Migration F-Secure Policy Manager auf neuen Server

(26.12.2016)

Dieser Beitrag beschreibt die notwendigen Schritte für die Migration des Policy Managers auf neue Hardware. Die Migration wurde hier im Rahmen der Umstellung einer SBS2008-Domäne auf einen neuen Server durchgeführt, die Schritte sind bei der Migration von  und zu anderen Versionen als Windows Server 2008 analog durchzuführen.

Sämtliche Daten des FSPM, inklusive der Schlüssel und der Anmeldedaten, befinden sich in der h2-Datenbankdatei im Datenverzeichnis des FSPM. Dieses befindet sich im Verzeichnis Management Server 5\data\h2db des Installationsverzeichnisses des FSPM, üblicherweise also C:\Program Files (x86)\F-Secure\Management Server 5\data\h2db.

Vorbereitungen

1. Lizenzzertifikat suchen. Auf diesem steht die Kundennummer, diese wird bei der Installation benötigt.
2. optional: Ports der alten Instanz des FSPM dokumentieren. Die Ports sind im FSPM Status-Monitor sichtbar.
3. die aktuellste Version des F-Secure Policy Managers herunterladen und auf dem Quell- und dem Zielserver installieren
4. auf dem Zielserver müssen für die Ports des FSPM (HTTP und HTTPS) Ausnahmen in der Firewall erstellt werden
5. die Datenverzeichnisse des FSPM auf dem Quell- und dem Zielserver ermitteln

Durchführen der Migration

1. den Dienst F-Secure Policy Management Server auf dem Quellserver beenden
2. die Datei fspms.h2 auf dem Zielserver im Datenverzeichnis umbenennen, z.B. nach fspms.h2.orig
3. den Dienst F-Secure Policy Management Server auf dem Zielserver beenden
4. die Datei fspms.h2 vom Datenverzeichnis des Quellservers in das Datenverzeichnis des Zielservers kopieren
5. den Dienst F-Secure Policy Management Server auf dem Zielserver starten
6. die FSPM-Konsole auf dem Zielserver starten
7. die Zertifikatswarnung bestätigen
8. mit dem Benutzernamen und Kennwort vom Quellserver anmelden (wurde mit der h2-Datenbank übertragen)
9. den neuen Server als Management-Server eintragen
10. nun müssen zwei Konfigurationsänderungen auf Stamm-Niveau durchgeführt und danach jeweils die Policies verteilt werden, damit die Seriennummer der Policies für alle Hosts um 2 erhöht wird
11. den Dienst F-Secure Policy Management Server auf dem Quellserver starten
12. die FSPM-Konsole auf dem Quellserver starten
13. auf Stamm-Niveau den neuen Server als Management-Server eintragen und die Richtlinien verteilen
14. der Quellserver darf erst abgeschaltet werden, wenn alle Clients zum neuen Server verbinden und aktualisierte Richtlinien erhalten

Troubleshooting

• mit Browser vom Client aus auf http://<fspm>:<httpport> und http://<fspm>:<httpport> verbinden. Wird die folgende Website nicht angezeigt, dann werden falsche Ports verwendet, die Firewallausnahmen wurden nicht gesetzt oder der FSPM-Dienst läuft nicht
  
  Achtung! Kann der Management Agent nicht auf den neuen Server verbinden, dann macht er ein Fallback zurück auf die letzten als funktionierend bekannten Kommunikationseinstellungen. Der Client schreibt dann eine Meldung in die Logdatei und verwendet weiterhin den alten Server, zeigt aber die aktuelle Version beim Richtlinienzähler an. Wenn das passiert, einfach den Richtlinienzähler auf dem Quellserver (und auf dem Zielserver!) um 1 erhöhen, nachdem das Kommunikationsproblem beseitigt wurde.
• in der FSPM-Konsole können die Versionen der Policies auf dem Server und dem Client angezeigt werden. Dazu muss der Status der Hosts für die Zentrale Verwaltung abgefragt werden. Mit Rechtsklick auf den Tabellenkopf können dann die beiden Spalten für den Richtlinienzähler hinzugefügt werden. Clients rufen nur Richtlinien ab, die einen höheren Zähler haben, als sie selbst.
  
• ist der Richtlinienzähler auf dem Client größer als auf dem Server (kann bei einer Migration passieren), dann muss der Richtlinienzähler auf dem Server erhöht werden. Dafür ist es ausreichend, auf Stamm-Niveau eine Einstellung, die auf den Hosts vorhanden ist, zu ändern und dann die Richtlinien zu verteilen. Diese einstellung kann auch das Sperren von Eingabefeldern sein, z.B. der Managementserver-Adresse im Management Agent.
  
  Nach dem Ändern der Einstellung die Richtlinien verteilen und dann die korrekten Einstellungen wieder herstellen.