由于公司EPO服务器使用的是2003系统,太过老旧且EPO5.0开始不再支持2003的系统。于是考虑把EPO迁移和升级,本想一步到位直接使用2012系统,因其他应用的限制放弃,不过2008R2以后也可以直接升到2012。
迁移步骤:
一、备份
1、备份文件
C:\Program Files\McAfee\ePolicy Orchestrator\Server(\Logs、Work、cache可以不备)
C:\Program Files\McAfee\ePolicy Orchestrator\DB\Software
C:\Program Files\McAfee\ePolicy Orchestrator\DB\Keystore
C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\conf
2、备份配置
主机名/IP、端口配置、安全密钥(选择全部备份自动生成keystore.zip)、许可密钥(如果有记录可以不备)、
确保安全,还可以做以下操作:策略备份(导出xml)、任务备份(客户端和服务器,导出xml或截图)、已安装软件备份(主存储库和分布式存储库,导出xml或截图)
3、备份数据库
数据库配置备份(https://<servername>:8443/core/config,截图)
数据库备份(通过sa用户连接SQL控制台,完全备份EPO4_McAfee。可以先压缩日志文件和数据库)
二、重装和还原
1、重装或安装好目标服务器,更新好补丁
2、安装EPO4.6,在windows2008R2上安装时会提示“此项安装要求遵循8.3命名约定”的错误提示,修改注册表,把"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem"的"NtfsDisable8dot3NameCreation"把值由2改为0,重新运行安装程序。安装时注意路径保持一致,安装完成后先停止EPO的三个组件服务并禁用。
3、还原数据库。先分离原数据库(或在原数据库覆盖还原),再还原备份的数据库(根据需要选择还原后的数据库路径)。还原后请检查数据库配置是否正确。
4、删除安装生成的备份时的4个文件夹并使用备份文件还原。
5、启动EPO应用程序服务器服务(ssl认证)
打开cmd并更改到EPO安装路径,运行以下命令:Rundll32.exe ahsetup.dll RunDllGenCerts eposervername 8443 admin "password" "C:\Program Files\McAfee\ePolicy Orchestrator\APACHE2\CONF\SSL.CRT"
6、修改EPO三个组件服务为自动,并启动服务。
迁移成功!
三、4.x升级至5.x
1、迁移完成,计划把4.6.8升级至5.0.1,在仔细阅读了安装向导后开始升级安装。但在运行兼容性检查时报以下错误:
“ePolicy Orchestrator 4.6.8.112 (EPOCore) - 无已知的兼容版本”
官方KB解决办法:https://kc.mcafee.com/corporate/index?page=content&id=KB81996&locale=zh_CN
no known compatible version (upgrade from ePO 4.6.7 or 4.6.8 to ePO 5.0, 5.0.1, or 5.1 fails Product Compatibility check)
技术文章 ID: KB81996
上次修改时间: 7/29/2014
环境
McAfee ePolicy Orchestrator (ePO) 5.x, 4.6.8, 4.6.7
问题
An upgrade from ePO 4.6.7 or 4.6.8 to ePO 5.0, 5.0.1, or 5.1 fails with the following Product Compatibility Check error:
ePolicy Orchestrator <ePO Build Number> (EPOCore) - no known compatible version
Example:
If you attempt to upgrade from ePO version 4.6.8, the error would be:
ePolicy Orchestrator 4.6.8.112 (EPOCore) - no known compatible version
原因
ePO 4.6.7 and 4.6.8 were released after ePO 5.0, 5.0.1, and 5.1, and the installers for these later versions are not aware of the changes made in ePO 4.6.7 or 4.6.8.
解决方案
Do not upgrade directly from ePO 4.6.7 or 4.6.8 to ePO 5.0, 5.0.1, or 5.1.
This issue is resolved in ePO 5.1.1, which is available from the Product Downloads site at:http://mcafee.com/us/downloads/downloads.aspx.
2、按照官方知识库要求,不能直接从4.6.7或4.6.8升级到5.0、5.0.1或5.1,需要直接升级到5.1.1
3、下载安装5.1.1,在升级安装时又遇到了问题,提示如下:
提示需要清除过大的数据库表,官方文档:https://kc.mcafee.com/corporate/index?page=content&id=KB79561&locale=zh_CN
4、运行服务器任务,清除事件日志。这一步需要很长时间,因服务器的事件日志从未清理过,整整清理了两天,数据库从43G多缩小到2G多。最后只保留了90天的日志并启用了计划任务每天清理90天前的日志。
清除早于 90 天的威胁和客户端事件(系统自带未启用任务,选择启用并运行)
清除早于90天威胁和客户端事件及审核和服务器任务日志(根据官方文档自建任务,启用并运行)
5、升级安装EPO5.1.1,系统提示要求安装在内存8G以上的服务器上,忽略继续。第一次升级失败,在完成前已中断。查看升级安装日志(%temp%\McAfeeLogs\EPO510-Install-MSI.LOG),有以下错误提示:
MerModCALog: FAILURE: In LaunchAppAndWait while trying to run the following program:
"C:\PROGRA~2\McAfee\EPOLIC~1\jre\bin\java.exe" Return code: 1 Error Message: 函数不正确。
CustomAction: MerMod_StartCurrentServices
MerModCALog: FAILURE: While starting the service [MCAFEETOMCATSRV510] because the MFS core webapps did not start correctly. CustomAction: MerMod_StartCurrentServices
网上搜索了一下官方有KB介绍相关的问题(KB78121),解决办法:
检查<!-- Define a SSL HTTP/1.1 Connector on port 8443 --> 后面一行以<Connector开头,有类似maxThreads="150" and enableLookups="false"属性的中间是否有id="orion.server.https",如果没有停止EPO应用服务,修改server.xml文件(修改前先备份)增加id="orion.server.https"值。并启动EPO应用服务,如果可以登录控制台就可以继续升级了。
PS:第一次把最后面的<Connector id="orion.server.clientCert" maxHttpHeaderSize="8192" maxThreads="150"中的clientCert改成https后发现登录不了控制台,再仔细阅读KB后发现改错了。
6、修复server.xml文件后重新启动EPO5.1.1升级安装程序,升级安装成功。5.1.1和4.6.8控制台大致类似,只是菜单栏和排版更人性化一些,返回和下一页更方便。
The wizard was interrupted before McAfee ePolicy Orchestrator could be completely installed (issue: upgrading to ePO 5.0.0 or 5.1.0 fails)
https://kc.mcafee.com/corporate/index?page=content&id=KB78121&locale=zh_CN
另外,EPO5.1.1不支持VirusScan Enterprise 8.7了。
ePO 5.1 supported products
https://kc.mcafee.com/corporate/index?page=content&id=KB79169&locale=zh_CN&viewlocale=zh_CN
如果从32位系统迁移到64位系统,注意还要修改安装目录。具体请参考文件:
https://kc.mcafee.com/corporate/index?page=content&id=KB71078&locale=zh_CN&viewlocale=zh_CN
如何将 ePO 4.5 或 ePO 4.6 从 32 位系统迁移至 64 位系统(或迁移至其他安装路径)
技术文章 ID: KB71078
上次修改时间: 2014/02/13
环境
McAfee ePolicy Orchestrator 4.6
McAfee ePolicy Orchestrator 4.5
摘要
如何将 ePO 4.5 或 ePO 4.6 从 32 位系统迁移至 64 位系统?
解决方案
重要说明:
此程序仅供网络和 ePolicy Orchestrator (ePO) 管理员使用。由于其仅用作灾难恢复指导,McAfee 对造成的任何损失不承担责任。用户应承担使用以下信息的所有责任。
该程序只能用于 ePO 4.5 和 ePO 4.6 服务器。
如果重命名 ePO 服务器,则此程序将不起作用。
注意:
代理使用 ePO 服务器上一个已知的 IP 地址、DNS 名称或 NetBIOS 名称。如果您更改以上任何一项,请确保代理有办法找到该服务器。为了此目标,最简单的方法是保留现有的 DNS 记录,并将其更改为指向 ePO 服务器的新 IP 地址。代理能够成功连接到 ePO 服务器后,将下载具有最新信息的更新版 SiteList.xml。
此程序还可供想要将 ePO 4.5 或 ePO 4.6 服务器迁移至其他系统的客户使用。
备份之前
停止 ePO 4.5 或 4.6 服务:
依次单击开始、运行,键入 services.msc,然后单击确定。
右键单击下列每项服务并选择停止:
McAfee ePolicy Orchestrator 4.x.0 应用程序服务器
McAfee ePolicy Orchestrator 4.x.0 事件解析器
McAfee ePolicy Orchestrator 4.x.0 服务器
- 其中 4.x.0 是在环境中运行的适用版 ePO。(示例:McAfee ePolicy Orchestrator 4.5.0 应用程序服务器)
备份数据库
使用下列方法之一备份 SQL 数据库(通常命名为 ePO4_<ServerName>,其中 <ServerName> 为您的 ePO 4.5 服务器名称):
请参阅任何以下 KnowledgeBase 文章:
备份文件系统
必须将以下文件夹结构备份到可从新 64 位系统访问的位置。例如,网络共享位置。将使用默认安装路径,安装可能有所不同。确保备份所有文件和子文件夹。
C:\Program Files\McAfee\ePolicy Orchestrator\SERVER
ePO 应用程序服务器的所有已安装扩展和配置信息都位于此处。
C:\Program Files\McAfee\ePolicy Orchestrator\DB\SOFTWARE
所有已签入主存储库的产品都位于此处。
C:\Program Files\McAfee\ePolicy Orchestrator\DB\KEYSTORE
在安装中唯一的代理、服务器和存储库密钥位于此处。
C:\Program Files\McAfee\ePolicy Orchestrator\APACHE2\CONF
Apache 的服务器配置设置、授权服务器处理代理请求所需的 SSL 证书以及控制台证书均位于此处。
注意:如果未备份所有这些目录结果,则无法将 ePO 安装移至新的 64 位系统,并且需要从头开始,包括将代理重新部署到所有客户端计算机。
在 64 位系统上安装
由于新 64 位系统具有与现有 32 位系统相同的名称,并且将为新数据库使用相同的 SQL 服务器,因此需要删除或重命名 SQL 服务器上的现有 ePO 数据库。
启用 8.3 命名约定,以便能够安装 ePO:
依次单击开始、运行,键入 regedit,然后单击确定。
导航到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
将 NtfsDisable8dot3NameCreation 值更改为 0。
重新启动服务器。
在 64 位计算机上安装 ePO 4.5 或 ePO 4.6。确保安装与现有 ePO 安装相同的补丁级别。
注意:可以验证 ePO 4.5 或 ePO 4.6 补丁级别,方法是在备份 Server.ini 文件(C:\Program Files\McAfee\ePolicy Orchestrator\DB\)中查看 Version 字段,然后交叉参考文章 KB59938 - ePolicy Orchestrator 服务器的版本信息。在安装过程中,确保指定与当前 ePO 安装相同的服务器端口。
如果以前的安装包含 Policy Auditor 5.x 或 MNAC 3.x,请安装相同版本的 Policy Auditor 或 MNAC(包括任何修补程序)。
在安装完成后,停止并禁用所有 ePO 4.5.0/ePO 4.6.0 服务。
依次单击开始、运行,键入 services.msc,然后单击确定。
右键单击下列每项服务并选择停止:
McAfee ePolicy Orchestrator 4.x.0 应用程序服务器
McAfee ePolicy Orchestrator 4.x.0 事件解析器
McAfee ePolicy Orchestrator 4.x.0 服务器
- 其中 4.x.0 是在环境中运行的适用版 ePO。(示例:McAfee ePolicy Orchestrator 4.5.0 应用程序服务器)
双击每项服务并将启动类型更改为已禁用。
还原数据库。
注意:如果要将数据库还原到其他 SQL 服务器,请确保用于在现有 ePO 安装中访问 SQL 的帐户仍存在,并且在新 SQL 服务器上具有相同的权限。(例如,如果使用 sa 帐户访问现有安装的 SQL,请确保 sa 帐户已在新安装中启用并且具有相同的密码。)
在启动服务器之前,必须使用新信息更新还原的 DB.PROPERTIES 文件,它位于 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\server\conf\Orion。这一点将在后面介绍。
删除以下文件夹,以先前备份的相应文件夹替换:
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\SERVER\
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\CONF
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\SOFTWARE\
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\KEYSTORE\
导航至 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\SERVER\conf\catalina\localhost,然后在文本编辑器中编辑所有 XML 文件,以反映它们现在所在的 64 位路径:
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\SERVER\conf\catalina\localhost
例如,按照以下方式更改 webapp.xml 的内容:
从:
<Context docBase="C:/Program Files/McAfee/ePolicy Orchestrator/Server/extensions/installed/rs/2.0.1/webapp"
privileged="true" antiResourceLocking="false" antiJARLocking="false"></Context>
改为:
<Context docBase="C:/Program Files (x86)/McAfee/ePolicy Orchestrator/Server/extensions/installed/rs/2.0.1/webapp"
privileged="true" antiResourceLocking="false" antiJARLocking="false"></Context>
注意:如果存在名为 deployer.xml 的文件,请不要编辑它。该文件具有与其他 XML 文件不同的格式。
可以非常轻松执行此操作,方法是在多标签文本编辑器(如记事本)中打开除 deployer.xml 以外的所有文件,然后在所有文件中使用 "Files (x86)/" 替换 "Files/"。或者,也可以使用 SQL Server Management Studio 的在文件中替换功能(编辑、查找和替换、在文件中替换)来实现类似的结果。有关如何使用此功能的更多详情,请参阅 SQL Server 联机丛书。
确定 Program Files (x86) 文件夹的 8.3 表示法:
依次单击开始、运行,键入 cmd,然后单击确定。
要更改根,请键入以下命令并按 ENTER。
CD\
要列出目录结构,请键入以下命令并按 ENTER。
dir /x
选择引用 Program Files (x86) 文件夹的 PROGRA~。最常见的形式为 PROGRA~2。
在文本编辑器(记事本)中打开下列各个 .conf 文件,然后执行以下操作:
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\conf\httpd.conf
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\conf\ssl.conf
找到具有 32 位路径的所有行,替换所有行以反映在步骤 8 中确定的 64 位路径。
例如,更改以下内容:
从:
ServerRoot “C:/PROGRA~1/McAfee/EPOLIC~1/”
改为:
ServerRoot “C:/PROGRA~2/McAfee/EPOLIC~1/”
依次单击编辑、替换。
在查找内容字段中输入“旧路径”(32 位)。
在替换为字段中输入“新路径”(64 位)。
单击全部替换。
注意:在此文件中,将在多个位置修改此路径。
保存更改。
如果已安装 MNAC 3.x:
依次单击开始、运行,键入 explorer,然后单击确定。
导航至:C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\Extensions\Installed\NAC\x.x.x.xxx\conf\nacserver.properties。
按照以下方式修改 servlet.cert.keyStoreLocation 的路径:
从:C:/PROGRA~1/McAfee/EPOLIC~1/server/extensions/installed/NAC/3.2.1.148/keystore/nacsub.keystore
改为:C:/PROGRA~2/McAfee/EPOLIC~1/server/extensions/installed/NAC/3.2.1.148/keystore/nacsub.keystore
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\bin\setenv.bat,然后在以下列内容开头的行上更改路径:
set JAVA_OPTS=
set JRE_HOME=
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\bin\setenv.sh(如果存在),然后在以下列内容开头的行上更改路径:
export CATALINA_HOME=
export JAVA_OPTS=
export JRE_HOME=
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\epo\epo.properties,然后在以下列内容开头的行上更改路径:
epo.install.dir
epo.db.dir
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion\log-config.xml,然后在以 <param name="File" 开头的行上更改路径:
注意:此行位于两个位置 - 在“标准日志文件”和“滚动日志文件”部分下。
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion\orion.properties,然后在以下列内容开头的行上更改路径:
extension.install.dir
extension.tmp.dir
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ePO\install.properties,然后在以下列内容开头的行上更改路径:
apache.install.dir
apache2.install.dir
epo.install.dir
epo.db.dir
epo.db.dir2
catalina.home
编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\Core\install.properties,然后在以下列内容开头的行上更改路径:
orion.home
orion.jre.home
如果已将数据库还原到其他 SQL 数据库,请编辑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\server\conf\Orion\db.properties,然后使用正确信息更新以下条目:
db.database.name
db.instance.name
db.port
db.user.name
db.server.name
启用所有 ePO 4.5.0/ePO 4.6.0 服务:
依次单击开始、运行,键入 services.msc,然后单击确定。
双击下列每项服务,然后将启动类型更改为自动:
McAfee ePolicy Orchestrator 4.x.0 应用程序服务器
McAfee ePolicy Orchestrator 4.x.0 事件解析器
McAfee ePolicy Orchestrator 4.x.0 服务器
- 其中 4.x.0 是在环境中运行的适用版 ePO。(示例:McAfee ePolicy Orchestrator 4.5.0 应用程序服务器。)
启动 McAfee ePolicy Orchestrator 4.5.0/4.6.0 应用程序服务器服务。
注意:必须启动它以下流程才可起作用。
依次单击开始、运行,键入 cmd,然后单击确定。
将目录更改为 ePO 安装路径(它现在为:C:\Program Files (x86)\McAfee\ePolicy Orchestrator\)。
在 ePO 目录中,运行以下命令:
重要说明:如果已在此服务器上启用用户帐户控制 (UAC),则此命名将失败。如果它是 Windows Server 2008 或更高版本,请禁用此功能。您可在下面的网站找到有关 UAC 的更多信息:
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx.
Rundll32.exe ahsetup.dll RunDllGenCerts <eposervername> <console HTTPS port> <admin username> <password> <"installdir\Apache2\conf\ssl.crt">
其中:
<eposervername> 是 ePO 服务器的 NetBios 名称
<console HTTPS port> 是 ePO 控制台端口(默认为 8443)
<admin username> 是管理员(使用默认 ePO 管理员帐户)
<password> 是 ePO 管理控制台帐户的密码
<installdir\Apache2\conf\ssl.crt> 是 Apache 文件夹的安装路径(现在为:C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\CONF\SSL.CRT)
示例:
Rundll32.exe ahsetup.dll RunDllGenCerts eposervername 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\APACHE2\CONF\SSL.CRT"
注意:此命令中的 RunDllGenCerts 开关区分大小写。ahsetup.log(位于 <installdir\Apache2\conf\ssl.crt> 中)提供有关命令成功或失败的信息。它将指明是否使用位于 ssl.crt 文件夹中的文件。
开始以下服务:
McAfee ePolicy Orchestrator 4.x.0 事件解析器
McAfee ePolicy Orchestrator 4.x.0 服务器
- 其中 4.x.0 是在环境中运行的适用版 ePO。(示例:McAfee ePolicy Orchestrator 4.5.0 应用程序服务器)
注意:在 DB\logs\server.log 中查看以确保代理处理程序(Apache 服务器)已正确启动。将显示如下类似内容:
20090923173647 I #4108 NAIMSRV ePolicy Orchestrator 服务器已启动。
如果它未启动,则会显示错误,它类似于:
20090923173319 E #4736 NAIMSRV 无法获取服务器密钥信息。
最后,重新启动三个 ePO 服务。