概要
Deep Security Manager (以下、DSM) と Deep Security Relay (以下、DSR) のインストール手順について教えてください。
詳細
DSM は、Deep Security で保護される各コンピュータの管理や、各種設定などを行う中央管理コンポーネントです。
DSR は、Deep Security Agent (以下、DSA) の 1 機能であり、トレンドマイクロのアップデートサーバからコンポーネントをダウンロードする役割を担います。
DSR は、Deep Security Agent (以下、DSA) の 1 機能であり、トレンドマイクロのアップデートサーバからコンポーネントをダウンロードする役割を担います。
Deep Security を使用するには、少なくとも 1 台の DSAで Relay機能を有効化し、DSRとして設定する必要があります。
DSM と DSR (Relay有効化済みAgent) は、同じコンピュータに一度の作業でインストールすることが可能です。
この場合、Step 1, 2 のみ実施してください。
DSM と DSR (Relay有効化済みAgent) を異なるコンピュータにインストールすることもできます。
この場合は Step 1, 2, 3 を実施してください)。
DSM と DSR (Relay有効化済みAgent) は、同じコンピュータに一度の作業でインストールすることが可能です。
この場合、Step 1, 2 のみ実施してください。
DSM と DSR (Relay有効化済みAgent) を異なるコンピュータにインストールすることもできます。
この場合は Step 1, 2, 3 を実施してください)。
Step 1 データベースサーバの構築
DSMをインストールするには、あらかじめデータベースを構築しておく必要があります。データベースの構築が完了した後、DSM のインストールを行ってください。
※サポート対象のデータベースに関しましては、「Deep Security システム要件」をご参照ください。
また、データベースの構築の際にはオンラインヘルプもご参照ください。
DSM 20.0 の場合: 「データベースサーバをインストールする」
DSM 12.0 以前の場合: 「Deep Security Managerで使用するデータベースの準備」
※リンク先の画面左上のリストから対象バージョンを選択してください。
DSM 12.0 以前の場合: 「Deep Security Managerで使用するデータベースの準備」
※リンク先の画面左上のリストから対象バージョンを選択してください。
データベースの構築など、データベース自体に関するお問合せは弊社ではお受けいたしかねます。詳細なデータベースの構築方法については、各ベンダー様(Microsoft社様、Oracle 社様など)のドキュメントを参照してください。
以下のチェックリストでは、Microsoft SQL Server, Oracle Database に関してよくあるご質問をおまとめしております。
実施後チェックリスト
- □データベースサーバに DSM 用データベースが作成されている
- □[SQL] DSM 用データベースの復旧モデルが「単純」に設定されている
- □[SQL] DSM のインストール時に使用する SQL Server のアカウントに、DSM データベースに対する役割 db_owner が設定されている (マルチテナントの場合はサーバの役割 dbcreater も)
- □[SQL] TCP/IP によるリモート接続が有効になっている
- □[SQL] TCP 1433 番ポートへの通信ができる状態になっている
- □[Oracle] リスナーサービスが起動しており、リモート TCP 接続を受け付けるようになっている
- □[Oracle] 作成したユーザ (名前は任意) に役割 CONNECT, RESOURCE が、権限 UNLIMITED TABLE SPACE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER が割り当てられている (マルチテナントの場合は CREATE USER, DROP USER, ALTER USER, GRANT ANY PRIVILEGE, GRANT ANY ROLE も)
- □[Oracle] キャラクタセットが UTF-8 (NLS_CHARACTERSET = AL32UTF8) にセットされている
- □[Oracle] TCP 1521 番ポートへの通信ができるようになっている
Step 2 DSM のインストール
インストール作業は、対象のコンピュータに管理者としてログインする必要があります。
▼DS9.6未満の場合
DSM を仮想マシンにインストールする場合、その仮想マシンを管理している ESXi に Deep Security Virtual Appliance をインストールすることはできません。
▼DS9.6以降の場合
Filter Driverのインストールが不要になったため、Deep Security Virtual ApplianceとDSMを同じESXiにインストールすることができます。
上記詳細は以下Q&Aをご参照ください。
Deep Security Manager を Deep Security Virtual Appliance と 同じ ESXi 上への同居構成時のサポートポリシーについて
DSM 9.5, 9.6 の場合
- インストーラをダブルクリックして、DSM のインストールを開始します。
インストールする DSM の言語バージョンを選択して、[OK] をクリックします (Linux 版の場合、ダウンロードした .sh ファイルに実行権限が付与されていることを確認し、該当ファイルを実行してください)。
インストール後でも、[管理] → [ユーザ管理] → [ユーザ] → [プロパティ] 画面の設定を変更することで、使用する言語を変更できます。 - インストールウィザードが表示されたら、[次へ] をクリックして続行します。
- 使用許諾契約書に同意し、[次へ] をクリックします。
- DSM をインストールするフォルダを指定して、[次へ] をクリックします。
フォルダを選択する場合、ユーザが指定したフォルダパスの最後に、インストーラが既定のフォルダ名を追加してしまうことがあります。[参照] ボタンを使用した場合は、続行する前にフォルダ名を確認してください。
- 使用するデータベースの種類を指定し、アカウントの詳細を入力します。
組み込みデータベース (Apache Derby) の本番環境での使用はサポート対象外となります。
- アクティベーションコードを入力します。すべてのモジュールのコード、またはライセンスを購入した各モジュールのコードを入力します。入力するコードと入力箇所は、製品購入後に電子納品される「ライセンス証書」に記載されています。
- このコンピュータのホスト名、FQDN、または IP アドレスを入力します。
[Managerアドレス] は解決可能なホスト名、完全修飾ドメイン名、または IP アドレスのいずれかである必要があります。DNS を使用できない環境である場合、または一部のコンピュータが DNS を使用できない場合は、ホスト名の代わりに固定 IP アドレスを使用してください。
- マスター管理者アカウントのユーザ名とパスワードを入力します。
[強固なパスワードを適用] を選択した場合、管理者パスワードは、大文字と小文字、英数字以外の文字、数字などを使用し、最小文字数以上にする必要があります。
- セキュリティアップデートを定期的に実行する予約タスクを作成するかどうかを選択します (デフォルト有効)。インストール後に設定することも可能です。
また、トレンドマイクロのアップデートサーバへの接続にプロキシサーバを使用する場合は、[トレンドマイクロのアップデートサーバに接続するときにプロキシサーバを使用] にチェックを入れ、プロキシサーバ情報を入力します。
- DSM のインストーラと同一フォルダにある Relay 有効化済み Agent をインストールするかどうかを選択します。
ローカルフォルダに DSA のインストールパッケージ (zip ファイル) が存在しない場合はトレンドマイクロのダウンロードセンターに接続し、パッケージを探します。
- トレンドマイクロスマートフィードバックを有効にするかどうかを選択します (推奨)。スマートフィードバックは、インストール後に DSM で有効化・設定することもできます。
- 設定を確認します。入力した情報を確認し、[終了] をクリックして続行します。
- [終了] をクリックして、セットアップウィザードを終了します。セットアップが完了すると、DSM サービスが開始されます。[Deep Security Managerコンソールを起動する] オプションを選択してから [終了] をクリックすると、管理コンソールが起動します。
[スタート] メニュー > [Trend Micro] > [Deep Security Manager] をクリックするか、Web ブラウザのアドレスバーに "https://[ホスト名]:[ポート]/" と入力することでも、管理コンソールを起動できます。
DSM 10.0 以降の場合
※ 基本的なインストールの流れは DSM 9.6 未満のバージョンと同様です。
-
インストーラをダブルクリックして、DSM のインストールを開始します。インストールする DSM の言語バージョンを選択して、[OK] をクリックします (Linux 版の場合、ダウンロードした .sh ファイルに実行権限が付与されていることを確認し、該当ファイルを実行してください)。
-
インストールウィザードが表示されたら、[次へ] をクリックして続行します。
-
使用許諾契約書に同意し、[次へ] をクリックします。
-
DSM をインストールするフォルダを指定して、[次へ] をクリックします。
-
使用するデータベースの種類を指定し、アカウントの詳細を入力します。
※Deep Security 10.0から組み込みデータベースは利用できなくなっています。
- Deep Security 10.0から、DSMインストーラにシステムチェック機能が追加されています。
システムチェックの結果、要件を満たさない項目がある場合は、インストールを進めることができません。
上図のように、すべての項目がOKになると、DSMインストーラが配置されているフォルダに「DeepSecurityInstallerReport.csv」が作成され、インストーラ画面上の「Deep Security Managerをインストール」をクリックすることができるようになります。
-
アクティベーションコードを入力します。すべてのモジュールのコード、またはライセンスを購入した各モジュールのコードを入力します。入力するコードと入力箇所は、製品購入後に電子納品される「ライセンス証書」に記載されています。
-
このコンピュータのホスト名、FQDN、または IP アドレスを入力します。
-
マスター管理者アカウントのユーザ名とパスワードを入力します。[強固なパスワードを適用] を選択した場合、管理者パスワードは、大文字と小文字、英数字以外の文字、数字などを使用し、最小文字数以上にする必要があります。
-
セキュリティアップデートを定期的に実行する予約タスクを作成するかどうかを選択します (デフォルト有効)。インストール後に設定することも可能です。また、トレンドマイクロのアップデートサーバへの接続にプロキシサーバを使用する場合は、[トレンドマイクロのアップデートサーバに接続するときにプロキシサーバを使用] にチェックを入れ、プロキシサーバ情報を入力します。
-
ソフトウェアアップデートを定期的に実行する予約タスクを作成するかどうかを選択します。
-
Relay 有効化済み Agentをインストールするかどうかを選択します。
-
トレンドマイクロスマートフィードバックを有効にするかどうかを選択します (推奨)。スマートフィードバックは、インストール後に DSM で有効化・設定することもできます。
-
設定を確認します。入力した情報を確認し、[インストール] をクリックして続行します。
-
[終了] をクリックして、セットアップウィザードを終了します。セットアップが完了すると、DSM サービスが開始されます。[Deep Security Managerコンソールを起動する] オプションを選択してから [終了] をクリックすると、管理コンソールが起動します。
実施後チェックリスト
- □管理コンソールにログオンできる
- □[Relay 有効化済み Agent (DSR) もインストールした場合] ds_agent サービスが動作している
- □[Relay 有効化済み Agent (DSR) もインストールした場合] ds_notifier サービスが動作している (Windows のみ)
Step 3Relay 有効化済み Agent (DSR) のインストール (オプション)
インストールするには、対象のコンピュータに管理者としてログインする必要があります。インストール中、ネットワークインタフェースが停止し、復旧までに数秒間かかります。DHCP を使用している場合、新しい要求が生成されるため、復旧した接続に対して別の IP アドレスが割り当てられる可能性があります。
Windows 版インストール手順 (DS 11.0 以降の場合)
- DSM の管理コンソールにて、[管理] > [アップデート] > [ソフトウェア] > [ローカル] 画面より、最新版ダウンロードページからダウンロードした 64bit 版 DSA のインストールパッケージ (zip ファイル) を DSM にインポートします。
※[ダウンロードセンター] 画面から直接インポートしても問題ありません。
DSA で Relay 機能を有効化するためには、このインポートが必要となります。
ダウンロードしたパッケージのインポートは以下の方法で行います。
[管理] > [アップデート] > [ソフトウェア] > [ローカル]>[インポート]>[ファイルを選択]から、ダウンロードした「Agent-*」を選択して実行します。
- [管理] > [アップデート] > [ソフトウェア] > [ローカル] から、ダウンロードした「Agent-*」を選択して[エクスポート] > [インストーラのエクスポート]をクリックし、インストーラ (Agent-Core-Windows-x.x.x-xxxx_.x86_64.msi) をエクスポートします。
対象のコンピュータにて、エクスポートしたインストーラを実行します。
- セットアップウィザードが表示されます。[次へ] をクリックします。
- 使用許諾契約書に同意し、[次へ] をクリックします。
- インストール先フォルダを確認・変更し、[次へ] をクリックします。
- [インストール] をクリックし、インストールを開始します。
- [完了] をクリックします。
- DSM の管理コンソールの [コンピュータ] 画面にて、 [新規] > [新規コンピュータ] をクリックし、DSA をインストールしたコンピュータを追加します (ポリシーは任意)。
- [管理] > [アップデート] > [Relayの管理] から、追加するRelayグループを選択して[Relayを追加]をクリックします。
- Relay機能を有効化するコンピュータを選択し、[Relayを有効にしてグループに追加]をクリックします。
- コンピュータのRelay機能が有効化され、Relayグループに追加されます。
Windows 版インストール手順 (DS 9.5, 9.6, 10.0 の場合)
- DSM の管理コンソールにて、[管理] > [アップデート] > [ソフトウェア] > [ローカル] 画面より、最新版ダウンロードページからダウンロードした 64bit 版 DSA のインストールパッケージ (zip ファイル) を DSM にインポートします。
[ダウンロードセンター] 画面から直接インポートしても問題ありません。
DSA で Relay 機能を有効化するためには、このインポートが必要となります。
ダウンロードしたパッケージのインポートは以下の方法で行います。
[管理] > [アップデート] > [ソフトウェア] > [ローカル]>[インポート]>[ファイルを選択]から、ダウンロードした「Agent-*」を選択して実行します。
- [管理] > [アップデート] > [ソフトウェア] > [ローカル] からダウンロードした「Agent-*」を選択して[エクスポート] > [インストーラのエクスポート]をクリックし、インストーラ (Agent-Core-Windows-x.x.x-xxxx_.x86_64.msi) をエクスポートします。対象のコンピュータにて、エクスポートしたインストーラを実行します。
- セットアップウィザードが表示されます。[次へ] をクリックします。
- 使用許諾契約書に同意し、[次へ] をクリックします。
- インストール先フォルダを確認・変更し、[次へ] をクリックします。
- [インストール] をクリックし、インストールを開始します。
- [完了] をクリックします。
- DSM の管理コンソールの [コンピュータ] 画面にて [新規] > [新規コンピュータ] にて、DSA をインストールしたコンピュータを追加します (ポリシーは任意)。
- 追加されたコンピュータのエディタ画面の [概要] > [処理] タブの「ソフトウェア」にある「Relayの有効化」ボタンをクリックし、Relay を有効化します。
一度有効化した Relay 機能を無効化することはできません。
Relay 機能を削除したい場合、DSA をアンインストールし、再度インストールする必要がありますのでご注意ください。
-
- 有効化が完了したら、[コンピュータ] 画面または対象コンピュータエディタの [概要] メニューのアイコンが Relay を示すものに変化し、「ステータス」欄も下図のようになります (セキュリティアップデートが完了すると、使用可能なコンポーネント数がカウントされます)。
- 有効化が完了したら、[コンピュータ] 画面または対象コンピュータエディタの [概要] メニューのアイコンが Relay を示すものに変化し、「ステータス」欄も下図のようになります (セキュリティアップデートが完了すると、使用可能なコンポーネント数がカウントされます)。
Linux 版インストール手順 (DS 11.0 以降の場合)
- DSM の管理コンソールにて、[管理] > [アップデート] > [ソフトウェア] > [ローカル] 画面より 64bit 版 DSA のインストールパッケージ (zip ファイル) を DSM にインポートします。
DSA で Relay 機能を有効化するためには、このインポートが必要となります。 - 対象のコンピュータにインストールパッケージをコピーし、zip ファイル内のインストーラ (Agent-Core-XXXXXX-x.x.x-xxxx_.x86_64.rpm) ファイルを別ディレクトリに展開し、「rpm -i」コマンドでインストールを行います (.rpm 以外の各ファイルも同じフォルダに展開した状態でインストールを行うと、各機能のモジュールがインストールされます)。
ヒント
Ubuntu Linux の場合は、rpm -i コマンドではなく「sudo dpkg -i」コマンドで .deb ファイルをインストールします。
- DSM の管理コンソールの [コンピュータ] 画面にて [新規] > [新規コンピュータ] にて、DSA をインストールしたコンピュータを追加します (ポリシーは任意)。
- [管理] > [アップデート] > [Relayの管理] から、追加するRelayグループを選択して[Relayを追加]をクリックします。
- Relayを有効化するコンピュータを選択して、[Relayを有効にしてグループに追加]をクリックします。
- コンピュータのRelay機能が有効化され、Relayグループに追加されます。
Linux 版インストール手順 (DS 9.5, 9.6, 10.0 の場合)
- DSM の管理コンソールにて、[管理] > [アップデート] > [ソフトウェア] > [ローカル] 画面より 64bit 版 DSA のインストールパッケージ (zip ファイル) を DSM にインポートします。DSA で Relay 機能を有効化するためには、このインポートが必要となります。
- 対象のコンピュータにインストールパッケージをコピーし、zip ファイル内のインストーラ (Agent-Core-XXXXXX-x.x.x-xxxx_.x86_64.rpm) ファイルを別ディレクトリに展開し、「rpm -i」コマンドでインストールを行います (.rpm 以外の各ファイルも同じフォルダに展開した状態でインストールを行うと、各機能のモジュールがインストールされます)。
ヒント
Ubuntu Linux の場合は、rpm -i コマンドではなく「sudo dpkg -i」コマンドで .deb ファイルをインストールします。
- DSM の管理コンソールの [コンピュータ] 画面にて [新規] > [新規コンピュータ] にて、DSA をインストールしたコンピュータを追加します (ポリシーは任意)。
- 追加されたコンピュータのエディタ画面の [概要] > [処理] タブの「ソフトウェア」にある「Relayの有効化」ボタンをクリックし、Relay を有効化します。
一度有効化した Relay 機能を無効化することはできません。Relay 機能を削除したい場合、DSA をアンインストールし、再度インストールする必要がありますのでご注意ください。
- 有効化が完了したら、[コンピュータ] 画面または対象コンピュータエディタの [概要] メニューのアイコンが Relay を示すものに変化し、「ステータス」欄も下図のようになります (セキュリティアップデートが完了すると、使用可能なコンポーネント数がカウントされます)。
実施後チェックリスト
- □DSM と同じ NTP サーバをソースに時刻同期が行われている (時刻にズレがない)
- □DSM の FQDN を名前解決することができる
- □DSM の 4120 番ポートに通信することができる
- □DSM から DSR の 4118/4122 番ポートに通信することができる
- □ds_agent サービスが動作している
- □ds_notifier サービスが動作している (Windows のみ)
<Welcome Pageをご活用ください!>
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!
