基于代理的新 SDP 安装扫描
随着 ServiceDesk Plus 11300 版本的发布,Windows、Linux 和 Mac 机器引入了基于代理的扫描。该功能由 ManageEngine Endpoint Central(旧称 Desktop Central)提供。因此,SDP 11300 以上版本的所有客户都必须部署 ME Endpoint Central,以扫描其环境中的 Windows、Linux 和 Mac 机器。他们还需要在远程计算机上安装 Endpoint Central 代理。
已使用 UEMS 产品(ME Endpoint Central 除外)的客户须知
如果您的环境中安装和使用了以下任何 ME 产品,我们建议您在进行此安装之前联系我们的支持人员,以配置资产清单中的变更。
Patch Manager Plus On-Premise/Cloud
Remote Access Plus On-Premise/Cloud
Device Control Plus
Vulnerability Manager Plus
Patch Manager Plus Cloud
Endpoint Central (formerly Desktop Central) Cloud
关于 Endpoint Central
Endpoint Central是一个强大的统一端点管理系统。它包括补丁管理、软件部署、端点安全、操作系统成像和部署等功能。Endpoint Central 代理可在扫描过程中获取完整的硬件详细信息,并保持在 Windows、Linux 和 Mac 机器上获取数据的一致性,从而改进 ServiceDesk Plus 的资产扫描功能。Endpoint Central 代理集成还可避免已集成 ServiceDesk Plus 和 Endpoint Central 的用户使用两个代理。
Endpoint Central为 SDP 新客户提供的功能
i. 基于代理的 Windows、Mac 和 Linux 机器清单
ii. 设备保修信息
iii.自动将代理升级到新版本
Endpoint Central为 SDP 带 UEM 远程访问增强插件的新客户提供的其他功能
i). 聊天 *
ii). 远程控制 Windows、Mac 和 Linix 机器。
iii). 网络唤醒*
iv). 公告(ServiceDesk Plus 中支持,AssetExplorer 中不支持) *
v). 系统管理员 *
安装 Endpoint Central的前提条件
Endpoint Central只能安装在 Windows 机器上。如果 SDP 安装在 Linux 机器上,则必须在另一台 Windows 机器上手动安装 Endpoint Central,并在管理 >> 集成 >> Endpoint Central下与 SDP 集成。由于 Endpoi
nt Central安装在 SDP 文件夹中,因此至少需要 1 GB 的可用空间。
服务器
端口
目的
类型
连接
8383
用于代理与Endpoint Central服务器之间的通信
资料来源:代理
目的地:Endpoint Central 服务器
HTTPS
与服务器绑定
8027
通知服务器端口负责将按需操作从服务器传递给代理。
资料来源:代理
目的地:Endpoint Central 服务器
TCP与服务器绑定
端口 | 目的 | 类型 | 连接 |
8383 | 用于代理与Endpoint Central服务器之间的通信
资料来源:代理
目的地:Endpoint Central 服务器
| HTTPS | 与服务器绑定 |
8027 | 通知服务器端口负责将按需操作从服务器传递给代理。 资料来源:代理
目的地:Endpoint Central 服务器 | TCP | 与服务器绑定 |
工具和远程控制
端口
目的
类型
连接
8444
用于共享远程桌面、系统管理器、聊天和传输文件
资料来源:代理
目的地:Endpoint Central 服务器
HTTP
与服务器绑定
8443
用于共享远程桌面、系统管理器、聊天和传输文件
资料来源:代理
目的地:Endpoint Central 服务器
HTTPS/UDP (用于语音和视频聊天)
与服务器绑定
默认情况下,Endpoint Central安装时捆绑了 PGSQL。Endpoint Central也支持 MSSQL。
点击此处查看 Endpoint Central支持的 MSSQL 版本。
Endpoint Central代理可安装在采用以下操作系统的计算机上
Windows OS- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Windows Server OS
- Windows server 2019
- Windows server 2016
- Windows server 2012 R2
- Windows server 2012
- Windows server 2008 R2
- Windows server 2008
- Windows server 2003 R2
- Windows server 2003
Mac
- 10.7 Lion
- 10.8 Mountain Lion
- 10.9 Mavericks
- 10.10 Yosemite
- 10.11 El Capitan
- 10.12 Sierra
- 10.13 High Sierra
- 10.14 Mojave
- 10.15 Catalina
- 11.0 Big Sur
Linux
- Ubuntu 10.04 and later versions
- RedHat Enterprise Linux 6 and later versions
- CentOS 6 and later versions
- Fedora 19 and later versions
- Mandriva 2010 and later versions
- Debian 7 and later versions
- Linux Mint 13 and later versions
- Open SuSe 11 and later versions
- Suse Enterprise Linux 11 and later versions
- Pardus 17, and 19
- Oracle Linux Server 6, 7, and 8
扫描设备、远程控制设备或从 AE 执行工具操作等操作都是通过Endpoint Central服务器和桌面中心代理在远程计算机上执行的。Endpoint Central 代理在远程计算机上安装后,立即与Endpoint Central 服务器通信并发布清单数据。Endpoint Central 代理在系统启动期间通过 HTTPS 与Endpoint Central服务器通信,此后每隔 90 分钟与Endpoint Central 服务器通信一次,直至系统关闭,获取要在远程计算机上执行的操作并加以执行。这 90 分钟策略主要用于任何异步操作,如计划扫描、任何代理配置更改等。
Endpoint Central 代理还可通过 TCP 与Endpoint Central 服务器建立会话,以便在需要执行立即扫描或远程控制等操作时获得通知。
端口 | 目的 | 类型 | 连接 |
8444 | 用于共享远程桌面、系统管理器、聊天和传输文件 资料来源:代理
目的地:Endpoint Central 服务器 | HTTP | 与服务器绑定 |
8443 | 用于共享远程桌面、系统管理器、聊天和传输文件 资料来源:代理
目的地:Endpoint Central 服务器 | HTTPS/UDP (用于语音和视频聊天) | 与服务器绑定 |
默认情况下,Endpoint Central安装时捆绑了 PGSQL。Endpoint Central也支持 MSSQL。
Endpoint Central代理可安装在采用以下操作系统的计算机上
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
- Windows server 2019
- Windows server 2016
- Windows server 2012 R2
- Windows server 2012
- Windows server 2008 R2
- Windows server 2008
- Windows server 2003 R2
- Windows server 2003
- 10.7 Lion
- 10.8 Mountain Lion
- 10.9 Mavericks
- 10.10 Yosemite
- 10.11 El Capitan
- 10.12 Sierra
- 10.13 High Sierra
- 10.14 Mojave
- 10.15 Catalina
- 11.0 Big Sur
- Ubuntu 10.04 and later versions
- RedHat Enterprise Linux 6 and later versions
- CentOS 6 and later versions
- Fedora 19 and later versions
- Mandriva 2010 and later versions
- Debian 7 and later versions
- Linux Mint 13 and later versions
- Open SuSe 11 and later versions
- Suse Enterprise Linux 11 and later versions
- Pardus 17, and 19
- Oracle Linux Server 6, 7, and 8
Endpoint Central 代理在远程计算机上安装后,立即与Endpoint Central 服务器通信并发布清单数据。Endpoint Central 代理在系统启动期间通过 HTTPS 与Endpoint Central服务器通信,此后每隔 90 分钟与Endpoint Central 服务器通信一次,直至系统关闭,获取要在远程计算机上执行的操作并加以执行。这 90 分钟策略主要用于任何异步操作,如计划扫描、任何代理配置更改等。
Endpoint Central 代理还可通过 TCP 与Endpoint Central 服务器建立会话,以便在需要执行立即扫描或远程控制等操作时获得通知。
代理服务器通信安全吗?
默认情况下,代理与服务器之间的通信将通过 HTTPS(加密)通信进行。这些步骤可在代理和服务器之间执行受信任的 HTTPS 通信。这些配置可在代理安全设置下启用
为代理-服务器通信启用基于证书的身份验证
启用此选项后,代理与服务器之间的通信将采用客户端证书身份验证。在 AE 中启用此选项后,Endpoint Central 也将启用此设置。
启用代理服务器可信通信
启用此设置前,需要在Endpoint Central 中应用有效的第三方 SSL 证书。单击此处了解在Endpoint Central 中配置 SSL 证书的步骤,这只能从Endpoint Central 控制台完成。
注意:一旦启用此设置,就不能再次禁用,因为代理将无法再次与服务器通信。
启用此设置后,Endpoint Central 也将启用此设置,代理与服务器之间的通信将是可信的。
默认情况下,代理与服务器之间的通信将通过 HTTPS(加密)通信进行。这些步骤可在代理和服务器之间执行受信任的 HTTPS 通信。这些配置可在代理安全设置下启用
为代理-服务器通信启用基于证书的身份验证
启用此选项后,代理与服务器之间的通信将采用客户端证书身份验证。在 AE 中启用此选项后,Endpoint Central 也将启用此设置。
启用代理服务器可信通信
启用此设置前,需要在Endpoint Central 中应用有效的第三方 SSL 证书。单击此处了解在Endpoint Central 中配置 SSL 证书的步骤,这只能从Endpoint Central 控制台完成。
注意:一旦启用此设置,就不能再次禁用,因为代理将无法再次与服务器通信。
启用此设置后,Endpoint Central 也将启用此设置,代理与服务器之间的通信将是可信的。
代理资源利用率
以下所有数据均来自一台代理机器的预测。代理安装的驱动器最多会占用 1GB(约)的磁盘空间。
代理进程
运行中的应用程序名称
带宽消耗(约)
CPU 消耗量(约)
内存(RAM)消耗量(约)
在代理闲置状态
dcagentservice.exedcondemand.exedcagenttrayicon.exe(为每个登录的用户运行单独的应用程序)(适用于 Windows 和 Mac)[ 以上 3 个为持续运行的进程 ]。
1 Kbps
0-2%
11 MB
刷新政策(90 分钟一次 - 无任何部署)
dcconfig.exe
4KB
0-2%
6MB
库存扫描(在服务器中的预定时间)
dcinventory.exe
2MB
17-20%
14MB
代理升级(应用 PPM 和如果代理版本发生变化)
dcconfig.exe
AgentUpgrader.exe
20MB
2-5%
3MB
以下所有数据均来自一台代理机器的预测。代理安装的驱动器最多会占用 1GB(约)的磁盘空间。
代理进程 | 运行中的应用程序名称 | 带宽消耗(约) | CPU 消耗量(约) | 内存(RAM)消耗量(约) |
在代理闲置状态 | dcagentservice.exedcondemand.exedcagenttrayicon.exe(为每个登录的用户运行单独的应用程序)(适用于 Windows 和 Mac)[ 以上 3 个为持续运行的进程 ]。 | 1 Kbps | 0-2% | 11 MB |
刷新政策(90 分钟一次 - 无任何部署) | dcconfig.exe | 4KB | 0-2% | 6MB |
库存扫描(在服务器中的预定时间) | dcinventory.exe | 2MB | 17-20% | 14MB |
代理升级(应用 PPM 和如果代理版本发生变化) | dcconfig.exe AgentUpgrader.exe | 20MB | 2-5% | 3MB |
部署 DC 代理的步骤
如上所述,ManageEngine Endpoint Central需要单独安装。Endpoint Central安装在安装 SDP 的同一文件夹中。当 SDP 启动或停止时,Endpoint Central也会启动或停止。安装Endpoint Central的前提条件和Endpoint Central使用的端口已在本文档上文提及。
Endpoint Central安装时默认使用 PGSQL 作为数据库。
自动安装
只需在管理>代理配置中单击按钮,即可自动下载和安装 Endpoint Central。下载 DC 时,服务器机器需要接入互联网。Endpoint Central安装成功后,SDP 会收到成功安装的通知,代理也可通过 SDP 下载。
手动安装
如果服务器机器无法连接互联网,或者Endpoint Central 成功安装所需的时间超过 90 分钟,那么安装过程将相应超时,并显示Endpoint Central 手动安装提示。在手动安装的情况下,可以下载(EXE 格式)并安装产品。
SDP 服务器在 Linux 操作系统上运行
Endpoint Central只能安装在 Windows 机器上。因此,如果 AE 服务器运行在 Linux 上,点击代理配置页面上的下载和安装将提示下载链接。Endpoint Central可以下载(EXE 格式)并安装在单独的 Windows 机器上。在这里,SDP 和Endpoint Central不会自动集成,因此您必须在管理>Endpoint Central设置下将Endpoint Central集成到 SDP 中。
在下载代理并将其部署到机器上之前,最好配置某些代理设置,以便将这些配置捆绑到代理中。这些设置可以在管理 > 代理配置下进行配置。
用于扫描漫游用户设备的 NAT 配置
企业中的某些用户会定期出差,他们的笔记本电脑可能无法在企业网络中进行扫描。为了扫描这些安装了代理的笔记本电脑,必须为这些设备中的代理配置公网 IP,以便其访问桌面中心服务器。
Endpoint Central 代理 - Endpoint Central 服务器安全通信
默认情况下,代理与服务器之间的通信将通过 HTTPS(加密)通信进行。 这些步骤将在代理和服务器之间执行受信任的 HTTPS 通信。 这些配置可在代理安全设置下启用。
为代理服务器通信启用基于证书的身份验证
启用该选项后,代理服务器将通过客户端证书验证进行通信。在 AE 中启用此选项后,Endpoint Central也将启用此设置。
启用代理-服务器可信通信
启用此设置前,必须在Endpoint Central中应用有效的第三方 SSL 证书。点击此处了解在Endpoint Central中配置 SSL 证书的步骤,这只能从Endpoint Central控制台完成。
注意: 一旦启用此设置,就不能再次禁用,因为代理将无法再次与服务器通信。
启用该设置后,Endpoint Central也将启用该设置,代理服务器之间的通信也将受到信任。
Endpoint Central使用的端口如上文所述。所有端口都是服务器的入站端口,驻留在远程客户端计算机中的代理将使用这些端口访问服务器。必须根据需要在防火墙中打开这些端口。
步骤 4:为 Windows、Linux 和 Mac 机器下载 Endpoint Central 代理
Endpoint Central安装成功并与 SDP/AE 集成后,Windows、Linux 和 Mac 的Endpoint Central代理将可从管理 > 代理配置页面下载。
步骤 5:在 Windows 中部署 Endpoint Central 代理的方法
以下是通过活动目录为工作组中的计算机部署 Windows 代理的其他方法。 如果未执行步骤 4,则应遵循此方法。
使用 GPO 计划程序安装 Windows 代理 (注:在 WFH 环境中,用户通过企业网络中的 VPN 连接笔记本电脑后即可部署代理,这一步将很有帮助。
步骤 6:使用 Endpoint Central代理镜像 Windows 计算机
Endpoint Central代理有一个唯一的 ID,代表机器及其名称和系统详细信息。如果多个 Endpoint Central代理具有相同的 ID,ServiceDesk Plus 中列出的详细信息将被覆盖。这样,虽然有多台计算机具有相同的 ID,但最终只会列出一台计算机的详细信息。因此,为了避免这一问题,请按照以下步骤对装有 Endpoint Central代理的计算机进行映像。
a).在用于成像的计算机上安装 Endpoint Central代理。
b).访问资产模块并选择下载Windows 代理(或)转到管理> 代理配置> 下载 Windows 代理,下载代理。
c). 保存并下载此脚本,并将其存储到要成像的系统中。
(运行此脚本将阻止Endpoint Central代理与Endpoint Central服务器通信)
d). 将 .txt 文件重命名为 .vbs 文件
i. 以管理员身份打开命令提示符,并导航到存储上述脚本的文件夹。
ii. 以下列方式执行脚本: cscript.exe dcagentPreImage.vbs
(示例:E:\Downloads>cscript.exe dcagentPreImage.vbs)
现在,您的计算机已准备好使用 Endpoint Central代理进行映像,以便部署。
新映射计算机中的 Endpoint Central代理只有在重命名后才会与 Endpoint Central服务器联系。
步骤 7:在 Linux 中部署Endpoint Central代理
以下是在 Linux 机器中部署代理和对 Linux 机器进行成像的方法
远程 SDP 服务器用于广域网环境,在这种环境中,中央 SDP 服务器无法连接所有远程机器。从 SDP 11.3 版本开始,扫描 Windows、Linux 和 Mac 机器的 SDP 远程服务器必须下载并安装Endpoint Central。如果部署在远程地点的Endpoint Central代理可以通过中央 SDP 服务器到达,则不需要单独安装Endpoint Central。强烈建议不要在 SDP 远程服务器上安装Endpoint Central,因为远程控制和其他工具将无法从中央服务器对远程服务器上管理的机器进行操作,只能将这些机器的库存从远程服务器推送到中央服务器。请在此处查看防火墙中需要配置的代理服务器通信端口。
步骤 10: 在启用故障切换服务(FOS)的情况下运行 SDP 的步骤
如果为 SDP 配置了 FOS,它也将适用于 Endpoint Central,但前提是它与 SDP 安装在同一文件夹中,且 SDP 安装在 Windows 机器上。