因故障重新部署终端安全系统

编者按： 笔者单位的终端安全管理系统因故障出现蓝屏并且无法升级更新，只能重新进行部署。本文讲解如何排除故障并进行重新部署。

根据上级单位管控要求，笔者所在单位前年就部署了360天擎终端安全管理系统。企业级系统部署范围分为服务器端（控制台）和客户端（用户计算机），自部署以来系统运行还算正常。

系统运行故障现象

近期单位管信部运维人员接到多个类似的反馈：最近有多个用户反映客户端升级更新时间很长且升级失败，新购电脑安装客户端软件也无法从服务器提供的链接正常下载安装包，服务器经常死机蓝屏，重启服务器多次故障仍然存在。故障信息如图1 所示。

系统运行故障分析

首先对部署环境进行分析：

安全中心控制台最初是部署在一台DELL 塔式服务器（2012年生产）上，去年年底移植到一台虚拟机上。虚拟机上的部署环境是完全克隆DELL 物理机的环境，操作系统为Windows Server 2008 R2。笔者经过与虚拟服务器实施方工程师沟通，得知控制台端服务器经常死机，可能与虚拟机完全克隆物理机驱动程序Windows Server 2008 操作系统更新补丁兼容性存在问题，实施方工程师建议换一台虚拟机试试。另外与厂商技术工程师联系，技术工程师建议我们使用更高一些的版本Server 操作系统，同时把控制中心主程序包升级到V6R6 版本（现有部署环境包为V6R3）。

重新部署系统控制中心

图1 蓝屏报错信息

在部署的天擎终端安全系统中，安全控制中心是该系统的核心。单位在企业虚拟化平台上规划并构建一个硬件资源优良的Windows Server 2016 服务器虚拟机，IP 地址为10.56.68.195，然后把新的天擎控制中心程序包复制到新部署的虚拟机，按照软件默认方式一步步安装，直到安装完成。

按照提示重启服务器，并进入系统桌面，点击桌面上的“天擎安全控制中心”，进入控制台，设置管理员账号和密码，期间需要绑定的手机安装360 ID 身份令牌App软件，生成外部动态口令，13 s 之内把动态口令输入，验证通过后才能登录到安全控制中心。

进入控制台提示配置授权，选择级联配置，输入上级授权服务器IP 地址10.9.18.1 和端口8080。连接上级后，等待上级授权后控制台方可使用。

打开天擎控制中心首页，提示“未检测到终端，请检查控制中心与终端的网络连接或是立即部署”，点击“终端部署”，弹出对话框，显示http://loacalhost:81 等都是81 端口的链接，如图2 所示。

图2 显示端口出错

单位以前部署的控制中心服务器都是80 端口。而现在客户端电脑上打开“http://10.56.68.195/”下载地址提示报错，原因就是新部署的服务器端口是81而非80。

此时检查并确保新的服务器（如IIS）80 端口未被占用，然后在操作系统中开始菜单里找到 “天擎V6.0-R6控制中心配置向导→服务端配置工具”，将终端通信端口由81 修改为80。

重新登录安全控制中心，首页显示“部署终端169 台”等信息。在客户端电脑上测试http://10.56.68.195/ 下载地址，也能正常打开及下载客户端安装包，几台测试的电脑客户端上的病毒库等均能快速成功更新。

新的安全控制中心部署基本操作完成。

其余的部署可以从旧部署平台下备份策略文件再导入到新部署的控制中心。

系统部署总结

新部署的天擎终端安全管理系统正常运行已有两个星期，服务端（安全控制中心）再未出现蓝屏现象，客户端（用户电脑）及时升级和更新均表现正常。至此，以前系统运行过程出现的故障得以解决。

此次的故障解决办法也得到一些经验，将服务器通讯默认端口81 修改成80，省去到每台电脑上一个一个的安装客户端，大大减少运维人员重复性、繁锁和多余的工作量。

并且，企业级的天擎终端安全管理系统部署应该实现全覆盖。不仅日常办公网络，因企业技术资料数据保密需求而设置物理隔离的内网也需要部署，只有及时得到升级更新，企业终端安全才有保障。

这次成功部署得到领导好评，也大大增长了企业管信技术人员的工作经验，提高了企业IT 运维能力。