FCS安装和测试指南——FCS 安装
本部分提供在单或双服务器拓扑上安装 Client Security 以及将 Client Security 部署到客户端计算机所需的步骤。在单服务器拓扑中,所有角色和数据库都安装在一台服务器上;双服务器拓扑将“分发服务器”角色分配在现有的 WSUS 服务器上。下面描绘了这些拓扑。
图 1 – Forefront Client Security 单和双服务器拓扑
有关其它 FCS 拓扑的安装说明,请参考“部署 Microsoft Forefront Client Security”指南。
下面总结了主要安装步骤;后续各部分将完整描述每个步骤。
1.准备安装 FCS 组件
2.安装必备软件
3.安装和配置 Client Security
4.将 Client Security 部署到客户端计算机
3.1准备安装 FCS 组件
在开始 FCS 安装过程前,请验证所有系统都满足 1.1.1 部分列出的最低硬件要求。还要确保 1.1.2 部分列出的所有软件组件的所有安装文件和媒体都可用。
验证所有客户端系统都已加入域,并且已基于每个客户端将分配的 FCS 策略被分配到适当的组织单位或安全组。
按照 2.1.1 部分验证所有相应的服务帐户都已创建完成。
确保已打开 Client Security 代理与 Client Security 服务器通信所需要的所有网络协议和服务端口。对于当前版本的 Client Security,建议在安装期间禁用服务器上的防火墙。
如果手动或通过 SMS(或其它软件部署工具)部署客户端代理,FCS 操作唯一所需的端口为:
◆1270 TCP(入站和出站) – MOM 代理通信
◆80 TCP(出站) – WSUS 服务器通信
◆443 TCP(出站) – Microsoft Update 通信(如果启用了“回退到 MU”)
注意
在单服务器配置中,如果客户端要访问 MOM 报告服务,则需要端口 8530 TCP(出站)。
对于其它部署情境,建议在客户端安装期间禁用防火墙。
必须在所有服务器和客户端计算机上使用本地管理员权限登录,才能安装和部署 Forefront Client Security。
3.2安装必备软件
3.2.1操作系统和操作系统先决条件
安装 Windows 2003 操作系统和所有关键的安全和计算机更新。作为更新的一部分,确保您拥有 Windows Update Agent 2.0 或更新版本。Windows Update Agent 在您从微软下载更新时自动将自身更新到最新版本。还要确保服务器上安装了 Installer v3.1。
3.2.2Forefront 先决条件
在服务器上安装 FCS 组件之前,安装以下组件:
◆Microsoft 管理控制台 (MMC) 3.0。MMC 3.0 自动随 Windows Server 2003 R2 一起安装。如果未安装,您可以从以下地址下载它:http://go.microsoft.com/fwlink/?LinkId=7741
◆带 SP1 的组策略管理控制台 (GPMC)。您可以从以下地址下载带 SP1 的 GPMC:http://go.microsoft.com/fwlink/?LinkId=77421
◆使用以下步骤安装 IIS、ASP.NET 和 FrontPage 服务器扩展:
1.单击“开始”,指向“管理工具”,然后单击“管理您的服务器”。
2.在“管理您的服务器”窗口中,单击“添加或删除角色”。
3.在“配置您的服务器”向导中,单击“下一步”。
4.在下一页上,单击“应用程序服务器”(IIS、ASP.NET),然后单击“下一步”。
5.在下一页上,同时选中“FrontPage 服务器扩展”复选框和“ASP.NET”复选框,然后完成该向导。
3.2.3数据库安装
安装 SQL Server 2005 Standard Edition。若要安装 SQL Server 2005 的新实例,请将 SQL Server 2005 分发媒体介质插入服务器的 DVD 驱动器,并运行 Setup 以执行 SQL Server 2005 安装向导。在安装 SQL Server 2005 时,请使用以下设置:
◆安装数据库服务、报告服务和工作站组件(在“要安装的组件”页上,选中以下复选框:“SQL Server 数据库服务”、“报告服务”和“工作站组件”)。
◆使用默认而不是命名的 SQL Server 实例(在安装向导的“实例名称”页上,选择“默认实例”)。
◆使用您在 2.1.1 部分中配置的用户帐户作为服务帐户(在向导的“服务帐户”页上,单击“域用户帐户”)。
◆让 SQL Server Agent 服务自动启动(在“服务帐户”页上,在“安装结束时启动服务”下面,选中“SQL Server 代理”复选框)。
建议在安装 SQL Server 2005 时使用 Windows 身份验证作为安全模式。Windows 身份验证模式要比混合模式安全得多。(在“身份验证模式”页上,选择“Windows 身份验证”。)
注意
如果选择使用现有的 SQL Server 实例,要确保服务器上不存在 OnePoint 和 SystemCenterReporting 数据库。
在 SQL Server 安装完成后,请下载并安装 SQL Server 2005 的最新版服务包。在本文撰写之际,SP1 是最新的服务包。可以从以下地址获得它:http://go.microsoft.com/fwlink/?LinkId=77417
根据需要配置其它设置,然后验证该安装。
3.2.4验证管理、收集、报告服务器安装
若要验证 SQL Server 2005 服务的成功安装
数据库安装测试 | |
□ | 打开“服务”MMC,单击“开始”,指向“控制面板”,指向“管理工具”,然后指向“服务”。验证 SQL Server、代理和报告服务的“状态”为“已启动”。 |
注意:服务名称可能与显示名称稍有不同。下面是常见的 SQL 显示和服务名称。 SQL Server (MSSQLSERVER) – 默认 SQL Server 数据库引擎实例。 SQL Server (instancename) – 命名的 SQL Server 数据库引擎实例,其中 instancename 是实例名称。 SQL Server Agent (MSSQLSERVER) – 默认 SQL Server 代理实例。SQL Server 代理运行作业、监视 SQL Server、引发警报,并允许某些管理任务的自动化。 SQL Server Agent (instancename) – 命名的 SQL Server 代理实例,其中 instancename 是实例名称。SQL Server 代理运行作业、监视 SQL Server、引发警报,并允许某些管理任务的自动化。 Reporting Services – 默认微软报告服务实例。 Reporting Services (instancename) – 命名的报告服务实例,其中 instancename 是实例名称。 | |
□ | 如果某个服务未运行,请右键单击该服务并单击“启动”以启动它。如果服务启动失败,请检查服务属性中的 .exe 路径。确保该 .exe 在指定的路径中存在。 |
□ | 检查 Microsoft SQL Server 2005 安装日志。主日志位于: %ProgramFiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Summary.txt |
报告服务器和报告管理器安装测试 | |
□ | 打开“报告服务配置管理器”(单击“开始” ž “程序” ž “Microsoft SQL Server 2005” ž “配置工具” ž “报告服务配置”),连接到您刚才安装的报告服务器实例,并检查每个设置的状态指示器(左侧窗格),以验证该设置已经进行配置。 |
□ | 打开“服务”MMC,单击“开始” ž “控制面板” ž “管理工具” ž “服务”。验证“Reporting Services (MSSQLSERVER) ”服务的“状态”为“已启动”。 |
□ | 打开 IE 并在地址栏输入报告服务器 URL。 http://<computername>/ReportServer<instance name>. 注意:<computername> 是 Forefront 服务器的名称。如果您将报告服务器安装为命名的实例,则还必须追加 <instance name>。 |
□ | 运行报告以测试报告服务器操作。对于此步骤,如果没有任何报告可用,您可以安装并发布示例报告。有关更多信息,请参见 SQL Server 在线图书中的 AdventureWorks 报告示例 |
□ | 打开 IE 并输入报告管理器 URL,以验证报告管理器已安装并且正在运行。 http://<computer name>/Reports<instance name>。 |
□ | 使用报告管理器创建一个新文件夹或上载一个文件,以测试定义是否被传回报告服务器数据库。如果这些操作成功,说明连接是正常的。 |
3.2.5WSUS 服务器
WSUS 服务器安装是安装 Forefront Client Security 应用程序前的最后一个先决条件。如果您将使用现有的 WSUS 安装作为 FCS 分发服务器,您可以跳过本部分。
安装并配置带 SP1 的 Windows Server Update Services 2.0 (WSUS 2.0)。FCS 需要 SP1 才能将该服务器用于分发角色。若要安装带 SP1 的 WSUS:
1.从以下地址下载并安装带 SP1 的 WSUS 2.0:http://go.microsoft.com/fwlink/?LinkId=77418
2.在“Windows Server Update Services”页上,单击“安装 Windows Server Updates Services”。
3.在“文件下载 – 安全警告”对话框中,单击“运行”。
4.在“Microsoft Windows Server Update Services 安装向导”的第一页上,单击“下一步”。
5.在“许可协议”页上,如果您接受许可协议,请单击“我接受”,然后单击“下一步”。您必须接受许可协议才能完成安装。
6.在“选择更新源”页上,验证“本地存储更新”复选框已选中,然后单击“下一步”。
7.在“数据库选项”页上,选择使用现有的 SQL Server 实例,在“连接到 SQL Server 实例”页上单击“下一步”。
8.在“网站选择”页上,选择“创建 Microsoft Windows Server Update Services 网站”。
注意
此选项导致 WSUS 使用端口 8530,在同时安装了 Client Security 的服务器上使用 WSUS 时,推荐使用此端口而不是使用默认 WSUS 端口 80。
9.在同一页上,记下“WSUS 管理 URL”和“客户端配置 URL”(稍后将需要此信息),然后单击“下一步”。
10.在“镜像更新设置”页上,验证“此服务器应该继承设置”复选框未选中,然后单击“下一步”。
11.在“安装准备就绪”页上,单击“安装”。
12.在向导的最后一页上,单击“完成”。
3.2.5.1验证 WSUS 安装
WSUS 安装测试
WSUS 安装测试 | |
□ | 打开“服务”MMC,单击“开始”,指向“控制面板”,指向“管理工具”,然后指向“服务”。向下滚动到“WSUSService”(显示为“Update Service”),并验证其“状态”为“已启动” |
□ | 打开注册表编辑器,单击“开始”,指向“运行”,输入“RegEdit”。 |
□ | 在 RegEdit 树中,导航到 \HKLM\Software\Microsoft\Update Services\Server\Setup 注册表项。 |
□ | 验证以下 ContentDir 注册表项: <ContentDir>\WsusContent(在进行同步后将包含更新文件) |
□ | 验证 TargetDir 注册表项指向产品安装位置;例如,C:\Program Files\Update Services |
□ | 验证 SqlServerName 指向存储其余数据和服务器配置的数据库服务器 |
□ | 验证 SqlDatabaseName 指向数据库名称。对于 WSUS 2.0,这始终为 SUSDB。 |
□ | 验证 SqlAuthenticationMode 正确识别 WSUS 用于与数据库服务器通信的身份验证模式。对于 WSUS 2.0,这始终为 WindowsAuthentication。 |
□ | 打开 IE 并在地址栏输入 WSUS 服务器 URL。 http://<computername>:8530/ 注意:<computername> 是 Forefront 服务器的名称。 |
□ | 验证 Windows Server Update Services 主页可访问。 |
3.2.5.2WSUS 配置和同步
执行以下 WSUS 配置步骤:
1.在“Windows Server Update Services”主页上,单击“选项”,单击“自动批准选项”,然后选中“使用以下规则自动批准更新安装”复选框。
2.单击“保存设置”。
在安装 Client Security 之前,必须同步 WSUS 以下载该类别。在大多数情况下,这会在前几分钟内完成,在此之后,您可以停止同步并在稍后重新启动(在已安装 Client Security 之后)。若要强制同步:
1.在“Windows Server Update Services”主页上,单击“从同步服务器开始”
2.在“同步选项”页上,单击“立即同步”。
注意
第一次同步 WSUS 服务器可能要花几个小时。
如果在使用代理服务器进行 Internet 访问,您必须在安装 WSUS 后为其指定代理服务器设置。有关配置代理服务器设置的更多信息,请参见以下文章:http://go.microsoft.com/fwlink/?LinkId=59858
3.3安装和配置 Client Security
强烈建议使用下面所示的确切步骤安装和配置 Client Security:
3.3.1Forefront 服务器安装
1.运行服务器安装向导并输入以下参数:
2.在“角色安装”页上,选中除“分发服务器”角色以外的所有角色复选框(如果您不打算使用现有的 WSUS 服务器作为 FCS 分发服务器)。
3.在“收集角色设置”页上,输入以下信息:在“MOM 管理服务器”框中,输入收集服务器的名称(当前计算机)。对于 MOM 管理组,您可以使用默认名称 (ForefrontClientSecurity) 或输入新名称。(名称不能包含空格。)对于“MOM DAS 帐户”,请输入您在 2.1.1 部分中设置的域用户帐户。
4.在“操作数据库”页上,输入以下信息:在“MOM 数据库”框中,输入收集数据库服务器的名称(当前计算机),并根据需要输入 SQL Server 实例名称。输入适当的收集数据库大小。(如果指定的数据库大小超过可用磁盘空间,安装将会失败。)
5.在“报告数据库”页上,输入以下信息:在“MOM 报告服务器”框中,输入报告服务器的名称(当前计算机)。输入适当的报告数据库大小。对于“MOM DTS 帐户”,请输入您在 2.1.1 部分中设置的域用户帐户。
6.在“报告服务器”页上,输入 MOM 报告服务器的位置(管理、收集和报告服务器),指定是否希望对报告服务器使用默认 URL,以及指定是否希望使用 SSL 来连接到报告服务器。
7.执行安装并确保所有 FCS 安装先决条件都显示为绿色的。
8.继续安装并确保所有 FCS 组件都安装正确。
注意
在某些情况下,安装过程中可能显示“报告导入失败”错误。可以忽略此错误,它不会负面影响 FCS 操作。
3.3.2现有 WSUS 服务器上的分发服务器安装
这些步骤是可选的。如果不是将现有 WSUS 服务器用于 FCS 分发服务器角色,您可以跳过本部分。
9.在 WSUS 服务器上运行“服务器安装”向导。
10.在“角色安装”页上,选中“分发服务器”角色复选框。
11.执行安装并确保它成功完成。
3.3.3管理、收集和报告服务器配置
12.打开 Client Security,并在管理服务器上运行“配置向导”。
13.在该向导运行期间,指定与“安装向导”相同的设置。
14.展开 MOM 2005 管理员控制台 “管理” “全局设置”节点。右键单击“管理服务器”并选择“属性”。在“自动管理”选项卡上,选择“不自动安装、卸载和升级代理以及自动启动和停止无代理管理”选项。
15.在报告服务器上,单击“启动” “所有程序” “Microsoft SQL Server 2005” “配置工具”,然后单击“SQL Server 外围应用配置”。
16.在“SQL Server 2005 外围应用配置”页上,单击“服务和连接外围应用配置” “报告服务” “服务”,然后验证它正在运行。单击“确定”。
17.单击“功能的外围应用配置器”。
18.在“功能的外围应用配置器” “报告服务”中,选择“计划的事件和传递”并验证它已启用。
19.选择“Web 服务和 HTTP 访问”并验证它已启用。
20.展开“FCS 管理 Client Security”控制台并创建在规划过程期间确定的 FCS 客户端策略。将这些策略分配给在 2.1.2 部分中创建的适当组织单位和安全组。
注意
您也可以选择将策略部署到文件。在部署到文件时,必须使用 Client Security CD 上提供的 FCS 本地策略工具 (fcslocalpolicytool.exe) 在客户端手动应用策略。
21.启用该策略以便部署。
22.使用“组策略管理控制台” (GPMC),将 Active Directory 中的自动更新位置源更改为指向 FCS 分发服务器。
3.4将 Microsoft FCS 代理分发到客户端计算机
警告:
在将 Microsoft FCS 代理分发到生产客户端前,确保已将 3.3.3 部分中配置的 FCS 策略分发到所有客户端计算机。若要在客户端计算机上强制此更新,请在 Windows XP、Vista 和 Windows 2003 计算机上运行以下命令:
gpupdate /force /TARGET:Computer
在 Windows 2000 计算机上运行以下命令:
secedit /refreshpolicy machine_policy /enforce
若要将 Client Security 部署到客户端计算机,请完成以下步骤:
3.4.1准备客户端计算机:
1.安装所有关键安全和计算机更新。
2.为该类型的客户端(XP、Vista、W2K 等)安装 1.1.4 部分中的表 4 确定的所有热修复和必备软件。
3.打开“服务”MMC,并验证“Task Scheduler Service”正在运行。
4.禁用或卸载当前正在运行的任何反病毒或反间谍软件保护。
5.删除以前的反病毒或反间谍软件保护产品中的任何隔离文件。
3.4.2直接部署代理
6.使用本地管理员权限登录到客户端计算机并运行 ClientSetup.exe。
注意
在安装 Client Security 代理以后,您可能需要重新启动客户端计算机。
在某些情况下,日志报告会不正确地陈述客户端安装已失败。
7.出于安全考虑,当您在远程计算机上手动安装代理时,必须首先批准该计算机,然后管理服务器才允许该计算机与之连接。在 MOM 2005 – 管理控制台中,展开“Microsoft Operations Manager”“管理”“计算机”“挂起的操作”节点,右键单击挂起的客户端并批准手动代理安装。
注意
如果您配置了包括这些计算机的 MOM 发现规则,则会有一个自动 FCS 批准脚本自动批准这些计算机。该脚本每小时执行一次。
还可以使用 SMS 直接将代理部署到客户端。附录 B 包括一个用于 SMS 的示例客户端安装脚本。有关运行 ClientSetup.exe 的更多信息,包括如何使用不同的参数,请参见“FCS 部署指南”中的“将 Client Security 部署到客户端计算机”部分。
3.4.3强制反间谍软件签名文件更新
若要强制新安装的客户端下载可用的代理更新和签名文件:
8.打开“开始”菜单上的“运行”窗口。
9.输入以下命令:wuauclt.exe /detectnow
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |