EAD补丁管理故障排查.pdfVIP

EAD补丁管理故障排查 一、开始 EAD补丁管理策略可以定期检查终端PC的补丁并结合补丁服务器自动更 新补丁，将不符合策略要求的终端踢下线或者限制在“隔离区” 版权所有:杭州华三通信技术有限公司 内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒 、蠕虫的攻击。EAD补丁管理排错思路：身份认证之后才会触发安全认 证，关于身份认证失败的排查思路可以参考具体的认证类云图，在此 不再叙述。 首先检查服务器软硬件及性能是否满足当前认证需要，然后从iNode PC和iNode DC两种客户端认证场景进行分析，相应做iMC服务器运行状态的检查， 安全策略配置检查，终端补丁安装情况检查，补丁服务器运行状态检 查，最后对终端PC和补丁服务器的连通性进行检查。 1、iMC服务器安装部署规范检查 需要对照《智能管理中心（iMC）部署和硬件配置方案》,检查iMC服务 器性能是否符合配置要求。该配置是我们推荐的运行iMC最基本的部署 要求，请严格执行。 说明：文档下载路径： 【全球技术服务部文档管理平台 技术支持中心 01-IP网络产品 30-业务软件 1-产品资料(典型配置,特性说明) 01- iMC(H3C智能管理中心)】 (1)对照《智能管理中心（iMC）部署和硬件配置方案》检查服务器CPU 、内存、硬盘等是否合乎规格，如果认证数量大、Portal网页在线数 量多，是否根据《方案》要求将组件分布式部署在性能良好的服务器 上，重点需要检查内存占用是否过高，内存大小是否满足《智能管理 中心（iMC）部署和硬件配置方案》计算出的要求，操作系统和数据库 是否64位，建议使用64位系统。 (2)点击“开始智能部署监控代理”，选择“部署”页签，检查“EA D安全策略管理”各组件是否已部署的状态，具体如下图所示，关于“ 用户接入管理”组件的检查方式，请参考认证类云图。 版权所有:杭州华三通信技术有限公司 2、iMC服务器运行情况检查 要顺利实施EAD解决方案，除了确保UAM相关进程运行正常外，还要检 查策略服务器对应的进程是否运行正常，及进程绑定的端口是否正常 ，具体可从如下两方面检查： (1)点击“开始智能部署监控代理”，选择“进程”标签页，查看EA D的核心进程policyserver是否正常启动，具体如下图所示： 版权所有:杭州华三通信技术有限公司 (2)检查策略服务器对应的监听端口UDP 9019、UDP 9017、UDP 9015、UDP 9013 是否正常绑定，如下图所示： 版权所有:杭州华三通信技术有限公司 3、 EAD配置检查 要实施EAD的补丁管理，服务器侧必须创建安全策略，并且确保安全 略里配置了补丁检查方式，具体从如下两方面检查： （1）排查补丁检查方式的配置 版权所有:杭州华三通信技术有限公司 只有账号绑定了正确的“服务”，“服务”绑定了正确的“安全策略 ”，“安全策略”配置了正确的“安全级别”和“补丁检查方式”， 才会进行补丁的检查。 检查账号是否配置了正确的补丁检查方式最直观的方法： 通过接入账号确定其绑定的服务，然后通过服务确定其绑定的安全 略，通过安全策略确定具体的补丁检查方式和安全级别，安全级别是 下线，隔离，提醒，还是监控，针对Windows系统支持手工检查和结合 微软WSUS补丁服务器自动检查，具体如下图所示，进入“业务”“E AD安全软件”“终端安全软件策略管理”页面： 版权所有:杭州华三通信技术有限公司 （2）授权配置检查 当终端不满足安全策略时，会将该用户下线或者放到隔离区，而隔离 区的构造通常通过下发ACL或者VLAN实现，在使用ACL或VLAN进行授权 场景，需要确保下发后终端PC和策略服务器能正常通信； 例如：终端PC：，策略服务器：00，补丁 服务器：10如果使用ACL进行授权，则设备侧的ACL配置 中必须有放通源IP:,目的IP:00和172.16. 100.210的rule，如下图所示： 如果ACL是下发给iNode客户端，服务器侧的客户端ACL配置中也必须有 放通目IP为策略服务器和补丁服务器的规则，如下图所示： 版权所有:杭州华三通信技术有限公司 版权所有:杭州华三通信技术有限公司 4、 终端PC补丁安装情