McAfee Hostmigration bei gleichem Hostname

Zugriffe: 192

Wie schiebe ich am einfachsten den McAfee Orchestrator auf einen neuen Server.

Heute kam der Wechsel des Orchestrators von einem Windows Server 2008 R2 auf Windows Server 2019 1809. Ich habe bewusst darauf verzichtet, Version 1903 zu nehmen, da dies noch nicht offiziell freigegeben wurde.
https://kc.mcafee.com/corporate/index?page=content&id=KB90935

Als erstes empfiehlt es sich, die wichtigsten Sachen zu sichern vom Server.

Dazu führt man ein Datenbanksnapshot innerhalb des Orchestrators durch und prüft, ob dieser aktuell ist.

Danach ziehe ich mir ein Filebasedbackup relativ einfach mit folgendem Script:

set source=C:\Program Files (x86)\McAfee\ePolicy Orchestrator
set destination=X:\PFAD\Backup McAfee

robocopy "%source%\Server\extensions" "%destination%\Server\extensions" /mir
robocopy "%source%\Server\conf" "%destination%\Server\conf" /mir
robocopy "%source%\Server\keystore" "%destination%\Server\keystore" /mir
robocopy "%source%\DB\Software" "%destination%\DB\Software" /mir
robocopy "%source%\DB\Keystore" "%destination%\DB\Keystore" /mir
robocopy "%source%\Apache2\conf" "%destination%\Apache2\conf" /mir

Danach ziehe ich mir einen Snapshot dieser Maschine. Obwohl ich nichts mehr mit dem alten Server mache, behalte ich mir diesen kleinen Joker in der Hinterhand.

Wenn alles nach Plan funktioniert, ist es nicht notwendig, auf diese Backups zurückzugreifen. Mit diesen Varianten kann ich auf vielen Wegen wieder zu einer funktionierenden Umgebung wechseln.

Strategie 1: Snapshot zurückfahren, Datenbank zurückfahren, starten.
Strategie 2: Server trotzdem installieren, Zertifikate und Repository via Filebased zurückfahren und den Server so in Betrieb nehmen. Hier müsste jedoch Policys von Hand nachgearbeitet werden. Da aber der alte Server noch vorhanden ist, ist ein nachträgliches Abschauen, oder Export - Import Verfahren möglich. Wobei Abschauen auch den Vorteil mitbringt, dass man aufräumen kann.

Der zweite Schritt ist das sichern der beiden DBs vom SQL Server. McAfee verwendet seit den letzten Versionen nicht nur 1 DB sondern 2, da die Events separiert wurden aus Performancegründen.

Auch hier, wenn alles klappt, müssen wir nicht auf die Backups zurückgreifen.

 

Nun wird die alte VM ausgeschaltet und die Netzwerkkarte getrennt, damit dieser Server sicher keinen Einfluss mehr hat. Nun wird der bereits vorbereitete und aktualisierte Server bereitgemacht mit selbiger IP, Hostname und wird in die Domäne aufgenommen. Schon kann man sich an das Installieren des Orchestrators machen.

Im ersten Dialog ist wichtig, die Option "ePO aus einem vorhanden Datenbank-Snapshot wiederherstellen." anzukreuzen, damit wird einem sehr viel Arbeit abgenommen. Danach wird die Verbindung zur Datenbank wieder hergestellt mit dem neuen Server, dabei referenziert man auf die bereits vorhandene Instanz mit dem entsprecheden Benutzerkontext. Weiter geht es mit der Portdeklaration und der Eingabe der Passwörter für den admin-User und die Passphrase für den Datenbanksnapshot. Hier nutze ich genau die gleichen Daten, wie auf dem vorherigen Server.

Danach beginnt die Installationsroutine die recht schnell erledigt ist. Nun muss man dem Server ein wenig Zeit geben, damit er sein Master-Repository selber wiederherstellen kann. Dazu lädt der Orchestrator selbstständig alles von den Mainservern von McAfee herunter.

Die ersten Clients kommunizieren Dank dem gleichen Zertifikat, gleicher IP und gleichem Hostname direkt mit dem neuen Server. Der gleiche Hostname kam daher, weil damals bei der ersten Einrichtung verpasst wurde, einen Alias für die Kommunikation zu erstellen.

Die Migration klappt an und für sich problemlos, ein kleiner Schubser beim Erstellen des Repositorys (Pull) musste jedoch sein, da ich einfach zu ungeduldig war, bis der Server seinen eigenen Task durchführte.

Drucken