Übertragen bzw. Verschieben von Computern von einem ePolicy Orchestrator-Server auf einen anderen
Technische Artikel ID:
KB79283
Zuletzt geändert am: 2022-03-30 19:38:29 Etc/GMT
Umgebung
McAfee ePolicy Orchestrator (ePO) 5.x
Zusammenfassung
In diesem Artikel wird beschrieben, wie Systeme von einem ePO-Server auf einen anderen übertragen werden können.
WICHTIG:
- Mit der Option Systeme übertragen werden lediglich die Einträge für die Systeme verschoben und die Agenten angewiesen, mit dem neuen ePO-Server zu kommunizieren. Systemgruppen, Richtlinien, Zuweisungen, Produkterweiterungen und Pakete müssen auf dem neuen Server manuell aktualisiert werden.
Richtlinien werden beim Verschieben von Systemen von einem ePO-Server auf einen anderen nicht automatisch übertragen. Die Richtlinienzuweisung für Einzelprodukte zur jeweiligen Gruppe auf dem neuen ePO-Server muss ebenfalls manuell erfolgen. Außerdem wird der Export von Richtlinien von ePO 4.x.x zu ePO 5.x.x nicht unterstützt (siehe KB51702).
Es wird empfohlen, zuerst nur ein System zu übertragen und zu überprüfen, ob es auf dem neuen Server korrekt in der Sammelgruppe angezeigt wird und die Richtlinien ordnungsgemäß angewendet werden, bevor Sie eine größere Anzahl von Systemen verschieben.
- Wenn Sie Drive Encryption (DE)- oder Endpoint Encryption for PC (EEPC)-Systeme verwalten, gilt Folgendes:
DE 7.1 Patch 3 (7.1.3) bietet eine neue Funktion für ePO-Administratoren, die dafür sorgt, dass die Benutzerzuweisungen und Benutzerdaten beim Übertragen von Systemen zwischen ePO-Servern erhalten bleiben. Weitere Informationen hierzu finden Sie in der folgenden Dokumentation:
- PD25905: Drive Encryption 7.1 Patch 3 Client Transfer between ePO Servers Guide (Handbuch zur Client-Übertragung zwischen ePO-Servern mit Drive Encryption 7.1 Patch 3)
- KB83186: Product statement regarding the migration of managed encrypted systems from one ePO server to another (Produkterklärung zur Migration verwalteter verschlüsselter Systeme von einem ePO-Server auf einen anderen)
Problem
Wenn Sie die Server registrieren und die Option Systeme übertragen mit Automatischer Sitelist-Import aktivieren, wird möglicherweise der folgende Fehler angezeigt:
FEHLER: Die Agent-Server-Hauptschlüssel müssen vor dem Importieren der Sitelist auf den Remote-Server importiert werden. Wechseln Sie zu den Server-Einstellungen, um Sicherheitsschlüssel von diesem Server zu exportieren. Wenn Sie jetzt auf diesen Link klicken, gehen alle nicht gespeicherten Änderungen an dem registrierten Server verloren.
Für eine erfolgreiche Registrierung müssen beide Schlüssel (1024 und 2048) vom ePO-Server importiert werden, damit der automatische Sitelist-Import problemlos gespeichert werden kann.
Lösung
WICHTIG:
- Übertragen Sie Systeme auf keinen Fall mit DE 7.1.1 oder einer älteren Version von einem Server auf einen anderen, da die Verschlüsselungsschlüssel und Benutzerzuweisungen hierbei nicht übertragen werden. Die Schlüssel wären dann nicht mehr dem Client zugeordnet, und die Benutzer würden von den Systemen entfernt werden. Dadurch wäre für diese Benutzer der Zugriff auf das System gesperrt.
- Eine Möglichkeit wäre es, die ASKI-Schlüssel der betreffenden ePO-Server zusammenzuführen, sodass beide bzw. alle Server die gleichen ASKI-Schlüssel verwenden. Dies ist sinnvoll, wenn alle ePO-Server in der Produktionsumgebung aktiv bleiben und Agenten mehrfach zwischen den Servern übertragen werden sollen. Wenn auf einem ePO-Server sehr viele ASKI-Schlüssel vorhanden sind, kann dies zu Verzögerungen bei Datenkanalanfragen und Agentenreaktivierungen führen, da jeder ausgehende Verbindungsversuch mit allen vorhandenen ASKI-Schlüsseln ausgeführt werden müssen. Weitere Informationen hierzu finden Sie in KB82022.
Die folgende Vorgehensweise zeigt, wie verwaltete Computer von Server A auf Server B übertragen werden, wobei Folgendes gilt:
- Server A = alt, ePO 4.x
- Server B = neu, ePO 5.x
- Exportieren Sie die Sicherheitsschlüssel von Server A:
HINWEIS: Es sind lediglich die ASKI-Schlüssel erforderlich. Sie müssen nur die 2048-Bit- und die 1024-Bit-Schlüssel exportieren.
- Melden Sie sich bei der ePO 4.x-Konsole an.
- Klicken Sie auf Menü, auf Konfiguration und dann auf Server-Einstellungen.
- Klicken Sie unter der Spalte Einstellungskategorien auf Sicherheitsschlüssel, und klicken Sie dann unten auf der Seite im rechten Abschnitt auf Bearbeiten.
- Führen Sie für die 2048-Bit-Schlüssel, die als Schlüssel für sichere Agent-Server-Kommunikation aufgelistet sind, folgende Schritte durch:
- Klicken Sie auf den Schlüssel, der als 2048-Bit-Schlüssel gekennzeichnet ist, und dann auf Exportieren.
- Klicken Sie auf OK, um den Export des Schlüssels zu bestätigen.
- Klicken Sie auf Speichern. Navigieren Sie nun zum Verzeichnis, in dem die ZIP-Datei des Sicherheitsschlüssels gespeichert werden soll, bzw. geben Sie den Pfad direkt ein, und klicken Sie dann erneut auf Speichern.
- Wiederholen Sie Schritt 1d für die 1024-Bit-Schlüssel.
- Importieren Sie die Sicherheitsschlüssel von Server A auf Server B:
HINWEIS: Es sind lediglich die ASKI-Schlüssel erforderlich. Sie müssen nur die 2048-Bit- und die 1024-Bit-Schlüssel importieren.
- Melden Sie sich bei der ePO 5.x-Konsole an.
- Klicken Sie auf Menü, auf Konfiguration und dann auf Server-Einstellungen.
- Klicken Sie unter der Spalte Einstellungskategorien auf Sicherheitsschlüssel, und klicken Sie dann unten auf der Seite im rechten Abschnitt auf Bearbeiten.
- Klicken Sie auf Importieren.
- Führen Sie für den 2048-Bit-Schlüssel folgende Schritte aus:
- Klicken Sie auf Durchsuchen, navigieren Sie zur exportierten ZIP-Datei mit dem 2048-Bit-Schlüssel, und klicken Sie dann auf Öffnen.
- Klicken Sie auf Weiter.
- Klicken Sie auf der Registerkarte Übersicht auf Speichern.
- Wiederholen Sie Schritt 2e für die 1024-Bit-Schlüssel.
- Registrieren Sie Server B (ePO 5. x) bei Server A (ePO 4. x):
- Melden Sie sich von Server A aus bei der ePO 4.x-Konsole an.
- Klicken Sie auf Menü, auf Konfiguration und dann auf Registrierte Server.
- Klicken Sie auf Neuer Server.
- Wählen Sie in der Dropdown-Liste Server-Typ den Typ ePO aus, geben Sie im Abschnitt Name einen Namen für diesen Server ein, und klicken Sie dann auf Weiter.
- Geben Sie die Anmeldeinformationen für den Zugriff auf Server B ein (ePO-Datenbank), und klicken Sie dann auf Verbindung testen.
- Wenn der Test erfolgreich verlaufen ist, wählen Sie für den Eintrag Systeme übertragen die Option Aktivieren aus, vergewissern Sie sich, dass Automatischer Sitelist-Import ausgewählt ist, und klicken Sie dann auf Speichern.
HINWEISE:
- Ihnen steht zudem die Option Manueller Sitelist-Import zur Verfügung, mit der Sie nach Auswahl einer vorhandenen XML-Datei SiteList.xml einen manuellen Import durchführen können. Weitere Informationen zur Verwendung dieser Option finden Sie im Produkthandbuch zu ePolicy Orchestrator.
- Die für diesen Vorgang benötigte Datei "SiteList.xml" befindet sich auf dem ePO-Server, auf den die Agenten übertragen werden, im folgenden Ordner:
<ePO_Installation_Directory>\DB\SiteList.xml
- Auf einem ePO 4.6-Server können Sie als ePO-Version nur Version 4.6 oder frühere Versionen auswählen. Wenn Sie die Verbindung mit der Datenbank des registrierten Servers testen, wird die folgende Warnmeldung angezeigt:
Datenbankverbindung erfolgreich hergestellt. Warnung: Die Versionen stimmen nicht überein.
Sie können diese Warnung ignorieren. Sie gibt an, dass die ausgewählte ePO-Version (4.6) nicht mit der gerade getesteten Datenbank-Version (5.x) übereinstimmt.
- Nachdem die Schlüssel importiert wurden und ePO-Server B registriert wurde, kann auf Server A die Option für die Übertragung ausgewählt werden:
- Melden Sie sich bei der ePO-Konsole an.
- Klicken Sie auf Systemstruktur.
- Klicken Sie im rechten Bereich auf die Registerkarte Systeme, und wählen Sie den zu übertragenden Computer aus.
- Klicken Sie auf Aktionen, auf Agent und dann auf Systeme übertragen.
- Wählen Sie den Eintrag für Server B (ePO 5. x) aus, und klicken Sie dann zum Übertragen auf OK.
HINWEIS: Vergewissern Sie sich vor der Übertragung, dass der ausgewählte Computer mit ePO auf Server A kommuniziert.
- Überprüfen Sie nach zwei ausgelösten ASKIs den Status der übertragenen Computer.
Wenn der Vorgang abgeschlossen ist, wird der Computer in der Systemstruktur von Server B (ePO 5. x) angezeigt.
HINWEIS: Der Computer sollte nun nicht mehr in der Systemstruktur von Server A angezeigt werden. Senden Sie zur Überprüfung einen Aufruf zur Agentenreaktivierung von Server B (ePO 5. x), um sich zu vergewissern, dass der Computer ordnungsgemäß kommuniziert.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|