【2022争霸赛*干货满满】EDR安装失败！当前终端授权数已用完或者失效，请联系管理员调整授权后再进行安装

报修

风和日丽的一天，接到用户报修：windows服务器装不上EDR。提示：EDR安装失败！当前终端授权数已用完或者失效，请联系管理员调整授权后再进行安装。如下图：

现象确认

提示这么友好，当然还是先确认版本、授权与近期变更情况：是虚拟化部署的3.5.30，授权数正常，前两天有升级EDR版本，重新导入授权。升级版本原因：低版本区分windows和linux服务器授权，升级至3.5.30以后授权不再区分服务器系统。

排查1

已知防火墙更新授权需要重启，EDR更新授权后无重启操作，推断：EDR授权更新后可能需要重启EDR服务端才生效，重启之，无效。

排查2

提示这么明显，总不能是网络的问题吧！

TCP 443：EDR中心端web界面登录端口

TCP 4430 ：Agent 组件更新和病毒库更新

TCP 8083 ：Agent 和管理端业务通信端口，用于策略下发等内容

TCP 54120 ：紧急通信端口，用于管理端控制 Agent 禁用/ 启用

ICMP ：连通性探测

结果：服务器到EDR管理端，telnet都通！

排查3

终端取日志分析，日志默认目录如下：

经排查，服务器端无法打开https://EDR:443/confirm_auth.php，导致安装失败。正常安装EDR的终端打开此链接回显如下：

排查4

对源目地址经过的网络中安全设备逐个分析排查。

首先，流量先过防火墙，查看策略针对源目地址有明细策略的允许，为加速排查，直接给EDR地址加白，很好，问题还在。

接着，发现流量镜像给到AC做portal认证。为加快排查速度，直接拔掉镜像口，好家伙，问题解决了。登录AC查看，发现EDR不在监控网段内，好家伙，破案了：AC上，检测到LAN到WAN的http或https流量触发认证（telnet ip port无拦截），旁路镜像部署时，监控网段为LAN，未监控网段为WAN，EDR和服务器分别属于LAN和WAN两个区域。

心得

1、端口通不一定就是网络没得问题，毕竟4层和7层。

2、安装失败提示还可以优化。

感谢楼主分享！文章介绍了一例EDR安装失败的排障案例，整体排查思路清晰，图文并茂，具备可参考性，期待楼主带来更多有价值的案例分享

感谢分享，有助于工资和学习！！！

坚持每日打卡，每日学习！！！

坚持每日打卡，每日学习！！！

坚持每日学习打卡

感谢分享，有助于工资和学习！！！