Проблема с развертыванием антивирусного пакета через ERA v.6 , Сеть имеет в своем составе MS Forefront TMG 2010 :)

Проблема следующая.
Дернул меня черт заняться обновлением ESET с версии 5 на версию 6. Скачал все виды дистрибутивов, решил ставить ERA на отдельный сервер. Взял три тестовых машины, развернул агентов, и в соответствии с руководством - приступил к установке клиентских антивирусов.
В общем, впечатления аховые.
Брандмауэр выключил. Локального администратора - активировал. Результат - ноль на массу. Прочитал kb.eset.com, руководства пользователя, в общем, позанимался от души.
Обратил внимание на свой TMG, и тут оказалось, что агент ESET рассылает широковещательные пакеты, которые TMG блокирует. Отключил всю систему поведенческих вторжений
Чудо! На третью неделю экспериментов удалось-таки получить парочку удачных клиентских установок удаленно. Но... не активированных. Причем активация проходит только если разрешать клиентской машине вообще все на свете. Таким образом, делаем из компьютера Secure NAT device.
Господа из ESET, вопросов у меня несколько.
1. Вы считаете, это нормально, выключить всю защиту рабочей станции для установки клиентского антивируса? Просто в версии 5 такого цирка не было. Особенно с учетом того, что я ставлю агента с правами Администратора локальной вычислительной системы.
2. Можно ли включить брандмауэр обратно, после окончания установки?
3. Обязательно ли активировать локальную учетную запись Администратора для установки клиентского ПО в домене?
4. Какие порты, кроме перечисленных в руководстве, должны быть открыты? Есть ли нормальный список условий, в руководстве присутствует что-то аморфное, говорящее, что если  по агенту проблем нет, то и по клиенту не будет. Ничего подобного. Агент ставится, а клиент - нет.
5. Каким образом будет происходить обновление самих компонентов программы, если мы вернем правила сети обратно, и запретим пользовательские широковещательные запросы от Агента ESET? Будет ли вообще система работать? Т.е как вариант выхода я рассматриваю временное разрешение всего трафика с клиентских машин, но только на время установки.
6. Можно ли осуществлять обновление антивируса не из Интернета, а из локальной сети? Я имею ввиду вариант обойтись без запросов в репозиторий ESET.
7. Планируется ли нормальное журналирование проблем, кроме файла trace.log, что-нибудь приличное, что соответствует уровню платного сервиса?

Спасибо.

Здравствуйте,

1) В предыдущей версии были те же самые требования.
2) Да, конечно.
3) Не обязательно. Можно устанавливать из под администратора домена.
4) Порты те же что и в пятой версии: http://kb.eset.com/esetkb/index?page=content&id=SOLN2221
5) Обновление можно настроить через кэширующий прокси apache, который входит в пакет установки ERA6/
6) Можно создать зеркало с помощью клиентской части.
7) Да, планируется.

Спасибо.

По моему первому вопросу - простите, но я не согласен. У меня стоит 5-ка на 450 клиентов, и брандмауэр работает на всех машинах домена.
У меня были включены параметры защиты от флад-атак, но с ними не ставится новый антивирус. А раньше все работало как часы. Статью из базы знаний я читал, эти порты открыты.
Я ведь довольно давно ничего не менял, всё работало. Моя учетка вообще с форума в архив ушла, вот только вчера восстановили.
Сейчас попробую дать полный доступ по всем портам компьютеру внутри локальной сети. В обе стороны. Это, конечно, очень плохо, но все же лучше, чем давать доступ как Secure NAT в Интернет.
 

Евгений, давайте попробуем разобраться вместе:
3. При развертывании Агента создается задача ERA с указанием логина/пароля учетной записи специально для тех целей, чтобы явно задать с какими правами запустится установка. Для последующих задач права администратора не требуются, т.к. Агент на клиенте выполняется в контексте СИСТЕМы;
5. и 6. На сегодняшний день самое простое решение, в лоб - это создание зеркала обновлений в "расшаренной" папке с помощью антивирусного приложения EEA/EES;

По активации - для активации в "локалке" в ERA нужно добавить оффлайновый ключ, который можно сгенерировать в кабинете ELA.

Отпишитесь в теме, что получилось что нет, пока подготовлю видео по генерации оффлайн ключа.  

ОК, промежуточные результаты. Мое правило разрешений не помогло, произошел сбой. Если правило снять, TMG регистрирует множественные попытки компьютера стукнуться со своего адреса на 255.255.255.255:1947
У TMG от этого встают волосы дыбом   и через минут 20 в ERA вылазит ошибка: "Сбой задачи"
Про права по пункту 3 - понял, я так и делаю.
Пункт 5 и 6 - буду пробовать
Об активации... Может я и делал неправильно... Я сконвертировал лицензионную информацию в новый номер и "в тупую" вбил его в ERA. ELA рассказывает, что у меня нет ключа. Я добавил информацию открытого ID, ELA говорит, что ждет одобрения. Хотя вряд ли проблема активации в этом. На моем компьютере, который сидит не в домене, а в рабочей группе - всё установилось просто на ура и с первого раза. И активация прошла успешно. В общем подождем.

Самое неприятное - это отсутствие нормального журнала. Ничего же непонятно. Ну вот к примеру, один из десятка неудачных экспериментов выдал следующее:


2015-04-02 11:22:58 Error: CServerSecurityModule [Thread 258]: AuthenticateNativeUser: Native user login failed
Что это, простите, может означать? Агента я запускаю под доменным администратором, с самим клиентом мне все понятно.

Кстати, про зеркало. Есть сетевой диск, там есть папка, в ней клиент.msi . Я могу показать на нее при установке, права на чтение открыты вообще все пользователям домена. Этого достаточно для установки? Или надо что-то еще? Я раньше зеркалом не пользовался, просто настраивал пакеты с готовой конфигурацией и рассылал по машинам через ERA.

Евгений, по активации - если не добавить офф.лайн лицензию, а просто указать электронную лицензию в ERA, то клиент будет пытаться активироваться через Интернет. Как добавить оффлайн лицензию, для этого:
1. Удалить уже добавленную в ERA (имейте ввиду при этом ранее созданные задачи с помощью данной лицензии запустить на исполнение уже не получится);
2. Перейти в ELA, зайти в менеджер лицензий (потребуется логин/пароль, имейте ввиду в виде логина у Вас будет новый 20-ти значная строка которую Вы получаете с помощью генерации старого EAV-******** на сайте ELA, а вот пароль... пароль Мне выслала тех.поддержка, когда Я сообщил Им о имеющейся проблеме);
3. В менеджере Вы увидите Свою лицензию, где в столбце "offline file" можно сгенерировать оффлайн лицензию, для этого:
  3.1. Нажимаете ссылку в столбце "offline file";
  3.2. В открывшемся окошке нажимаете кнопку "add license file";
  3.3. Выбираете продукт для лицензии, указываете нужное кол-во клиентов;
  3.4. Отмечаете галку "Allow management with Remote Administrator;
  3.5. В поле "Server token" вводите значение взятое в ERA из поля "Маркер файла лицензии", его можно увидеть если выполнить след. действия - в ERA выбрать "Управление лицензиями" -- нажать кнопку "Добавить лицензии" -- перейти в открывшемся окне в раздел "Файл лицензии";
  3.6. Нажимаете кнопку "Generate";
  3.7. Сохраняете файл на диск;
  3.8. Добавляете лицензию способом указанного в пункте 3.5.

думаю здесь все ясно...

По зеркалу и установке из файла: под зеркалом, подразумевается зеркало/папка с обновлениями, пакеты установок (*.msi) в зеркале не будут присутствовать. Мною замечено, что если при создании задачи развертывание клиента выбирать вариант из "репозитория ESET", то клиент будет пытаться скачать *.msi через Интернет (удивительно, но это так, Я то сначала полагал, что ERA сам выкачает пакет из репозитория, а после отдаст его клиенту, ведь это разумней разумного, скачать один раз и раздавать по локалке). В крайнем случае можно указать установку из file:// - сойдет любая доступная шара в локалке с расположенной в Ней *.msi, но нужно не забывать, что доступ к Ней будет от имени СИСТЕМы с правами которой работает Агент (да, еще один не учтенный момент как быть с установками х32/х64, ведь *.msi пакеты у Них разные - а могли бы один гибридный сделать как некоторые др. софтописатели)

Евгений, отпишитесь, помогло ли, получилось ли?

NickM, понял, написал письмо в саппорт о получении пароля. Жду ответа. Обращение зарегистрировали.
В общем, если все так, как Вы описали, то понятно, почему ничего не устанавливается. . Мой TMG не обязан пропускать чёрти что через себя. Конечно, выходом было бы получить список ресурсов, к которым обращается агент для установки или клиент - для активации. В общем, как придет пароль - буду пробовать.

В общем, я локализовал проблему. Офлайновый файл лицензий выкачал, теперь активация проходит нормально.
Но у меня не получается запустить задачу таким образом, чтобы инсталляция бралась из локальной сети. Проблема в том, что пользователям по умолчанию запрещено качать файлы msi, запрет снят только для одной небольшой группы.
Что сделано:
1.Создана шара вида \\server1\eset6, там лежит установщик
2.На шару есть доступ у всех
Тестовую машину я засунул в свою группу "всем-все-можно" в TMG.
вариант 1. Создаем задачу установки с активацией по офлайн-ключу, установку берем из репозитария. программа ставится корректно, активация проходит.
вариант 2. Создаем задачу установки с активацией по оффлайн-ключу, установку берем из шары.
URL прописываем следующим образом file://server1/eset6/eset6.msi
Задача дает немедленный сбой. Игры с параметрами "тихого режима" и контроля перезагрузки ничего не дали. Так как я положил компьютер в группу "всем-все-можно", на сеть пинать не получится.
Единственное, что я делаю не как в руководстве - отключение брандмауэра. Я службу оставляю включенной, а в профилях сетей говорю - выключить, выполняется это всё через GPO.
Просто если брандмауэр в сети 2008Srv+Win7/8 отключить на раб станциях, то они не пингуются. У них сеть есть, они всё и всех видят.
Порты 2222-2224 открыты, системные шары доступны, агент стоит под доменным админом, задача запускалась как под Аминистратором консоли, так и под доменными админами, которым я дал разрешения на установку.
Вопрос: что я не так делаю с развертыванием пакета в локальной сети?

Создайте, пожалуйста, новую попытку установки с шары. После неудачной установки запустите утилиту с правами администратора из директории C:\Program Files\ESET\RemoteAdministrator\Server\Diagnostic.exe
Активируйте все опции по очереди и сохраните журнал, пришлите его на анализ.