随着 SDP 11300 的发布,Windows、Linux 和 Mac 机器引入了基于代理的扫描。 该功能由 ManageEngine Endpoint Central提供。 由于您的环境中已经安装了 ME Endpoint Central,因此可以使用相同的安装来扫描您环境中的 Windows、Linux 和 Mac 机器,以获得 SDP 中购买的节点数量。
已使用 UEMS 产品(ME Endpoint Central 除外)的客户须知
如果您的环境中安装和使用了以下任何 ME 产品,我们建议您在进行此安装之前联系我们的支持人员,以配置资产清单中的变更。
Patch Manager Plus On-Premise/Cloud
Remote Access Plus On-Premise/Cloud
Device Control Plus
Vulnerability Manager Plus
Patch Manager Plus Cloud
Endpoint Central (formerly Desktop Central) Cloud
删除了对使用 WMI 扫描 Windows 机器的支持。
已取消对使用 SSH/Telnet 扫描 Linux 和 Mac 机器的支持。
只有在远程计算机上安装 Endpoint Central代理,才能扫描所有 Windows、Linux 和 Mac 计算机。
Endpoint Central 是一个强大的统一端点管理系统。它包括补丁管理、软件部署、端点安全、操作系统成像和部署等功能。Endpoint Central的代理可在扫描过程中获取完整的硬件详细信息,并保持在Windows、Linux和Mac机器上获取数据的统一性,从而改进AssetExplorer的资产扫描功能。Endpoint Central代理集成还避免了已经集成ServiceDesk Plus(或AssetExplorer)和Endpoint Central的用户使用两个代理的需要。
i. 基于代理的 Windows、Mac 和 Linux 机器清单
ii. 设备保修信息
iii. 远程控制 Windows、Mac 和 Linux 机器
iv. 代理自动升级到新版本
a). 聊天 *
b).网络唤醒 *
c). 公告(ServiceDesk Plus 中支持,AssetExplorer 中不支持) *
d). 系统管理员 *
不,Windows、Linux 和 Mac 机器的库存和远程控制功能以及设备保修信息是部署 DC 代理后通过 DC 为 SDP 客户提供的唯一功能。不过,由于 DC 在最初 30 天内安装的是试用版,所有 DC 功能(如补丁管理、操作系统部署等)都可以通过 DC 控制台执行。30 天后,DC 版本将转换为免费版,只需 25 个资产和 1 个技术人员就可以执行所有 DC 功能。但是,当从 SDP 执行操作时,DC 将根据在 SDP 中购买的节点和技术人员数量提供所有 SDP 功能,如库存或远程控制。
Endpoint Central 只能安装在 Windows 机器上。如果 SDP 安装在 Linux 机器上,则必须在另一台 Windows 机器上手动安装 Endpoint Central,并在管理 >> 集成 >> Endpoint Central下与 SDP 集成。由于 Endpoint Central安装在 SDP 文件夹中,因此至少需要 1 GB 的可用空间。
如果单独购买Endpoint Central ,请参阅此处了解根据所购资产数量确定的详细硬件要求。
端口 | 目的 | 类型 | 连接 |
8383 | 用于代理与Endpoint Central服务器之间的通信
资料来源:代理
目的地:Endpoint Central 服务器
| HTTPS | 与服务器绑定 |
8027 | 通知服务器端口负责将按需操作从服务器传递给代理。 资料来源:代理
目的地:Endpoint Central 服务器 | TCP | 与服务器绑定 |
端口 | 目的 | 类型 | 连接 |
8444 | 用于共享远程桌面、系统管理器、聊天和传输文件 资料来源:代理
目的地:Endpoint Central 服务器 | HTTP | 与服务器绑定 |
8443 | 用于共享远程桌面、系统管理器、聊天和传输文件 资料来源:代理
目的地:Endpoint Central 服务器 | HTTPS/UDP (用于语音和视频聊天) | 与服务器绑定 |
默认情况下,Endpoint Central安装时捆绑了 PGSQL。Endpoint Central也支持 MSSQL。
Endpoint Central代理可安装在采用以下操作系统的计算机上
Endpoint Central 代理在远程计算机上安装后,立即与Endpoint Central 服务器通信并发布清单数据。Endpoint Central 代理在系统启动期间通过 HTTPS 与Endpoint Central 服务器通信,此后每隔 90 分钟与Endpoint Central 服务器通信一次,直至系统关闭,获取要在远程计算机上执行的操作并加以执行。这 90 分钟策略主要用于任何异步操作,如计划扫描、任何代理配置变更等。
Endpoint Central 代理还可通过 TCP 与Endpoint Central 服务器建立会话,以便在需要执行立即扫描或远程控制等操作时获得通知。
默认情况下,代理与服务器之间的通信将通过 HTTPS(加密)通信进行。这些步骤可在代理和服务器之间执行受信任的 HTTPS 通信。这些配置可在代理安全设置下启用
为代理-服务器通信启用基于证书的身份验证
启用此选项后,代理与服务器之间的通信将采用客户端证书身份验证。在 AE 中启用此选项后,Endpoint Central也将启用此设置。
启用代理服务器可信通信
启用此设置前,需要在Endpoint Central中应用有效的第三方 SSL 证书。单击此处了解在Endpoint Central中配置 SSL 证书的步骤,这只能从Endpoint Central控制台完成。
注意:一旦启用此设置,就不能再次禁用,因为代理将无法再次与服务器通信。
启用此设置后,Endpoint Central也将启用此设置,代理与服务器之间的通信将是可信的。
以下所有数据均来自一台代理机器的预测。代理安装的驱动器最多会占用 1GB(约)的磁盘空间。
代理进程 | 运行中的应用程序名称 | 带宽消耗(约) | CPU 消耗量(约) | 内存(RAM)消耗量(约) |
在代理闲置状态 | dcagentservice.exedcondemand.exedcagenttrayicon.exe(为每个登录的用户运行单独的应用程序)(适用于 Windows 和 Mac)[ 以上 3 个为持续运行的进程 ]。 | 1 Kbps | 0-2% | 11 MB |
刷新政策(90 分钟一次 - 无任何部署) | dcconfig.exe | 4KB | 0-2% | 6MB |
库存扫描(在服务器中的预定时间) | dcinventory.exe | 2MB | 17-20% | 14MB |
代理升级(应用 PPM 和如果代理版本发生变化) | dcconfig.exe AgentUpgrader.exe | 20MB | 2-5% | 3MB |
以前,AE 代理只支持 Windows 操作系统,从 SDP 11.3 版本开始,端点中心被用于对 Windows、Linux 和 Mac 操作系统进行基于代理的扫描。 因此,请用户改用EC代理。
在下载代理并将其部署到机器上之前,最好配置某些代理设置,以便将这些配置附带到代理中。这些设置可以在管理员 > 代理配置下进行配置。
企业中的某些用户可能会定期出差,而此时他们的笔记本电脑就可能因外出无法在企业网络中进行扫描。为了扫描这些安装了代理的笔记本电脑,必须为这些设备中的代理配置公网 IP,以便其访问Desktop Central 服务器。点击此处了解有关如何配置公共 IP 以进行扫描的详细信息。
点击此处了解有关如何配置公共 IP 以进行扫描的更多详情。
默认情况下,代理与服务器之间的通信将通过 HTTPS(加密)通信进行。 这些步骤将在代理和服务器之间执行受信任的 HTTPS 通信。 这些配置可在代理安全设置下启用。
为代理服务器通信启用基于证书的身份验证
启用该选项后,代理服务器将通过客户端证书验证进行通信。在 AE 中启用此选项后,Endpoint Central也将启用此设置。
启用代理-服务器可信通信
启用此设置前,必须在Endpoint Central中应用有效的第三方 SSL 证书。点击此处了解在Endpoint Central中配置 SSL 证书的步骤,这只能从Endpoint Central控制台完成。
注意: 一旦启用此设置,就不能再次禁用,因为代理将无法再次与服务器通信。启用该设置后,Endpoint Central也将启用该设置,代理服务器之间的通信也将受到信任。
Endpoint Central 使用的端口已在上文提及。 所有端口都是服务器的入站端口,驻留在远程客户端机器上的代理将使用这些端口访问服务器。 这些端口必须根据需要在防火墙中开放。
步骤 3:为 Windows、Linux 和 Mac 机器下载 Endpoint Central 代理
一旦 Endpoint Central 成功安装并与 AE 集成,Windows、Linux 和 Mac 的 Endpoint Central 代理就可以从 "管理工具">"代理配置 "页面下载。
步骤 4: 在 Windows 机器中用 DC 代理替换 AE 代理
通过在 Active Directory 中配置 GPO,卸载 AE 代理和为 Windows 机器安装 Endpoint Central 代理可一步完成。
您可以在 Active Directory 中作为 GPO 执行 ReplaceAgents.vbs,用 Endpoint Central 代理替换 ServiceDesk Plus Windows 代理。一旦机器启动,代理就会被替换。
i. 创建网络共享(e.g.\MyServer\MyShare).
ii. 下载并解压 Windows Agent zip 文件。
iii.在网络共享中保存 DesktopCentralAgent.msi 和 DesktopCentralAgent.mst 文件。
iv. 从域控制器单击开始 >> 运行 >> 输入 gpmc.msc,然后单击确定。如果 Active Directory 中未安装 gpmc,请安装 gpmc 并继续。
v. 右键单击域并选择创建和链接 GPO,然后为 GPO 指定名称。
vi. 要只在选定的客户端计算机上安装代理,请按照以下步骤操作:
选择 GPO 并单击 “范围 ”选项卡。
单击安全过滤部分中的添加。
在 “选择用户、计算机或组 ”对话框中单击 “Object类型”。
选择特定计算机Object类型,然后单击确定。
指定计算机名称,单击 “检查名称”,然后单击 “确定”。
vii. 右键单击 GPO 并单击编辑。
viii. 选择 "计算机配置">>"Windows 设置">>"脚本",然后右键单击 "启动 "并单击 "属性"。
ix. 单击 "显示文件",然后将 ReplaceAgent.vbs(上文已下载)拖放到该位置并关闭。
x. 在 "启动属性 "对话框中,单击添加。
浏览并选择 ReplaceAgent.vbs 脚本。
xi. 指定以下脚本参数,然后单击确定
DesktopCentralAgent.msi DesktopCentralAgent.mst
xii. 单击 "确定 "关闭 "添加脚本 "对话框和 "启动属性 "对话框
xiii. 关闭组策略对象编辑器和组策略管理对话框。
客户端计算机启动时,代理将自动安装。
如果在安装 Windows 代理时未遵循上述步骤 3,而是遵循了步骤 5,那么远程客户端计算机中仍将保留旧的 AE 代理。请按照以下方法卸载 AE 代理。
您可以通过在 Active Directory 中以 GPO 的形式UnInstallAgent.vbs执行来卸载 ServiceDesk Plus Windows 代理。 一旦机器启动,代理就会被移除。
创建网络共享 (比如,\\MyServer\MyShare).
下载并放置 UninstallAgent.vbs
从域控制器单击开始 >> 运行 >> 输入 gpmc.msc,然后单击确定。 如果活动目录中未安装 gpmc,请安装 gpmc 并继续。
右键单击域,选择创建和链接 GPO,并为 GPO 指定名称。
右键单击 GPO 并单击编辑。
选择 "计算机配置">>"Windows 设置">>"脚本",然后右键单击 "启动 "并单击 "属性"。
单击 "显示文件",然后将 UninstallAgent.vbs(上文已下载)拖放到该位置并关闭。
在 "启动属性 "对话框中,单击添加。
浏览并选择 UninstallAgent.vbs 脚本。
单击 "确定 "关闭 "添加脚本 "对话框和 "启动属性 "对话框
关闭组策略对象编辑器和组策略管理对话框。
客户端计算机启动后,代理将自动卸载。
步骤 6:在 Windows 中部署 Endpoint Central 代理的其他方法
以下是通过活动目录为工作组中的计算机部署 Windows 代理的其他方法。 如果未执行步骤 4,则应遵循此方法。
使用 GPO 计划程序安装 Windows 代理 (注:在 WFH 环境中,用户通过企业网络中的 VPN 连接笔记本电脑后即可部署代理,这一步将很有帮助。
第 7 步:使用 Endpoint Central 代理为 Windows 计算机映像
Endpoint Central代理有一个唯一的 ID,代表机器及其名称和系统详细信息。如果多个 Endpoint Central代理具有相同的 ID,ServiceDesk Plus 中列出的详细信息将被覆盖。这样,虽然有多台计算机具有相同的 ID,但最终只会列出一台计算机的详细信息。因此,为了避免这一问题,请按照以下步骤对装有 Endpoint Central代理的计算机进行映像。
a).在用于成像的计算机上安装 Endpoint Central代理。
b).访问资产模块并选择下载Windows 代理(或)转到管理> 代理配置> 下载 Windows 代理,下载代理。
c). 保存并下载此脚本,并将其存储到要映像的系统中。
(运行此脚本将阻止Endpoint Central代理与Endpoint Central服务器通信)
d). 将 .txt 文件重命名为 .vbs 文件
i. 以管理员身份打开命令提示符,并导航到存储上述脚本的文件夹。
ii. 以下列方式执行脚本: cscript.exe dcagentPreImage.vbs
(示例:E:\Downloads>cscript.exe dcagentPreImage.vbs)
现在,您的计算机已准备好使用 Endpoint Central代理进行映像,以便部署。
新映射计算机中的 Endpoint Central代理只有在重命名后才会与 Endpoint Central服务器联系。
步骤 8:在 Linux 中部署 Endpoint Central 代理
以下是在 Linux 机器中部署代理和对 Linux 机器进行映像的方法
远程 SDP 服务器用于广域网环境,在这种环境中,中央 SDP 服务器无法连接所有远程机器。从 SDP 11.3 版本开始,扫描 Windows、Linux 和 Mac 机器的 SDP 远程服务器必须下载并安装Endpoint Central。如果部署在远程地点的Endpoint Central代理可以通过中央 SDP 服务器到达,则不需要单独安装Endpoint Central。强烈建议不要在 SDP 远程服务器上安装Endpoint Central,因为远程控制和其他工具将无法从中央服务器对远程服务器上管理的机器进行操作,只能将这些机器的库存从远程服务器推送到中央服务器。请在此处查看防火墙中需要配置的代理服务器通信端口。
步骤 11:在启用故障切换服务(FOS)的情况下运行 SDP 的步骤
如果为 SDP 配置了 FOS,它也将适用于 Endpoint Central,但前提是它必须与 SDP 安装在同一文件夹中,而且 SDP 必须安装在 Windows 机器上。
点击此处了解有关 FOS 与 Endpoint Central 安装的更多详情。