ePO 3.0助你实现局域防毒网零管理 李 晖 局域网防病毒仅从网关入手还远远不够，必须将客户端防毒产品部署至网内所有节点，如同织一张囊括所有节点的网，实施整体管理。如无工具软件的支持，这个织网过程对管理员来说相当烦琐。ePO（ePolicy Orchestrator）恰似为网管员量身定做的解脱工具。 ePO 3.0的新功能 NAI（Networks Associates Technology, Inc.）于今年5月下旬推出了新版ePO 3.0，按照NAI的技术资料统计，ePO 3.0的众多新功能有十几个门类。作为ePO的老用户，我最感兴趣的是它的四项新功能。 □为部署到到客户端的代理Agent 3.1增加了十几个语言包，Agent 3.1会根据自身所处的系统语言环境，自动更新语言包，这对不懂英文的终端用户是一个福音，使之能更主动地配合网管员的工作。 □允许同一控制台远程管理多台服务器，该功能对网管员直观、全方位地了解本网信息非常实用。 □全局更新功能，使一揽子并入ePO新资料库的病毒定义(DAT) 文件、补充病毒定义(EXTRA.DAT) 文件、病毒扫描引擎升级(SuperDAT)文件、Service pack文件、产品插件(DLL) 文件、HotFix文件，在无须网管员干预的情况下，全方位自动升级。 □安装与调配更简便，这一点我将在下面的“ePO 3.0的安装与调配”一节中详细介绍。真正的“零管理”对网管员来说，一直是可望不可及的理想境界，新版ePO可以说向该境界迈出了一大步。 ePO 3.0的安装与调配 安装 以成员服务器身份安装Windows 2000 Server，打Service pack 3补丁，升级IE6.0。 安装SQL Server标准版，使用同一帐户domain/administrator；打SQL SP3补丁，其间可为sa帐户添加口令，以备改用混合认证模式时使用。 安装ePO 3.0步骤： □选择安装模式——Install Server and Console（同时安装服务器与控制台）； □填写域管理员信息——Server Service Account（包括域名、管理员帐户、口令）； □选择SQL服务器——existing server on this computer（选本机SQL服务器）； □选择SQL服务器管理帐户——use the same account as the Server Service（同为域管理员帐户）； □更改HTTP端口——HTTP port for Agent Communication（与代理实施通讯的HTTP端口）为82，80端口留给本机的WWW发布。 调配 □打开ePO控制台——开始——程序——Network Associates——ePolicy Orchestrator 3.0 Console； ePO 3.0的控制台窗口 □添加服务器（Add Server），初始用户名、密码均为“admin”，根据提示立即修改密码，同时添加另一管理员用户，以备不测； □添加客户端防病毒产品安装包（VirusScan Enterprise 4.51 for Windows 9.x、VirusScan Enterprise 7.0 for Windows NT/2000/XP/2003等，NAI的客户端防病毒产品未与ePO集成，需要者可通过授权号去NAI网站下载）步骤：点击Repository（资料库）——check package（查验安装包）——next（下一步）——Browse（浏览）——在相应目录中查找PkgCatalog.z文件——next（下一步）——finish（结束）； □与NAI网站同步更新步骤：点击Repository——Pull Now——next——选NAIHttp——next——finish——close； □建立接受管理的站点和组：右击Directory——新建——Site——Browse——选择接受管理的域——OK；同样的步骤还可添加组和IP网段； □小企业初始化向导：点击欲实施初始化的ePO服务器——Small Business Getting Started Wizard——next——选中所在域——域管理员名——密码——OK——next——Download（下载供手功安装的代理软件包FramePkg.exe）——save as to（存入本机的ftproot目录）； □动态全局更新：点击ePO服务器——setting——选中Enable global updating(Yes)——Apply Settings。 ePO 3.0的代理配置台窗口 ePO 3.0的策略配置窗口 ePO 3.0的资源配置窗口 以上就是ePO 3.0的简易安装调配过程，顺利的话，半个工作日即可搞定。 ePO 3.0的工作流程如下： 根据小企业初始化向导→将代理布署至域内所有节点→继而将VSE4.51或VSE7.0推送至安装了代理的所有客户端→根据代理与服务器通讯间隔（ASCI）实施全局更新→代理将采集的客户端信息反馈给服务器。 几个实用工具 □查看远端代理日志——http://<机器名>:8081/agent_<机器名>.xml； □代理手功安装包（FramePkg.exe）的应用——ePO自动布署代理的对象为Windows NT/2000/XP /2003，Windows 9.x要成为自动代理布署对象，还须更改网纳配置中的“文件共享”、“用户级访问”和“接受域管理员远程管理”。与其调理上述网络配置，不如将FramePkg.exe文件发布在内网www或ftp服务器上，供Windows 9.x用户手功下载安装。 □ePO数据库事件的过滤、移除、导入、修复：点击Reporting——ePO数据库——ePO_<服务器>——事件。（需要特别说明的是，如果出现数据库认证问题，请在SQL企业管理器中将相应ePO数据库改为“NT与SQL混合认证模式”，以避免“自己将自己锁在门外”的认证问题。） □病毒事件的动态发布——虽然ePO提供了内容丰富的报告（AVI），但用户只有在安装控制台和授权下才能查阅。由于ePO采用的是SQL Server数据库平台，我们可以充分发挥该数据库平台的强大功能，加上ASP动态网页技术，让所有局域网内的用户，可通过浏览器查阅ePO数据库中的所有信息。具体步骤可参阅《<使用Dreamweaver MX>第8章——生成动态网页》。ePO数据库的信息量非常大，我们只需向一般用户提供Events、ComputerProperties、ReportComputerSummary、ReportOutbreakEvents四个表中的内容即可。动态网页完成后，不要忘记为ePO数据库添加匿名访问用户，即IUSR_SERVER。