檢視次數:

請檢查您的 OfficeScan 伺服器設定,確認是否使用了以下功能:

  • 虛擬桌面支援 (VDI) — 適用於非持久性 VDI 環境
    1. 開啟 ..\Trend Micro\OfficeScan\PCCSRV\ofcscan.ini 檔案
    2. [INI_SERVER_SECTION] 區段中,檢查是否存在 EnableCheckClientMacAddress 並且其值為 1.
    3. 若該項目不存在或其值為 0,請手動新增或修改為 1.
  • 使用 VPN 用戶端 (例如 Cisco AnyConnect):
    1. 開啟 ..\Trend Micro\OfficeScan\PCCSRV\ofcscan.ini 檔案.
    2. [Global Setting] 區段下手動新增以下兩個設定,並將值設為 1.
      [Global Setting]
      SP_DisableTbimdsaRegistryKeyProtection = 1
      SP_DisableTmLwfRegistryKeyProtection = 1
    3. 儲存並關閉該檔案.
    4. 開啟 Apex One as a Service 的 Web 主控台,前往 Agents > Global Agent Settings 畫面.
    5. 點選 Save,將設定部署至所有 Agent.
    6. Apex One as a Service 伺服器會將指令部署到所有 Agent,並於各 Agent 電腦中新增以下登錄機碼:
      機碼路徑: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS
      機碼名稱: SP_DisableTmLwfRegistryKeyProtection
      類型: DWORD
      值: 1
     
    此設定需要 OfficeScan XG Hot Fix Build 1721 或 OfficeScan XG Service Pack 1.
     

在確認上述機碼已設定後,請依下列步驟操作:

  1. 開啟 OfficeScan Web 主控台,前往 Agents > Global Agent Settings 畫面
  2. 點選 Save,將設定部署至所有代理程式

部署階段注意事項

依目前設計,只要代理程式開始回報至 Apex One as a Service,系統將自動下載新的程式套件並啟動代理程式升級程序

若您一次性遷移所有代理程式,而網路頻寬不足,可能會導致企業網路中斷

由於 Apex One as a Service 代理程式套件的大小會因 病毒碼 / 程式檔案版本 更新而有所變化,建議直接從 Apex One as a Service 下載 MSI 安裝套件,以取得最新準確的套件大小資訊

您也可以從 Apex One as a Service 下載 MSI 安裝檔,並利用其他第三方工具 (如 Microsoft Endpoint Configuration Manager (SCCM) ) 進行部署,以節省下載套件所消耗的頻寬

 

代理程式轉移後的網路流量預估

代理程式轉移至 Apex One as a Service 後,將會開始與伺服器進行以下通訊活動:

  • 元件更新
  • 政策佈署
  • 檔案信譽評等服務 / 網頁信譽評等服務, 預測式機器學習等功能

根據內部測試結果,每個代理程式每日約產生 22MB 的網路流量,但實際數值可能因個別情況而異

 
若要降低元件更新與原則部署所產生的流量,可設定「Update Agent」。詳細說明請參考以下文章: Configuring OfficeScan/Apex One clients/agents to act as Update Agents.
建議您先在小範圍內部署 Apex One as a Service 代理程式,並監控網路使用情況,再逐步遷移其餘代理程式

 

關於 OfficeScan XG SP1 及 Apex One 使用 HTTPS 的通知

OfficeScan XG SP1Apex One 已將代理程式與伺服器之間的通訊轉為使用 HTTPS (TLS) 協定,轉換為 HTTPS 後,伺服器通訊埠也會從原本的 HTTP (預設埠:8080) 變更為 HTTPS (預設為:4343,與 Web 主控台相同)

某些環境可能會因多種因素 (例如 SSL/TLS 環境設定不一致、防火牆封鎖 HTTPS 通訊埠等) 而遇到 HTTPS 通訊問題,這可能導致代理程式顯示離線、升級失敗,或無法上傳記錄與隔離檔案

更多細節請參考以下文章: Potential issues with HTTPS communication in OfficeScan XG Service Pack 1 and Apex One.

 

代理程式 Proxy 設定

在遷移 OfficeScan XG 代理程式至 Apex One as a Service 前,請務必檢查 Agent Proxy 設定,請至 Web 主控台 Administration > Settings > Proxy 檢查

若在 OfficeScan XG 中未啟用代理程式 Proxy 設定,將會導致轉移失敗

由於該設定為全域設定,請評估啟用後是否會影響其他代理程式。您可考慮部署另一個 OfficeScan 環境並設好 Proxy 設定,以協助進行遷移流程;或者,使用「解除安裝再重新安裝 Apex One as a Service 代理程式」的方法來完成升級

 

 
如果您目前使用 Control Manager 原則來管理多台 OfficeScan 伺服器,也可以從 Control Manager 主控台匯出原則,並直接匯入至 Apex One as a Service
 
在內部部署的 OfficeScan 伺服器上操作:
  1. 確認 OfficeScan XG 伺服器版本為 Service Pack 1 (SP1) Build 4345 或更高版本
  2. 將下載好的 Apex One Settings Export Tool 套件解壓縮到本機,例如:C:\temp\PolicyExportTool
  3. 開啟命令提示字元(Command Prompt),並切換目錄至 PolicyExportTool
  4. 以系統管理員身份(Administrator)在 OfficeScan 伺服器上執行該工具

    Server Migration tool

    成功執行後,此工具會產生3個檔案:

    Run the tool

    • Server_Settings_Migration.zip. 包含全域設定,匯入多個此檔案會覆蓋之前的設定,因此建議僅從單一伺服器匯入
    • ApexOne_Agent_Policies.zip. 包含從 OfficeScan 伺服器設定產生的代理程式原則,可從多台內部部署的 OfficeScan 伺服器匯入,每次匯入都會建立相應的新原則
    • ApexOne_Agent_DLP_Policies.zip. 包含從 OfficeScan 伺服器上的 DLP 設定產生的原則,也可從多台內部部署的 OfficeScan 伺服器匯入,每次匯入都會建立對應的新 DLP 原則

在 Apex One as a Service 上:

  1. 登入 Apex Central
  2. 匯入代理程式設定原則:
    1. 前往 Policies > Policy Management
    2. 要匯入代理程式原則時,選擇產品為 Apex One Agent,然後點選 Import 按鈕,選取 ApexOne_Agent_Policies.zip(或您重新命名的檔案),再點選 Open.

      系統將產生並顯示對應的新原則。這些原則預設目標為「無」(None),因此在管理員審核並設定目標之前,這些原則不會套用到任何代理程式。 原則名稱會依格式為 CLN_ServerName_DomainName 命名 (其中 ServerName 與 DomainName 會替換成來源 OfficeScan 伺服器的對應值)

    3. 對於其他內部部署伺服器的原則匯入,也請重複此流程

      Repeat the process for other on-premise servers

  3. 匯入代理程式的 DLP 原則 (如有需要) :
    1. 前往 Policies > Policy Management
    2. 匯入代理程式原則時,選擇產品為 OfficeScan Data Loss Prevention,然後點選 Import 按鈕,選取 ApexOne_Agent_DLP_Policies.zip (或您重新命名的檔案) ,再點選 Open

      系統將產生並顯示對應的新原則。這些原則預設目標為「無」(None),因此在管理員審核並設定目標之前,這些原則不會套用到任何代理程式。原則名稱會依格式為 DLP_ServerName_DomainName 命名 (其中 ServerName 與 DomainName 會替換成來源 OfficeScan 伺服器的對應值)

    3. 對於其他內部部署伺服器的原則匯入,也請重複此流程

      Repeat the process for policies

  4. 匯入 OfficeScan 伺服器設定:
     
    此流程僅允許匯入單一台 OfficeScan 伺服器的設定,匯入多個設定會覆蓋先前的內容
     
    1. 前往 Directories > Product Servers

      Product Server

    2. 點選連結開啟 Apex One as a Service 主控台
    3. 在主控台中,前往 Administration > Settings > Server Migration

      Server Migration settings

    4. 點選 Import Settings 按鈕,匯入 Server_Settings_Migration.zip

      Import settings

      Confirm to import

 
在將內部部署的 OfficeScan 代理程式移轉至 Apex One as a Service 前,請務必確認代理程式與伺服器之間的通訊已使用 HTTPS,如果先前設定為 HTTP (例如參考本知識庫文章 進行了 ASE=0 的設定),請先恢復為 HTTPS,否則轉移可能會失敗
 

將代理程式從內部部署的 OfficeScan 伺服器移轉至 Apex One as a Service 的步驟如下:

  1. 登入 Apex Central
  2. 前往 Directories > Product Servers
  3. 確認伺服器類型為 Apex One as a Service,並確認該伺服器名稱已列出

    Check the Server Type

  4. 在內部部署的 OfficeScan 伺服器中,前往 Agents > Agent Management
  5. 從列表中選取要移轉的代理程式
  6. 點選 Manage Agent Tree > Move Agent

    Manage Agent Tree and move agent

  7. 選擇 Move selected agent(s) to another OfficeScan server
  8. 輸入從 Apex One as a Service 複製的伺服器 URL,使用 SSL 埠號 443 以及 HTTP 埠號 80

    Enter the server URL

  9. 點選 Move 按鈕完成移轉
 
  • 為確保代理程式能順利移轉至 Apex One as a Service,請確認代理程式能正常連接網際網路
  • 若端點電腦能夠連網,亦可在主控台的 Administration > Settings > Proxy 中,將代理程式的 Proxy 設定調整為「使用 Windows Proxy 設定」,並將新的 Proxy 設定套用至所有代理程式
  • 請確認防火牆已設定允許與 Apex One as a Service 伺服器通訊,包含將 Apex One as a Service 的 DNS 名稱與 IP 列入白名單:Whitelisting Apex One as a Service DNS Name and IPs.
 

如需將 Active Directory 與 Apex One as a Service 整合,您可以參考此 文章

更多詳細資訊,請參考 Apex One as a Service 轉移指南

 
關鍵字: OfficeScan as a Service,OSCE SaaS migration,on-prem migration,migrate to OSCE SaaS,migrate to officescan as a service