FortiClient:FAQ: Unterschied zwischen den Versionen
4Tinu (Diskussion | Beiträge) |
4Tinu (Diskussion | Beiträge) |
(kein Unterschied)
| |
Aktuelle Version vom 4. Juni 2024, 11:28 Uhr
FortiClient:FAQ
Vorwort
Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Dokumentation
Dokumente FortiClient Version 7.0
| FortiClient 7.0 Windows Release Notes |
|---|
| FortiClient 7.0 Linux Release Notes |
| FortiClient 7.0 macOS Release Notes |
| FortiClient Upgrade Pfad |
| FortiClient Admin Guide 7.0 |
| FortiClient EMS Admin Guide 7.0 |
| FortiClient IOS User Guide 7.0 |
| FortiClient Configurator Tool |
| FortiClient Rebranding Tool |
| FortiClient Compliance Guide |
Dokumente FortiClient Version 7.4
Whats New?
- Datei:FortiClient-FortiClient EMS-NewFeatures-72.pdf
7.2.4 - Datei:FortiClient-FortiClient EMS-NewFeatures-74.pdf
7.4.0
Release Notes:
- Datei:FortiClient-Windows-ReleaseNotes-7.4.0.pdf
- Datei:FortiClient-MacOS-ReleaseNotes-7.4.0.pdf
- Datei:FortiClient-Linux-ReleaseNotes-7.4.0.pdf
Administration:
FortiClient mit EMS
- Datei:FortiClient EMS-AdminGuide-74.pdf 7.4.0
- Datei:FortiClient EMS-QuickStart-74.pdf 7.4.0
- Datei:FortiClient EMS-ReleaseNotes-7.4.0.pdf
- Datei:FortiClient EMS-UpgradePath-Matrix-7.4.0.pdf
- Datei:FortiClient EMS-LizenzGuide-74.pdf 7.4.0
- Datei:FortiClient EMS-CompatibilityMatrix-74.pdf 7.4.0
- Datei:FortiClient EMS-Install-MigrationGuide-74.pdf 7.4.0
add 04.06.2024 - 4Tinu
FortiClient EMS
Gibt es die Möglichkeit FortiClient's Zentral über einen Server zu Verteilen/Verwalten?
Seit FortiOS 5.0 gibt es die Möglichkeit die FortiClients über die FortiGate zu verwalten. Dies bedeutet: Wird die Endpoint Security Version des FortiClient installiert dh. inkl. UTM Features können diese Clients über die FortiGate verwaltet werden anhand UTM Profiles etc. Für diese Art der Verwaltung der FortiClients über eine FortiGate stehen auf jedem Device "free of charge" Lizenzen zur Verfügung. Möchte man mehr FortiClients über eine FortiGate verwalten muss eine entsprechende "pre-pertual" Lizenz (Jährliche Erneuerung) erworben werden, die es ermöglicht eine max. Anzahl FortiClients auf dem jeweiligen Devices zu verwalten. Dies bedeutet: Es exitieren für FortiOS 5.0 sowie 5.2 keine User Lizenzen für die Devices sondern nur max. mögliche Lizenz für einen Device. Weitere Informationen betreffend dieser Möglichkeit und Lizenzen siehe nachfolgenden Artikel:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Ende September 2015 hat Fortinet die Möglichkeit der Verwaltung der FortiClients erweitert dh. FortiClient-EMS (FortiClient Enterprise Management Server). Diese Möglichkeit basieret auf einem Windows Server 2012, 2012 R2 sowie 2008 R2 System über dieses die FortiClients verwaltet werden können. Dieses FortiClient-EMS System ist für grosse Umgebungen gedacht. Die Server Anforderungen sind wie folgt beschrieben:
Die Möglichkeiten die das FortiClient-EMS System umfassen sind nachfolgend in einer Kurzübersicht augelistet (Initial Release 1.0.0):
- Remote Verteilung/Installation der Software des FortiClients auf Windows PC's
- Updates von Profiles (Antivirus, WebFilter usw.) für die Endpoint User unabhängig der Lokation
- Verwaltung der Registration der FortiClients wie Registrierung, De-Registrierung sowie blocken einer Registrierung
- Verwalten der Endpoints wie zB Status, System informationen und Signature Informationen
- Verwalten der Versionen des FortiClient Endpoint Security
Der FortiClient-EMS unterstützt basierend auf "FortiClient 5.2.4" und höher die Verwaltung von Windows basierenden Systemen, MacOSx, Android sowie IOS Systeme. Der FortiClient-EMS Server wird User basierend lizensiert (Packete a 100 User). Dabei gilt 1 Registrierter User = 1 Lizenz. Es steht per Standard eine Trial Lizenz zur Verfügung. Dies bedeutet: Wird ein FortiClient-EMS System installiert so beinhaltet das Produkt eine Trial Lizenz für 60 Tage und 20'000 User. Nach Ablauf der 60 Tage reduziert sich die User Anzahl auf 10. Für eine Installation stehen nachfolgende Dokument zur Verfügung die Auskunft geben wie das Produkt installiert und konfiguriert wird:
EMS Client 1.0.x
EMS Client 1.2.x
EMS Client 6.0.x
| Forti EMS Client Windows Release Notes |
|---|
| Forti EMS Client Upgradepath |
| Forti EMS Client Quick Start Guide |
| Forti EMS Client Admin Guide |
Micro FortiGuard Server
| Microsoft FortiGuard Server Release Notes |
|---|
| Microsoft FortiGuard Server Install Guide |
| Microsoft FortiGuard Server Admin Guide |
Wie wird der EMS Server auf der FortiGate aktiviert?
Der EMS Server muss auf der FortiGate in der Security Fabric konfiguriert werden. Dabei ist zu beachten, wenn die FortiGate mit VDOM betrieben wird, dass der Fabric Connector in GLOBAL konfiguriert wird:
Konfiguration auf der FortiGate:
 Konfiguration über das WebGui: FORTIGATE
|
|
Menu Security Fabric --> Fabric Connectors --> Create New --> FortiClient EMS auswählen
Nun kommt der Hinweis, dass die FortiGate auf dem EMS Server noch nicht autorisiert ist. Folgende Meldung kann weggeklickt werden: Wir sehen dann beim Fabric Conector dass der EMS Server down ist. Dies wird behoben, nachdem auf dem EMS Server die FortiGate autorisiert wird.
|
]]
Konfiguration auf dem EMS Server:
| Konfiguration über das WebGui: EMS Server
|
|
Loge dich nun auf dem EMS Server ein. Um die FortiGate zu sehen muss du über das Menu Administration --> Fabric Devices gehen: Es erscheinen die FortiGates, welche diesen EMS Server als Connector konfiguriert haben: Klicke auf das gelbe Fragezeichen um die FortiGate zu autorisieren. Nun musst du wieder zurück auf die FortiGate gehen. |
Konfiguration auf der FortiGate:
| Konfiguration über das WebGui: FORTIGATE
|
|
Gehe zurück zum EMS Connector, du bekommst diese Meldung am Rand. Bestätige diese mit aply: Nun solltest du folgendes Bild vor dir haben: Der Connector wird jetzt auch Grün angezeigt: |
Wie kann ich ein Zertifikat vom EMS Server auf die FortiGate einlesen?
Beim registrieren des EMS Servers kann es vorkommen, dass auf der FortiGate beim Zertifikat der Hinweis Not authorized erscheint.
Wenn man auf 'Autorize klickt kommt dann folgende Fehlermeldung:
Das bedeudet, die FortiGate hat nicht das Zertifikat des EMS Servers im Inventory und wir müssen es manuell in die FortiGate importieren. Um das Zertifikat zu erhalten müssen wir uns auf den den Windowsserver einloggen auf welchem der EMS Server installiert ist.
| Konfiguration Windows Server:
|
|
Die Zertifikate findet mann am einfachsten in dem man ein Eingabe Fenster öffnet. Gib dazu im Suchfeld CMD ein. Wenn sich das schwarze Fenster geöffnet hat kannst du Nun muss das entpsprechende EMS Zertifikat gefunden werden. Daüf auf Vertrauenswürdige Stammzertifizierungsstelle --> Zertifikate Suche das FortiClient Enterprise Management Server Zertifikat Rechtsklick auf das Zertifikat und zum Exportieren auf Alle Aufgaben --> Exportieren... klicken Es öffnet sich der Export Wizard: Wähle Base-64-codiert X.509(.CER) aus: Gib an wohin das Zertifikat exportiert werden soll. Der Pfad muss von der FortiGate aus erreichbar sein. Nun kannst du mit Fertig stellen den Export abschliessen |
Zertifikat auf die FortiGate imporiteren:
Loge dich auf die FortiGate ein.
| Konfiguration über das WebGui:
|
|
Damit ein Zertifikat impotiert werden kann, muss im WebGui das Feature erst noch aktiviert werden. Gehe dafür über das Menu System --> Feature Visibility und aktiviere das Feature Certificates Nun wird das Zertifikat importiert. Dafür auf das Menu System-->Certificates und dann auf Import Wähle CA Certificate aus Wechsle beim Type auf File und gib den Pfad bei Upload an wo das Zertifikat abgelegt ist. (Datei welche du vorher vom Server exportiert hast). Mit OK wird der Import abgeschlossen. In der Zertifikat übersicht findest du jetzt das importierte Zertifikat: Jetzt kann mann wieder auf dem EMS Connector auf Authorize klicken. Wenn das Zertifikat erfolgreich importiert wurde sollte folgende Meldung erschein: Mit Accept bestätigen und der Fehler ist behoben. |
Was tun wen das EMS-Zertifikat nicht mehr vertrauenswürdig mit der FortClient EMS Cloud ist?
In diesem Artikel beschreiben wir den Fall, in dem das Serverzertifikat für die FortiClient EMS Cloud-Instanz erneuert werden muss. Dabei wirst du als Administrator eine Warnmeldung auf der FortiGate erhalten, sobald das Zertifikat abläuft. Du wirst auch über Email vom FortiEMS Cloud Portal vor Informiert.
Notifikation im WegGui auf der FortiGate:
Email Information von der FortiCloud:
Wie bereits in der obenstehenden Warnmeldung angezeigt, steht die Neuautorisation des FortiGate an. Allerdings könnte dieses Vorhaben aufgrund eines zwischengespeicherten Zertifikatseintrags auf der FortiGate fehlschlagen. Genauer gesagt, könnte es zu folgendem Fehler kommen: "Zertifikatseintrag auf dem FortiGate fehlschlagen".
Wenn die erneute Autorisierung über die CLI erfolgt, kann der folgende Fehler auftreten:
 Konfiguration über die CLI:
|
# execute fctems verify 1 Error in requesting EMS fabric connection: -4 issue in getting capabilities. Server certificate does not match previously configured EMS certificate. Error (-1@_get_capabilities:439). Command fail. Return code -9999 Mit dem CLI Befehl # execute fctems unverify ? 1 (EMS-FortiCloud-Also) 2 (EMS-msalem-lab-srv2019-0003) 3 () 4 () 5 () 6 () 7 () In unserem Fall ist dies die ID 1 # execute fctems unverify 1 FortiClient EMS certificate successfully unverified. |
Nun kann der EMS Server im WebGui wieder authentifiziert werden über den Authorifizierungs Button.
| Konfiguration über das WebGui:
|
|
Menu Security Fabric -> Fabric Connectors -> FortiClient EMS -> edit Im Fenster müsste ein Hinweis für das neue gültige Zertifikat kommen. Dieses gilt es zu bestätigen indem der Button Accept angewählt wird. Als ich dies durchgeführt habe ist folgende Meldung im Status danach erschienen: Ich habe dann das Menu neu geladen, dannach war die Verbindung grün und auf connectet |
add 04.09.2023 - 4Tinu