[KB7766] Synchronizácia ESET PROTECT so službou Active Directory (8.x – 9.x)

Problém

  • Na synchronizáciu virtuálneho zariadenia ESET PROTECT alebo ESET PROTECT pre systém Linux so službou Active Directory je potrebná synchronizačná úloha
  • Ak automatická synchronizácia v ESET PROTECT pre Windows Server zlyhá, na synchronizáciu ESET PROTECT s Active Directory možno použiť úlohu
  • Konfigurácia komunikácie medzi virtuálnym zariadením ESET PROTECT a existujúcim Active Directory
  • Vedľa názvu počítača sa nachádza ikona Žiadny agent a nie je možné vykonať push inštaláciu

Riešenie

Požiadavky

Aby úloha súvisiaca so synchronizáciou s Active Directory (AD) prebiehala efektívne, je dôležité, aby všetky objekty služby AD, ktoré sa budú synchronizovať, a ich príslušné DNS záznamy a reverzné DNS záznamy boli na všetkých serveroch správne. Akýkoľvek nesúlad v týchto položkách môže mať za následok nesprávne triedenie objektov služby AD alebo umiestnenie nadbytočných objektov služby AD do skupiny Stratené a nájdené.

  1. Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.

  2. Kliknite na Úlohy Serverové úlohy Synchronizácia statickej skupiny a potom kliknite na položku NováServerová úloha.
Obrázok 1-1
  1. Do príslušného poľa zadajte Názov novej úlohy a z roletového menu Úloha vyberte možnosť Synchronizácia statickej skupiny (predvolene vybraná). Odporúčame označiť možnosť Spustiť úlohu okamžite po dokončení pre najrýchlejšie spustenie.
Obrázok 1-2
  1. V časti Názov statickej skupiny kliknite na Nastavenia a možnosť Vybrať. Vyberte statickú skupinu, ktorá bude prijímať nové počítače a používateľov zo služby AD, a potom kliknite na tlačidlo OK.

    Definujte synchronizáciu s objektmi služby AD:

  • Objekty k synchronizácii – vyberte buď Počítače a skupiny, alebo Iba počítače.

  • Akcia pri výskyte kolízie počas vytvárania počítačov – ak synchronizácia pridáva počítače, ktoré sú už členmi danej statickej skupiny, môžete vybrať metódu riešenia konfliktu:

    • Vynechať – nové počítače nebudú pridané.

    • Presunúť – nové počítače budú presunuté do podskupiny.

    • Duplikovať – nové počítače budú pridané so zmeneným názvom.

  • Akcia pri odstránení počítača – ak počítač v AD už neexistuje, môžete ho buď Zmazať, alebo Vynechať.

  • Akcia pri odstránení skupiny – ak skupina v AD už neexistuje, môžete ju buď Zmazať, alebo Vynechať.

  • Režim synchronizácie – na synchronizáciu s AD vyberte možnosť Active Directory/Open Directory/LDAP.

Obrázok 1-3
  1. V sekcii Nastavenia pripojenia servera uveďte v príslušných poliach nasledujúce informácie:
    • Server – zadajte názov servera alebo IP adresu svojho doménového radiča.

    • Prihlásenie – zadajte prihlasovacie údaje pre svoj doménový radič vo formáte username@DOMAIN alebo username. Ak spúšťate ESET PROTECT Server na systéme Windows, použite formát DOMAIN\username.
Doménu zadajte veľkými písmenami

Doménu zadajte iba veľkými písmenami – toto formátovanie je potrebné na správne overovanie požiadaviek odosielaných na AD server.

    • Heslo – zadajte heslo, pomocou ktorého sa prihlasujete do svojho doménového radiča.
Obrázok 1-4

Nastavenia AD môžete prednastaviť aj v sekcii Viac → Nastavenia servera → Pokročilé nastavenia → Active Directory. ESET PROTECT predvolene používa vaše prihlasovacie údaje v rámci úloh súvisiacich so synchronizáciou s AD (synchronizácia používateľa, synchronizácia statickej skupiny, synchronizácia bezpečnostnej skupiny domény). Ak sú súvisiace polia v konfigurácii úlohy ponechané prázdne, ESET PROTECT použije prednastavené prihlasovacie údaje.

  • Hostiteľ – adresa vášho doménového radiča.

  • Prihlasovacie menozadajte prihlasovacie meno pre svoj doménový radič v nasledujúcom formáte:
    • DOMAIN\username (ESET PROTECT Server bežiaci na systéme Windows)
    • username@FULL.DOMAIN.NAME alebo username (ESET PROTECT Server bežiaci na systéme Linux).

  • Hesloprístupová fráza pre vaše prihlasovacie meno.

  • Koreňový kontajner – zadajte úplný identifikátor AD kontajnera (napr.: CN=John,CN=Users,DC=Corp). Slúži ako predvolený Rozlišujúci názov. Aby ste sa uistili, že zadávate správnu hodnotu, odporúčame vám ju skopírovať zo serverovej úlohy (po označení poľa Rozlišujúci názov z neho skopírujte hodnotu).
  1. Označte políčko vedľa možnosti Použiť LDAP namiesto Active Directory.

Obrázok 1-5
  1. Zobrazia sa nastavenia LDAP parametrov. V časti Predvoľby kliknite na položku Vybrať a potom vyberte Active Directory.
Obrázok 1-6
  1. Označte políčko vedľa možnosti Použiť jednoduchú autentifikáciu.
Obrázok 1-7
Pole atribútu popisu počítača v ESET PROTECT

Pole Atribút popisu počítača je dostupné pri konfigurácii LDAP. Môžu byť použité len atribúty typu Directory String.

Atribút Príklad
dNSHostName windows10.admin.mydomain
cn WINDOWS10
name WINDOWS10
operatingSystem Windows 10 Enterprise N
operatingSystemVersion 10.0
sAMAccountName WINDOWS10$
servicePrincipalName windows10.admin.mydomain
description Predvolený kontajner pre aktualizované účty počítača
  1. Kliknite na možnosť Prechádzať vedľa položky Rozlišujúci názov. Zobrazí sa stromová štruktúra vášho AD. Vyberte hornú položku pre synchronizáciu všetkých skupín s ESET PROTECT alebo vyberte len konkrétne skupiny, ktoré chcete pridať. Po dokončení úprav kliknite na OK.
Stromová štruktúra AD sa nechce načítať

Ak sa stromová štruktúra AD nenačíta, zrušte označenie políčka vedľa možnosti Použiť jednoduchú autentifikáciu a skúste to znova.

Obrázok 1-8
  1. Kliknite na Dokončiť. Vaša nová úloha sa zobrazí napravo v zozname úloh a spustí sa vo vami určenom čase.
Naposledy aktualizované: 17. 5. 2023

Ďalšia pomoc:

Dokumentácia

ESET Security Forum

Videonávody

Kontaktujte nás

Online formulár
02/322 44 444 (pracovné dni 8:00-18:30)
Vzdialená pomoc