9.2 MSI-Installation

Bei diesem Vorgang wird ein MSI-Paket für den Endpoint Security Client 3.5 erstellt. Mit diesem Paket kann ein Systemadministrator die Installation über eine Active Directory-Richtlinie oder über andere Software-Verteilungsmethoden an eine Gruppe von Benutzern veröffentlichen.

So erstellen Sie das MSI-Paket:

Wenn Sie die Installation von der CD oder über das ISO-Hauptinstallationsprogramm ausführen und keine Befehlszeilenvariablen ausführen möchten (siehe Abschnitt 9.2.1, Befehlszeilenvariablen):

  1. Legen Sie die CD ein und warten Sie, bis das Hauptinstallationsprogramm startet.

  2. Klicken Sie auf Produktinstallation.

  3. Klicken Sie auf Security Client.

  4. Klicken Sie auf ZSC-MSCI-Paket erstellen.

Beginnen Sie wie folgt, wenn Sie für die Installation nur die Datei setup.exe verwenden (die ausführbare Datei befindet sich auf der CD unter: D:\ESM32\ZSC):

  1. Klicken Sie mit der rechten Maustaste auf setup.exe.

  2. Wählen Sie Verknüpfung erstellen.

  3. Klicken Sie mit der rechten Maustaste auf die Verknüpfung und klicken Sie dann auf Eigenschaften.

  4. Betätigen Sie am Ende des Zielfelds, hinter den Anführungszeichen, einmal die Leertaste, um einen Leerschritt einzugeben, und geben Sie dann /a ein.

    Beispiel: C:\Dokumente und Einstellungen\euser\Desktop\CL-Release-3.2.455\setup.exe

    Für die MSI-Installation sind mehrere Befehlszeilenvariablen verfügbar (siehe Abschnitt 9.2.1, Befehlszeilenvariablen).

  5. Klicken Sie auf OK.

  6. Doppelklicken Sie zum Starten des MSI-Installationsprogramms auf die Verknüpfung.

Sobald die Installation startet, führen Sie folgende Schritte aus:

  1. Klicken Sie zum Fortfahren im Begrüßungsbildschirm auf Weiter.

  2. Akzeptieren Sie den Lizenzvertrag und klicken Sie dann auf Weiter.

  3. Wählen Sie aus, ob ein Deinstallationspasswort erforderlich ist (empfohlen), und geben sie dieses ein.

  4. Wählen Sie aus, wie Richtlinien empfangen werden sollen (für verwaltete Clients vom Verteilungsservice, für eine unverwaltete Konfiguration lokal abgerufen). Wenn die verwaltete Option ausgewählt wurde:

    • Geben Sie die Informationen zum Verwaltungsdienst ein (ein FQDN oder NetBIOS-Name, je nach Eingabe bei der Installation des Verwaltungsdienstes).

    • Wählen Sie aus, ob benutzerbasierte oder computerbasierte Richtlinien verwendet werden sollen.

  5. (Optional) Geben Sie im dafür vorgesehenen Feld eine E-Mail-Adresse ein, damit Sie bei einer fehlerhaften Installation benachrichtigt werden.

  6. Geben Sie den Netzwerkstandort ein, an dem das MSI-Image erstellt werden soll, oder suchen Sie nach diesem Standort, indem Sie auf die Schaltfläche Ändern klicken.

    Abbildung 9-4 Netzwerkstandort für das MSI-Image auswählen

  7. Klicken Sie zum Erstellen des MSI-Image auf Installieren.

  8. Wechseln Sie zu dem erstellten MSI-Image und öffnen Sie den Ordner \Programme\Novell\ZENworks Security Client\.

  9. Kopieren Sie das SSL-Zertifikat für den Verwaltungsdienst (ESM-MS.cer oder das firmeninterne Zertifikat) und den Novell-Lizenzschlüssel in diesen Ordner. Ersetzen Sie dabei die aktuell im Ordner befindlichen Standarddateien von 0 KB. Das SSL-Zertifikat für ESM-MS ist im Ordner der ZENworks Endpoint Security Management-Setupdateien verfügbar. Der Lizenzschlüssel wird separat per E-Mail versendet (wenn Sie den 30-tägigen Evaluierungszeitraum in Anspruch nehmen, ist in diesem Moment kein Lizenzschlüssel erforderlich).

    Abbildung 9-5 Ersetzen Sie die Standarddateien im MSI-Paket.

Führen Sie folgende Schritte aus, wenn Sie festlegen möchten, dass das MSI-Paket wie eine Gruppenrichtlinie an die Benutzergruppen verteilt werden soll:

  1. Öffnen Sie unter Verwaltung die Option Active Directory-Benutzer und -Computer und öffnen Sie die Eigenschaften der Stammdomäne oder der OU.

    Abbildung 9-6 Öffnen Sie die Eigenschaften der Stammdomäne oder der OU.

  2. Klicken Sie auf die Registerkarte Gruppenrichtlinie und anschließend auf Bearbeiten.

  3. Fügen Sie der Computerkonfiguration das MSI-Paket hinzu.

    Abbildung 9-7 Wählen Sie das hinzuzufügende MSI-Paket aus.

9.2.1 Befehlszeilenvariablen

Für die MSI-Installation sind Optionen über Befehlszeilenvariablen verfügbar. Diese müssen in der Verknüpfung mit der ausführbaren Datei festgelegt sein, die für die Ausführung im Administrator-Modus festgelegt ist. Wenn Sie eine Variable verwenden möchten, muss folgende Befehlszeile in der MSI-Verknüpfung eingegeben werden:

“...\setup.exe” /a /V"variables". Geben Sie zwischen den Anführungszeichen einen beliebigen der unten angegebenen Befehle ein. Trennen Sie mehrere Variablen durch ein einfaches Leerzeichen.

Beispiel: Mit setup.exe /a /V"STDRV=stateful STBGL=1" wird ein MSI-Paket erstellt, bei dem der Endpoint Security Client 3.5 im "Alle Stateful"-Modus unter strikter Beachtung einer weißen Liste gebootet wird.

HINWEIS:Das Booten im Stateful-Modus kann zu Interoperabilitätsproblemen führen (DHCP-Adressverzögerungen, Novell-Netzwerk-Interoperabilitätsprobleme usw.).

Es stehen folgende Befehlszeilenvariablen zur Verfügung:

Tabelle 9-1 Befehlszeilenvariablen

Befehlszeilenvariable

Beschreibung

Hinweise

STDRV=stateful

NDIS-Treiber zur Bootzeit "Alle Stateful".

Ändert den Standardstatus des NDIS-Treibers von "Alle geöffnet" in "Alle Stateful". Dadurch wird der gesamte Netzwerkverkehr beim Booten so lange zugelassen, bis der Endpoint Security Client 3.5 sein Verzeichnis bestimmt hat.

/qn

Stille Installation.

Verwenden Sie diese Variable, um den Standard-MSI-Installationsvorgang zu unterdrücken. Der Endpoint Security Client 3.5 wird beim nächsten Neustart durch den Benutzer aktiviert.

STRBR=ReallySuppress

Kein Neustart bei Abschluss der Installation.

Die Sicherheitsbeschränkungen und der Client-Selbstschutz sind erst nach dem ersten Neustart voll funktionsfähig.

STBGL=1

Strikte Beachtung einer weißen Liste bei der Anwendungssteuerung.

Es MUSS eine Richtlinie erstellt werden, die die Anwendung auf der weißen Liste identifiziert, die mit dieser Richtlinie verteilt wird.

STUPGRADE=1

Aufrüsten des Endpoint Security Client 3.5

Verwenden Sie diese Variable zum Aufrüsten des Endpoint Security Client 3.5.

STUNINSTALL=1

Deinstallieren des Endpoint Security Client 3.5

Verwenden Sie diese Variable zum Deinstallieren des Endpoint Security Client 3.5.

STUIP="Passwort"

Deinstallation mit Passwort

Verwenden Sie diese Variable, wenn ein Deinstallationspasswort aktiviert ist.

STNMS="MS-Name"

Ändern des Verwaltungsdienst-Namens.

Ändert den Verwaltungsdienst-Namen für den Endpoint Security Client 3.5.

POLICYTYPE=1

Ändern des Endpoint Security Client 3.5 in computerbasierte Richtlinien.

Mit dieser Variable ändern Sie mit dem MSI installierte Endpoint Security Clients so, dass computerbasierte statt benutzerbasierte Richtlinien akzeptiert werden.

POLICYTYPE=2

Ändern des Endpoint Security Client 3.5 in benutzerbasierte Richtlinien.

Mit dieser Variable ändern Sie mit dem MSI installierte Endpoint Security Clients so, dass benutzerbasierte statt computerbasierte Richtlinien akzeptiert werden.

STVA="Adaptername"

Hinzufügen eines virtuellen Adapters.

Mit dieser Variable aktivieren Sie die Richtliniensteuerung eines virtuellen Adapters.

/L*v c:\log.txt

Einschalten·der Protokollierung.

Mit dieser Variable schalten Sie die Protokollierung bei der Installation ein. Andernfalls muss dies über die Endpoint Security Client-Diagnosetools vorgenommen werden (siehe Administratoren-Handbuch).

9.2.2 Verteilen einer Richtlinie mit dem MSI-Paket

Die in der MSI-Installation enthaltene Standardrichtlinie kann durch eine firmenintern konfigurierte Richtlinie ersetzt werden. So verteilen Sie eine bestimmte Richtlinie mit dem MSI-Image:

  1. Erstellen Sie eine Richtlinie, die per Verwaltungskonsole an alle Benutzer verteilt werden soll. Details zur Richtlinienerstellung finden Sie im ZENworks Endpoint Security Management-Administratorenhandbuch.

  2. Exportieren Sie die Richtlinie und speichern Sie diese als policy.sen.

    HINWEIS:Alle auf diese Weise (unverwaltet) verteilten Richtlinien müssen policy.sen genannt werden, damit sie vom Endpoint Security Client 3.5 akzeptiert werden. Nicht policy.sen genannte Richtlinien werden vom Endpoint Security Client 3.5 nicht implementiert.

  3. Öffnen Sie den Ordner, in den die Richtlinie exportiert wurde, und kopieren Sie die Dateien policy.sen und setup.sen.

  4. Wechseln Sie zu dem erstellten MSI-Image und öffnen Sie den Ordner \Programme\Novell\ZENworks Security Client\.

  5. Fügen Sie die Dateien policy.sen und setup.sen in den Ordner ein. Dadurch werden die Standarddateien policy.sen und setup.sen ersetzt.

9.2.3 Benutzerinstallation des Endpoint Security Client 3.5 per MSI

Wenn sich der Endbenutzer bei der Domäne erneut authentifiziert (durch Neubooten des Computers), wird das MSI-Installationspaket vor dessen Anmeldung ausgeführt. Nach Abschluss wird der Computer neu gebootet und die Anmeldung des Benutzers am Computer wird zugelassen. Der Endpoint Security Client 3.5 wird installiert und auf dem Computer ausgeführt.