SEP12.1升级手册v1.6.docx

SEP12.1.3升级手册北京朗维计算机应用技术开发有限公司2014年2月目录第一章文档说明3第二章概述42.1 用户环境描述42.2 升级过程说明52.3 升级前的准备6第三章备份63.1 数据库备份63.2 域ID与证书备份83.3 防病毒策略备份9第四章安装Windows server2008R2SP1124.1重新安装操作系统124.2操作系统配置17第五章安装SQL201219第六章安装 SEP12.1.329第七章策略与数据还原397.1 防病毒策略还原397.2 还原服务器域407.3还原服务器证书43第八章 LUA服务器配置45注：本章需省分行进行此章的配置458.1产品添加458.2 配置自动下载和分发478.3 创建调度更新和调度分发488.3.1建立下载调度498.3.2 配置分发调度508.3.3 手动启动下载调度和分发调度50第九章终端安全部署及升级519.1客户端安装包功能设置和导出519.2客户端版本升级推送549.3 终端安全管理的链接网络部署579.3.1安装IIS7.0579.3.2 建立IIS虚拟目录61第一章 文档说明1. 本文档是由朗维服务团队编写的内部文档；2. 本文档仅限农发行SEP升级实施使用；3. 本文档交由农发行总行、分行管理员与朗维公司实施团队使用，用来指导团队按照既定的时间安排与内容要求完成本次升级实施；4. 实施目标-在农发行总行、各分行办公网与业务网完成SEPM服务器、数据库及客户端版本的升级；5. 按照本文档实施完毕后，农发行网内所有SEP服务器均升级至SEP12.1.3版本，数据库升级至SQL2012版本，客户端均升级至SEP12.1.3版本；第二章 概述2.1 用户环境描述目前农发行办公网与业务网分别部署了两套SEP防病毒系统，其版本为SEP11.6，后台数据库为SQL2008。办公网架构：农发行办公网SEP防病毒系统为三层架构即，总行为一级站点管理总行办公网客户端，各省分行为二级站点管理各自分行办公网客户端，各地市分行为三级站点管理各自分行办公网客户端。另在总行部署一台LUA服务器用于病毒定义的下载并作为总行SEP服务器与省分行LUA服务器的更新源，在各省分行部署一台LUA服务器用于病毒定义的下载并作为省分行与地市分行SEP服务器的更新源。具体架构如下：业务网架构：农发行业务网SEP防病毒系统为两层架构即，总行为一级站点管理总行业务网客户端，各省分行为二级站点管理各自分行业务网客户端，各地市分行不再部署SEP站点，所有客户端均直接连接所属省分行SEP服务器。另在总行部署一台LUA服务器用于病毒定义的下载并作为总行SEP服务器与省分行SEP服务器的更新源。具体架构如下：2.2 升级过程说明1. SEP11服务器与SQL数据库的备份；2. 重装SEP服务器操作系统（统一为windows server 2008 R2 sp1版本）；3. 全新安装SQL2012、SEP12.1.3；4. SEP服务器的还原（采用无数据库还原的方式，即还原原服务器的证书与域ID）；5. 重新导出全新的客户端安装包，并创建虚拟目录进行发布；6. 将SEP客户端升级至12.1.3版本；2.3 升级前的准备编号准备工作说明1备份备份SEP11.6数据库、证书、域ID，并拷贝至D盘BACKUP目录下保存2Windows server 2008 R2 sp13数据库安装介质版本SQL2012版本4SEP安装介质SEP12.1.35其他工具SEP卸载工具、病毒清理工具等第三章 升级前准备3.1 数据库备份单击“开始”“程序” Symantec Endpoint Protection Manager “数据库备份及还原”。在“数据库备份及还原”对话框中，单击“备份”备份的数据库文件将默认放到 SEPM 安装目录的 DataBackup 目录下，ZIP备份文件拷贝至SEP服务器D:BACKUP；3.2 域ID与证书备份1. 备份域ID；打开控制台选择管理员域，复制域ID并保存至D:BACKUP中2. 备份服务器证书；3.3策略备份打开控制台，选择策略-病毒和间谍软件防护策略，选择目前正在使用中的防病毒策略（使用计数是表示有多少个组在使用此策略）导出策略：标注策略名称：导出完毕后将该DAT文件拷贝至D:BACKUP目录中。3.4 客户端分组备份打开SEPM控制台，点击客户端，使用拷屏的方式进行备份后存放在D:BACKUP目录中。3.5 确认通讯端口以及通讯密钥1 确认通信端口登陆SEPM，查看服务器通信端口号。点击“策略”“策略组件”“管理服务器列表”，双击“默认管理服务器列表”弹出如下窗口2 确认通讯密钥通讯密钥，即安装SEP11服务器时，以下步骤的密钥（SEP11安装配置手册中，要求统一设置为symantec）： 第四章 安装Windows server2008R2SP14.1重新安装操作系统从光盘引导启动点击“现在安装”点击“下一步”点击“下一步”选择“自定义（高级）”关于windows 安装位置，可根据实际情况进行安装（此处仅为演示），配置好后点击“下一步”（C盘保留50G）等待安装安装好后重启计算机第一次登录需要更改管理员口令为Symantec123配置好密码后即可完成windows server 2008 R2 SP2/SP1的安装4.2操作系统配置4.2.1开启远程桌面右键我的电脑，选择属性选择远程设置勾选允许运行任意版本远程桌面的计算机连接（较不安全）（L）4.2.2关闭Windows防火墙打开“开始”“控制面板”“Windows防火墙”“打开或关闭Windows防火墙”，关闭Windows防火墙。4.2.3安装IIS打开“服务器管理器”，单击“添加角色”，打开“添加角色向导”，单击“下一步”。选择“Web服务器（IIS）”。点击“下一步”，“下一步”。在原先IIS角色服务的集成商，再勾选安装ASP.NET，CGI和IIS6.0 管理兼容性。如图所示。点击“下一步”，“安装”，完成后点击“关闭”。完成后点击“关闭”。修改IIS端口。点击“开始”“运行”,在弹出的“运行”输入框内输入inetmgr点击“确定”按钮。弹出以下窗口，找到“网站”“Default Web Site”，右键点击，选择“编辑绑定”点击“编辑”将端口修改为8080，点击“确定”点击“重新启动”，重启IIS4.2.4安装.NET打开服务器管理器，点击“功能”，点击“添加功能”勾选“.NET Framwork 3.5.1功能”点击“添加必须的功能”点击“安装”安装完成后，重新启动计算机第五章 安装SQL2012选择安装选择确定选择下一步点击下一步点击下一步点击下一步点击下一步点击下一步将目录路径修改为“D:Program FilesMicrosoft SQL Server”和D:Program Files（86）Microsoft SQL Server，后点击下一步点击下一步数据库安装路径统一为“D:Program FilesMicrosoft SQL Server”点击下一步点击下一步账户名统一选择SYSTEMSQL验证模式选择“混合模式”，根据总行的要求，统一将sa的密码设置为Abc12345，点击“添加当前账户”，点击下一步 点击“下一步” 点击“添加当前账户”，点击“下一步”服务器的名称以及路径根据各行自身具体情况进行操作点击下一步点击下一步点击下一步等待时间过长，请耐心等待第六章 安装 SEP12.1.3重新安装SEP12.1.3，找到setup.exe文件：点击“下一步”：选择“接受”后点击“下一步”：点击“下一步”，点击“更改”将安装路径统一更改为“D:Program FilesSymantecSymantec Endpoint Protection Manager”点击“安装”：点击“下一步”点击“下一步”（根据客户的现场终端数选择）选择“安装我的第一个站点”：对服务进行配置，在配置客户端配置端口的时候，要确定之前的端口号，如果不确定可以在客户端的sylink，右键编辑，查找通信端口是80或是8014 （如果是80端口在此操作中无法体现端口的的即为80端口），确定后将其配置成查看结果：可根据现场的情况进行数据库的选择：创建新的数据库：Sa密码是之前在安装SQL的sa密码）Abc12345，点击“连接到数据库”,sem5数据库的密码统一设置为symantec#123。客户端文件夹路径为：SQL Server 2012 D:Program FilesMicrosoft SQL Server110ToolsBinn创建SEPM的管理员用户名及密码,统一设置为symantec创建通信秘钥注：此处的操作为通信密钥的操作，通信密钥要与之前（SEP11版本）的通信密钥保持一致，否则将无法找回客户端！之前（SEP11版本）总行要求通讯秘钥是symantec。根据管理员的需求进行创建：点击“下一步”此后会连接并初始化数据库后点击完成安装完成后，点击“开始”“运行”,在弹出的“运行”输入框内输入inetmgr点击“确定”按钮。弹出以下窗口，查看SEPM服务启动是否正常登录SEPM控制台，点击右上方的“帮助”，选择“关于” 如下图所示，显示版本为12.1.3导入许可证文件。点击“管理员”“许可证”“激活许可证”选择“我有Symantec许可证文件（slf）”,点击“下一步”点击“添加文件”选择许可证文件，点击“下一步”点击“下一步”点击“完成”第七章 SEPM还原7.1 还原服务器域管理员-域-重命名域将默认值的名字改成test还原原有域ID7.2 还原原有服务器分组根据原有客户端分组备份信息，手动创建与还原原有客户端分组7.3 还原服务器证书管理员-服务器-本地站点-管理服务器证书进入证书管理向导：选择更新服务器证书后点击“下一步”后按相关向导进行还原即可：7.4防病毒策略还原导入策略：选择相应的策略导入：对相应的组进行策略分配：7.5配置SEPM的Liveupdate源服务器点击管理员服务器本地站点编辑站点属性 选择LiveUpdate选项卡，将保留的内容修订数目修改为5，点击“编辑源服务器” 选择“使用指定的内部LiveUpdate服务器”，点击添加填写LUA服务器名、URL和LUA服务器用户名密码，其中URL格式：http:/LUA的IP地址:7070/clu-prod。点击确定保存。第八章 LUA服务器安装配置注：本章需省分行进行此章的配置省分行LUA需要重新安装配置8.1 LUA安装安装JAVA。取得JAVA的安装文件，也可以从SUN的网站上进行下载。点击jre进行安装。 接受协议，下一步，自动安装此程序，点击完成即可。 安装LUA2.3。点击下图所示LUA安装程序点击“下一步”将安装路径和下载路径均更改到D盘设置登录用户名和密码点击“安装”8.2产品添加登录LUA，点击“配置”“我的Symantec产品”，点击添加产品选择symantec Endpoint protection：选择Symantec Endpoint Protection v11.0中文版（简体）和Symantec Endpoint Protection v12.1简体中文版。8.3 配置自动下载和分发在配置-源服务器中，添加源服务器，点击“添加”添加“原服务器名称”，优先级选择1，“主机名/IP地址”填写总行LUA服务器IP地址，“根目录”填写clu-prod，根目录ID填写administrator，密码填写symantec，勾选“HTTP”,“端口”填写7070。点击“确定”保存之后，勾选添加的LUA源服务器，点击“编辑”点击“测试”，测试是否成功连接到总行LUA在配置-分发中心中设置分发配置。选择编辑“Default Production Distribution Center (生产)项在编辑生产分发中心里面添加分发产品勾选所有产品，点击“确定”8.4 创建调度更新和调度分发为使服务器更新和分发自动进行，不需要人工干预，需要在LUA上设置调度更新和调度分发，以达到全自动的目的。在服务器“下载和分发“-调度中添加下载调度和分发调度分别建立下载调度和分发调度。8.4.1建立下载调度点击添加下载按钮，启动添加下载调度向导，输入调度名称，添加产品在时间调度上选择每天早上进行下载更新，点击确定生效8.4.2 配置分发调度点击“添加分发”启动添加分发调度向导，同样的设置名称、添加产品、设置分发的类型、设置调度频率8.5删除SEP12产品当省行所有SEP客户端升级完成后，需要将LUA中选择的SEP11产品删除。点击“配置”“我的Symantec产品”，勾选“symantec Endpoint protection v11.0”,点击“删除所选产品”点击确认删除第九章 终端安全部署及升级9.1客户端安装包功能设置和导出（注：以下用测试名称为“ABC”的客户端安装设置和名称为“ABC”的客户端功能集进行演示创建。）点击“管理员”，“安装软件包”，“客户端安装功能集”，点击“添加客户端安装功能集”弹出的新窗口的名称输入框输入“Antivirus”，功能集版本选择“12.1.X”，功能选择“病毒，间谍软件和基本下载防护” 点击“管理员”“安装软件包”“客户端安装软件包”。点击“SEP12.1.1000.157 Win32位”，右键点击“导出”在弹出的新窗口中输入导出目录，如“D:”。安装设置选择“默认客户端安装设置”功能集设置为“Antivirus”，选择客户端分组，点击确定，导出受管客户端，设置如下图所示。9.3 发布SEP安装包在D盘根目录下建立一个SETUP文件夹（文档中以SEP文件夹为演示），将客户端拷贝到此文件夹中。配置IIS网站发布，点击我的电脑右键管理服务器管理器角色WEB服务器（IIS）Internet信息服务（IIS）管理器，右侧窗口显示IIS管理器配置窗口。点击本地站点-网站-Defult Web Site，右键点击Defult Web Site，弹出下拉菜单，选择“添加虚拟目录”。选择“添加虚拟目录”后，弹出“添加虚拟目录”编辑窗口，填写虚拟目录别名（统一命名为sep），编辑物理路径，选择之前创建好的“SETUP”文件夹路径，选择完成后点击确定，如图所示。：选择新建的虚拟目录，点击目录浏览，在右侧功能栏中，选择“打开功能”，如图所示：编辑目录浏览属性，在右侧功能栏中，选择“启用”，如图所示：编辑完成“目录浏览”属性后，返回到SETUP虚拟目录下，在右侧功能栏中，点击“浏览*：8080（http）”，查看虚拟目录是否正常，如图所示：打开浏览器，输入地址http:/IP地址：8080/sep第十章 服务器安装记录表服务器安装配置完成后，需要省行管理员填写以下服务器实施记录表，并提交到省行农业发展银行*分行SEPM服务器实施记录表服务器信息主机名称IP地 址主机型号操作系统产品名称SEP产品版本SEP12.1.3硬件配置实施结果安装组件.NET Franework 3.5.1 IIS安装过程1. 安装IIS角色2. 安装.net功能3. 安装SQL20124. 安装SEP12.1.35. 导出客户端安装包6. WEB发布sep客户端安装包实施结果完成服务器SEP12的部署产品部署后相关信息HOSTNAME：IP：管理员账号密码：SEPM管理员：SEPM管理员密码：sem5库的用户名：sem5库的密码：SQL用户名：SQL密码：通讯密钥：SQL2008应用程序安装路径：SEP12.1应用程序安装路径：第十一章 常见问题处理1. 安装SEP客户端回滚步骤一、在安全模式下使用CleanWipe.exe完全卸载SEP，卸载 后重启 步骤二、删除C:Program Files下Symnatec文件删除C:Program FilesCommon Files下Symnatec文件删除C:Documents and SettingsAll UsersApplication Data下Symnatec文件开始-运行-regedit 查找并删除Symantec相关键值2. 安装程序循环安装且无法停止1)现象描述： SEP客户端在安装过程中出现异常停止安装，并且360弹出“是否允许”对话框时，点击“否”， 此时重启计算机后，依然会继续安装SEP客户端，进入循环安装，无法安装成功。2)解决办法： 利用卸载工具，卸载SEP客户端，重启计算机，此时不会出现客户端循环安装的现象，再将SEP客户端安装包解压缩，运行解压缩后的文件“Symantec AntiVirus.MSI”，之后点击“删除”，重新启动计算机，可成功安装SEP客户端。3. 双击安装图标，不进行安装且无任何反应或提示没有权限解决方法： 使用解压缩软件对“SEP安装文件”进行解压，以“管理员身份”运行解压缩文件中的“Setup”重新安装即可 4. 开机太慢，需要二十分钟，严重影响工作解决方法：安装SEP后机器启动速度明显变慢，检查后发现机器打开了windowsdefender服务，关闭windowsdefender功能，禁用windowsdefender服务，重启即可5. SEP客户端安装日志路径“开始”“运行”“%TEMP%”，打开 SEP_INST.log 。此文件的具体路径：c:Documents and SettingsXX用户Local SettingTemp目录。6. 安装SEP客户端时提示“Windows Installer无法打开此安装包”解决方法：可能是系统的Windows Installer服务异常造成，建议CMDmsiexec /unregserver后，在运行msiexec /regserver即可。如果仍然有问题，建议安装微软最新的Windows Installer 4.5后，再安装SEP客户端即可，或解压缩SEP客户端的setup.exe安装包，运行Symantec AntiVirus.msi安装即可。7. 管理员密码忘记，如何重置管理员密码解决方法： 1）.在以下的SEPM安装文件夹里创建一个文本文件并命名为resetpass.txt:Program FilesSymantecSymantec Endpoint Protection ManagerTools.2）.编辑新文件resetpass.txt:复制下列内容到resetpass.txtecho offsetlocal set CATALINA_HOME=%CD%.tomcatset JRE_HOME=%CD%.jre %JRE_HOME%binjava.exe -Xms64m -Xmx256m -XX:MinHeapFreeRatio=30 -XX:MaxHeapFreeRatio=40 -classpath %CD%.b