Symantec 更換服務器後的解決辦法

        近期更換服務器後，將原來服務器降級，停止運行。在安裝新服務器的時候，將主機名改名，所以在以前服務器上做的證書備份不能使用，沒辦法遷移到新服務器上，要重新安裝部署客戶端比較麻煩，打賽門鐵克客服電話瞭解後，客戶端運行時要調用一個與服務器的鏈接文件SyLink.xml，只要將其替換成新部署軟件包中的SyLink.xml就OK了。賽門鐵克客戶端運行起來一般操作根本沒辦法讓他退出關閉的，連結束進程都不行，所以無法直接進行覆蓋。
        賽門鐵克安裝時已經產生了一條命令可以關閉和打開程序（smc -stop,smc -start），可以在windows下運行，由於不是windows的內部命令，所以不可以直接在默認提示符下運行，必須要定位到客戶端軟件的安裝目錄下方可。以下是測試結果：

C:\Documents and Settings\admin>smc -stop
'smc' 不是內部或外部命令，也不是可運行的程序或批處理文件。                                  

C:\Documents and Settings\admin>smc         
'smc' 不是內部或外部命令，也不是可運行的程序或批處理文件。

C:\Documents and Settings\admin>cd ..

C:\Documents and Settings>cd ..           

C:\>                                                              

C:\>smc  -stop                                             
'smc' 不是內部或外部命令，也不是可運行的程序
或批處理文件。

C:\>cd C:\Program Files\Symantec\Symantec Endpoint Protection       

C:\Program Files\Symantec\Symantec Endpoint Protection>smc –stop

                     \\將新鏈接文件直接覆蓋粘貼到客戶端目錄下

C:\Program Files\Symantec\Symantec Endpoint Protection>smc –start

                      \\右擊任務欄中Symantec盾牌，按“更新策略”，刷新幾次就會開到小點已經變綠了，OK了

 

 

 

編寫一個簡單的批處理運行比較方便一點：

cd C:\Program Files\Symantec\Symantec Endpoint Protection
smc -stop

del Sylink.xml         //刪除原文件

cd ..
cd ..
cd ..
copy SyLink.xml  C:\Program Files\Symantec\Symantec Endpoint Protection\SyLink.xml

cd C:\Program Files\Symantec\Symantec Endpoint Protection

smc -start

 

 

 

附：常規情況下的備份和遷移

 

        恢復的前提要求：必須有事先已經備份好的PKI文件夾。因SAV10.1通過數字證書進行加密通訊，在服務器做升級操作之前需備份數字證書。即\Program Files\SAV\PKI目錄下的所有文件。
        爲確保SAVCE10.0版的一級服務器在重裝後成功恢復數字證書，請參照以下操作步驟：

1. 安裝前的準備：
A 保持主服務器的IP和主機名不變；
B 在安裝完成前，不要接入工作網。但需要和單一主機或交換機連接。因爲賽門鐵克系統中心（SSC）需要把網卡激活才能訪問服務器。

1. 先裝SSC控制檯，再裝SAV服務器端。通過SSC將服務器升級爲一級服務器。安裝好SSC或服務器後，都必須重新啓動服務器。先升級到最新的病毒定義，並確認升級成功（檢查I2_LDVP.VDB文件夾的兩個子文件夾）。

2. 在系統服務中停止Symanetc AntiVirus和 Intel PDS服務（注：停Intel PDS服務時會提示停止幾個相關的服務，在KB 2005040513373748中並沒有提到停止Intel PDS服務）。

3. 將sav安裝目錄下的PKI目錄刪除或改名，把備份的PKI目錄複製到安裝目錄下。

4. 用regedt32打開註冊表。提取備份的PKI目錄中roots下的證書文件第一個點前的32個字符替換一下幾個註冊表鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\下的DomainGUID;
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData\下的DomainGUID;
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AddressCache\服務器名>下的\DomainGUID; (許多情況下無此鍵值)
HKEY_LOCAL_MACHINE\SFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\ScsComms\LocalData\TrustedRoots備份，然後刪除。

注:此鍵值在Regedit的模式下不能複製粘貼，但在regedt32模式下可以。在Windows2003中無論用Regedit還是用regedt32下都不能從註冊表編輯器外複製後在此進行粘貼（但可以在註冊表編輯器內進行復制和粘貼），必須先刪除對話框裏的數值，再用鍵盤輸入新的數值。

6. 在系統服務中啓動Symanetc AntiVirus和 Intel PDS服務（包括先前一起被終止的幾個“Intel”開頭的服務）。
7. 這時候打開賽門鐵克防病毒軟件或SSC訪問服務器端會提示密碼錯誤。可以用SSC安裝目錄（\Program Files\Symantec\Symantec System Center\Tools）下的工具IFORGOT.exe重設密碼。
8. 確認都正常以後，即可以接入工作網。最好能夠先找一臺客戶端和服務器連接，測試對客戶端的管理沒有問題後，纔將服務器啓用。

提示：在切換服務器後，由於服務器第一次需要向客戶端推送一個比較大的病毒定義文件，可能需要一段時間來觀察（如果該服務器管理了很多的客戶端，可能需要三五天的時間，當然還要考慮網絡連接的情況）

 

 

 Symantec antivirus 客戶端如何在不重新安裝的情況下遷移父服務器Symantec AntiVirus 企業版客戶端已指定某個服務器的接受管理，現在希望將該客戶端移動到另一臺父服務器上。我們應該怎麼做呢，難道要重裝嗎？
     使用以下兩種方法之一可以實現這一點。要移動選定的幾個客戶端，請使用方法1。要移動所有客戶端，則既可以使用方法1，也可以使用方法2，推薦使用方法1

方法 1：
將一個或多個客戶端移動到另一臺父服務器上要將某些客戶端移動到另一臺服務器上，應將新的父服務器上的Grc.dat 文件複製到將受其管理的所有客戶端上，同時，修改舊的客戶端的注表：HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl\ReloadRootCertsNow 註冊表鍵的DWORD值設爲1；
    Grc.dat 文件在父服務器上所處的位置若父服務器採用的是 Windows 2003 操作系統，那麼應從父服務器上的 VPHOME 共享文件夾複製Grc.dat 文件。默認情況下，VPHOME 共享文件夾指向父服務器上的C:\Program Files\Symantec AntiVirus 。
   Grc.dat 文件在客戶端上的位置：根據您使用的操作系統，將 Grc.dat 文件複製到相應的文件夾中。
      **Windows 98 ：默認的文件夾位置爲 C:\Program Files\Symantec_Client_security\Symantec AntiVirus\ 。
      **Windows NT ：默認的文件夾位置爲C:\WinNT\Profiles\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\ 。
     ** Windows 2000/XP ：默認的文件夾位置爲C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 注意：在 Windows 2000/XP 上，目錄“Application Data ” (C:\Documents and Settings\All Users\Application Data) 是隱藏目錄。
    幾分鐘後，客戶端就會在此文件夾下找到 Grc.dat 文件,並對註冊表進行適當的更改並刪除 Grc.dat 文件。然後大家打開客戶端看看父服務器,是不是變化了?呵呵,就是這麼簡單。如果長時間沒有變化，可重啓客戶端電腦。

在新的新服務器secu中共享了一個目錄sav，把所需要的GRC.DAT文件共享出來，然後做了個簡單的批處理：
---------------------------------------------------------------------------------------------------------------------------
@ECHO OFF
title secu服務器管理
color 0a
echo *************************************************
echo.
echo 運行本程序將重新指定Symantec升級服務器爲secu
echo               運行之前應關閉其他運行程序
echo.
echo **************************************************
echo.
echo.
SET /P A1=更新完畢是否重啓(Y/N)?
IF /I '%A1%'=='Y' GOTO 1
IF /I '%A1%'=='N' GOTO 2
ECHO 你即不YES,也不NO
goto 3
:1
copy "\\secu\sav\GRC.DAT" "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\grc.dat"

reg add HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl /v ReloadRootCertsNow /t REG_DWORD /d 1 /f

shutdown -r -t 0 -f
goto 3
:2
copy "\\secu-bj\sav\GRC.DAT" "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\grc.dat"

reg add HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl /v ReloadRootCertsNow /t REG_DWORD /d 1 /f
ECHO 你輸入了No,重啓後操作生效！
:3
PAUSE
---------------------------------------------------------------------------------------------------------------------------

方法 2：
       將所有客戶端移動到另一臺父服務器上如果要將所有客戶端移動到另一臺父服務器上，那麼更改原始父服務器上的一個特定註冊表鍵就可以自動將客戶端定向到一臺新的父服務器。如果原有的父服務器不再工作，則應使用方法1。

1.導航至下列註冊表子鍵：HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\ClientConfig\

2.將“Parent”名更改爲新的父服務器的計算機名。

3.將“AlertDirectory ”名更改爲新的父服務器。

4.將“RemoteHomeDirectory ”名更改爲新的父服務器。

5.如果在服務器組間轉移客戶端，需要將"DomainName" 更名爲新的服務器組名稱。

6.關閉註冊表編輯器。

7.打開 Symantec 系統中心。

8.用鼠標右鍵單擊原始的父服務器，指向“所有任務”，再指向 Symantec AntiVirus ，然後單擊“客戶端實時防護選項”。

9.單擊“全部重設”。這將生成 Grc.dat 文件的一個新副本，從而將客戶端指向新的父服務器。

當客戶端簽入初始的父服務器時，會接收到配置更改，並開始與新的父服務器通信。如果停止然後重新啓動 Symantec AV 服務器服務，或者重新啓動初始父服務器，則 Grc.dat 文件會再一次將客戶端指向初始父服務器。未接收到配置更改的客戶端將仍然由初始父服務器管理。