Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1094032
  • 博文数量: 286
  • 博客积分: 3124
  • 博客等级: 中校
  • 技术积分: 5186
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-24 23:42
个人简介

Bomi

文章存档

2015年(1)

2013年(1)

2012年(281)

2008年(3)

分类: WINDOWS

2012-02-05 10:43:38

Microsoft Forefront Client Security
安装


以下描述在实验室或生产环境中 Microsoft® Forefront™ Client Security 的安装主题。
安装Client Security包括下列主题:

准备安装 Client Security 
安装单服务器拓扑 
安装双服务器拓扑 
安装三服务器拓扑 
安装四服务器拓扑 
安装五服务器拓扑 
安装六服务器拓扑 


准备安装 Client Security
在安装 Client Security 或将 Client Security 部署到您的客户端计算机之前,确保已完成以下操作。 

计算机任务步骤
所有服务器
验证您的硬件和软件要求。
有关详细信息,请参阅。
所有计算机
准备网络以进行安装。
如果 Client Security 服务器之间存在防火墙,必须打开网络端口。在某些情况下,必须禁用防火墙。 
另外,分发服务器使用端口 80(对于 HTTP)或端口 443(对于 HTTPS)从 Microsoft Update 下载定义更新。 
有关详细信息,请参阅。

创建安装帐户和服务帐户。
要安装 Client Security 和验证安装是否成功,您必须是对所有服务器具有本地管理员特权的域用户。 
安装期间,您必须提供关于四个服务帐户的信息。建议您对其中每个服务帐户重新使用同一帐户。所有服务帐户均必须为域用户帐户。
另外,您必须使操作帐户成为收集服务器上的本地管理员。 
安装 Client Security 之后,您必须为服务帐户授予额外权限。 
有关详细信息,请参阅。

记录您的计算机和帐户信息。
安装期间,您需要提供或定义以下信息:服务器名称、安装帐户、服务帐户、Microsoft SQL Server™ 的实例名称、报表 URL 以及管理组名称。开始安装之前记下此信息会很有帮助。
有关详细信息,请参阅。
重要   如果您正在安装多个 Client Security 部署,强烈建议您对每个 Client Security 部署使用唯一的管理组名称。

1.验证您的系统要求
您的系统必须满足安装Client Security 的基线要求,具体参阅:
[url=thread-874069-1-1.html]【专题】Client Security规划和体系结构[/url]


2.准备网络以进行安装

开始安装 Client Security 服务器组件之前,应验证任何服务器防火墙上的适当网络端口是否打开。在某些情况下,应禁用 Client Security 服务器之间的防火墙。 
下表列出用于 Client Security 服务器之间以及分发服务器与 Microsoft Update 之间通信的网络端口和协议。根据您使用的防火墙的类型以及那些防火墙的位置,您可能需要打开这些端口。
Client Security 服务器组件的端口使用 
组件连接拓扑端口(协议)注意
收集服务器
至收集数据库 
五服务器和六服务器
1433(TCP 和 UDP)
无。
管理服务器
至收集服务器
四服务器、五服务器和六服务器
445(TCP 和 UDP)、135 (TCP) 和 DCOM 端口范围
不支持在这两台服务器之间使用防火墙。管理服务器上的 Microsoft Operations Manager (MOM) 管理员控制台和操作员控制台需要至收集服务器的连接。
管理服务器
至收集数据库
四服务器、五服务器和六服务器
1433 (TCP) 和 1434 (UDP)
无。
管理服务器
至报表服务器
三服务器、四服务器、五服务器和六服务器
80 (TCP) 或 443 (TCP)
端口 80 用于 HTTP,端口 443 用于 HTTPS。
报表数据库
至收集数据库
三服务器、四服务器和六服务器
1433 (TCP) 和 1434 (UDP)
不支持在这两个数据库之间使用防火墙。 
报表服务器
收集数据库
四服务器、五服务器和六服务器
1433 (TCP) 和 1434 (UDP)
无。
报表服务器
报表数据库
三服务器、五服务器和六服务器
1433 (TCP) 和 1434 (UDP)
无。
分发服务器
至 Microsoft Update 或上游 WSUS 服务器
全部
80 (TCP) 或 443 (TCP) 
要从 Microsoft Update 获取更新,分发服务器将端口 80 用于 HTTP,将端口 443 用于 HTTPS。 

在 Windows 防火墙中打开端口 
有关使用组策略打开端口的说明,请参阅()(页面可能为英文)。
要手动打开端口,您可以遵循此过程中的步骤。
在 Windows 防火墙中打开端口
  1. 单击“开始”,单击“控制面板”,然后双击“Windows 防火墙”。
  2. 单击“例外”选项卡,然后单击“添加端口”。
  3. 在“名称”框中,输入您需要的名称。
  4. 在“端口号”框中,键入端口号。
  5. 选择“TCP”或“UDP”。
3.创建安装帐户和服务帐户

安装 Client Security 之前,确保创建适当的安装帐户和服务帐户并为它们分配任何必要权限。在大多情情况下,作为安装的一部分,Client Security 将自动为服务帐户分配权限。但是对于操作帐户,您必须授予在收集服务器上的本地管理员特权。

安装帐户 
安装和部署 Client Security 之前,确保创建用于安装和验证安装的适当安装帐户。此帐户必须是所有服务器上的本地管理员。
要将 Client Security 部署到客户端计算机,必须使用有权创建、编辑和部署策略的帐户。 
有关创建用于管理 Client Security 的用户角色的详细信息,包括有关用于创建策略和用于部署策略的单独角色的详细信息,请参阅管理员指南中的 ()(页面可能为英文)。 

服务帐户 
Client Security 及其必备软件安装期间将需要输入关于服务帐户的信息。安装 Client Security 之后将需要手动授予权限。
建议您对所有 Client Security 服务帐户使用单一域用户帐户。 
帐户类型描述
数据访问服务器 (DAS) 帐户
域用户和(某些情况下)收集服务器上的本地管理员
如果您对操作帐户重新使用 DAS 帐户,必须授予 DAS 帐户在收集服务器上的本地管理员特权。 
收集服务器使用 DAS 帐户访问收集数据库。 
作为安装的一部分,Client Security 会自动为 DAS 帐户授予权限。
报表帐户
域用户
报表服务器使用报表帐户访问报表数据库和收集数据库。 
操作帐户 
域用户和收集服务器上的本地管理员
操作帐户必须是收集服务器上的本地管理员。您必须为操作帐户授予这些特权,或者如果您对操作帐户重新使用 DAS 帐户,请为 DAS 帐户授予这些特权。
收集服务器使用操作帐户运行服务器端脚本和安全状态评估扫描。操作帐户必须是域用户帐户。
Data Transformation Services (DTS) 帐户 
域用户
报表服务器使用 DTS 帐户运行 Windows Scheduler 任务(DTS 作业),将数据从收集数据库传输到报表数据库。 

4.记录您的计算机和帐户信息

在安装 Client Security 之前,您应记录以下信息。对于多服务器拓扑,这特别重要。 
Client Security 服务器之间的连接 
项目描述您的注释                                 
管理服务器
服务器名称

收集服务器
服务器名称

收集数据库
服务器名称和 SQL Server 实例名称(如果不是默认值)

报表服务器
服务器名称

报表数据库 
服务器名称和 SQL Server 实例名称(如果不是默认值)

分发服务器
服务器名称

DAS 帐户
需要域用户帐户

DTS 帐户
需要域用户帐户(建议:重新使用 DAS 帐户)

报表帐户
需要域用户帐户(建议:重新使用 DAS 帐户)

操作帐户
需要域用户帐户(建议:重新使用 DAS 帐户)

管理组名称
已在 Client Security 安装期间定义

报表服务器 URL
已在 SQL Server 2005 安装期间定义(默认值:http://reportingservername/ReportServer)

报表管理器 URL
已在 SQL Server 2005 安装期间定义(默认值:http://reportingservername/Reports)

收集数据库的大小
已在 Client Security 安装期间定义

报表数据库的大小
已在 Client Security 安装期间定义

WSUS 管理 URL 
已在安装 WSUS 时创建

WSUS 客户端配置 URL
已在安装 WSUS 时创建



[ 本帖最后由 云杉上的蝴蝶 于 2008-10-8 00:30 编辑 ]

阅读(671) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~