Vorgehensweise zur Cluster-Sicherung und Wiederherstellung nach Systemausfall für ePolicy Orchestrator
Technische Artikel ID:
KB75497
Zuletzt geändert am: 2022-03-17 21:58:04 Etc/GMT
Zuletzt geändert am: 2022-03-17 21:58:04 Etc/GMT
Umgebung
McAfee ePolicy Orchestrator (ePO) 5.x, 4.x
Zusammenfassung
Dieser Artikel beschreibt die Schritte zur Cluster-Sicherung und Wiederherstellung nach Systemausfall für ePO 5.x und 4.x.
WICHTIG:
WICHTIG:
- Dieses Verfahren ist nur für Netzwerk- und ePO-Administratoren vorgesehen. Intel Security übernimmt keine Verantwortung für aufgetretene Schäden, da es sich lediglich um einen Leitfaden für die Wiederherstellung nach einem Systemausfall handelt. Die Verantwortung für die Verwendung der folgenden Informationen liegt vollständig beim Benutzer.
- Das folgende Verfahren gilt nur für ePO 5.x-, 4.6.x- und 4.5.x-Server. Benutzer von ePO 5.x sollten vorzugsweise die integrierte Funktion zur Wiederherstellung nach Systemausfall verwenden und die hier erläuterten Schritte nur dann nutzen, wenn kein gültiger Snapshot erstellt wurde und eine manuell durchgeführte Wiederherstellung erforderlich ist.
- Wenn Sie von einem 32-Bit- zu einem 64-Bit-Betriebssystem wechseln oder ePO unter einem anderen Pfad installieren, befolgen Sie Artikel KB71078.
HINWEISE:
- Der Agent verwendet entweder die zuletzt bekannte IP-Adresse oder den zuletzt bekannten DNS-Namen oder NetBIOS-Namen des ePO-Servers. Wenn Sie daran etwas ändern, stellen Sie sicher, dass die Agenten den Server finden können. Die einfachste Lösung ist es, den bestehenden DNS-Datensatz beizubehalten und so zu ändern, dass dieser auf die neue IP-Adresse des ePO-Servers verweist. Nachdem der Agent eine Verbindung mit dem ePO-Server herstellen konnte, lädt dieser die aktualisierte Datei SiteList.xml mit den aktuellen Informationen herunter.
- Dieses Verfahren können Sie auch für das Migrieren des ePO-Clusters auf ein anderes System verwenden. Benutzer von ePO 5.x sollten für das Migrieren des ePO-Servers auf ein anderes System vorzugsweise die integrierte Funktion zur Wiederherstellung nach Systemausfall nutzen.
Vorbereitung
Damit eine reibungslose Wiederherstellung gewährleistet ist, führen Sie keine Sicherung durch, wenn auf dem Server gerade eine Erweiterung installiert wird.
Vor dem Sichern des ePO-Clusters
Öffnen Sie die Windows-Clusterverwaltung (sofern möglich), und setzen Sie alle ePO-Dienste auf Offline:
Damit eine reibungslose Wiederherstellung gewährleistet ist, führen Sie keine Sicherung durch, wenn auf dem Server gerade eine Erweiterung installiert wird.
Vor dem Sichern des ePO-Clusters
Öffnen Sie die Windows-Clusterverwaltung (sofern möglich), und setzen Sie alle ePO-Dienste auf Offline:
- In Windows Server 2008 klicken Sie dazu auf Start, auf Programme, auf Verwaltung und dann auf Failover-Clusterverwaltung.
- In Windows Server 2003 klicken Sie dazu auf Start, auf Programme, auf Verwaltung und dann auf Clusterverwaltung.
Vergewissern Sie sich andernfalls, dass während der Sicherung keine der folgenden Aktionen ausgeführt werden:
- Installation, Deinstallation oder Upgrade einer Erweiterung
- Aktualisierung der ePO-Datenbankkonfiguration
Sichern des ePO-Clusters
- Verwenden Sie die folgende Methode zum Sichern der SQL-Datenbank (in der Regel heißt sie ePO_<Server-Name>, wobei <Server-Name> der Name des ePO-Servers ist):
- Die folgenden Ordnerpfade des während der Installation festgelegten freigegebenen Laufwerks müssen gesichert werden:
Beispiel: (S:\ePolicy Orchestrator\...)
S:\ePolicy Orchestrator\bin\Server\extensions
Der Standardpfad für Informationen zu ePO-Software-Erweiterungen.
S:\ePolicy Orchestrator\bin\Server\conf
Der Standardpfad für erforderliche Dateien, die von den ePO-Software-Erweiterungen genutzt werden.
S:\ePolicy Orchestrator\bin\Server\keystore
Diese Schlüssel sind für die Agent-Server-Kommunikation von ePO und den Repositorys bestimmt.
S:\ePolicy Orchestrator\DB\Software
Hier befinden sich alle Produkte, die in das Master Repository eingecheckt wurden.
S:\ePolicy Orchestrator\DB\Keystore
Hier befinden sich die für Ihre Installation eindeutigen Agenten-, Server- und Repository-Schlüssel. Wenn dieser Ordner nicht wiederhergestellt wird, können die Client-Computer nicht mit dem Server kommunizieren, und Sie müssen den Agent für alle Computer erneut bereitstellen. Außerdem müssen alle bereitstellbaren Pakete erneut eingecheckt werden.
S:\ePolicy Orchestrator\Apache2\conf
Hier befinden sich die Server-Konfigurationseinstellungen für Apache, die zum Autorisieren des Servers für die Bearbeitung von Agentenanforderungen erforderlichen SSL-Zertifikate sowie die Konsolenzertifikate.
HINWEIS: Wenn diese Verzeichnisstrukturen nicht gesichert und wiederhergestellt werden, ist nicht nur eine erneute Installation von ePO erforderlich, um neue Strukturen zu erstellen, sondern möglicherweise auch eine frische Datenbankinstallation sowie ein erneutes Bereitstellen der Agenten für alle Client-Computer.
Wiederherstellen des ePO-Clusters
- Löschen Sie die ePO-Datenbank auf dem SQL-Server. Wenn Sie mit MSSQL nicht vertraut sind, informieren Sie sich im entsprechenden technischen Hinweis von Microsoft unter http://technet.microsoft.com/en-us/library/ms177419.aspx, oder wenden Sie sich an den Microsoft-Support.
- Wenn ePO auf demselben System wiederhergestellt werden soll, deinstallieren Sie ePO zuerst. Vergewissern Sie sich nach dem Deinstallieren der Software, dass sich unter dem ursprünglichen Installationspfad kein ePO-Ordner mehr befindet.
HINWEIS: Wenn der vorhandene ePO-Ordner lediglich umbenannt und das alte Verzeichnis an Ort und Stelle belassen wird, kann dies zu Konflikten der neuen Installation führen. Sie sollten das alte Verzeichnis daher vollständig entfernen.
- Führen Sie die Neuinstallation von ePO mit der gleichen Version und der gleichen Patch-Stufe durch, über die auch der wiederherzustellende Server verfügt.
HINWEIS: Sie können die Patch-Stufe verifizieren, indem Sie die Angabe im Feld Version in der gesicherten Datei Server.ini (\ePolicy Orchestrator\DB\) mit der im Artikel KB59938 vergleichen.
WICHTIG: Sie müssen ePO unter genau dem gleichen Verzeichnispfad wie in der vorherigen Installation installieren, damit die in diesem Artikel beschriebenen Schritte funktionieren, sonst können die Erweiterungen nach Abschluss der Wiederherstellung nicht initialisiert werden. Wenn es sich um einen anderen Installationspfad handelt, befolgen Sie die Schritte in KB71078.
Bei der Installation müssen die in der ePO-Dokumentation angegebenen Schritte befolgt werden:
- Installationshandbuch für ePolicy Orchestrator 5.0 (PD24349): Abschnitt "Durchführen einer Cluster-Installation"
- ePolicy Orchestrator 4.6 Installation Guide (Installationshandbuch für ePolicy Orchestrator 4.6, PD22974): Abschnitt "Performing cluster installation" (Durchführen einer Cluster-Installation)
- Wenden Sie für ePO alle zusätzlichen Patches, HotFixes und Proof-of-Concept-Builds an, die auch vorher angewendet wurden.
- Öffnen Sie nach der Installation die Windows-Clusterverwaltung, und setzen Sie alle McAfee ePO-Dienste auf Offline:
- In Windows Server 2008 klicken Sie dazu auf Start, auf Programme, auf Verwaltung und dann auf Failover-Clusterverwaltung.
- In Windows Server 2003 klicken Sie dazu auf Start, auf Programme, auf Verwaltung und dann auf Clusterverwaltung.
- Stellen Sie die Datenbank wieder her.
HINWEIS: Stellen Sie die Datenbank wieder her, sodass die ePO-Datenbankkonfiguration nicht aktualisiert werden muss (z. B. gleicher Name, Host, Port usw.). Andernfalls müssen Sie die wiederhergestellte DB.PROPERTIES -Datei in S:\ePolicy Orchestrator\bin\Server\conf\orion mit den neuen Daten aktualisieren, bevor Sie den Server starten.
- Löschen Sie die folgenden Ordner, und ersetzen Sie diese durch die vorher gesicherten entsprechenden Ordner:
S:\ePolicy Orchestrator\bin\Server\extensions
S:\ePolicy Orchestrator\bin\Server\conf
S:\ePolicy Orchestrator\bin\Server\keystore
S:\ePolicy Orchestrator\DB\Software
S:\ePolicy Orchestrator\DB\Keystore
S:\ePolicy Orchestrator\Apache2\conf
- Stellen Sie ausschließlich für die McAfee ePolicy Orchestrator-Anwendungs-Server-Dienstressource den Status Online ein.
- Rufen Sie die Seite Datenbankeinstellungen konfigurieren unter https://<Server-Name>:8443/core/config auf. Wenn Sie nicht den Standard-Port (8443) verwenden, ersetzen Sie ihn durch den entsprechenden Port für die Konsolenanmeldung.
- Überprüfen Sie unter Datenbankeinstellungen konfigurieren die folgenden Einträge:
Datenbank-Server-Name
Datenbank-Server-Instanz
Datenbank-Server-Port
Datenbankname
Benutzername
Benutzerdomäne
Benutzerkennwort
Falls Sie Änderungen an diesen Einträgen vornehmen, klicken Sie vor dem Fortfahren unbedingt auf Testverbindung (unten rechts), um sicherzugehen, dass die Datenbankverbindung mit den neuen Einstellungen funktioniert. - Falls Sie auf der Seite "Datenbankeinstellungen konfigurieren" Änderungen vorgenommen haben, führen Sie folgende Schritte durch:
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
- Starten Sie den McAfee ePolicy Orchestrator-Anwendungs-Server-Dienst neu.
- Versuchen Sie, sich bei der ePO-Konsole anzumelden. Wenn dies nicht gelingt, gehen Sie alle in diesem Artikel beschriebenen Schritte durch, und kontrollieren Sie, ob diese ordnungsgemäß durchgeführt wurden. Wenn Sie das Problem bei der Konsolenanmeldung nicht beheben können, wenden Sie sich an den technischen Support, bevor Sie fortfahren.
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
HINWEIS: Damit die restlichen Schritte für die Wiederherstellung funktionieren, müssen Sie sich anmelden können. - Benennen Sie den Ordner SSL.CRT (siehe nachfolgenden Pfad) in SSL.CRT.ALT um, und erstellen Sie manuell einen leeren Ordner mit dem Namen SSL.CRT unter demselben Pfad, da sonst beim Einrichten kein neues Zertifikat erstellt wird:
S:\ePolicy Orchestrator\Apache2\conf\ssl.crt
- Klicken Sie auf Start und dann auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
- Wechseln Sie zum ePO-Installationspfad (standardmäßig: S:\ePolicy Orchestrator\).
- Führen Sie im ePO-Verzeichnis den folgenden Befehl aus:
WICHTIG:
- Wenn auf diesem Server die Benutzerkontensteuerung aktiviert ist, schlägt der Befehl fehl. Deaktivieren Sie diese Funktion, wenn auf dem Server Windows Server 2008 oder höher ausgeführt wird. Weitere Informationen zur Benutzerkontensteuerung finden Sie unter http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx.
- Bei Eingabe des Befehls muss auf Groß-/Kleinschreibung geachtet werden. In der Datei ahsetup.log (unter <installdir\Apache2\conf\ssl.crt>) wird angegeben, ob der Befehl erfolgreich ausgeführt wurde oder fehlgeschlagen ist und ob die Dateien aus dem Ordner ssl.crt verwendet wurden.
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_Server_Name> <Konsolen_HTTPS_Port> <Admin_Benutzername> <Kennwort> <"Installationsverzeichnis\Apache2\conf\ssl.crt">
Dabei gilt:
<ePO_Server_Name> ist der NetBIOS-Name Ihres ePO-Servers.
<Konsolen_HTTPS_Port> ist der ePO-Konsolen-Port (der Standard-Port ist 8443).
<Admin_Benutzername> ist der Name des Administrators (verwenden Sie das ePO-Standardadministratorkonto).
<Kennwort> ist das Kennwort für das ePO-Administratorkonsolenkonto.
<Installationsverzeichnis\Apache2\conf\ssl.crt> ist der Installationspfad zum Apache-Ordner (Standardinstallationspfad: S:\ePolicy Orchestrator\Apache2\conf\ssl.crt).
Beispiel
Rundll32.exe ahsetup.dll RunDllGenCerts ePO-Server-Name 8443 Administratorkennwort "S:\ePolicy Orchestrator\Apache2\conf\ssl.crt"
- Stellen Sie für folgende Dienstressourcen den Status Online ein, und starten Sie diese Dienste anschließend:
- McAfee ePolicy Orchestrator-Ereignisanalyse
- McAfee ePolicy Orchestrator-Server
Themenbezogene Informationen
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: