ESET Online-Hilfe

Suche English
Wählen Sie eine Kategorie aus
Wählen Sie ein Thema aus

Synchronisierungsmodus - Active Directory/Open Directory/LDAP

Um einen neuen Server-Task zu erstellen, klicken Sie auf Tasks > Neu > add_new_default Server-Task oder wählen Sie den gewünschten Tasktyp in der Baumstruktur aus und klicken Sie auf Neu > add_new_default Server-Task.

Einfach

Geben Sie im Abschnitt Einfach grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Klicken Sie auf Tags auswählen, um Tags zuzuweisen.
Wählen Sie im Dropdownmenü Task den Tasktyp aus, den Sie erstellen und konfigurieren möchten. Wenn Sie vor der Erstellung eines neuen Tasks einen bestimmten Tasktyp auswählen, wird der Task anhand Ihrer Auswahl vorkonfiguriert. Unter Task (siehe Liste aller Tasks) werden die Einstellungen und das Verhalten des Tasks festgelegt.

Außerdem haben Sie die folgenden Task-Trigger-Einstellungen zur Auswahl:

Task sofort nach dem Beenden ausführen - Wählen Sie diese Option aus, um den Task sofort auszuführen, wenn Sie auf Fertig stellen klicken.

Trigger konfigurieren - Wählen Sie diese Option aus, um den Bereich Trigger zu erweitern, in dem Sie die Triggereinstellungen konfigurieren können.

Markieren Sie dieses Kontrollkästchen nicht, falls Sie den Trigger später festlegen möchten.

Einstellungen

Allgemeine Einstellungen

Klicken Sie auf Auswählen unter Name der statischen Gruppe - Standardmäßig wird das Stammverzeichnis für synchronisierte Computer verwendet. Alternativ können Sie eine neue statische Gruppe erstellen.

Zu synchronisierendes Objekt - Entweder Computer und Gruppen oder Nur Computer.

Kollisionsbehandlung bei der Computererstellung - Wenn bei der Synchronisierung Computer hinzugefügt werden, die bereits Mitglied der statischen Gruppe sind, wird eine Konfliktauflösungsmethode angewendet. Wählen Sie eine Methode aus:

oÜberspringen (synchronisierte Computer werden nicht hinzugefügt)

oVerschieben (neue Computer werden in eine Untergruppe verschoben)

oDuplizieren (neue Computer werden mit einem anderen Namen erstellt)

Verfahren für Computerlöschung - Für nicht mehr vorhandene Computer können Sie die Option Entfernen oder Überspringen auswählen.

Verfahren für Gruppenlöschung - Für nicht mehr vorhandene Gruppen können Sie die Option Entfernen oder Überspringen auswählen.

 


important

Wenn Sie unter Verfahren für Löschen von Gruppen die Option Überspringen auswählen und eine Gruppe (Organisationseinheit) aus Active Directory löschen, werden Computer, die zur Gruppe in ESET PROTECT On-Prem gehört haben, nicht gelöscht, selbst wenn Sie unter Verfahren für Computerlöschung die Option Entfernen ausgewählt haben.

Synchronisierungsmodus - Active Directory/Open Directory/LDAP

Lesen Sie unseren Knowledgebase-Artikel zum Verwalten von Computern mit der Active Directory-Synchronisierung in ESET PROTECT On-Prem.

Serververbindungseinstellungen


note

Wenn der ESET PROTECT-Server auf einem Windows-Computer ausgeführt wird, der mit einer Domäne verbunden ist, ist nur das Feld Server erforderlich. Sie können alle anderen Active Directory-Konfigurationsschritte unten überspringen. Eine Synchronisierung zwischen mehreren Domänen ist möglich, wenn zwischen den Domänen eine Vertrauensbeziehung existiert.

Server - Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.

Benutzername - Geben Sie den Benutzernamen für Ihren Domänencontroller im folgenden Format ein:

oDOMAIN\username (ESET PROTECT Server unter Windows)

ousername@FULL.DOMAIN.NAME oder username (ESET PROTECT Server unter Linux).


important

Geben Sie die Domäne immer in Großbuchstaben an. Dieses Format ist erforderlich, um Anfragen an einen Active Directory-Server korrekt authentifizieren zu können.

Passwort – Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.


important

ESET PROTECT Server Windows verwendet standardmäßig das verschlüsselte Protokoll LDAPS (LDAP über SSL) für alle Active Directory-Verbindungen (AD). Sie können LDAPS auch in der virtuellen ESET PROTECT-Appliance konfigurieren.

Konfigurieren Sie Folgendes für eine erfolgreiche AD-Verbindung mit LDAPS:

1.Auf dem Domänencontroller muss ein Computerzertifikat installiert sein. Führen Sie die folgenden Schritte aus, um ein Zertifikat für Ihren Domänencontroller auszustellen:

a)Öffnen Sie den Server-Manager, klicken Sie auf Verwalten > Hinzufügen von Rollen und Features und installieren Sie Active Directory-Zertifikatdienste > Zertifizierungsstelle. Daraufhin wird eine neue Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen erstellt.

b)Klicken Sie im Server-Manager auf die Benachrichtigung (gelbes Dreieck) und Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren. Wählen Sie unter Rollendienste die Option Zertifizierungsstelle aus. Schließen Sie die Konfiguration ab, indem Sie auf Weiter klicken.

c)Navigieren Sie zu Start > geben Sie certlm.msc ein und drücken Sie die Eingabetaste, um das Zertifikat-Snap-In der Microsoft Management Console zu öffnen. Wählen Sie Zertifikate - lokaler Computer > Persönlich aus, klicken Sie mit der rechten Maustaste auf das leere Fenster > Alle Tasks > Neues Zertifikat anfordern > Domänencontroller registrieren.

d)Stellen Sie sicher, dass das ausgestellte Zertifikat den FQDN des Domänencontrollers enthält.

e)Importieren Sie auf Ihrem ESET PROTECT-Server die von Ihnen generierte Zertifizierungsstelle in den Zertifikatspeicher (mit dem Tool certlm.msc) > Lokaler Computer > im Ordner Vertrauenswürdige Stammzertifizierungsstellen.

f)Starten Sie den ESET PROTECT-Server-Computer neu.

2.Wenn Sie die Verbindungseinstellungen für den AD-Server bereitstellen, geben Sie den FQDN des Domänencontrollers (wie im Domänencontroller-Zertifikat angegeben) im Feld Server bzw. Host ein. Die IP-Adresse ist für LDAPS nicht mehr ausreichend.

Aktivieren Sie das Kontrollkästchen LDAP anstelle von Active Directory verwenden und geben Sie die Attribute für Ihren Server ein, um das Fallback zum LDAP-Protokoll zu aktivieren. Alternativ können Sie eine Voreinstellung auswählen, indem Sie auf Auswählen klicken. In diesem Fall werden die Attribute automatisch ausgefüllt:

Active Directory

macOS Server Open Directory (Computer-Hostnamen)

macOS Server Open Directory (Computer-IP-Adressen)

OpenLDAP mit Samba-Computereinträgen – Einrichtung der Parameter DNS-Name in Active Directory.

Wenn Sie LDAP anstatt Active Directory verwenden auswählen und die Active Directory-Voreinstellung verwenden, können Sie die Computerdetails mit Attributen aus Ihrer Active Directory-Struktur auffüllen. Nur Attribute vom Typ DirectoryString können verwendet werden. Sie können ein Tool (z. B. ADExplorer) verwenden, um die Attribute auf Ihrem Domänencontroller zu überprüfen. Die folgende Tabelle enthält die entsprechenden Felder:

Feld Computerdetails

Felder Synchronisierungs-Task

Name

Attribut Computer-Hostname

Beschreibung

Attribut Computerbeschreibung

Synchronisierungseinstellungen

Distinguished Name – Pfad (Distinguished Name) zum Knoten im Active Directory-Baum. Wenn Sie diese Option nicht ausfüllen, wird der gesamte AD-Baum synchronisiert. Klicken Sie auf Durchsuchen neben Distinguished Name. Ihre Active Directory-Baumstruktur wird angezeigt. Wählen Sie den obersten Eintrag aus, um alle Gruppen mit zu synchronisieren, oder nur die gewünschten Gruppen, die Sie zu ESET PROTECT On-Premhinzufügen möchten. Nur Computer und Organisationseinheiten werden synchronisiert. Klicken Sie anschließend auf OK.


note

Distinguished Name ermitteln

1.Öffnen Sie die Anwendung Active Directory-Benutzer und -Computer.

2.Klicken Sie auf Anzeigen und wählen Sie Erweiterte Funktionen aus.

3.Klicken Sie mit der rechten Maustaste auf die Domäne, klicken Sie auf Eigenschaften und wählen Sie die Registerkarte Attribut-Editor aus.

4.Suchen distinguishedName Sie die Zeile. Sie sollte wie in diesem Beispiel gezeigt aussehen: DC=ncop,DC=local.

Ausgeschlossene Distinguished Names – Wahlweise können Sie bestimmte Knoten im Active Directory-Baum ausschließen (ignorieren).

Deaktivierte Computer ignorieren (nur in Active Directory) – Legen Sie fest, ob deaktivierte Computer in Active Directory ignoriert werden sollen. Der Task überspringt diese Computer in diesem Fall.


important

Falls der Fehler Server not found in Kerberos database angezeigt wird, wenn Sie auf Durchsuchen klicken, verwenden Sie den AD FQDN des Servers anstelle der IP-Adresse.

arrow_down_business        Synchronisierung vom Linux-Server

Trigger

Der Bereich Trigger enthält Informationen zu den Triggern, die einen Task auslösen. Für jeden Server-Task kann maximal ein Trigger konfiguriert werden. Jeder Trigger kann nur einen Server-Task ausführen. Wenn die Option Trigger konfigurieren nicht im Bereich Einfach ausgewählt ist, wird kein Trigger erstellt. Tasks können ohne Trigger erstellt werden. Diese Tasks können anschließend manuell ausgeführt oder später mit einem Trigger konfiguriert werden.

Erweiterte Einstellungen – Drosselung

Mit der Drosselung können Sie erweiterte Regeln für den erstellten Trigger festlegen. Die Drosselung ist optional.

Zusammenfassung

Hier werden alle konfigurierten Optionen angezeigt. Überprüfen Sie die Einstellungen und klicken Sie auf Fertig.

Unter Tasks werden die Fortschrittsanzeige, das Statussymbol und die Details zu den einzelnen erstellten Tasks angezeigt.


note

Sie können den Server-Task „Agenten-Bereitstellung“ ausführen, um den ESET Management Agenten auf den Computern bereitzustellen, die aus Active Directory synchronisiert wurden.