|
报修 风和日丽的一天,接到用户报修:windows服务器装不上EDR。提示:EDR安装失败!当前终端授权数已用完或者失效,请联系管理员调整授权后再进行安装。如下图:
现象确认 提示这么友好,当然还是先确认版本、授权与近期变更情况:是虚拟化部署的3.5.30,授权数正常,前两天有升级EDR版本,重新导入授权。升级版本原因:低版本区分windows和linux服务器授权,升级至3.5.30以后授权不再区分服务器系统。
排查1 已知防火墙更新授权需要重启,EDR更新授权后无重启操作,推断:EDR授权更新后可能需要重启EDR服务端才生效,重启之,无效。
排查2 提示这么明显,总不能是网络的问题吧! TCP 443:EDR中心端web界面登录端口 TCP 4430 :Agent 组件更新和病毒库更新 TCP 8083 :Agent 和管理端业务通信端口,用于策略下发等内容 TCP 54120 :紧急通信端口,用于管理端控制 Agent 禁用/ 启用 ICMP :连通性探测 结果:服务器到EDR管理端,telnet都通!
排查3 终端取日志分析,日志默认目录如下: 经排查,服务器端无法打开https://EDR:443/confirm_auth.php,导致安装失败。正常安装EDR的终端打开此链接回显如下:
排查4 对源目地址经过的网络中安全设备逐个分析排查。
首先,流量先过防火墙,查看策略针对源目地址有明细策略的允许,为加速排查,直接给EDR地址加白,很好,问题还在。
接着,发现流量镜像给到AC做portal认证。为加快排查速度,直接拔掉镜像口,好家伙,问题解决了。登录AC查看,发现EDR不在监控网段内,好家伙,破案了:AC上,检测到LAN到WAN的http或https流量触发认证(telnet ip port无拦截),旁路镜像部署时,监控网段为LAN,未监控网段为WAN,EDR和服务器分别属于LAN和WAN两个区域。
心得 1、端口通不一定就是网络没得问题,毕竟4层和7层。 2、安装失败提示还可以优化。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-26 11:34
工程师1级 
