Перенос SEPM 12 на другой сервер

Вот и возникла задача переноса Symantec Endpoint Protection Manager 12 на другой сервер. Если быть точным, то с моей рабочей станции в виртуальную машину на сервере. На самом деле, не так важно откуда и куда, главное - это перенести. Честно говоря, никогда бы ни подумал, что задача станет какой-то головоломкой, но опять пришлось устраивать "пляски с бубном". Вот и решил поделиться опытом и впечатлениями.

Пролистав документацию в очередной раз, я не нашел упоминания о переносе сервера управления на другой компьютер. Пришлось обратиться к сайту Symantec, на нем и была найдена данная инструкция. В инструкции описывается два случая: первый, когда старый и новый сервер имеет один и тот же IP адрес и доменное имя. Такое решение может пригодится при переустановке ОС на сервере или при полной замене сервера с сохранением существующей адресации. Мне необходим был второй случай, когда старый и новый сервер имеют разные адреса. Подходящее решение разделено на два варианта: использование репликации или восстановление после сбоя. Естественно, я выбрал репликацию, так как в данном случае можно было не останавливать сервер Symantec, да и репликация звучит как-то лучше чем восстановление после сбоя =).

Итак приступаем. Первым делом необходимо установить SEPM на новый сервер. Здесь есть очень важное замечание по поводу версий. Не смотря на предупреждения, я попробовал сразу поставить свежий билд и обломался, репликация работать отказалась. Версии серверов и консолей старого и нового сервера должны совпадать.

Рисунок 1. Ошибка версий консоли.

Далее необходимо запустить мастер настройки сервера управления (можно из меню "пуск"). В мастере только два пункта: первый позволяет изменить настройки текущего сайта, а второй - установить новый сайт. Выбираем второй пункт жмем "Далее".

Рисунок 2. Мастер настройки сервера управления.

На следующем шаге мастер попросит нас внести кое-какую информацию о сайте. Укажем имя сайта, порты и место расположения данных сервера я оставил по умолчанию. На просьбу указать данные администратора, указываем админа старого сервера. Опять "Далее".

Рисунок 3. Параметры нового сайта.

После этого мастер предложит выбрать тип базы данных, так как у меня не большая сеть, я вполне доволен производительностью встроенной базы. Её и выбираем. И "Далее".

Рисунок 4. Выбор типа БД.

Ну и остается только подождать, пока мастер закончит свою работу и произведет репликацию. В зависимости от размеров существующей БД, это может занять продолжительное время. В моем случае около получаса.

Рисунок 5. Репликация базы данных.

Когда мастер завершит работу, можно запускать новый сервер управления. Учетные данные администратора будут точно такие же как на первом сайте. Проверяем, появились ли клиенты на новом сервере. Теперь необходимо настроить приоритет серверов управления. Идем в "Политики/Списки серверов управления" и видим следующую картину.

Рисунок 6. Списки серверов управления.

У нас появилась вторая политика, если заглянуть в неё, то становится ясно, что в разных политиках указан разный приоритет для серверов управления. Выбираем политику, в которой новый сервер управления имеет более высокий приоритет и применяем её к группам компьютеров, которые необходимо на него перевести. В моем случае я применил новую политику ко всем группам и расположениям. После описанных действий, по заверениям Symantec, клиенты получат измененную политику и начнут обращаться к новому серверу.

Да как бы не так! Сразу после получения клиентами новой политики, выключать старый сервер я не стал, решил подождать, пока клиенты перейдут на новый. Ждал день, два, три, неделю... Но клиенты так и оставались на старом SEPM. Решил проверить настройки клиентов. Настройки сервера управления на клиентах хранятся в файле SyLink.xml в каталоге

"C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Config" (Windows 7) или

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\ CurrentVersion\Data\Config" (Windows XP)

Решил проверить данный файл, в нем присутствовали оба сервера и приоритеты тоже были расставлены верно.

Спустя десять дней я решился и выключил старый сервер (завершил службы, удалять пока не стал). Клиенты оставались неподвижны. Ещё через пару дней я удалил старый сервер. В консоли управления у клиентов значок статуса был с красной стрелкой, это означало, что клиент подключен к другому сайту. Так прошла ещё неделя, клиенты не обновлялись и на новый сервер тоже не перебегали.

В конце концов мне это все надоело и я решил удалить старый сервер из списка серверов репликации. И опять никаких подвижек. После этого я решил вручную заменить SyLink.xml на одном из клиентов, в качестве эксперимента. Для этого сперва нужно экспортировать его с сервера управления. Запускаем консоль сервера, идем в "Клиенты", выбираем группу, в которую хотим поместить клиентов и экспортируем параметры связи (последний пункт контекстного меню).

Рисунок 7. Экспорт параметров связи.

Проверяем полученный .xml файл, в нем теперь указан только один сервер управления, его адрес и дополнительная информация.

Заменить SyLink.xml на клиенте, можно как минимум тремя способами:

1. Заменить непосредственно файл SyLink.xml.
Путь, по которому он лежит в я указал выше.

2. Из окна клиента Symantec Endpoint Protection.
В правом верхнем углу выбираем "Справка/Устранение неполадок/Управление/Параметры связи/Импорт". Для данной операции необходимы соответствующие права, у меня политикой запрещены подобные изменения рядовыми пользователями.

3. Использовать утилиту sylinkdrop.exe.
Находится утилита в дистрибутиве, в папке "Tools\SylinkDrop". У меня эта папка была  в отдельном архиве "Symantec_Endpoint_Protection_12.1.1_MP1_Part2_Tools_RU".
Пользоваться утилитой очень просто: запускаем на клиенте, указываем .xml файл и нажимаем "Update SyLink".

Рисунок 8. Окно программы Sylink Drop.

Утилита может работать из консоли без графического интерфейса (ключ -silent). Это удобно для массовой замены параметров связи на клиентах в домене используя logon-скрипт или групповые политики. Для вывода справки запускаем программу с ключом "/?".

Рисунок 9. Параметры командной строки Sylink Drop.

В моем случае получилось так, что в процессе экспериментов было заменено около трети клиентов, а на оставшейся части я просто заменил файл руками по сети, используя любимый файловый менеджер. По данной причине использование скриптов рассматривать не буду, читатель наверняка сможет сделать это самостоятельно.

На этом хотелось бы закончить повествование о трудностях, которые возникли у меня в процессе переноса сервера. Возможно, я где-то ошибся при выполнении переноса, хотя и следовал инструкциям с сайта Symantec. Надеюсь, что вышеизложенное поможет не допустить ошибок и избавит от долгих часов поиска решений.