Intel Unite® 解决方案 企业部署指南 2017 年 5 月
法律声明和版权 此处提供的所有信息可随时改变而毋需通知。如欲获得英特尔最新的产品规格和发展蓝图,请联系您的英 特尔代表。 英特尔技术特性和优势取决于系统配置,并可能需要支持的硬件、软件或服务激活。性能会因系统配置的 不同而有所差异。没有任何计算机系统能保证绝对安全。请咨询您的系统制造商或零售商,也可登录 intel.
目录 1 简介 ................................................................................................................................................................................................. 6 1.1 1.2 1.3 2 Intel Unite 解决方案要求.................................................................................................................................................... 8 2.1 2.2 2.3 2.4 3 4.3 4.4 5.2 5.3 5.4 5.5 5.6 客户端预安装 .................................................................
8.2 8.3 8.4 8.5 8.6 8.7 9 8.1.1 注册帐户 .............................................................................................................................................36 8.1.2 使用现有帐户登录 ..........................................................................................................................36 管理员门户主页 .....................................................................................................................................................37 8.2.1 导航栏 ................
12.7 12.8 警告区:PIN 服务器缓慢 ..................................................................................................................................63 Mac 客户端故障诊断 ..........................................................................................................................................63 12.8.1 企业服务器连接错误 -1003:找不到具有指定主机名的服务器。 ...........................63 12.8.2 企业服务器连接错误 -1001:请求超时 ..............................................................................63 12.8.
1 简介 Intel Unite® 软件为旨在简化协作的安全互联会议室提供技术支持。该软件旨在快速轻松地连接会议中的每个 人。Intel Unite 解决方案现在是当今市面中一个简单、即时协作的解决方案,并为未来功能的添加和创新奠定 了基础。 本文档可用于在企业模式下安装 Intel Unite 软件,了解有关功能的更多信息以及帮助进行故障诊断。 1.1 受众 本文档适用于公司环境中的 IT 专业人员,以及将在企业环境中部署 Intel Unite 解决方案的其他受众。 1.
1.3 Intel Unite 解决方案的新增功能 为了帮助您了解该解决方案中的新增内容,下表归纳了自 1.0 版起增添的各项功能。 2.0 版 3.0 版 3.0 MR 版 iOS 演示支持 3.1 版 扩展显示 适用于 Windows 的硬件 加速音频/视频流处理 (1080 @20-30fps) Windows 10 支持 适用于受保护的访客访问 的插件 管理员门户:安排会议 访客用户登录插件 安排的会议(一间会议 室) 管理员门户:主持人模式 适用于 Skype for Business 的插件 会议锁定 管理员门户:静态 PIN iOS 查看支持 管理员门户:PIN 预留 增强版管理员门户用户体 验,外观得到改进,新增若 干对话框以帮助用户选择设 置选项。 管理员门户:PIN 透明度 管理员门户:禁用远程查看 Chrome OS 支持 Android 支持 Intel Unite® 解决方案企业部署指南 v3.1.
2 Intel Unite 解决方案要求 2.1 企业服务器要求 2.2 集线器要求 2.3 Microsoft Windows* Server 2008 或更高版本 Microsoft Internet 信息服务,并且启用 SSL 这将需要提供内部或公用可信根的 SHA2 Web 服务器证书 根据 Microsoft Internet 信息服务要求进行配置的 SMTP 电子邮件服务器 Microsoft SQL Server 2008 R2 或更高版本 Microsoft .NET* 4.5 或更高版本 4 GB RAM 32 GB 可用存储空间 注:IIS Web 服务器和 Microsoft SQL 数据库服务器可以安装在单独的机器上 Microsoft Windows 7 SP1、8.1 或 10(32 位和 64 位) 建议使用最新级别的补丁程序 Microsoft .NET 4.
2.4 IT 注意事项和网络要求 集线器和客户端安装应使用 IT 部门制定的软件分发流程进行管理。 为了确保可靠性,强烈建议集线器使用有线网络连接。这可防止无线带宽饱和,尤其是在堵塞的区域中。 另一个注意事项是:您需要允许 Intel Unite 软件接受传入连接。这可能要求您为集线器上安装的防火墙添加例 外规则。有关如何创建应用程序例外规则的具体详细信息,请联系您的防火墙供应商。 在生产环境中,强烈建议您使用完全限定的域名 (FQDN),以及设置一个指向企业服务器的 DNS 服务记录。这 将提供最简单的方法供集线器和客户端定位企业服务器。 作为一项安全升级,此应用程序只接受 SHA-2 或更高等级的证书。因此,您可能需要升级 Web 服务器上的证 书。设置期间,与您的 IT 安全团队协作获取 SHA-2 证书。 2.4.
3 部署概述 Intel Unite 解决方案由三个组件组成 – 企业服务器、集线器和客户端。 企业服务器是您将需要设置的第一个组件。启动集线器和客户端应用程序时,它们将使用企业服务器交换连接 信息以及接收 PIN 码分配。 集线器是通常连接到会议室内的显示器或投影仪且基于英特尔酷睿博锐处理器的微型电脑。 通过输入显示的 PIN 码,客户端会按照集线器上显示的说明下载客户端软件并连接到集线器。连接后,客户端 可以演示内容、查看信息和添加批注,此外,还可与连接到同一集线器的其他参与者共享文件,以及与集线器 上安装的各种插件进行交互。 此图表概述了安装的组件。 3.1 部署资源 为了完成安装,您将需要以下各项: 数据库的管理权限 企业服务器的管理权限 集线器的管理权限 您可能还需要: IT 安全管理员来发布 SHA-2 证书 让 IT 安全管理员设置防火墙策略 让 IT 安全管理员创建集线器和客户端定位企业服务器所使用的 DNS 服务记录(强烈推荐) Intel Unite® 解决方案企业部署指南 v3.1.
4 企业服务器安装 4.1 企业服务器概述 企业服务器安装程序包括数据库、PIN 服务器、管理员网络门户和客户端下载页面。 企业服务器包含 4 个组件: 1) Microsoft SQL 数据库:为 Intel Unite 解决方案基础设施维护所有状态信息。 2) Web 服务:标准化的消息传递服务,与数据库以及集线器和客户端进行通信。 3) 管理门户网站:管理集线器和客户端,生成统计数据,并提供监控和警告。 4) 客户端下载登录网页:包含适用于客户端的 Intel Unite 软件。 此外,务必知悉集线器和客户端可以通过以下两种方法(ServerConfig.xml 文件或 DNS 服务记录)之一在您的 网络基础设施上定位您的企业服务器。 建议使用 DNS 服务记录,因为它会为客户端和集线器启用零接触配置。请参阅关于创建 DNS 服务记录的部 分。然而,如果您无法获得 DNS 服务记录,则可以在 ServerConfig.xml 文件中配置企业服务器。请参阅附录 B 以了解 ServerConfig.xml 文件示例。 4.2 企业服务器预安装 4.2.
4.3 企业服务器安装 验证完上一部分(预先安装企业服务器)中的所有步骤之后,请继续运行 Intel Unite 软件安装程序(此流程需 要在托管 IIS 环境的服务器上运行)。 查找 Intel Unite Server.mui.msi 文件并双击以安装在目标服务器上。 安装向导提供安装如下组件的选项:数据库、Web 服务、客户端下载页面和管理门户。 启动 Intel Unite Server.mui.
单击下一步以继续转至自定义安装窗口进行功能选择。扩展数据库功能,并选择以下其中一个数据库 功能:将安装在本地硬盘驱动器上或整个功能将安装在本地硬盘驱动器上。 这将在上一个步骤中提供 的SQL Server 中创建数据库。 单击下一步以验证功能选择并通过单击安装开始安装。 单击完成以完成安装。 您现在已经安装了企业服务器。请继续下一个部分以安装集线器。 可选: 如果您想使用 SQL Management Studio 验证是否创建了 UniteServer 数据库。打开服务器 上的 SQL Management Studio 并连接到 SQL Server。展开左侧窗格中的“数据库”,并确保 已经创建了 UniteServer 数据库。 通过访问管理员门户(如果在服务器上与数据库和 PIN 服务器一起进行了安装)来验证安装 是否成功,并访问以下链接: https://<您的服务器名称>/admin 您可以登录您自己的帐户,或可使用默认管理员帐户(适用于安装新软件): 用户:admin@server.
注意:若在访问管理员门户时收到错误消息,请参阅故障诊断部分。 4.4 卸载 Intel Unite 应用程序 如果您需要卸载此应用程序,则您还需删除先前创建的 UniteServer 数据库和 UniteServiceUser 登录信息,以 免应用程序内发生冲突。在执行该操作之前,请确保已经备份了数据库。 1. 2. 启动 Intel Unite Server.mui 安装程序。 单击删除,然后单击下一步继续操作。 3. 转 至 Microsoft SQL Server Management Studio , 然 后 手 动 删 除 UniteServer SQL 数 据 库 和 UniteServiceUser 帐户。请参阅下图中突出显示的区域。 Intel Unite® 解决方案企业部署指南 v3.1.
5 集线器安装 5.1 集线器预安装 由于集线器必须能定位并签入企业服务器,因此 Intel Unite 应用程序需要集线器防火墙的豁免,才能签入企业 服务器并与之通信。 当您运行集线器安装程序时,它将提示您提供服务器连接详细信息并为您提供绕过手动查找(在安装过程中名 为指定服务器)以从 DNS 服务记录中检索信息的选项。当运行集线器安装程序时,它将编辑 ServerConfig.xml。 根据所选的 PIN 码查找方法,您需要知道在执行安装时使用的是自动查找服务器还是指定服务器选项。 如果您确定 DNS 服务记录存在,则可以选择自动查找服务器。如果不确定,请使用指定服务器选项(手动查 找),并且您需要知道企业服务器的主机名。 如果您已使用公钥编辑 ServerConfig.xml(参阅下一部分公钥),则无需重新为客户端和集线器安装程序输入 密钥。 注:如果已在 ServerConfig.xml 中定义服务器,它将优先于 DNS 服务记录。 5.1.
5.2 集线器安装 找到安装程序文件夹并运行集线器的安装程序:Intel Unite Hub.mui.msi 单击下一步以继续。 选中我接受许可协议中的条款方框,然后单击下一步。 选择企业并单击下一步。 Intel Unite® 解决方案企业部署指南 v3.1.
在此窗口中,您必须指定 PIN 服务器连接设置,您的选择包括: 自动查找服务器:这是推荐选择(默认)。 指定服务器:在此步骤中,您需要知道企业服务器的主机名 o 输入 PIN 服务器的主机名。 o 如果选中了我知道证书公钥,请输入证书公钥。 做出选择,然后单击下一步。 此时将打开目的地文件夹窗口,并显示将在其中安装集线器的默认文件夹。您可以根据需要更改目的地文 件夹,否则,请保留默认位置。在此步骤中,您还可以创建桌面图标。单击下一步以继续。 在此步骤中,您可以返回以查看设置或单击安装以继续。 Intel Unite® 解决方案企业部署指南 v3.1.
当安装结束后,您将看到已完成 Intel Unite® 软件安装向导窗口。单击完成结束安装进程。 当您首次启动应用程序时,您将看到 Intel Unite® 应用程序隐私声明。 Intel Unite® 应用程序隐私声明功能用于收集匿名使用数据。英特尔始终致力于改进其产品,并希望收 集数据来继续加以改进。请选择是或否,如果您不希望再次显示该对话框,请选中该方框。 现在,您将看到屏幕或监视器中显示有 PIN 码。这是客户端连接到集线器所需的 PIN 码。(如果未显 示 PIN 码,请参阅故障诊断部分。) Intel Unite® 解决方案企业部署指南 v3.1.
5.3 集线器配置 通过管理员门户可以为运行 Intel Unite 软件的集线器修改配置选项。管理员门户包含默认配置文件,其中包含 应用于签入企业服务器的所有集线器的默认配置设置。在建立从集线器到企业服务器的连接之后,配置选项会 被推送到集线器。每次集线器签入时,设置都会进行更新。您可以根据贵组织的需要自定义集线器的大多数设 置。例如,每个集线器可以显示不同的颜色、图像、PIN 码大小,可以包含不同插件,等等。 请参阅管理员门户指南部分,进一步了解集线器配置。 5.4 建议采用的集线器实践 为确保提供最佳最终用户体验,集线器应配置为始终随时可用,并禁用屏幕上的系统警报或弹出信息显示。建 议的实践包括以下各项: Windows 应自动登录 Intel Unite 应用程序将执行的域或用户。 应禁用屏幕保护程序。 系统应设置为从不进入待机状态。 系统应设置为从不注销。 显示器应设置为从不关闭。 应禁用系统警报。 5.5 集线器安全性 集线器管理员应确保为每个集线器运用建议采用的安全实践。如果本地用户自动登录,请确保用户不使用管理 特权运行。 5.
安装插件前,请验证是否与您的 Intel Unite 解决方案的目标版本兼容 [请参考专用插件指南,因为插件要求各 异]。 您必须确保在“管理员 Web 门户”上获取和添加所用的每个插件的插件证书哈希值。 注意:对于测试环境,可以使用默认密钥值,但是对于生产环境不建议这样做。 5.6.2 插件证书哈希值 遵循以下步骤找到插件的证书哈希密钥值: o 在 Plugins 文件夹中找到插件,右键单击 *Plugin.dll,然后选择属性(例如 GuestAccessClientPlugin.dll) o 插件属性窗口打开后,找到数字签名选项卡,单击将其打开。 o 选择 Intel Unite 插件并单击详细信息。 o 在数字签名详细信息窗口中,单击查看证书。 o 在证书窗口中,选择详细信息选项卡并向下滚动,直到您看到指纹。 o 选择指纹,当值显示后,将其粘贴到记事本或文本文件中,删除空格并保存。 o 在为插件创建配置式时,将使用该密钥值。也可以在创建配置式之后再创建和输入密钥值。前进至下 一部分,了解更多相关信息。 将值复制粘贴到记事本或文本 文件中,删除空格并保存。 5.6.
使用上一部分所述的记 事本或文本文件中保存 的值。确保输入的值正 确无误(无空格) 关键字:PluginCertificateHash_XXX o XXX 是要添加哈希的插件的名称。例如,为了便于识别,建议为 GuestAccessPlugin 使用与 哈希对应的插件名称。 数据类型:字符串 单位:文本 值:使用在记事本或文本文件中保存的指纹值(如插件证书哈希值部分所述)。也可以在创建密钥之 后输入密钥值。 单击保存。您可以通过选择编辑链接在以后更新相关值。 新密钥将显示在“配置式”窗口中。 您还需通过将验证插件证书哈希设为“是”来启用该密钥,其默认设置为 “否”。 Intel Unite® 解决方案企业部署指南 v3.1.
通过从“是”切换为“否”,或者执行反向操作,您可以选择是启用还是禁用插件。切记,密钥值可确保插件有效 性。 单击“编辑”链接即可将该值更改为 是 并进行保存。 插件设置现已启用。 Intel Unite® 解决方案企业部署指南 v3.1.
6 客户端安装 6.1 客户端预安装 客户端需要能够定位和签入企业服务器。Intel Unite 应用程序需要客户端防火墙的豁免,才能签入企业服务器 并与之通信。 当您运行客户端安装程序时,它将提示您提供服务器连接详细信息并为您提供绕过手动查找(在安装过程中名 为指定服务器)以从 DNS 服务记录中检索信息的选项。当运行安装程序时,它将编辑 ServerConfig.xml。 根据所选的 PIN 码查找方法,您需要知道在执行安装时使用的是自动查找服务器还是指定服务器选项。 如果您确定 DNS 服务记录存在,则可以选择自动查找服务器,最好是使用自动查找以避免输入错误。如果不 确定,请使用指定服务器选项(手动查找),您需要知道企业服务器的主机名。 注:如果已在 ServerConfig.
选择企业并单击下一步 在此窗口中,您必须指定 PIN 服务器连接设置。您的选择有: 自动查找服务器:这是最方便的选择(默认)。 指定服务器:在此步骤中,您需要知道企业服务器的主机名。 o 输入证书公钥:当您选择指定服务器时,将启用此选项。 o 输入证书公钥(如果有并且已选择此方法)。 做出选择,然后单击下一步以继续。 Intel Unite® 解决方案企业部署指南 v3.1.
此时将打开目的地文件夹窗口并显示客户端中安装 Intel Unite 应用程序所在的默认文件夹,您可以根据需 要更改目的地文件夹,否则请保留默认位置。 您可以返回以查看设置或单击安装以继续。 当安装结束后,您将看到已完成 Intel Unite® 软件安装向导窗口,单击完成。 Intel Unite® 解决方案企业部署指南 v3.1.
此时将显示以下连接到一个屏幕窗口: 要连接至集线器,请输入显示器或屏幕上所示的 PIN 码。默认情况下,PIN 码每五分钟更改一次。 请参阅《Intel Unite® 解决方案用户指南》,了解各项功能与用户信息。 Intel Unite® 解决方案企业部署指南 v3.1.
6.3 macOS 客户端安装 找到 Intel Unite macOS X,X.dmg 文件,将软件下载到您的 Mac 客户端上。双击此文件以提取应用程 序。 系统将提示您接受最终用户许可协议。单击同意以继续。 提取时,将文件拖放至 Applications 文件夹。 转至 Applications 文件夹,找到该应用程序,然后单击启动该应用程序。 此时将打开名为输入 PIN 并连接到一个屏幕的屏幕,您可通过输入显示器或屏幕上所示的 PIN 码来连 接集线器,并开始共享。 请参阅《Intel Unite® 解决方案用户指南》,了解各项功能与用户信息。 注意:应用程序将使用 DNS 自动发现(DNS 服务记录)查找企业服务器。可以通过将设置更改为位于用 户的 ~/Library/Preferences 文件夹中的 com.intel.Intel-Unite.plist 来指定默认企业服务器: defaults write com.intel.Intel-Unite EnterpriseServer myServer.mydomain.
将提供两个选项卡: 常规:您可以输入用户的名称、电子邮件和头像。您也可以选择该客户端设备是否将自动连接到企业服务 器(默认),或通过输入已定义的服务器路径来连接企业服务器。 高级:通过此选项卡,您可以启用调试或选择是否仅允许受信任的证书。 6.4 iOS 客户端安装 除了 2010 初版 iPad 之外,此应用程序与其他所有 iPad 兼容。 使用您的 iOS 客户端(例如您的 iPad 设备),访问 Apple 应用商店,下载适用于您的客户端的 Intel Unite 软件。 下载应用程序后,将其打开。 单击右上角的齿轮图标以访问设置,然后输入所需提供的信息。 在设置界面,输入屏幕名称和服务器信息。 您可以选择自动选项来查找服务器。或者,如果您想连接到特定服务器,请单击手动并输入您要连接 的服务器名称。 单击保存。 您可通过输入显示器或屏幕上所示的 PIN 码来连接集线器,并开始共享。 请参阅《Intel Unite® 解决方案用户指南》,了解各项功能与用户信息。 Intel Unite® 解决方案企业部署指南 v3.1.
6.5 Android 客户端安装 在您的 Android 设备上,访问 Google 应用商店,下载适合您客户端的 Intel Unite 软件。 下载应用程序后,将其打开。 单击右上角的齿轮图标以访问设置,然后输入所需提供的信息。 在设置界面,输入屏幕名称和服务器信息。 您可以选择自动选项来查找服务器。或者,如果您想连接到特定服务器,请单击手动并输入您要连接 的服务器名称。 单击保存设置。 您可通过输入显示器或屏幕上所示的 PIN 码来连接集线器,并开始共享。 请参阅《Intel Unite® 解决方案用户指南》,了解各项功能与用户信息。 Intel Unite® 解决方案企业部署指南 v3.1.
6.6 Chrome OS 客户端安装 在您的 Chromebook 设备上,访问 Google 应用商店,下载适合您客户端的 Intel Unite 软件。 下载应用程序后,将其打开。 单击右上角的齿轮图标以访问设置,然后输入所需提供的信息。 在“设置”界面,输入屏幕名称、电子邮件和服务器信息。您可以选择自动选项来查找服务器。或者, 如果您想连接到特定服务器,请单击手动并输入您要连接的服务器名称。 单击保存设置。 您可通过输入显示器或屏幕上所示的 PIN 码来连接集线器,并开始共享。 请参阅《Intel Unite® 解决方案用户指南》,了解各项功能与用户信息。 6.7 客户端配置 客户端配置设置可以通过管理员门户进行更改。管理员门户包含默认配置式,其中包含应用于签入服务器的所 有客户端的默认配置设置。在建立从客户端到企业服务器的连接之后,配置选项会被推送到客户端。每次客户 端签入时,设置都会进行更新。 请参阅配置式配置以了解您的配置选项。 Intel Unite® 解决方案企业部署指南 v3.1.
7 高级安装 7.
7.
HKEY_CURRENT_USER\software\Intel\Unite\PinPadWindows (DWORD) [1 = 应用程序 已准备好输入 PIN 0 = 与 1 的情 况相反] 客户端 HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\SSID 参考:Guest Access 插件指南 设置默认值会 降低访客访问 的安全性 集线器 HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\PSK 参考:Guest Access 插件指南 设置默认值会 降低访客访问 的安全性 集线器 HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\Download 参考:Guest Access 插件指南 默认下载链接 为 http://192.16 8.173.1/downl oad 集线器 HKEY_CURRENT_USER\software\Intel\Unite\ShowAvToggle (DWORD) = 1 客户端 (A/
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\Unite\S4BPlugin Keywords (String) = 逗号,分隔,列表,的,关键字 HKEY_LOCAL_MACHINE\software\Intel\Unite\ LogFile(字符串) Intel Unite® 解决方案企业部署指南 v3.1.
8 管理员门户指南 管理员门户是 Intel Unite 应用程序的管理员 Web 门户,可以用来查看和管理安装有 Intel Unite 应用程序的设 备。它是安装期间与 PIN 服务和 Web 服务器一起在企业服务器上安装的组件之一。(请参阅关于企业服务器 安装的部分)。管理员门户只要有权访问数据库,就不需要与数据库位于相同的服务器上。 除了增加新功能,管理员门户的外观也焕然一新;目前已经添加了帮助菜单和功能信息,以帮助配置集线器和 客户端设备。 要访问管理员门户,请转至浏览器,使用指定的门户链接,链接为:https://<您的服务器名 称>/admin,其中 <您的服务器名称> 表示分配给 Intel Unite 服务器的名称(默认名称 = UniteServer,即 https://uniteserver/admin) IT 管理员运行软件安装程序时,系统会创建默认管理员帐户,用户名和密码如下: 用户:admin@server.
8.1.1 注册帐户 要注册帐户,请确保先从管理员门户注销。 8.1.2 单击导航栏右上角处的注册链接。 在表单中填写所需电子邮件地址和密码,然后单击注册。 或者,您可以在登录到管理员门户后,通过“管理”选项卡来添加/注册用户。 使用现有帐户登录 您可以使用已注册的帐户登录,或是使用安装期间创建的默认帐户。请注意,该帐户享有管理员门户的全部访 问权限,我们建议您更改密码,以确保严格控制用户对门户的访问。 Intel Unite® 解决方案企业部署指南 v3.1.
8.2 管理员门户主页 主页包含一条欢迎消息,并且提供已签入服务器的所有活动系统(客户端和集线器)的快速概览。表中显示了 各系统的名称、为各系统分配的配置式、开(On)/关(Off)状态,以及最后签入时的日期和时间。 可以使用搜索框和多个关键字来筛选此表的条目,每个关键字都将搜索所有列。您可以通过单击“显示 个条目”选项来选择要在此窗口显示多少个条目。您可查看 10、25、50 或 多至 100 个条目。 8.2.1 导航栏 导航栏会将您引导到 Web 门户的不同区域,还会显示当前登录的用户,或者,如果用户未登录,则将显示注 册。 Web 门户包含如下页面和子页面: 设备 组 设备组 配置式 管理 服务器属性 用户 角色 主持人 保留 PIN 遥测技术 安排会议 要了解更多相关信息,请转至此管理员门户章节对应的各个主题部分。 Intel Unite® 解决方案企业部署指南 v3.1.
8.2.2 图标/链接命名方式 通过管理员门户,您将看到风格形式一致的以下图标或链接: 编辑 查看详情 查看设备 删除 包含特定值相关信息的对话框 通过将鼠标置于图标上方,您见看到与各项目有关的信息。 8.
编辑链接 - 单击“编辑”链接即可编辑设备配置式,并将设备分配到特定组 删除链接 - 单击“删除”链接即可从管理员门户删除设备。删除设备前,您将收到一则确认消息。或者,您 也可在左侧栏中选择一个或多个设备,然后单击移除选定设备。 Intel Unite® 解决方案企业部署指南 v3.1.
8.4 “组”页面 组页面在菜单中提供了以下两个选项:设备组和配置式。 8.4.1 “组”>“设备组” “设备组”为您提供了一种根据不同的监视、功能或便捷需求将设备进行分组的方法。您可以将配置式相同或不 同的设备分为一个组。您可以利用此页面创建、查看、编辑和删除组以及每个组的条目。您可以通过单击创建 组并提供组名称的方式来创建新组。 一旦创建了组,您即可: 单击查看设备链接,以便向所选组添加设备或从中移除设备。或者,在右侧栏单击详情链接,即可查 看该组名下各个系统的属性和元数据。 单击编辑链接,即可更新或更改组名称。 若您进行了更改,请单击保存以保留您所做的更改。 Intel Unite® 解决方案企业部署指南 v3.1.
8.4.2 “组”>“配置式” 您可以利用此页面创建、查看、删除和编辑配置式。此页面在布局和功能上与设备组大同小异,但它包含的是 配置式。配置式和组之间的区别在于,配置式包含的是设备配置选项。设备仅能隶属于一个配置式,但可以属 于多个设备组。 配置式页会显示服务器中可用的各配置文件的配置式名称和说明。配置式会应用至所有已签入企业服务器的设 备,您会发现,在管理员门户中不能删除默认配置式。 通过单击查看设备链接,您将看到已分配给所选配置式的各个系统。 通过单击编辑链接,您可以更新配置式名称及其说明。 通过单击某个特定配置式的查看详情链接,您可以访问并编辑默认配置式或新建配置式的密钥和值设置。此时 将会显示一份包含各个密钥及其值的列表,一个用于更新或进行自定义的编辑链接。请参阅配置式配置部分, 详细了解各密钥及其对应值。 8.4.2.1 默认配置式 在管理员门户中无法删除默认(default)配置式,知道不能删除默认配置文件后,您可以创建其他配置式。 Intel Unite® 解决方案企业部署指南 v3.1.
默认密钥和值: 请注意,各个密钥旁边都有一个对话框,将鼠标置于对话框上,您应能看到各个密钥对应的值和/或信息,提供 您编辑密钥之前所需相关信息。请参考下面两个示例: 您也可以参阅配置式配置上提供的表格,详细了解各密钥及其对应值。 Intel Unite® 解决方案企业部署指南 v3.1.
8.5 “管理”页面 “管理”页面下分多个子页面: 服务器属性:用于查看和修改服务器密钥和值的界面。 用户:您可在此页面添加、删除或手动编辑任何帐户。 角色:您可在此处创建新角色、更新现有角色、为用户分配角色,以及根据用户管理需求来编辑相关 权限。 主持人:此功能可供用户通过对功能进行角色分组来控制会议。在此处,您可以轻松添加或删除主持 人。 保留 PIN:此功能可供 IT 管理员将 PIN 分配给特定会议室。PIN 可由系统自动生成,也可由 IT 人员根 据具体会话需求或会议室位置手动设置。 遥测技术:为了查看遥测数据,需要安装适用于 Intel Unite® 解决方案的遥测插件。借助遥测插件,IT 管理员可以收集 Intel Unite 应用程序及连接到每个集线器的客户端设备的使用情况信息。 有关这些子页面的更多信息,请参阅以下部分。 8.5.
通过单击编辑链接,您可以相应地更新各个密钥。 8.5.2 “管理”>“用户” 用户页面将显示一份包含所有已在管理员门户注册过的用户的列表,同时还会显示这些用户的帐户是否已被锁 定,以及它们的角色。您也可通过单击编辑链接来更新此信息。 您可以通过单击创建用户并提供电子邮件、电话号码和密码来添加新用户。创建用户时,您还可分配特定角 色,或采用默认值。若要将访问权限分配给新用户,您可以定义角色并将用户分配给角色。 同样在此页面,通过单击角色本身(默认或管理员),将会打开角色页面。请继续前往下一部分,进一步了解 角色信息。 默认帐户注意事项:如果通过使用默认 admin@server.com 帐户登录来添加新用户,则将不会自动发送电子邮 件验证信息。要手动验证电子邮件地址,请登录新帐户,单击导航栏右上角处的“您好,!”,单击页面底部的发送电子邮件验证按钮。在执行此操作之前,您需要在 web.config xml 文件中编 辑服务器的邮件设置。请参阅关于电子邮件服务器设置的部分 Intel Unite® 解决方案企业部署指南 v3.1.
8.5.3 “管理”>“角色” 此页面将显示当前已经定义过的角色,即管理员和默认。您可以添加新角色,也可以编辑当前角色。角色本身 并非用于管制对门户的访问权限,而是管理不同角色可在门户中执行的具体操作(如创建用户),这将涉及到 一系列用户。 要查看为各个角色分配的活动和权限,请单击右侧栏的齿轮图标,随后将显示权限窗口。所分配的活动可以进 行定制,从而允许一组角色执行对应操作。 要添加新角色,请单击创建角色按钮 并编辑角色名称,然后在角色页面,单击齿轮图标,并选择您希望此角色 执行的活动。这将允许您添加或删除权限。 请记住,可以将用户分配给多个角色。 8.5.
单击添加主持人,手动输入主持人的名称和电子邮件,完成后单击保存。 主持人功能的模式需在集线器的配置式中进行设置,以便基于各系统打造混合环境。要继续操作,请按以下步 骤操作: 转至组页面,选择配置式,单击创建配置式。当窗口打开后,输入您所需的配置式的名称和说明。 创建配置式后,在列表中和配置式旁的右侧栏中找到此文件,然后单击“查看详情”。 在关键字栏,找到主持人模式关键字,然后输入您希望应用至该配置式的模式值。请参阅下文了解有 效值: Intel Unite® 解决方案企业部署指南 v3.1.
主持人说明与值: 012- 无管理:默认模式,会议/会话无主持人,所有参与者享有同等的查看和演示权限,以前的 Intel Unite 软件版本(截至 v3.1)使用此模式。 自行提升:会议/会话无主持人,直至有人将自己的角色升级为主持人。对于这种情况,只有主持 人才能指定由另一位参与者成为主持人。主持人还可在会话期间指定将由谁进行演示。 严格控制:会议/会话仅由指定的主持人进行管理。当主持人加入会话后,他们会自动升级至该角 色。 注意: a. 主持人列表由 IT 管理员通过管理员门户进行管理,主持人将使用与其电子邮件地址关联的密钥来 验证身份。如果用户的角色升级为主持人,管理员门户将向其发送一封包含 URL 的电子邮件。只 要单击此 URL,就会在对应用户的客户端安装主持人标记。用户仅需为每个系统完成一次此流 程。 b. IT 管理员可通过从管理员门户删除用户标记来撤销主持人权限。 c. 为了向主持人发送注册电子邮件,IT 需配置 SMTP 中继,以便此功能正常工作。 d.
当窗口打开后,在“配置式”部分选择为主持人创建的配置式及其所属的组(如果存在),然后选择保 存。 当您填好主持人列表后,只需选中主持人(蓝色框)并单击删除,即可删除任何主持人。要为主持人发送 URL,使其能以主持人身份加入会议/会话,请选择他们的名称,然后单击发送标记。 8.5.4.1 严格控制模式手动标记安装 如果您没有配置 SMTP 中继,您可以获取并手动安装某个已被添加为主持人的用户的主持人标记。要执行此操 作,您需要安装 Microsoft SQL Server Management Studio。 要获取标记: o 添加主持人 o 打开 Microsoft SQL Server Management Studio,使用安装企业服务器时所用的管理员凭据来连接数 据库服务器 o 依次展开“数据库”、“UniteServer”和“表” o 右键单击“dbo.
8.5.5 “管理”>“保留 PIN” 此页面显示两个部分:保留和未保留的系统 PIN 列表,表明会议/会话期间显示的 PIN 是静态的还是非静态 的。IT 管理员可以在所选的会议室中分配系统,用户则可在会议/会话期间输入相同 PIN,或使用默认轮换的 PIN。 保留列表 - 这是 IT 事先配置的保留列表,您可通过单击未保留来取消分配这些信息。 未保留列表 - 这份列表包含的系统都没有进行过静态 PIN 保留配置。PIN 可以手动输入,可以自动生 成,也可从 CSV 文件导入。 在分配 PIN 时,请单击保存来保留相关值。 Intel Unite® 解决方案企业部署指南 v3.1.
8.5.6 “管理”>“遥测技术” 此页面显示管理员门户收集到的遥测数据。为了查看这些数据,必须安装适用于 Intel Unite® 解决方案的遥测 插件。借助遥测插件,IT 管理员可以收集 Intel Unite 应用程序及连接到每个集线器的客户端设备的使用情况信 息。IT 管理员能够查看每个会议室中的连接数、每天连接数、每次连接平均使用时间等信息。请参阅《适用于 遥测的 Intel Unite® 插件指南》,了解详细信息以及如何在您的系统中部署此插件。 Intel Unite® 解决方案企业部署指南 v3.1.
8.6 “安排会议”页面 “安排会议”页面是一种能为会议/会话参与者创建会议 URL 的功能,其目标受众是那些无法安装或使用适合 Microsoft Office 的现有 Intel Unite 插件的参与者。所有参与者均可查看此页面。 单击生成新会议按钮即可创建 URL 并将其发送给将参加会议/会话的用户。 8.7 管理员门户的其他配置选项 8.7.
文件阻止扩展名,显示为阻止的文 件扩展名 文件大小上限,显示为最大文件大 小 全屏空间模式 全屏空间模式背景颜色 全屏空间模式背景图像拉伸 全屏空间模式背景 URL 全屏空间模式说明 全屏空间模式 Pin 颜色 全屏空间模式显示 Pin 全屏空间模式文本颜色 全屏空间模式文本字体 集线器锁定键盘 集线器显示时钟 主持人模式 Intel Unite® 解决方案企业部署指南 v3.1.
发送错误消息电子邮件地址 服务收听端口 磁贴压缩 磁贴尺寸 验证插件证书哈希 8.7.2 2 = 严格控制 分配一个供集线器将向其发送错误消 息的电子邮件地址 供集线器用于侦听传入连接的端口 可供您调节非 AV 内容共享的压缩率。 应用于通过网络传输的显示屏变动部 分(图块)的压缩比 (值越高,使用的带宽越多) 可供您调节非 AV 内容共享的磁贴尺 寸。将屏幕分块时的图块尺寸。各图 块的尺寸,以像素为单位。 插件需要验证 是 = 验证证书哈希 否 = 不验证证书哈希 字符串 整数 整数 整数 布尔值 空 (显示为白色) 0 (0 = 自动分配的 端口) 85 (有效范围:5100) 128 (有效范围:32512) 是 PIN 码刷新间隔 默认 PIN 码刷新间隔为 5 分钟,即集线器上显示的 PIN 码每 5 分钟更改一次。这可以修改 Web 服务站点虚拟 根目录下的 web.config 文件,按照 1 分钟的增量在 2 - 60 分钟之间更改。此文件可以通过 IIS 管理器来访问。 也可以通过导航到 Intel Unite\PinServer 目录来访问此文件。默认情况下,此文件
8.7.4 警报和监控 企业服务器将提供警报和监控服务。这是一种选择加入式服务,可在管理员门户中配置。 配置了警报的任何设备都将被监控;如果经检查不在警报阈值内,将向指定的用户发送一封电子邮件。 若要选择接收有关非活动设备的电子邮件,请确保在管理员门户中将 通知 角色分配给用户。若要选择监控某 个设备,请将关键字 EnableReporting 添加到其元数据,并将值设置为是。 警告阈值在管理 > 服务器属性中配置,并且默认为 60 分钟。 InactiveCount:如果用户想在下次检查时立即收到电子邮件,应将此值设置为较小的数字。 必须在 clocktower.exe.config 文件中指定电子邮件地址(smtp from)和电子邮件服务器(host),该文件位 于:/productfiles/release/clocktower.exe.config。(默认情况下,clocktower.exe xml 配置文件的位置为 C:\Program Files (x86)\Intel\Intel Unite\ClockTower) 此文件中的设置如下: PAGE 559 操作系统和 PC 安全控制 9.1.1 最低安全标准 (MSS) 建议运行 Intel Unite 应用程序的所有设备都满足默认组织 MSS 标准,安装用于打补丁的代理,以及 MSS 规范 中规定的防病毒/IPS/IDS 和其他必要控制措施(McAfee 反恶意软件、IPS、IDS 套件已通过兼容性测试)。 9.1.
10 维护 您的组织和 IT 管理员将确定定期维护程序。推荐实施以下维护任务: 10.1 每夜重启 建议每天重启一次集线器(最好是在夜间),在重启之前运行维护任务,例如:擦除缓存的临时文件,启动标 准补丁安装程序。 10.2 补丁安装策略 如果可用,以无人照管模式(无 GUI 提示)运行标准补丁安装机制,最好是在上述的每夜重启之前进行。 10.3 报告 收集机器正常运行时间指标,根据组织要求创建定制报告。 10.4 监控 使用基于机器检测信号的运行状况跟踪系统,根据需求执行后台正常运行时间分析。 10.4.1 后台监控: 使用标准虚拟服务器监控工具生成警报并将其发送给二级支持人员。 Intel Unite® 解决方案企业部署指南 v3.1.
11 适用于 MacOS 的 Intel Unite 解决方案 11.1 背景材料 适用于 MacOS 的 Intel Unite 软件被打包为主应用包,并且可以利用 IT 专用首选项值。通过这种方式,该应用 可以支持从普通 Mac 管理软件和技术到手动安装以及首选项设置在内的许多通用部署。 11.2 普通连接工作流 默认情况下,该应用将使用 DNS 自动发现(如 DNS SRV 记录)确定要连接到的合适企业服务器。整个工作流 如下: 11.3 (可选)首选项中定义的企业服务器 自动发现以下域: _uniteservice._tcp _uniteservice._tcp.yourSubDomain.yourDomain.yourTLD i. 示例:_uniteservice._tcp.corp.acme.com _uniteservice._tcp.yourDomain.yourTLD i. 示例:_uniteservice._tcp.acme.com 尝试 HTTPS 连接,如果失败,接着尝试 HTTP 连接 uniteservice.yourDomain.
转到企业服务器的 HTTPS 地址 单击地址栏中的锁图标 单击证书页中的 Show Certificate(显示证书)按钮 单击 Details(详细信息)提示三角符号以展开详细信息 向下滚动证书数据,直到找到 Public Key Info(公钥信息)> Public Key(公钥)字段 单击以“256 个字节:”开头的数据字段 此时将展开该数据字段 通过鼠标选择方式或 CMD+A 选择此字段中的所有数据 通过从上下文菜单中选择 Copy(复制)或选择 CMD+C 将数据复制到剪贴板 在 defaults 命令中,将 Public Key String(公钥字符串)替换为剪贴板中的数据。注:您需 要将数据放在双引号之间。 就像定义默认的企业服务器一样,如果设置此选项,则您的用户群将难以连接到其他合作伙伴/地点所 安装的其他 Intel Unite 解决方案。 o o o o o o o o o o 11.
12 故障诊断 12.1 在服务器上安装 Intel Unite 应用程序后,无法到达管理员门户页面 解决方法/解决方案:确保已将 Web 服务器所需的角色和功能添加至该服务器。 12.2 使用服务器管理器将角色和功能添加至服务器 o 服务器角色:Web 服务器 包括管理工具 o 添加 .NET Framework 3.5 功能 o 添加 .NET Framework 4 功能 ASP .NET WCF 服务 HTTP 激活 Web 服务器角色: Web 服务器、常用 HTTP 功能和默认文档。 无法访问管理员门户 如果您在访问管理员门户时遇到提示 Web.config 中存在特定 xml 标记问题的错误页面,请在门户的顶层虚拟 目录(可通过 IIS 管理控制台访问)中从 Web.config 中删除该标记。 通过访问以下链接,验证 Web 服务安装已成功完成: https://<您的服务器名称>/unite/ccservice.
o 12.3 验证是否可以在 xml 文件中查看默认配置文件,如下所示。这表示 PIN 服务可以访 问数据库并成功检索数据。 启用集线器应用程序时出错 弹出窗口显示错误 ID。可根据 ID 确定错误属性。 12.3.1 平台检查失败,出现错误 ID333333 此错误表明集线器通过了平台检查,但无法验证代码签名证书。这通常是由于操作系统没有更新根证书,以致 无法验证 Intel Unite 公共代码签名证书。 确保已将系统连接至互联网,然后打开浏览器并导航至 https://www.microsoft.com(这将强制系统更新根证 书)。 12.3.2 平台检查失败,出现错误 ID666666 此错误表示,该平台与 Intel Unite 应用程序不兼容。请与 OEM 供应商联系,以确保您具有支持运行此应用程 序的平台。 12.4 集线器未从 PIN 服务器中获得 PIN 码 - 显示了滚动短划线 利用调试开关启动集线器上的 Intel Unite 应用程序,即通过命令提示符导航到保存应用程序的文件夹并运行: IntelUnite.
如果仍然看到错误,请为 UniteServiceUser 重置密码。使用 Microsoft SQL Management Studio 并连接到 SQL Server,转到 Security(安全性)> Logins(登录),右键单击 UniteServiceUser 以为 Login Properties(登录属性)打开一个窗口。输入新密码并单击 OK(确定)以保存所做的更改。 12.4.2 未列出服务器。正在尝试 DNS 服务记录: _uniteservice._tcp 解决方法/解决方案: 如果集线器找不到 DNS 记录,则可能会出现此情况。作为调试步骤,请打开命令行窗口,然后运行 nslookup 命令。确保集线器可以对运行 DNS 服务的服务器进行 ping 操作,并且已为 Intel Unite 解决方案创建了 DNS 服务记录。服务记录必须具有以下值:服务:_uniteservice、协议:_tcp、端口号:443 以及提供此服务的主 机:企业服务器的 FQDN。 Intel Unite® 解决方案企业部署指南 v3.1.
12.4.3 无法与机构“uniteserverfqdn”建立 SSL/TLS 安全通道信任关系 最新版本的 Intel Unite 解决方案只接受 SHA-2 或更高版本的证书。您应当与 IT 部门合作,以确保所发布的受 信任的 Web 服务器证书是 SHA-2 证书,且认证路径有效。 为了创建测试环境,请获取 SHA-2 证书或在您的环境中禁用加密。 o 要在不加密的情况下使用 Unite,请跳过接下来的几步(详细说明如何绑定站点,以获得安全端口 443),然后继续安装 MS SQL Server 并准备 DNS 服务记录。您还需要确保在创建 DNS 服务记录之 后,可在端口 80 上找到该服务。 o 另外一种跳过证书检查的方式即是:在集线器和客户端的机器帐户中添加注册表。 HKEY_LOCAL_MACHINE\software\Intel\Unite\AllowInsecureCertificates (DWORD) [如果应跳过证 书算法检查,则输入 1,否则输入 0。(如果采用数值 0,我们会强制企业证书使用 SHA2 证书)] 12.
12.7 警告区:PIN 服务器缓慢 解决方法/解决方案:企业服务器管理 PIN 码的分配并查找 PIN 码以连接到房间。作为一种安全特性,系统使 用指数后退算法来限制用户请求 PIN 码以及从数据库中查询 PIN 码的速度。此后退机制根据用户的 IP 地址和 尝试次数来跟踪所做的尝试。 生产服务器可以使用负载平衡器来帮助在环境中管理负载以及维护冗余。负载平衡器将流量重定向到合适的 Web 服务器。所以,Web 服务器看起来可能正在从相同 IP 地址中接收所有请求,因此会触发后退算法。 数据库包含一个将计算的延迟秒数返回至 Web 服务器的存储过程 (spGetPinBackoffTime)。可以禁用此功能, 使此存储过程始终返回 0。这将禁用安全退避算法。 12.8 Mac 客户端故障诊断 从终端启动 Intel Unite 应用程序 (/Applications/Utilities) 以查看调试消息。 /pathToUnite/Intel\ Unite.app/Contents/MacOS/Intel\ Unite 此应用程序将启动,您将在终端中看到所有调试信息。 12.8.
解决此问题的第一个步骤将是在调试日志中查找 Web 服务。查找 https://您的服务器 /Unite/CCService.asmx。 将此 URL 复制并粘贴到 Safari,并确认 Mac 可以找到 Web 服务。这将验证连接到服务器时是否存在网络问 题,以及是否正在运行企业服务器上的 Web 服务。 12.8.3 企业服务器连接错误 -1200:出现 SSL 错误,无法安全连接至服务器. 与您的 IT 部门合作,获取 Intel Unite 解决方案所需的有效 SHA-2 证书。 12.9 已从客户端设备删除/卸载 Mac OS Intel Unite 应用,并且安装了替代 或更新版本的 Intel Unite 应用,但仍存在旧的安装属性。 适用于 Mac 客户端设备的 Intel Unite 应用程序遵守通用的 OS X 约定,因此,在删除应用时,不会移除用户设 置。 解决方法/解决方案: 从客户端设备卸载 Intel Unite 应用程序。删除这些设置并恢复至干净状态有两种方式。 1.
如果 IT 管理员在管理控制台选择“发送标记”选项,并收到内容为“Database error”(数据库错误)的错误消息 这可能是 SMTP 服务器设置有误。您需要验证 SMTP 电子邮件服务器的设置。 12.12 管理员 Web 门户未正确显示(缺少组件) 执行 Intel Unite 软件升级之后,管理员 Web 门户未完全显示,缺少某些组件,例如文本框、选项或图标。这 是由于 IIS 中的请求筛选选项所阻止的 MIME 类型而造成的。 解决方法/解决方案: 1. 打开 IIS 管理器。 2. 显示 IIS 服务器的属性。 3. 单击 MIME 类型,然后添加 JSON 扩展名: 文件扩展名:.json MIME 类型:application/json 4. 返回到 IIS 服务器属性。 5. 单击处理程序映射。 添加脚本映射 请求路径:*.json 可执行文件:C:\WINDOWS\system32\inetsrv\asp.dll 名称:JSON 6. 在连接窗格中,进入您要修改其请求筛选设置的连接、站点、应用程序或目录。 7. 在主页窗格中,双击请求筛选。 8.
附录 A.企业服务器准备 启用 IIS 对于 Windows 2008: 在 Windows Server 2008 中,您需要下载 .NET Framework 4.5 的更新 (https://www.microsoft.com/zhcn/download/details.aspx?id=40779) 单击 Start(开始),指向 Administrative Tools(管理工具),然后单击 Server Manager(服务器 管理器)。 在 Roles Summary(角色摘要)中,单击 Add Roles(添加角色)。 使用 Add Roles Wizard(添加角色向导)添加 Web Server (IIS)(Web 服务器 (IIS))角色(选中此 框)。 单击 Next(下一步),直到显示 Select Role Services(选择角色服务)窗口。 在 Application Development(应用程序开发)部分中,验证是否已选中 ASP.NET,如未选中,请选 择它。请注意,默认情况下未选中 ASP.NET。为 ASP.
创建角色后,在 Roles(角色)菜单中,转至 Web Server (IIS)(Web 服务器 (IIS)) - 在窗格右侧, 转至 Internet Information Services (IIS) Manager(Internet 信息服务 (IIS) 管理器)并在左侧 Connections(连接)窗格中选择服务器。 参考:Windows Server 库链接 在 Windows Server 2008 上安装 IIS 注意:最新版本的 Intel Unite 解决方案只接受 SHA-2 或更高版本的证书。您应当与 IT 部门合作,以 确保所发布的受信任的 Web 服务器证书是 SHA-2 证书,且认证路径有效。 为了创建测试环境,请与证书授权团队合作,以获取 SHA-2 证书,或者禁用加密。 o 要在不加密的情况下使用 Unite,请跳过接下来的几步(详细说明如何绑定站点,以获得安 全端口 443),然后继续安装 MS SQL Server 并准备 DNS 服务记录。您还需要确保在创建 DNS 服务记录之后,可在端口 80 上找到该服务。 o 或者,您可以在集线器和客户端的机器帐户中添加注
在“功能”中,为 IIS 添加以下功能(因为这些功能并非默认选项): o o .NET Framework 3.5 功能 ASP.NET 4.5 o WCF 服务 o HTTP 激活(遇到提示时,添加 HTTP 激活所需的功能),并单击 Next(下一步)。 注:.NET 3.5 在安装过程中可能会出错。如果目标计算机无法访问 Windows 更新,请提供备用的来 源路径。单击 Specify an alternate source path(指定备用源路径)链接,以在安装介质上指定 \sources\sxs 文件夹的路径。 参考:https://technet.microsoft.com/zh-cn/library/dn482071.aspx 在“角色服务”页面中,将 Web Server Role (IIS)(Web 服务器角色 (IIS))作为角色添加至您的服务器 或者接受默认值。 选择要为 Web 服务器安装的以下角色服务: o 通用 HTTP 功能 o 默认文档 Intel Unite® 解决方案企业部署指南 v3.1.
单击 Next(下一步)以继续,并单击下一个窗口中的 Install(安装),以安装选择的角色和功能。 创建角色后,在 Roles(角色)菜单中,转至 Web Server Role (IIS)(Web 服务器角色 (IIS))- 在窗 格右侧,转至 Internet Information Services (IIS) Manager(Internet 信息服务 (IIS) 管理器)并在左 侧 Connections(连接)窗格中选择服务器。 注意:最新版本的 Intel Unite 解决方案只接受 SHA-2 或更高版本的证书。您应当与 IT 部门合作,以 确保所发布的受信任的 Web 服务器证书是 SHA-2 证书,且认证路径有效。 为了创建测试环境,请禁用加密或创建自签名 SHA 2 证书。 o 要在不加密的情况下使用 Unite,请跳过接下来的几步(详细说明如何绑定站点,以获得安 全端口 443),然后继续安装 MS SQL Server 并准备 DNS 服务记录。您还需要确保在创建 DNS 服务记录之后,可在端口 80 上找到该服务。 o 以管理员的身份运行以下 PowerShell
Microsoft SQL Server 安装 企业服务器需要 MS SQL 才能运行,最低要求为版本 2008 R2 或更高版本。如果您希望运行“测试环境”并适应 此应用程序,则可以安装新的专用 SQL Server,但这不是必须的。Intel Unite 应用程序将会在现有数据库中创 建其自己的数据库、数据表和索引,不会干扰其他数据表或现有数据 请参阅下文,了解如何安装 MS SQL 2014 运行 SQL Server 安装程序并打开 SQL Server 安装中心。单击左侧窗格中的 Installation(安装)并选择 New SQL Server stand-alone installation or add features to an existing installation(全新 SQL Server 独立安 装或向现有安装添加功能)。 输入产品密钥,接受许可条款并单击 Next(下一步)。 Intel Unite® 解决方案企业部署指南 v3.1.
选择 Use Microsoft Update to check for updates (recommended) (使用 Microsoft Update 检查更 新(建议))以检查更新,并单击 Next(下一步)。在下一个窗口中,安装程序将查找产品更新并安 装所需的更新。若要继续,请单击 Next(下一步)。 在安装之前,SQL 安装程序将检查潜在故障以及是否满足要求。单击下一步以继续。 选择 SQL Server Feature Installation(SQL Server 功能安装)并单击 Next(下一步)。 Intel Unite® 解决方案企业部署指南 v3.1.
在 Feature Selection(功能选择)下面,选择 Database Engine Services, Management toolsComplete(数据库引擎服务、管理工具 - 完整)并单击 Next(下一步)。 指定 SQL Server 的名称和实例 ID 并单击 Next(下一步)。 指定每个服务的服务帐户,并单击 Next(下一步)以继续。 Intel Unite® 解决方案企业部署指南 v3.1.
选择“混合模式验证”(包括 SQL Server 和 Windows 身份验证),指定 SQL Server 管理员并单击 Next(下一步)。 确认要安装的功能并单击 Install(安装)。 安装完成后 Close(关闭)此对话框。 Intel Unite® 解决方案企业部署指南 v3.1.
创建 DNS 服务记录 在自动查找企业服务器过程中,集线器或客户端将使用 DNS 服务定位企业服务器。您也可以使用手动查找, 但强烈建议使用 DNS。如果计划在集线器和客户端安装过程中手动提供企业服务器主机名,则可以跳过此部 分。 使用 DNS 服务记录时,集线器或客户端将在 DNS 服务记录 _uniteservice._tcp.example.com 86400 IN 0 5 443 uniteserver.example.com 内查找名为 _uniteservice._tcp 的服务。 要在 Microsoft Windows 中添加 DNS 服务记录: 在您的 DNS 服务器上,打开 DNS 管理器。 展开“Forward Lookup Zones(正向查找区域)”区域(左侧窗格)。 右键单击该区域,选择“Other New Records...(其他新记录...
附录 B.ServerConfig.xml 示例 在安装 Intel Unite 软件的集线器和客户端组件期间,会创建 ServerConfig.xml 文件。对于集线器和客户端,此 xml 文件的默认位置分别为 C:\Program Files (x86)\Intel\Intel Unite\Hub 或 C:\Program Files (x86)\Intel\Intel Unite\Client。 在集线器或客户端上安装 Intel Unite 软件期间,选择指定服务器并输入服务器主机名,或者手动输入公钥时, 即可编辑此文件。 如果希望在安装之后编辑 serverconfig.xml 文件,请导航到此文件所在的文件夹并进行所需的更改。 如果已在 ServerConfig.xml 中定义服务器,它将优先于 DNS 服务记录。 Intel Unite® 解决方案企业部署指南 v3.1.
附录 C.Intel Unite 解决方案 - 安全概述 Intel Unite 软件 - 安全流 本部分简要说明 Intel Unite 应用程序的安全状况。连接的安全状况分以下四个步骤进行讨论: 1. PIN 码分配 2. PIN 码查找 3. 连接初始化 4. 批准连接 下图包含关于客户端(采用英特尔博锐技术)与集线器应用程序如何从企业服务器安全接收 PIN 码、解析 PIN 码以及建立连接的高级概述。 Intel Unite® 解决方案企业部署指南 v3.1.
步骤 1:PIN 码分配 下图展示了 PIN 码的分配方式。此过程中的所有网络通信均通过 Web 服务采用 SSL 加密 (TCP 443)。 除了接收 PIN 码之外,集线器和客户端还会向服务器注册其连接信息和公钥。公钥在连接过程中使用,用于验 证各组件确实是在与预期目标通信。 注:客户端(采用英特尔博锐技术)与集线器的 PIN 码分配采用相同的过程。 另外,请注意以下事项: PIN 码刷新间隔可配置。 在集线器或客户端发送连接信息时,本地主机 (127.0.0.0/8) 和 169.254.0.0/16 网段中的 IP 地址将被 忽略。 TCP 端口可按照客户端或集线器进行配置,也可通过管理员门户中的配置文件推送。默认行为是由操 作系统分配端口。 过期的 PIN 码最多可进行 15 秒的访问。 过期的 PIN 码在过期后的 5 分钟内不会再次分配,确保用户不会意外连接到错误的显示器。 Intel Unite® 解决方案企业部署指南 v3.1.
步骤 2:PIN 码查找 下图展示了企业服务器解析 PIN 码的方式。PIN 码查找过程中的所有网络通信均通过 Web 服务采用 SSL 加密 (TCP 443)。 用户在客户端中输入目标 PIN 码时,客户端会将 PIN 码发送到企业服务器,以便获取连接信息。查找成功后, 企业服务器会返回目标的有效连接信息。目标可以是运行 Intel Unite 软件的集线器或客户端(采用英特尔博锐 技术)。 除了接收连接信息之外,还会提供目标公钥,从而使客户端应用程序可以确认其与正确的目标通信。 注意:集线器和客户端的 PIN 码查找采用相同的过程。 PIN 码查找阻止 为防止攻击者尝试从企业服务器获得 PIN 码,失败的尝试将被记入日志。用户在 10 秒内最多只能有 3 次失败 的尝试,之后阻止机制就会强制实施响应延迟(2^x 秒,其中 x= 5 分钟内的失败尝试次数)。 Intel Unite® 解决方案企业部署指南 v3.1.
步骤 3:连接初始化 下图展示了连接的初始化方式。客户端会初始化与目标(运行 Intel Unite 软件且采用英特尔博锐技术的集线器 或客户端)的 TCP 对等连接,并启动 SSL 握手。目标提供的证书将转为哈希码,并与客户端在步骤 2 中收到 的哈希码对比。此类验证能防范攻击,也能防范 DHCP 客户端的 IP 地址发生变化的情况。 Intel Unite® 解决方案企业部署指南 v3.1.
步骤 4:连接批准 下图展示了在客户端与目标(可能是运行 Intel Unite 软件且采用英特尔博锐技术的集线器或客户端)之间建立 连接的方式。目标验证了 PIN 码和客户端证书之后,它会接受连接,因此系统会在客户端与目标之间建立连 接。 Intel Unite® 解决方案企业部署指南 v3.1.
附录 D.Intel Unite 解决方案 – 负载平衡器 本章简要介绍如何在负载平衡器/代理后面解决 PIN 后退。 如果您在负载平衡器后面,则需要确保 SQL 存储的过程 dbo.spGetPinBackoffTime 始终返回 0。 步骤: 更改存储的过程 dbo.spGetPinBackoffTime。您可以注释掉全部内容,仅在末尾使用“select 0”。 执行脚本。 如果您不在负载平衡器后面,则需要确保将存储的过程保留为默认值。 Intel Unite® 解决方案企业部署指南 v3.1.
