【IT168 专稿】

    一. 赛门铁克十大非常好的实践 - Symantec Endpoint Protection 架构的部署

    问题描述：部署 Symantec Endpoint Protection 架构时需要参考的赛门铁克非常好的实践指南。

    解决方案：

    1. 确保所有 SEP 客户端和 SEPM 最低要运行 Maintenance Release 3。为更好地利用最新的增强功能，在产品中增加了优化和修复。

    2. 对于拥有 10 到 1500 台机器的远程站点，考虑使用 Symantec Endpoint Protection 客户端“组更新提供程序” (GroupUpdate Provider) 来进行内容分发。在从 SAV CE 迁移时，有一种方式是简单地在每个父服务器上安装常规 SEP 客户端（将替换父服务器），然后通过SEPM 控制台配置这些新的 SEP 客户端使其成为 GUP。

    如果“组更新提供程序”在三天内不可用（不可到达），则配置远程站点的 Symantec Endpoint Protection 客户端，使其仅忽略“组更新提供程序”。

    对于拥有少于 10 台机器的远程站点，最有效的办法是使本地 SEP 客户端直接连接至其 SEPM 来获取内容更新，或通过互联网连接至 Symantec Liveupdate。

    当远程站点拥有超过 50 台机器时，请确保在持续开机并运行“服务器操作系统”（如本地 Windows 文件服务器）的计算机上运行 GUP。

    对于拥有超过 1500 个端点的远程站点，应考虑建立一个本地 LUA 分发点或增加一个 SEPM 站点（复制）是否更为适用。

    3. 将储存于 SEPM 数据的内容修订数量改为最少 40，这会使过期大约两周的 SEP 客户端仍然能够获得增量内容更新。

    4. 将 SEPM 站点和执行复制的数量最小化。单个 SEPM 站点能够满足大多数少于 10000 个位子的环境
需要考虑多重 SEPM 站点和相互间复制的情况：如果各端点分散地部署在不同地区，并且每个地区必须拥有本地 SEPM 控制台访问权，那么在地区站点和中心站点之间的广域网链接中断时，本地团队仍然可以在其所在区域访问本地 SEMP 控制台。

    如果地方站点包含 1500 以上的端点，相比利用“组更新提供程序”功能，建立 SEPM 站点（SEPM 和数据库）更为适用。另一种选择是建立 LUA 分发点。

    如需执行复制：将相互复制的站点数量最小化（须考虑“组更新提供程序”功能的使用是否适用于其中的任一站点）

    注意：非常好的方案是将复制站点的数量控制在 5 个以下，强烈推荐该数量不超过 20 个。

    请不要复制内容和客户端安装软件包。非常好的方案是使每个 SEPM 站点通过互联网从 SymantecLiveupdate 获取内容更新。

    在可能的情况下，在复制登入/登出数据时，请确保此操作仅为单向操作（例如，3 个区域 SEPM 分站将登入信息单向发送至中心 SEPM 站点）。复制无需过于频繁，一小时一次以上即可。

    如果超过 3 个 SEPM 站点进行复制操作，推荐的复制频率是不小于每天一次（可以选择日期来预订复制次数，这样就不会与其他站点的复制或预定的 Liveupdate 安排产生冲突）。

    5. 将受管 SEP 客户端的通讯配置为在 PULL 模式下最低心跳 30 分钟

    这能够在客户端数据到达 SEPM 的时间和 SEP 客户端之间产生的网络流量之间提供良好的平衡，保持启动随机下载，并设置为默认的 5 分钟。这适用于大多数环境。

    6. 如果为数据库使用 MS-SQL，则在每个 SEPM 站点中部署至少 2 个 SEPM，并配置客户端在 SEPM 之间进行负载平衡处理。

    这可以确保在一个 SEPM 下线时，另外一个 SEPM 来管理 SEP 客户端。定期的数据库备份是必须的，如果不想让数据库存在潜在的单点故障，可以执行两个数据库（MS-SQL）机器的集群。

    如果使用“嵌入式数据库”，则可以在第二个 SEPM 站点（在另一个独立机上）设置“嵌入式数据库”，然后每天在站点之间进行复制，即可达到相似的容错度。

    7. 如果为数据库使用 MS-SQL，请确保数据库所在计算机与 SEPM 处于同一个局域网中，或至少能够以局域网连接的速度与质量进行相互通讯。

    8. 如果远程站点通过广域网连接至设置在中心（独立）站点的SEPM数据库计算机，请不要在远程站点部署单独的SEPM（没有 本地数据库）。

    9. 如果为 SEPM 数据库使用 MS-SQL，最好能够在物理机（相对于虚拟机）上运行。这样可以确保减少磁盘 I/O 和其他资源瓶颈的发生。

    10. 如端点总数超过 5000，推荐为 SEPM 数据库使用 MS-SQL。

    二. 迁移到 Symantec Endpoint Protection 11.0.5002 (RU5)

    问题描述：本文档描述了如何迁移到 Symantec Endpoint Protection 11.0.5002（RU5）

    解决方案：开始前的准备工作 此部分提供了计划迁移需要了解的信息。这些信息包含支持的迁移途径和可能影响迁移成功的因素。 注意：本文档仅适用于网络或个人计算机上存在 Symantec Endpoint Protection 11.0 的早期版本的迁移。如果尚未安装任何 SymantecEndpoint Protection 产品的早期版本，请参阅“安装指南”。

    确保迁移成功需要了解的事项

    以下是为确保迁移成功所需要了解的重要信息列表。升级前,需要备份数据库。请参阅“将灾难恢复与 Symantec Endpoint Protection 一起使用的非常好的做法”，网址为:

http://service1.symantec.com/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20080202111741968

    如果站点使用复制，则必须在升级 Symantec Endpoint Protection Manager 前禁用复制。必须禁用每个复制站点上的复制。

    迁移路径

    本部分列出了迁移到 Symantec Endpoint Protection 当前版本的过程所支持的平台。

    Symantec Endpoint Protection 11.0.5002 可在下列产品上无缝迁移: Symantec Endpoint Protection 11.0.780
    Symantec Endpoint Protection 11.0.1000 (MR1) Symantec Endpoint Protection 11.0.2000 (MR2) Symantec Endpoint Protection 11.0.3000 (MR3)
    Symantec Endpoint Protection 11.0. 4000(MR4) , Symantec Endpoint Protection 11.0.4014 (MR4 MP1a) 和Symantec Endpoint Protection 11.0.4202 (MR4 MP2)
    下载 Symantec Endpoint Protection 11.0.5002 (RU5) Release
    升级 Symantec Endpoint Protection 所用的安装软件包可从 Symantec FileConnect 站点获得。
    https://fileconnect.symantec.com/

    迁移过程概述

    迁移到 Symantec Endpoint Protection 当前版本包括以下步骤：

    创建迁移规划

    开始安装 Symantec Endpoint 客户端、管理器和任何管理升级前，您应充分了解网络拓扑和并制定简化的规划以在升级期间 最大程度地提高对网络资源的保护。赛门铁克强烈建议您将整个网络迁移到当前版本，而不是管理多个 Symantec Endpoint Protection 版本。

    备份数据库 升级前，需要备份数据库。 禁用复制

    如果站点使用复制，则必须在升级 Symantec Endpoint Protection Manager 前禁用复制。必须禁用每个复制站点上的复制。

    停止 Symantec Endpoint Protection Manager 服务

    升级前，必须手动停止站点上每个管理服务器上的 Symantec Endpoint Protection Manager 服务。升级完成后，该服务会自 动启动。

    警告：执行此过程前，必须停止 Symantec Endpoint Protection Manager 服务，否则会损坏 Symantec Endpoint ProtectionManager 的现有安装。

    升级 Symantec Endpoint Protection Manager 安装新版本之前，无需卸载管理服务器。覆盖安装过程会保存旧设置，然后升级到最新版本。 迁移后启用复制迁移完成后，所有使用复制的服务器（包括为故障转移和负载平衡配置的服务器）都将需要手动重新启用复制。迁移完成 后，请添加复制伙伴以启用复制。只需要在第一次安装管理服务器的计算机上添加复制伙伴。复制伙伴自动显示在其他管 理服务器上。

    升级 Symantec Endpoint Protection 客户端

    安装新版本之前，无需卸载以前的客户端。覆盖安装过程会保存旧设置，然后升级到最新版本。备份数据库升级前，需要备份数据库。

    备份数据库

    单击“开始”>“程序”> Symantec Endpoint Protection Manager >“数据库备份及还原”。
    在“数据库备份及还原”对话框中，单击“备份”。
    系统询问您“确实要备份数据库吗？”时单击“是”。
    如果显示消息“数据库已成功备份”，请单击“确定”。
    在“数据库备份及还原”对话框中，单击“退出”。

    禁用复制

    如果站点使用复制，则必须在升级 Symantec Endpoint Protection Manager 前禁用复制。必须禁用每个复制站点上的复制。

    禁用复制

    登录到 Symantec Endpoint Protection Manager 控制台。
    单击“管理”选项卡，然后单击窗格底部蓝色的“服务器”选项卡。
    在“服务器”选项卡的左侧窗格中，展开“本地站点”，然后展开“复制伙伴”。
    对“复制伙伴”下列出的每个站点，右键单击“站点”，然后单击“删除”。
    在出现“删除伙伴”提示时，单击“是”。
    注销控制台，然后在复制数据的所有站点上重复此过程。
    停止 Symantec Endpoint Protection Manager 服务

    升级前，必须手动停止站点上每个管理服务器上的 Symantec Endpoint Protection Manager 服务。升级完成后，该服务会自动 启动。

    警告：执行此过程前，必须停止 Symantec Endpoint Protection Manager 服务，否则会损坏 Symantec Endpoint ProtectionManager 的现有安装。

    停止 Symantec Endpoint Protection 服务

    单击“开始”>“设置”>“控制面板”>“管理工具”。
    双击“服务”以启动 Services MMC 管理单元。
     “服务”窗口中的“名称”下，滚动到 Symantec Endpoint Protection Manager 并单击鼠标右键。

    单击“停止”。
    关闭“服务”窗口。
    警告：请关闭“服务”窗口，否则升级可能失败。

    对所有 Symantec Endpoint Protection Manager 重复此过程。升级 Symantec Endpoint Protection Manager必须升级所有停止 Symantec Endpoint Protection 服务的 Symantec Endpoint Protection Manager。
    升级 Symantec Endpoint Protection Manager下载维护版本并解压缩。
    浏览到将维护版本解压缩到的位置。
    双击 setup.exe 启动安装。
    在 Symantec Endpoint Protection 面板中，单击“安装 Symantec Endpoint Protection Manager”。

    在“欢迎使用管理服务器升级向导”面板中，单击“下一步”。
    在“停止所有管理服务器”消息中，单击“继续”。
    升级完成后，单击“下一步”。
    在“升级成功”面板中，单击“完成”。
    在停止 Symantec Endpoint Protection Manager 服务的所有其他 Symantec Endpoint Protection Manager 上重复以上步骤。

    迁移后启用复制

    迁移完所有使用复制的服务器（包括为故障转移和负载平衡配置的服务器）后，需要重新启用复制。迁移完成后，请添加复制 伙伴以启用复制。只需要在第一次安装管理服务器的计算机上添加复制伙伴。复制伙伴自动显示在其他管理服务器上。

    迁移后启用复制

    如果尚未登录，请登录到 Symantec Endpoint Protection Manager 控制台。
    单击“管理”选项卡，然后单击窗格底部蓝色的“服务器”选项卡。
    在“服务器”选项卡的左侧窗格中，展开“本地站点”，然后单击“添加现有复制伙伴”。
    在“添加复制伙伴”面板中，单击“下一步”。
    在“远程站点信息”面板中，输入关于复制伙伴的标识信息，再输入身份验证信息，然后单击“下一步”。
    在“计划复制”面板中，设置何时自动进行复制的计划，然后单击“下一步”。
    在“复制日志文件和客户端软件包”面板中，选中要复制的项目，然后单击“下一步”。
    （复制软件包通常涉及大量通信和存储要求。）
    要完成“添加复制伙伴向导”面板，请单击“下一步”。
    在所有使用此计算机复制数据的计算机上重复此过程。
    升级 Symantec Endpoint Protection 客户端

    迁移 Symantec Endpoint Protection 客户端最简便的方法是使用自动升级功能。虽然也支持所有其他客户端软件部署方法，但自 动升级方法是最简便的方法。客户端迁移安装最长可能需要 30 分钟。建议在大多数用户尚未登录到他们的计算机时进行迁移。

    注意：请先测试这种迁移方法，然后再在大量计算机上执行迁移。创建一个新组，然后再将少数客户端计算机放置到该组中以 供测试使用。

    迁移客户端软件

    如果尚未登录，请登录到新迁移的 Symantec Endpoint Protection Manager 控制台。
    单击“管理”>“安装软件包”。
    在“任务”的左下方窗格中，单击“使用软件包升级组”。
    在“欢迎使用升级组向导”面板中，单击“下一步”。
    在“选择客户端安装软件包”面板中，下拉框中列出了所有的现有客户端软件包。请选择其中一个选项：

    Symantec Endpoint Protection <相应版本>。
    Symantec Network Access Control <相应版本>。

    单击“下一步”。
    在“指定组”面板中，选中一个或多个包含要迁移的客户端计算机的组，然后单击“下一步”。
    在“软件包升级设置”面板中，选中“从管理服务器下载客户端”。
    单击“升级设置”。
    在“添加客户端安装软件包”对话框中的“常规”选项卡上，指定是要保持现有的客户端功能还是指定新功能，然后配 置何时    迁移客户端计算机的计划。如果需要，在“通知”选项卡下，指定迁移期间要显示给用户的消息。

    如果组中的客户端运行 Symantec Endpoint Protection MR3 之前的版本，则关闭计划。默认情况下，向组中添加新的客户端安装软件包时，会启用计划。如果启用计划，升级会失败。若要关闭计划，请在“添加客户端安装软件包”对话框 中，取消选中“升级计划”。

    有关这些选项卡中设置的详细信息，请单击“帮助”。
    单击“确定”。
    在“升级组向导”对话框中，单击“下一步”。
    在“升级组向导完成”面板中，单击“完成”。

    三. LAN Enforcer: 如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端？

http://service1.symantec.com/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090224133852968

    四. 如何在不卸载并重新安装的情况下将 Symantec Endpoint Protection 客户端由受管转换为非受管

http://service1.symantec.com/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090806121849968

    问答

    一. 如何在 Backup Exec System Recovery 的恢复光盘 Symantec Recovery Disk 里正确加载磁盘阵列卡驱动和网卡驱动?

    问题描述：如何在 Backup Exec System Recovery 的恢复光盘 Symantec Recovery Disk 里正确加载磁盘阵列卡驱动和网卡驱动。

    解决方案：

    症状

    1. 在使用 Symantec Recovery Disk (SRD) 恢复光盘进行系统恢复时无法识别磁盘驱动器；

    2. 使用 Restore Anyware Option 对系统恢复后，开机时机器蓝屏无法进入系统，蓝屏错误代码为 0x0000007B，或者系统在加载 时自动重启；

3. 无法启动恢复环境中的网络服务，因而无法对存放在远程文件服务器的恢复点进行还原；

    原因：Symantec Recovery Disk 恢复光盘中并没有包含该主机所使用的磁盘阵列卡驱动或网卡驱动； 通常恢复光盘已经包含部分主流的磁盘阵列卡驱动，如果所使用的磁盘阵列卡在 SRD 中没有包含驱动，则需要单独下载并在SRD 中载入驱动。

    注：您可以在 SRD 光盘的 DDB 目录中查看 SRD 包含了什么驱动，另外由于 SRD 使用基于 PE2.0 的内核引导，您也可以参考Vista 的硬件支持列表：https://winqual.microsoft.com/hcl/

    解决方案

    使用 Symantec Recovery Disk 对系统进行恢复时对阵列卡驱动加载分为 2 个阶段：

    1. 为 SRD 恢复环境加载正确的驱动程序，以解决 SRD 无法识别磁盘驱动器的问题，由于 SRD 基于 PE2.0 核心进行引导，该阶段 需要加载基于 Vista 操作系统的驱动程序：

    请从阵列卡硬件厂商网站下载基于 Vista 的驱动，解压并保存在 USB 硬盘或者网络共享盘中，然后使用 SRD 引导需要恢复的 主机，在 SRD“主页”界面中点击“加载驱动程序”从 USB 硬盘或者网络映射盘加载此驱动。

    注：如果由于网卡没有驱动而无法访问网络，请参考第三步解决网络问题。

    2. 为需要恢复的操作系统加载正确的驱动程序，仅用于您使用 Restore Anyware 功能恢复操作系统到不同硬件的主机时：

    请从阵列卡硬件厂商网站下载适用于您所需要恢复的操作系统平台的驱动，解压并保存在 USB 硬盘或者网络共享盘中，然后 在恢复过程中按 Ctrl 键同时用鼠标勾选“使用 Restore Anyware 恢复到不同的硬件”的选项。

    在弹出的 Restore Anyware 选项窗口中确认“要求提供驱动程序”已经勾选，点击确定确认使用该选项，然后执行恢复过程。

    恢复执行到 99% 时会弹出“需要设备驱动程序的位置”窗口，提示您加载设备驱动。

    您可以从“设备描述”中知道当前需要提供什么硬件的驱动，如果无法通过“设备描述”确定该硬件为何设备时，您可以参 考“设备 ID”中的厂商 ID 和设备 ID 到以下网站查询：
http://www.pcidatabase.com/

    或者通过“设备 ID”中描述的 VEN_1000和DEV_0054 在您所下载的驱动程序 .inf 信息文件中核对驱动程序是否正确。

    厂商 ID (Vendor ID) 为 1000，在 PCI Database 网站中查询结果为 LSI Logic，而设备 ID (Device ID) 为 0054， 查询结果为 PCI-X Fusion-MPT SAS。

    注意：如果您的驱动程序保存在磁盘的根目录，则“确定”按钮不可用，如图 5 所示，请按图 4 所示手工输入“\”，此时“确定”键才可用。

    3. 网卡驱动程序加载方法与阵列卡驱动程序加载方法一致。

    注：若网卡驱动为安装执行程序，或者不是由 .inf 文件，.cat 文件加 .sys 文件组成的驱动，则可能无法在恢复环境中加载，请 联系硬件厂商技术支持提供正确驱动程序。如果网卡为 Intel 825xx 系列，可以参考以下文章：http://seer.entsupport.symantec.com/docs/303187.htm

    4. 加载网卡驱动以后映射网络盘的方法： 在网络标签页中点击“启动我的网络服务”，然后点击“配置网络连接设置”。

    在“网络适配器配置”中，“默认网关”和 DNS 服务器地址是必须填写的，DNS 服务器至少填写首选项，否则无法成功设置IP 地址。

    IP 地址设置成功后，点击“映射网络驱动器”，请点击“使用不同的用户名连接”弹出用户凭证输入窗口，填写用于访问该网络资源所需要的凭据。

    二. 如何手工安装 BESR Manager 的管理客户端 Management Control？

    问题描述：使用 Easy Installer 部署客户端时失败，并且通过重新创建包含安装文件的 Easy Installer 安装包仍然无法解决。

    解决方案： 客户的操作系统存在不明确的因素导致无法完成安装。 症状使用 Verbose 模式运行 Easy Installer：EasyInstaller.exe -verbose

    日志所在位置：

    C:\Documents and Settings\All Users\Application Data\Symantec\Backup Exec System Recovery Manager\EasyInstaller
错误信息：

    Failed to delete the file: C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\Backup Exec System Recovery Manager\EasyInstaller\ BootStrap.exe LastError 2: The system cannot find the file specified.

    解决方案 手工安装步骤：

    1. 如果客户机上已安装了 BESR，请直接跳至第二步，如果没有安装 BESR 请先按以下方法安装 BESR

    在需要安装 BESR 客户端的服务器上插入 BESR Manager 光盘，运行光盘下 Client 文件夹里的 setup.exe 安装 BESR，成功 安装后请重启服务器。

    提示：如果需要安装 BESR 的界面为简体中文请执行：setup.exe /L2052， 如果需要安装 BESR 的界面为繁体中文请执行：setup.exe /L1028。

    2. 从 BESR Manager 服务器上拷贝以下文件到客户端服务器：

    a. C:\Program Files\Symantec\Backup Exec System Recovery\Manager\Services\tomcat\keystore\Symantec Backup Exec
System Recovery Manager Cert.cer

    b. C:\Program Files\Symantec\Backup Exec System Recovery\Manager\Services\tomcat\webapps\axis\depot\oneclickinstaller\
certimport.exe

    3. 在一台已经正常安装并使用的 BESR 客户机上打开注册表编辑器，导出以下键值：

    [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Backup Exec System Recovery Manager\7.0\Publisher] EPC=7B0700C0-FBD3-11DC-A834-000C297FBE33

    注意：

    在此举例为 BESR Manager 7.0 的版本，故红色标记的版本号会与您的实际不同；此 EPC 键值的值或许与您实际情况不一 样，请勿直接抄写此键值。

    如果您的机器是 64 位操作系统，则 EPC 键值在以下位置：

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Backup Exec System Recovery Manager\7.0\Publisher]

    4. 在客户端服务器上打开命令行窗口，运行以下命令导入证书：

    certImport.exe "Symantec Backup Exec System Recovery Manager Cert.cer"

    5. 检查 certImport.exe 在运行路径下产生的 CertImport.log 文件，看最后一行是否返回“returning with retval 0.”，如果等于 0则继续以下步骤。

    6. 在客户端服务器上打开注册表，将第三步中导出的注册表项目导入（或者手工创建）。

    7. 在命令行窗口中使用cd命令切换到光盘的 Publisher 路径，举例光盘为 X 盘，则：

    C:\>X:

    X:>cd x:\publisher

    8. 然后运行以下命令（红色部分请替换成您 BESR Manager 服务器的名称或者 IP 地址）：

    msiexec.exe /i "Management Control.msi" address=https://BESRMServername:8443

    9. 执行以上安装直到完成，然后重启服务器。