Forefront Client Security. Szatan zstąpił.

Forefront Client Security jest centralnie zarządzanym antywirusem dla stacji roboczych od naszej ulubionej firmy – Microsoftu. Aktualnie dostępna jest jedna wersja stabilna, została ona wydana w 2007 roku i jest przeznaczona na platformy 32 bitowe. Instalacja tego potworka… jakby to ująć… hymmm… przypomina sen o Angelinie Jolie (nie tej z „Salt”, bardziej tej z „Hakerów”) – Wieczór, zachód słońca wlewa się przez delikatnie poruszające się firanki. W rogu ogromnego salonu, z vinyla ćmi się „All along the watchtower” Hendrixa. Idziesz niepewnie po miękkim dywanie wielkim ja lotnisko. Za plecami słyszysz kroki, postać znika w korytarzu. Biegniesz w jej stronę, wchodzisz do ciemnego pokoju. Na łóżku leży Ona. Bogini. Mimo iż dzieli was kilka metrów, możesz przyrzec że czujesz ciepło jej skóry, jej miękkość. Przesuwasz łapczywie wzrokiem wzdłuż linii jej ciała. Pożerasz centymetr po centymetrze… odwraca się, w kącikach ust pojawia się delikatny uśmiech. Zaprasza cię. I nagle wszystko pęka jak lustro, a ty wpadasz w wielki gotujący się kocioł gówna. Taka właśnie jest instalacja ForeFront. Już myślisz że wszystko masz, a to tylko złuda, przed Tobą jeszcze morze gówna do przepłynięcia.

Dobra dość tych epickich porównań. Wybór Forefronta jako głównego programu antywirusowego może być tylko i wyłącznie podyktowany tym, że firma będąc partnerem MS dostaje go za darmo. Żaden inny powód nie przychodzi mi do głowy, bo po prostu go niema. Ten soft to placebo antywirusowe, ale za darmo, to trzeba brać 😉

Tak więc żeby zainstalować Forefronta tak jak się chce, czyli nie tak jak jest w poradnikach MS. Trzeba się nieźle napocić i przede wszystkim mieć bardzo dużo czasu. Zastanawiacie się pewnie skąd te buntownicze zapędy, dlaczego nie zainstalować go zgodnie z instrukcją. Odpowiedz jest dosyć prosta – moja maszyna do podróży w czasie ma uszkodzony tłumik i strasznie hałasuje. A bez cofnięcia się do 2003 roku nie jestem w stanie sobie przypomnieć gdzie posiałem płytki z instalkami Windows Server 2K3. Dodatkowo mam już WSUS’a w swojej infrastrukturze i niecche drugiego tylko dla wygody Forefronta.

Dodatkowo FF ma taki motyw że nie działa na środowiskach 64bit, nie działa z SQL Server’em innym niż 2005 i… albo to w trakcie, bo takich smaczków jest dosyć sporo.

Krok pierwszy jest dosyć trywialny. Instalujemy bowiem system operacyjny. Maszyna musi mieć 2GB ram i około 40GB powierzchni dyskowej. Wypadałoby aby miała ona również 2 procki. Jako system wybrałem Windows Server 2008 Standard x86. Najważniejszy w nim jest przyrostek x86, pamiętajmy, że na 64bit nie da się tego syfu odpalić. Dodajemy serwer do domeny, ponieważ wszystkie usługi FF, oraz SQL uruchamiać będziemy na poświadczeniach domenowych. Po instalacji robimy snapshota. Przy instalacji FF warto robić migawki po każdym ważnym kroku, bo instalacja jednego elementu trwa zdecydowanie krócej niż stawianie serwera, i instalowanie wszystkich bajerów od początku.  Mój Spapshot Manager wyglądał pod koniec konfiguracji tak:

Następnym krokiem jest uruchomienie na serwerze IIS7, oraz zainstalowanie konsoli GPO. Sprawa wydaje się trywialna, aby zainstalować IIS7, wchodzimy do Server Manager -> Roles -> Add Roles , z listy wybieramy Web Server (IIS). W wyborze ficzerów serwera zaznaczamy wszystko! Dosłownie wszystko, ASP, Autentykacje, zgodność z IIS6 itd. Wszystko. Inaczej FF na 2008 nam nie zadziała. Po zakończeniu instalacji udajemy się do Server Manager -> Features -> Add Features i wybieramy Group Policy Managment. Po pomyślnej instalacji robimy snapshota  i przechodzimy dalej.

Rozpoczynamy instalacje SQL Server 2005 Standard. Moduły które mają się znaleźć za serwerze to: Analysis services, Reporting services, Notification Services, Integration services, czyli w zasadzie wszystkie. Dodatkowo ustawiamy aby wszystkie usługi uruchamiały się na tym samym koncie domenowym. Podczas konfiguracji program zapyta nas o sposób autentykacji – czy ma to być Windows Mode, czy Mixed. Wybór generalnie należy do was. Jakby coś dalej nie grało to ja w tym kroku wybrałem Windows Mode, ze względu że jest to rzekomo bezpieczniejsza opcja. Po instalacji robimy snapshota i idziemy dalej.

Kolejnym krokiem jest instalacja SP2 do SQL Server 2005. Po restarcie robimy snapshota.

Krok ten zabrał mi parę cennych godzin mojego życia. Aby podczas instalacji Forefornta nie wyskoczył nam następujący błąd: „Forefront Install Collection Server Component  Status: Error  Description:   Installs the components for the collection server. 2008” należy zainstalować ASP.NET 1.1, bo drodzy państow 2008 go nie ma na pokładzie. Taaa… pewnie wszyscy wzruszyliście teraz ramionami i pomyśleliście że to oczywiste. To tak oczywiste jak diagnoza dr. Housa jak już ją nam wyjaśni. Wiec nie panoszyć mi się tu i zabieramy się za instalację. Potrzebne nam będą następujące pliki:

Przenosimy je na serwer i zaczynamy po kolei instalować. Może nam się wyłożyć w miedzy czasie IIS ale olewamy to i instalujemy SP1 do .neta który powinien wszystko naprawić. Po pomyślnej instalacji wywołujemy komendę:

%windir%\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis –enable

Sprawia ona że dodajemy do IIS’a rozszerzenie ISAPI. Możemy to również zrobić, przez konsolę. Udajemy się do IIS Manager -> ISAPI and CGI Restrictions -> Add i dodajemy ścieżkę C:\Windows\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll. Robimy snapshot idziemy instalować nareszcie ForeFronta.

Gdy już przeczytamy i zgodzimy się z licencją produktu instalator zaczyna nam zadawać szereg niewygodnych pytań. Pierwszym ekran wygląda tak:

Mamy tu do wyboru role które ma spełniać nasz serwer FF. Jak już wspomniałem WSUS’a już mamy w infrastrukturze, tak wiec rezygnujemy z opcji Distribution Server. Resztę zaznaczamy i przechodzimy dalej,

Podczas tego kroku najważniejsze jest ustawienie nazwy użytkownika domenowego, który ma być odpowiedzialny za uruchamianie naszego ForeFronta. NEXT!

Kolejny krok to ustawianie bazy danych – jedyne co tu zmieniamy to rozmair bazy z 15 na 10, no chyba że macie 3000 komputerów. A jak około 2000 to 10GB powinno wystarczyć 😉 NEXT!

W ustawieniach serwera raportów zmieniamy wielkość bazy z 1GB do 5GB. Bo jak wiadomo w dzisiejszych czasach robactwa jest dużo i zapewne dużo będzie tego w raportach.

Walimy do końca NEXT, i po sprawdzeniu przez FF czy nasz system się nadaje klikamy upragnione Install. Robota skończona, warto jednak wstrzymać się z świętowaniem i zrobić snapshota, zaktualizować system, i rozpocząć wstaną konfigurację. Nie martwcie się polega ona nawpisywaniu tego samego co podczas instalacji i czekaniu.

Generalnie nie podoba mi się strasznie te Forefront. Podczas jego instalacji przypomniały mi się najmroczniejsze czasy zeszłego tysiąclecia, gdy używałem Slackware, nosiłem długie hery i słuchałem DIO. Mroczność objawiała się tym, ze jak chciałem zainstalować, co ja mówię (fu!) skompilować, MC to spędzałem cztery doby na ściganiu bibliotek po systemie, podnoszeniu wersji GCC i tym podobnych cudach. Tydzień mijał a ja w blasku chwały i zsymlinkowaniu całego świata mogłem, jak 10 lat wcześniej użytkownicy Dos, mieć ładnie poukładane pliki w dwóch „okienkach”. Czy tracenie tygodni na takie gówna było sensowne? Teraz uważam, że nie, wtedy to była dobra zabawa, bo poza tym co? Słuchałem DIO i miałem długie włosy, wiec ani z nikim o muzie nie mogłem pogadać, a tym bardziej wyrwać jakiejś czystej dupy 😉 Wracając jednak do meritum, z każdym moim krokiem w osławiony marketingowym szajsem świat oprogramowania MS mam przerażające wrażenie że się cofam do tych mrocznych lat. Cztery dni szukałem rozwiązania jak zainstalować ForeFronta dostosowując go do swoich wymagań. Spędziłem je na żonglowaniu frameworkami, wersjami systemów operacyjnych, SQL’i, mordowaniu się z kontami domenowymi, WSUS’em itd. Generalnie pływanie w morzu gówna. A Angelina była tak młoda i taka piękna i w śnie leżała tuż obok.

Artykuły które były coś warte w necie na ten temat:

About the author

Bloger i niezależny konsultant z wieloletnim doświadczeniem w branży IT. Specjalizujący się w wirtualizacji i cloud computingu. Posiada tytuły MCP, MCTS, VCP oraz VMware vExpert.

Leave a Reply