Zur Beachtung - Anleitungen

Bitte beachten Sie, daß die bereitgestellten Informationen zum Zeitpunkt der Erstellung im Rahmen von durchgeführten Arbeiten dokumentiert und validiert wurden. In einer geänderten Systemumgebung können für die Schritte Anpassungen erforderlich sein. Dies gilt insbesonders, falls die Informationen Workarounds oder Fehlerbehebungen betreffen. Die Informationen sind entsprechend spezifisch für die Systemumgebung und Version der Systeme zum Zeitpunkt der Arbeiten. Schritte, die sich für uns von selbst erschließen, sind ggf. nicht in den Anleitungen enthalten. Dasselbe gilt auch für konzeptionelle Anleitungen. Diese sind für spezifische Umgebungen und spezifische Erfordernisse erstellt und müssen vor Anwendung überprüft werden, ob sie für die angedachte Umgebung passend sind. Die Verwendung erfolgt auf eigene Gefahr.

Wir raten in jedem Fall dazu, vorab ein Backup in einem Umfang zu erstellen, der die Wiederherstellung der Systeme im Fehlerfall sichert. Dies betrifft bei Active-Directory-integrierten Diensten auch das Active-Directory.

 

Migration F-Secure Policy Manager auf neuen Server

(26.12.2016)

Dieser Beitrag beschreibt die notwendigen Schritte für die Migration des Policy Managers auf neue Hardware. Die Migration wurde hier im Rahmen der Umstellung einer SBS2008-Domäne auf einen neuen Server durchgeführt, die Schritte sind bei der Migration von  und zu anderen Versionen als Windows Server 2008 analog durchzuführen.

Sämtliche Daten des FSPM, inklusive der Schlüssel und der Anmeldedaten, befinden sich in der h2-Datenbankdatei im Datenverzeichnis des FSPM. Dieses befindet sich im Verzeichnis Management Server 5\data\h2db des Installationsverzeichnisses des FSPM, üblicherweise also C:\Program Files (x86)\F-Secure\Management Server 5\data\h2db.

 

Vorbereitungen

  1. Lizenzzertifikat suchen. Auf diesem steht die Kundennummer, diese wird bei der Installation benötigt.
  2. optional: Ports der alten Instanz des FSPM dokumentieren. Die Ports sind im FSPM Status-Monitor sichtbar.
  3. die aktuellste Version des F-Secure Policy Managers herunterladen und auf dem Quell- und dem Zielserver installieren
  4. auf dem Zielserver müssen für die Ports des FSPM (HTTP und HTTPS) Ausnahmen in der Firewall erstellt werden
  5. die Datenverzeichnisse des FSPM auf dem Quell- und dem Zielserver ermitteln

Durchführen der Migration

  1. den Dienst F-Secure Policy Management Server auf dem Quellserver beenden
  2. die Datei fspms.h2 auf dem Zielserver im Datenverzeichnis umbenennen, z.B. nach fspms.h2.orig
  3. den Dienst F-Secure Policy Management Server auf dem Zielserver beenden
  4. die Datei fspms.h2 vom Datenverzeichnis des Quellservers in das Datenverzeichnis des Zielservers kopieren
  5. den Dienst F-Secure Policy Management Server auf dem Zielserver starten
  6. die FSPM-Konsole auf dem Zielserver starten
  7. die Zertifikatswarnung bestätigen
  8. mit dem Benutzernamen und Kennwort vom Quellserver anmelden (wurde mit der h2-Datenbank übertragen)
  9. den neuen Server als Management-Server eintragen
  10. nun müssen zwei Konfigurationsänderungen auf Stamm-Niveau durchgeführt und danach jeweils die Policies verteilt werden, damit die Seriennummer der Policies für alle Hosts um 2 erhöht wird
  11. den Dienst F-Secure Policy Management Server auf dem Quellserver starten
  12. die FSPM-Konsole auf dem Quellserver starten
  13. auf Stamm-Niveau den neuen Server als Management-Server eintragen und die Richtlinien verteilen
  14. der Quellserver darf erst abgeschaltet werden, wenn alle Clients zum neuen Server verbinden und aktualisierte Richtlinien erhalten

Troubleshooting

  • mit Browser vom Client aus auf http://<fspm>:<httpport> und http://<fspm>:<httpport> verbinden. Wird die folgende Website nicht angezeigt, dann werden falsche Ports verwendet, die Firewallausnahmen wurden nicht gesetzt oder der FSPM-Dienst läuft nicht

    Achtung! Kann der Management Agent nicht auf den neuen Server verbinden, dann macht er ein Fallback zurück auf die letzten als funktionierend bekannten Kommunikationseinstellungen. Der Client schreibt dann eine Meldung in die Logdatei und verwendet weiterhin den alten Server, zeigt aber die aktuelle Version beim Richtlinienzähler an. Wenn das passiert, einfach den Richtlinienzähler auf dem Quellserver (und auf dem Zielserver!) um 1 erhöhen, nachdem das Kommunikationsproblem beseitigt wurde.
  • in der FSPM-Konsole können die Versionen der Policies auf dem Server und dem Client angezeigt werden. Dazu muss der Status der Hosts für die Zentrale Verwaltung abgefragt werden. Mit Rechtsklick auf den Tabellenkopf können dann die beiden Spalten für den Richtlinienzähler hinzugefügt werden. Clients rufen nur Richtlinien ab, die einen höheren Zähler haben, als sie selbst.
    fspm zaehler
  • ist der Richtlinienzähler auf dem Client größer als auf dem Server (kann bei einer Migration passieren), dann muss der Richtlinienzähler auf dem Server erhöht werden. Dafür ist es ausreichend, auf Stamm-Niveau eine Einstellung, die auf den Hosts vorhanden ist, zu ändern und dann die Richtlinien zu verteilen. Diese einstellung kann auch das Sperren von Eingabefeldern sein, z.B. der Managementserver-Adresse im Management Agent.
    fspm mgmsrv lockedfspm mgmsrv unlocked
    Nach dem Ändern der Einstellung die Richtlinien verteilen und dann die korrekten Einstellungen wieder herstellen.
Details
Kategorie: F-Secure / WithSecure
Zugriffe: 10694