長度不對,得用官方發怖的版本匯入。(實際上也沒必要用什麼重新封裝版本,因為修正檔這些都能匯入,最後都能直接自動安裝)。我匯入了vse8.0和spyware模組。

加完軟體,你可以pull now,拉回新的定義文件,並定義一下schedule,定期拉回dat。

5.Directory

在console左邊最上端

所有的客戶端機理論上都應該在這裡出現,只要他們call過伺服器。所有未經過一定ip filter的客戶端,都會出現在lost&found裡面,你應該根據網段建一些相應的site,用來對伺服器進行群組管理,還有軟體的安裝工作(Deployment task)。一旦客戶端回call伺服器,它會Directory的根lost&found和符合ip規則的site裡面出現,你可以把它拖到它該呆的site或者group裡。(這一步應該說也很重要,因為你最終要的是整合統一設定管理)。Directory下面每一個對象的task頁簽都會有一個Deployment task(不可移除),用來佈署軟體的。你要對自己的site設定該安裝工作,安裝些什麼,什麼時候安裝。(一般新佈署要設成馬上安裝,並enable起來)。設定完這個,再對policies進行相應的軟體設定,這些設定最終都會被套用到指定的客戶端去。客戶端的軟體會自動把epo server加到更新列表裡。

做完所有這些,把agent安裝程序拿到客戶端一裝就完事了,以後就在伺服器端慢慢設定這些客戶端機就好了,需要時主動wakeup一下相應的客戶端機,讓它執行新的原則或者安裝卸載軟體。

後期管理還有很多,像superagent的佈署(和global update有關)這些就不一一列舉了,可以參考文件,有空再寫出來,大家探討一下。
具體路徑。

VirusScan Console-->>Tools-->>Edit AutoUpdate Repository List

_____________________________@

2006-02-04, 08:50 PM	#5 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Mcafee EPO 3.5 佈署要點 ------------------------------------------------------------------------- 本來是要發在那邊板塊的,不過這個東西一上來肯定就有人問版本什麼的,而且又是個大公司的解決方案。 1.首先安裝epo3.5+hotfix1 這裡會用到sql server,你可以用資料庫認證帳號,或者系統認證帳號,關鍵看你的sql server怎麼配。注意如果是系統帳號,驗證屬於administrator組,因為是sql server的內裝系統管理組。安裝的時候會提示輸入管理密碼(我沒仔細看這一步,後來一直用預設admin密碼嘗試...),這個就是安裝完畢後登入時admin用戶的密碼。如果不出意外的話,安裝應該沒什麼問題。關鍵還是和sqlserver的帳號問題。 2.規劃實際上還是有必要做一定的規劃,按你的網路大小,做一定的規劃。server要能經過路由ping通相關客戶端網段(雖然一些客戶端機是xp,預設防火牆是關閉icmp ping的,但是似乎只用能正確解析mac位址即可,即廣播到該機即可,無所謂直接是否接收,和wol的機理有點像),做到了這一點,agent就能正常工作。 3.agent 先澄清一點,agent應該是佈署的最後一步,雖然我首先講agent方面。因為你在伺服器上做好所有設定,一安裝agent,相應的操作就能按照你事先規劃的進行了。我翻閱了罈子裡古銅兄的文章,對我很有說明。不過我改正一點,只要在客戶端正確佈署了agent,那麼就安裝相關軟體卸載什麼的,就可以都在伺服器端做,不是已經做了個遙控在客戶端機麼 :P 我覺得mcafee的精華之處就是在agent這裡,所有的軟體都能和它融合在一起,怪不得叫commmon framework。 agnet可以從伺服器端推入客戶端(域環境)或者手動式安裝(非域環境). 我在初期一直被agent搞混了。以為要重新產生agent安裝程序,才能達到正確自訂agent的目的,其實不然。利用額外的sitelist.xml文件就能達到這一點。(其實也就是個ip和連接阜訊息嘛) 如果你的客戶端和伺服器都在同一網段,那麼這個對你沒什麼用。但是像用防火牆外網IP映射局內網伺服器,N層路由的情況,肯定要用特別的指令執行agent安裝程序才可以達到正確佈署的目的。 framepkg.exe可以在getting started wizard裡面當,也可以搜尋安裝目錄直接拷貝出來。我做的agent自訂安裝的教本,存成install.bat,主要是靜默自動安裝framepkg,sitelist.xml可以從console裡匯出,並根據你在客戶端對伺服器的對應關係,相應修改serverip那個字段。(因為有IP映射轉發這些情況存在,可能不同的網段,相同的伺服器有不同的IP稱謂)。下面這一句是安裝agent之後,馬上回call伺服器,不然你得等相應的時間設定後才能看到客戶端機主動聯繫伺服器。 @FRAMEPKG /INSTALL=AGENT /USELANGUAGE=0804 /SITEINFO=SiteList.xml /S @"C:\Program Files\Network Associates\Common Framework\cmdagent" /c /e 卸載 @FRAMEPKG /REMOVE=AGENT 只要成功安裝了agent,那麼基本上可以說成功了一大半,接下來的工作,基本上都在伺服器上做就好了,客戶端機就不用再動了。 4.Repository 軟體倉庫用來匯入和管理epo的各種軟體,對於新佈署,你至少得做check in package這一步,把軟體包加進來。會用到軟體的PkgCatalog.z這個文件,如果你用那些重新封裝過的版本,會提示文件長度不對,得用官方發怖的版本匯入。(實際上也沒必要用什麼重新封裝版本,因為修正檔這些都能匯入,最後都能直接自動安裝)。我匯入了vse8.0和spyware模組。加完軟體,你可以pull now,拉回新的定義文件,並定義一下schedule,定期拉回dat。 5.Directory 在console左邊最上端所有的客戶端機理論上都應該在這裡出現,只要他們call過伺服器。所有未經過一定ip filter的客戶端,都會出現在lost&found裡面,你應該根據網段建一些相應的site,用來對伺服器進行群組管理,還有軟體的安裝工作(Deployment task)。一旦客戶端回call伺服器,它會Directory的根lost&found和符合ip規則的site裡面出現,你可以把它拖到它該呆的site或者group裡。(這一步應該說也很重要,因為你最終要的是整合統一設定管理)。Directory下面每一個對象的task頁簽都會有一個Deployment task(不可移除),用來佈署軟體的。你要對自己的site設定該安裝工作,安裝些什麼,什麼時候安裝。(一般新佈署要設成馬上安裝,並enable起來)。設定完這個,再對policies進行相應的軟體設定,這些設定最終都會被套用到指定的客戶端去。客戶端的軟體會自動把epo server加到更新列表裡。做完所有這些,把agent安裝程序拿到客戶端一裝就完事了,以後就在伺服器端慢慢設定這些客戶端機就好了,需要時主動wakeup一下相應的客戶端機,讓它執行新的原則或者安裝卸載軟體。後期管理還有很多,像superagent的佈署(和global update有關)這些就不一一列舉了,可以參考文件,有空再寫出來,大家探討一下。具體路徑。 VirusScan Console-->>Tools-->>Edit AutoUpdate Repository List _____________________________@
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次