Como usar o ePolicy Orchestrator em um ambiente zona desmilitarizada ou NAT

Artigos técnicos ID: KB59218
Última modificação: 2022-07-11 11:15:43 Etc/GMT

Ambiente

ePolicy Orchestrator (ePO) 5.x

Resumo

Este artigo descreve como usar o ePO em uma zona desmilitarizada (zona desmilitarizada) ou com a conversão de endereços de rede (NAT) no ambiente.

Problema

McAfee Agent não pode se comunicar com o servidor ePO em um ambiente de zona desmilitarizada ou NAT. As comunicações de duas vias foram permitidas entre o servidor ePO e o servidor zona desmilitarizada, mas o Agent ainda não se comunica com o servidor ePO.

Solução 1

A comunicação Agent-servidor é compatível com o NAT; no entanto, as chamadas de ativação do agente não funcionarão sobre o NAT.

Recomendações:

Para gerenciar os clientes externos, instale um servidor ePO ou Manipulador de agentes no zona desmilitarizada
Para gerenciar somente os clientes de rede interna, instale um servidor ePO ou manipulador de agentes na rede interna.

Verifique se as portas a seguir estão abertas no firewall. Essas portas permitem a comunicação do agente com o servidor ePO no zona desmilitarizada para os clientes internos e externos:

443/80 (somente para os clientes externos, conexões de entrada para os manipuladores do ePO/Agent) – porta agente-servidor (listada como ServerHttpPort no EPOServerInfo ePO)

Importante: Você pode abrir a porta 443/80 no firewall para comunicar as conexões de entrada com os manipuladores do EPO ou do Agent somente com a rede externa. Essa organização permite que somente os clientes externos se comuniquem com o servidor ePO ou com os manipuladores de Agent no zona desmilitarizada. Essa alteração não é uma grande consideração de segurança de rede. A rede interna ainda está bloqueada para o recebimento de comunicações de clientes externos nesta porta.

Para MA 5.x , conexões de entrada para os manipuladores do EPO/Agent ocorrem na porta 443 somente no zona desmilitarizada.

Outras portas em uso:

8443 (abrir a partir da rede interna para o zona desmilitarizada, se estiver usando o Rogue System Detection): A porta de comunicação entre o console e o servidor de aplicativos (listada como RmdSecureHttpPort na tabela para o EPOServerInfo ePO).
8444 (abrir a partir da rede interna para o zona desmilitarizada, se estiver usando o Rogue System Detection): Porta de comunicação Sensor-servidor (listada como SensorSecureHttpPort na tabela EPOServerInfo para o ePO).
8801 (abrir a partir da rede interna para o zona desmilitarizada, se estiver usando as ameaças de McAfee Labs download funcionalidade): Ameaças de segurança porta HTTP (listada como AVERTAlertsPort na tabela para o EPOAvertSettings ePO).

Solução 2

Essa solução é uma alternativa se a solução 1 for inaceitável e o servidor ePO residir apenas na rede interna.

Verifique se o arquivo de hosts no servidor zona desmilitarizada inclui uma rota para o endereço IP do servidor ePO. Em seguida, modifique o server.ini arquivo da seguinte maneira. Essa alteração faz com que all computadores de rede interna para usar o nome DNS ou o nome NetBIOS para se comunicar com o servidor ePO. Somente os computadores no zona desmilitarizada podem se comunicar com o servidor ePO usando o endereço IP após essa alteração.

No Windows Explorer, navegue até: ...\Program Files\McAfee\ePolicy Orchestrator\DB.
Clique server.ini duas vezes.
Anexe as linhas a seguir ao final do arquivo:

ServerDNSName=<Fully qualified domain name of the DMZ server>
ServerIPAddress=<IP address of the DMZ server>
Clique em arquivoe em salvar.
Reinicie os serviços do ePO a seguir:
1. Pressione Windows + R, digite services.msc e clique em OK.
2. Clique com o botão direito do mouse nos seguintes serviços e selecione Reiniciar:
  
  McAfee ePolicy Orchestrator x.x.x Server
  McAfee ePolicy Orchestrator x.x.x Event Parser

Informações relacionadas

Consulte também os seguintes problemas relacionados ao NAT:

KB58747 – falha na conexão com o ePO: porta, erro de rede 10061
Descreve um problema no qual o ePO não resolve o endereço IP do SuperAgent. Em vez disso, ele usa o endereço IP fornecido pelo agente durante a instalação.
KB58818 – o servidor EPolicy Orchestrator não pode executar uma chamada de ativação do agente para um cliente VPN
Descreve um problema no qual o servidor ePO não pode executar uma chamada de ativação do agente para um cliente VPN.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Produtos afetados

Idiomas:

Este artigo está disponível nos seguintes idiomas:

Knowledge Center

Como usar o ePolicy Orchestrator em um ambiente zona desmilitarizada ou NAT

Ambiente

Resumo

Problema

Solução 1

Solução 2

Informações relacionadas

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Title

Title

Knowledge Center

Como usar o ePolicy Orchestrator em um ambiente zona desmilitarizada ou NAT

Ambiente

Resumo

Problema

Solução 1

Solução 2

Informações relacionadas

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Escolha a sua região

Title

Title