Mcafee EPO 3.5 部署要点

自己写的一些心得,半天的成果 :)

1.首先安装epo3.5+hotfix1

这里会用到sql server,你可以用数据库认证帐号,或者系统认证帐号,关键看你的sql server怎么配。注意如果是系统帐号,确认属于administrator组,因为是sql server的内置系统管理组。

安装的时候会提示输入管理密码(我没仔细看这一步,后来一直用默认admin密码尝试...),这个就是安装完毕后登陆时admin用户的密码。

如果不出意外的话,安装应该没什么问题。关键还是和sqlserver的帐号问题。

2.规划

实际上还是有必要做一定的规划,按你的网络大小,做一定的规划。server要能经过路由ping通相关客户端网段(虽然一些客户机是xp,默认防火墙是关闭icmp ping的,但是似乎只用能正确解析mac地址即可,即广播到该机即可,无所谓直接是否接收,和wol的机理有点像),做到了这一点,agent就能正常工作。

3.agent

先澄清一点,agent应该是部署的最后一步,虽然我首先讲agent方面。因为你在服务器上做好所有设置,一安装agent,相应的操作就能按照你事先规划的进行了。

我翻阅了坛子里古铜兄的文章,对我很有帮助。不过我纠正一点,只要在客户端正确部署了agent,那么就安装相关软件卸载什么的,就可以都在服务器端做,不是已经做了个遥控在客户机么 :P 我觉得mcafee的精华之处就是在agent这里,所有的软件都能和它融合在一起,怪不得叫commmon framework。

agnet可以从服务器端推入客户端(域环境)或者手工安装(非域环境).

我在初期一直被agent搞混了。以为要重新生成agent安装程序,才能达到正确自定义agent的目的,其实不然。利用额外的sitelist.xml文件就能达到这一点。(其实也就是个ip和端口信息嘛) 如果你的客户端和服务器都在同一网段,那么这个对你没什么用。但是像用防火墙外网IP映射内网服务器,N层路由的情况,肯定要用特别的指令执行agent安装程序才可以达到正确部署的目的。

framepkg.exe可以在getting started wizard里面当,也可以搜索安装目录直接拷贝出来。

我做的agent自定义安装的教本,存成install.bat,主要是静默自动安装framepkg,sitelist.xml可以从console里导出,并根据你在客户端对服务器的对应关系,相应修改serverip那个字段。(因为有IP映射转发这些情况存在,可能不同的网段,相同的服务器有不同的IP称谓)。

下面这一句是安装agent之后,马上回call服务器,不然你得等相应的时间设置后才能看到客户机主动联系服务器。

@FRAMEPKG /INSTALL=AGENT /USELANGUAGE=0804 /SITEINFO=SiteList.xml /S
@"C:\Program Files\Network Associates\Common Framework\cmdagent" /c /e

卸载

@FRAMEPKG /REMOVE=AGENT

只要成功安装了agent,那么基本上可以说成功了一大半,接下来的工作,基本上都在服务器上做就好了,客户机就不用再动了。

4.Repository

软件仓库用来导入和管理epo的各种软件,对于新部署,你至少得做check in package这一步,把软件包加进来。会用到软件的PkgCatalog.z这个文件,如果你用那些重新封装过的版本,会提示文件长度不对,得用官方发布的版本导入。(实际上也没必要用什么重新封装版本,因为补丁这些都能导入,最后都能直接自动安装)。我导入了vse8.0和spyware模块。

加完软件,你可以pull now,拉回新的定义文件,并定义一下schedule,定期拉回dat。

5.Directory

在console左边最上端

所有的客户机理论上都应该在这里出现,只要他们call过服务器。所有未经过一定ip filter的客户端,都会出现在lost&found里面,你应该根据网段建一些相应的site,用来对服务器进行群组管理,还有软件的安装任务(Deployment task)。一旦客户端回call服务器,它会Directory的根lost&found和符合ip规则的site里面出现,你可以把它拖到它该呆的site或者group里。(这一步应该说也很重要,因为你最终要的是集成统一设置管理)。Directory下面每一个对象的task页签都会有一个Deployment task(不可删除),用来部署软件的。你要对自己的site设置该安装任务,安装些什么,什么时候安装。(一般新部署要设成马上安装,并enable起来)。设置完这个,再对policies进行相应的软件设置,这些设置最终都会被应用到指定的客户端去。客户端的软件会自动把epo server加到更新列表里。

做完所有这些,把agent安装程序拿到客户端一装就完事了,以后就在服务器端慢慢设置这些客户机就好了,需要时主动wakeup一下相应的客户机,让它执行新的策略或者安装卸载软件。