如何管理和发现WFH端点？

采用远程办公（WFH）的第一步是识别所有员工用于远程工作的端点。每位IT管理员最不希望的就是有未管理的远程端点，因为未打补丁的系统会使您的网络面临大量网络攻击风险，并允许用户安装恶意应用或卸载关键业务应用。

除了本地办公室外，大多数企业还需要管理一个或多个远程办公室。鉴于当前的WFH情况，重要的是使Endpoint Central服务器和分发服务器在适用的情况下对所有远程端点可访问。

根据您所属的类别，请按照该类别提供的步骤继续操作：

1. 我已配置安全网关服务器（SGS）

1.1. LAN代理

所有远程端点将拥有公共IP地址，代理能够与服务器无缝通信，实现无障碍管理。（注：此SGS的公共IP地址将映射至Endpoint Central服务器的私有IP地址）。

1.2. 远程办公室代理

如果远程办公室代理直接与Endpoint Central服务器通信，代理与服务器间的通信不会有问题。但如果代理通过分发服务器（DS）与中央服务器通信，则可能会出现通信障碍，因为DS未配置为边缘设备（且不推荐将DS配置为边缘设备）。

1. 通过执行盒中提供的查询导出分支办公室详细信息。
   • 导航至 左侧窗格的报告选项卡 > 查询报告 > 新建查询报告.
   • 提供报告名称。复制并粘贴盒中提供的查询。
   • 点击 运行报告 以基于执行的查询生成报告。

1. 导航至 管理员选项卡 > SoM设置下的管理范围 > 远程办公室标签.
2. 选择一个远程办公室 > 操作 > 修改.
3. 将通信类型从 通过分发服务器改为直接通信.

注意： 这样操作，所有远程办公室端点将直接联系Endpoint Central服务器，而非通过DS通信。这会增加中央服务器的负载并引发带宽瓶颈问题。然而，您可以按照以下指导减少带宽过载问题。

打破带宽瓶颈的最佳实践

1.3. 漫游用户

为避免Endpoint Central服务器直接暴露于互联网，所有漫游代理与该服务器的通信均通过安全网关服务器路由。

如何转换为漫游代理？

2. 我新配置了安全网关服务器（SGS）

安装和配置SGS后，如果为SGS指定了与Endpoint Central相同的公共IP地址，代理与服务器的通信将无障碍。但若选择不同的IP地址，需确保所有代理与Endpoint Central服务器通信以获取新IP地址，在此期间，Endpoint Central服务器应配置为边缘设备。（注：所有活动代理将在90分钟刷新策略内联系Endpoint Central服务器）。

如何配置安全网关服务器？

2.1. LAN代理和漫游用户

如果代理无法联系Endpoint Central服务器以获取IP地址，请执行以下操作：

根据操作系统，下载并执行以下脚本：[重要提示：下载的脚本中，将示例IP地址替换为SGS的新公共IP地址]

Windows

• 下载 configureDCAgentServerCommunication.bat 文件。
• 右键点击该文件，选择以管理员身份运行。

Linux

• 下载 configureDCAgentServerCommunication_linux.sh.
• 执行以下命令：
  chmod +x configureDcAgentServerCommunication_linux.sh
  sudo ./configureDcAgentServerCommunication_linux.sh [sgs_fqdn/sgs_ip] [例如： sudo ./configureDcAgentServerCommunication_linux.sh joe.manageengine.com]

macOS

• 下载 configureDCAgentServerCommunication_mac.zip.
• 解压文件夹，右键点击文件 > 打开。在弹出窗口中再次点击打开以执行更改。

2.2. 远程办公室代理

1. 根据操作系统，下载并执行以下脚本：[重要提示：下载的脚本中，将示例IP地址替换为SGS的新公共IP地址]

Windows

• 下载 configureDCAgentServerCommunication.bat 文件。
• 右键点击该文件，选择以管理员身份运行。

Linux

• 下载 configureDCAgentServerCommunication_linux.sh.
• 执行以下命令：
  chmod +x configureDcAgentServerCommunication_linux.sh
  sudo ./configureDcAgentServerCommunication_linux.sh [sgs_fqdn/sgs_ip] [例如： sudo ./configureDcAgentServerCommunication_linux.sh joe.manageengine.com]

macOS

• 下载 configureDCAgentServerCommunication_mac.zip.
• 解压文件夹，右键点击文件 > 打开。在弹出窗口中再次点击打开以执行更改。

如果远程办公室代理直接与Endpoint Central通信，请遵循以下步骤：

• 通过执行盒中提供的查询导出分支办公室详细信息。
  • 导航至 左侧窗格的报告选项卡 > 查询报告 > 新建查询报告.
  • 提供报告名称。复制并粘贴盒中提供的查询。
  • 点击 运行报告 以基于执行的查询生成报告。

• 导航至 管理员选项卡 > SoM设置下的管理范围 > 远程办公室标签.
• 选择一个远程办公室 > 操作 > 修改.
• 将通信类型从 通过分发服务器改为直接通信.

注意： 这样操作，所有远程办公室端点将直接联系Endpoint Central服务器，而非通过DS通信。这会增加中央服务器的负载并引发带宽瓶颈问题。然而，您可以按照以下指导减少带宽过载问题。

打破带宽瓶颈的最佳实践

识别WFH端点

确保所有本地办公室和远程办公室端点均可联系Endpoint Central服务器后，识别WFH端点以便更易管理。

使用分发服务器（DS）

由于不建议将分发服务器配置为边缘设备，DS可能无法被所有远程端点访问。然而，端点仍然可以联系Endpoint Central服务器而非DS。根据端点联系Endpoint Central服务器和DS的时间，可以识别WFH端点。

1. 执行盒中提供的查询：

   • 导航至 左侧窗格的报告选项卡 > 查询报告 > 新建查询报告.
   • 提供报告名称。复制并粘贴盒中提供的查询。
   • 点击 运行报告 以基于执行的查询生成报告。
   select Resource.RESOURCE_ID, Resource.NAME, Resource.DOMAIN_NETBIOS_NAME,BranchOfficeDetails.BRANCH_OFFICE_NAME from ManagedComputer inner join BranchMemberResourceRel on ManagedComputer.RESOURCE_ID=BranchMemberResourceRel.RESOURCE_ID inner join BranchOfficeDetails on BranchMemberResourceRel.BRANCH_OFFICE_ID=BranchOfficeDetails.BRANCH_OFFICE_ID inner join AgentContact on ManagedComputer.RESOURCE_ID=AgentContact.RESOURCE_ID inner join Resource on ManagedComputer.RESOURCE_ID=Resource.RESOURCE_ID where BranchOfficeDetails.HAS_MASTERAGENT='true' and AgentContact.LAST_DS_CONTACT_TIME< CurrentTime in millisecond - 172800000 and AgentContact.LAST_CONTACT_TIME >CurrentTime in millisecond - 86400000

2. 重要！
    

   • AgentContact.LAST_DS_CONTACT_TIME 是端点最后一次联系DS的时间。
   • AgentContact.LAST_CONTACT_TIME 是端点最后一次联系Endpoint Central服务器的时间。
   • CurrentTime（毫秒）应从 此链接获取。获取当前时间后，在查询中“CurrentTime in millisecond”位置替换对应值，需替换两个位置后执行查询。
   • 根据您网络中的通信间隔，适当选择AgentContact.LAST_DS_CONTACT_TIME和AgentContact.LAST_CONTACT_TIME。所需值如下：
     • 24小时：86400000
     • 2天：172800000
     • 3天：259200000
     • 4天：345600000
     • 5天：432000000
     • 6天：518400000
     • 7天：604800000

   例如，如果您认为端点应在两天内联系过DS，并在一天内联系过Endpoint Central服务器，则查询应为： AgentContact.LAST_DS_CONTACT_TIME< CurrentTime in millisecond - 172800000 and AgentContact.LAST_CONTACT_TIME >CurrentTime in millisecond - 86400000.

3. 从结果中，您可以判断端点最后一次联系的Endpoint Central服务器时间与联系DS的时间。如果Endpoint Central服务器的最后联系时间早于DS的最后联系时间，则该端点被视为WFH端点。

   例如，若端点最后一次联系DS是在两天前，但最后一次联系Endpoint Central服务器是在24小时前，则该端点为WFH端点。

无DS/直接通信

若端点与Endpoint Central服务器通信，需要执行自定义脚本以判断远程端点是否与Endpoint Central的公共IP地址通信，或私有IP地址通信。若端点与公共IP地址通信，则该端点是WFH端点。

1. 在Endpoint Central创建自定义脚本配置，使用以下任一脚本。根据操作系统，下载并执行对应脚本。

   Windows

   • 下载 configureDCAgentServerCommunication.bat 文件。
   • 右键点击该文件，选择以管理员身份运行。

   Linux

   • 下载 configureDCAgentServerCommunication_linux.sh.
   • 执行以下命令：
     chmod +x configureDcAgentServerCommunication_linux.sh
     sudo ./configureDcAgentServerCommunication_linux.sh [sgs_fqdn/sgs_ip] [例如： sudo ./configureDcAgentServerCommunication_linux.sh joe.manageengine.com]

   macOS

   • 下载 configureDCAgentServerCommunication_mac.zip.
   • 解压文件夹，右键点击文件 > 打开。在弹出窗口中再次点击打开以执行更改。
2. 定义此配置时，传递参数为SGS的IP地址或Endpoint Central服务器的公共IP地址。

3. 脚本成功执行后，执行盒中提供的查询。

   • 导航至 左侧窗格的报告选项卡 > 查询报告 > 新建查询报告.
   • 提供报告名称。复制并粘贴盒中提供的查询。
   • 点击 运行报告 以基于执行的查询生成报告。
   SELECT Resource.NAME as COMPUTER_NAME, Resource.DOMAIN_NETBIOS_NAME AS DOMAIN_NAME, CASE WHEN CollnToResources.remarks_en like '%True%' THEN 'True' ELSE 'False' END as WFH_Status FROM Collection INNER JOIN CollnToResources ON Collection.COLLECTION_ID=CollnToResources.COLLECTION_ID INNER JOIN Resource ON CollnToResources.RESOURCE_ID =Resource.RESOURCE_ID WHERE Collection.COLLECTION_NAME ='configName'

注意： 在 “configName”处，提供所创建自定义脚本配置的名称。