PI Services

Le blog des collaborateurs de PI Services

INSTALLATION SYMANTEC MESSAGING GATEWAY VERSION 10.5.3

image

Aujourd’hui nous allons aborder l’installation de Symantec Messaging Gateway, son rôle principale est le filtrage de mails (Anti-Spam) mais il a notamment d’autres rôles comme une protection contre les attaques ciblées ainsi que des fonctions de filtrage de contenu avancé, de prévention des pertes de données et de chiffrement des messages électroniques.

Donc voici ci-dessous les prérequis de la Machine Virtuelle que nous allons installer sur un HYPERVISEUR WINDOWS 2012 R2

PREREQUIS DE LA VM :

image[7]

CONFIGURATION DE LA VM :

image

ETAPE 1 : boot avec le cd se trouvant sur le serveur HYPERV dans D :

image

ETAPE 2 : Lié l’image ISO se trouvant sur le serveur HYPERV dans D, et l’installation commence automatiquement :

image

ETAPE 3 : Entrer le login par défaut : admin et mot de passe par défaut :

1- Taper votre nouveau mot de passe   

2- Taper le FQDN de la VM SMG

image

ETAPE 4 : Taper 32 cela correspond au fuseau horaire paris

imageimage

ETAPE 5 : Taper ci-dessous les paramètres suivant :

1- IP de la 1ère Interface réseau 

2- Masque sous réseau  

3- IP de la Seconde interface réseau       

4- Masque sous réseau 

5- Route Static (NON par défaut)

6- Entrer l’IP du 1er Serveur DNS et du 2ème Serveur DNS s’il existe.

image

imageimage

ETAPE 6 : Taper ci-dessous le type de Fonction du SMG:

1- Scanner    

2- Control Center Only    

3- Scanner and Control CENTER

image

Si la configuration vous parait correct, taper YES puis appuyer sur Entrer

Ensuite vous pouvez connecter par interface WEB comme par exemple

https://smg.domaine.com

image

Symantec Endpoint Protection Manager – Reset Password

Problématique

Si il vous arrive d’oublier votre mot de passe utilisé pour l’accès à la console Symantec Endpoint Manager, il peut être bien pratique de rétablir les identifiants par défaut.

De plus, l’accès à la console SEP Manager est sécurisé par un système qui bloque pour une durée de temps variable l’authentification dès que plusieurs authentifications ont échouées.

Procédure

  • Tout d’abords vérifier que les services utilisé par SEP sont bien lancé, si ce n’est pas le cas, les démarrer puis retenter l’authentification,
  • Ouvrir un explorateur de fichier,
          • Se placer dans C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools
          • Exécuter en tant qu’administrateur le script Resetpass.bat
          • Les identifiants ont étés remis par défaut soit : admin/admin
          • Le log scm-server-0.log situé dans C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tomcat\Logs enregistre tout les évènements d’échec d’authentification, pratique pour troobleshooter un problème. 

SMG – Gestion des files d’attente SMTP en mode console sur Symantec Messaging Gateway 9.5.3

J’ai récemment été confronté à une situation complexe sur une architecture Symantec Messaging Gateway composée de trois nœuds :

  • Deux boitiers scanners
  • Un boitier control center

Le boitier control center était hors service (interface Web inaccessible); or, au même moment l’un de deux boitiers scanner était victime d’un problème de remise de messages (files d’attente Inbound et Outbound avec plusieurs milliers de messages en attente de traitement).

Dans ce cas de figure la seule méthode disponible pour administrer le boitier scanner (en l’absence de l’interface Web habituellement disponible sur le control center) consiste à prendre en la main en mode console (soit physiquement sur le serveur, soit à distance avec un client SSH comme putty).

Dans ce cas de figure, les trois commandes les plus importantes pour gérer les files d’attente sont les suivantes :

  • mta-control qui permet de gérer les files d’attente et de reconfigurer la pile MTA
  • monitor qui permet d’afficher le statut des files d’attente ainsi que le nombre de mail dans chaque file
  • service qui est une commande Linux standard permettant de redémarrer les services (dont le service MTA)

    Voici quelques exemples de commandes :

    mta-control pause-mode status (permet d’afficher le statut de la pile MTA)
image

    mta-control pause-mode pause-accept (reconfigure la pile MTA pour ne plus accepter les nouveaux messages; les messages toujours en file sont scannés, puis envoyés)
image

image

    mta-control pause-mode resume-accept (permet de revenir en arrière)

image

monitor mta (permet d’afficher l’état des différentes files; i_qmsgs correspond au nombre de message dans la file Inbound, o_qmsgs correspond au nombre de message dans la file Outbound et enfin d_qmsgs correspond au nombre de messages dans la file Delivery)

image

mta-control delivery flush (permet de forcer la réémission des messages bloqués dans la file d’attente Delivery)

image

service mta restart (permet de redémarrer le service MTA)

image

Symantec Enterprise Vault V9 – Upgrade FSA

Les versions 9 et 9 SP1 arrivent avec leur lot de nouveautés, et l’archivage de fichiers n’est pas en reste. Suite à la montée de version d’une architecture Enterprise Vault vers les deux dernières versions, il faudra prendre en considération la partie Fichiers. Hormis la mise à jour des agents (mise à jour classique), les données précédemment archivées seront à modifier.

Pour ce faire, Symantec fournit un utilitaire spécialement dédié à cet emploi qui va procéder à la mise à jour des Métadonnées, le “FSA Upgrade Utility”, sous la forme d’un outil à lancer en mode commande avec la commande “FSASummaryMigrator”.

Suite à la montée de version de votre infrastructure Enterprise Vault comportant des process d’archivage de fichiers (FSA), un message d’alerte apparait dans la console d’administration indiquant que toutes les opérations n’ont pas été effectuées.

image

Il s’agira alors de lancer cet outil.

Cette mise à jour comporte différentes étapes :

  • !!! S’assurer d’avoir sauvegarder les données en amont !!!
  • Lancer cet outil dans une fenêtre de commande et depuis le répertoire d’installation de la solution, généralement : “C:\Program Files\Enterprise Vault\FSASummaryMigrator.exe”
  • Le résultat de cette commande vous affichera : la liste des Vault Store impactés ainsi que les temps estimatifs de traitement pour chacun d’entre eux
  • Il sera alors possible de traiter chacun des Vault Store séparément en indiquant son numéro, par groupe  en cumulant les numéros (2,3 par exemple), ou tous les Vault Store d’un coup en indiquant “0”
  • Patientez durant l’opération sachant qu’il n’y a pas d’indicateur de progression
  • Examiner les fichiers LOG d’opération dans le répertoire “Reports\FSA\FSA Summary Data Migrator”
  • Taper la commande “L” pour afficher la liste des Vault Store restant à traiter

N.B.: Les Vault Store seront positionnés en “Mode Backup” durant cette mise à jour, ce qui implique de ne pas lancer de tâches d’archivage en simultanée par exemple

N.B.2 : si l’archivage de fichiers n’est pas utilisé dans votre environnement, cet outil peut tout de même être lancé et les résultats démontreront qu’il n’y a rien à mettre à jour…

==> Consulter les document “Utilities.pdf” ou “Upgrade_Instructions.pdf” pour plus d’informations

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

Symantec Enterprise Vault V9 – Outlook 2010 et le message caché (Outlook 2010 Hidden Message)

Les stratégies d’archivage ou Policies, quand elles sont appliquées à une boite aux lettres, arrivent sous la forme d’un message caché. Pour rappel, ces stratégies contiennent tous les paramètres relatifs à l’archivage de la dite boite aux lettres. Ne pas oublier non plus d’installer les composants Enterprise Vault pour le client Outlook.

Dans les anciennes versions d’Outlook, il suffisait de cliquer sur Point_D_Interrogation_thumb4 et “A propos d’Enterprise Vault” pour obtenir un certain nombre d’informations, y compris pour visualiser ces fameux paramètres. De plus, il était possible de vérifier la date de dernière synchronisation.

Depuis l’arrivée d’Outlook 2010 et son nouveau bandeau, le fameux Point_D_Interrogation_thumb5 a tout simplement disparu !!…ou plutôt….à pris une autre apparence !…

3d-point-d-39-interrogation_thumb1

La preuve en image…

image_thumb3

Désormais, il faut aller le chercher dans un tout autre endroit… en cliquant sur “Fichier”… “Enterprise Vault”… “Additional Support Information”…

image_thumb5

Et voilà…

image

image

Simple non ?…

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

Symantec Enterprise Vault V9 – Mise à jour impossible sur un Cluster MS relative à une mauvaise version listée dans le Deployment Scanner

Afin d’effectuer une montée de version dans des conditions optimales, l’un des pré-requis de base consiste à installer le Deployment Scanner de la version désirée sur le ou les serveurs Symantec Enterprise Vault. Cet outil permet de vérifier et de valider le positionnement des socles de base permettant d’effectuer cet Upgrade.

Lors d’une montée de version vers la v9, un effet indésirable peut être constaté. Le Deployment Scanner affiche un problème de compatibilité inter version, depuis le nœud actif comme le nœud passif, rendant impossible cette mise à jour. En effet, le dernière version listée semble être la 7.5.x alors qu’elle devrait être en 8.0.x, et du coup le passage en version 9 est impossible car il y a un delta de 2 versions. Afin de vérifier ces informations, il suffit d’aller en base de registre “\HKLM\Software\KVS\Enterprise Vault\Install” :

image

Afin de contrer ce bug, le passage en version 9 devra comporter une étape de plus, et en l’occurrence, l’application d’un service pack supplémentaire afin d’effectuer une capture de la base de registre une fois cette étape réalisée. Du coup, les process pour le passage en version 9 se complique.

Nœud Actif :

  1. Installation du Deployment Scanner de la version 8.0.”X+1”
  2. Lancement du Deployment Scanner pour vérification du positionnement des pré-requis
  3. Arrêt des services EV depuis la console Cluster MSCS (pour rappel, l’arrêt du service Admin stoppe tous les autres services)
  4. Lancement du SETUP.EXE de la version 8.0.”X+1” et installation
  5. Vérification de la version dans la base de registre (Cf. clé énoncée précédemment), puis EXPORTde la clé : “\HKLM\Software\KVS\Enterprise Vault

 

Nœud Passif :

  1. Installation du Deployment Scanner de la version 8.0.”X+1”
  2. Lancement du Deployment Scanner pour vérification du positionnement des pré-requis
  3. Lancement du SETUP.EXE de la version 8.0.”X+1” et installation
  4. Vérification de la version dans la base de registre (Cf. clé énoncée précédemment), puis EXPORTde la clé : “\HKLM\Software\KVS\Enterprise Vaulten cas de besoin

 

Nœud Actif :

  • Depuis la console Cluster MSCS, démarrer les services “Admin” et “Directory” et attendre l’arrivée des Event dans le journal d’évènement Enterprise Vault (Cf. procédures d’installation standards)
  • Nouvelle vérification de la version dans la base de registre, et si confirmation d’un effet rétro-actif, injecter les clés précédemment sauvegardées (un double-clic sur le fichier .REG repositionne les clés aux bonnes valeurs)
  • Démarrer les services restant en suivant les procédures standards

Nœud Passif :

  • Depuis la console Cluster MSCS, effectuer une bascule de toutes les ressources et vérifier en base de registre le bon positionnement des valeurs précédemment sauvegardées. Normalement, les valeurs positionnées suite à la mise à jour sont toujours présentes car elles sont embarquées par les services Enterprise Vault concernés.

Une fois ces manipulations effectuées, le passage en version 9 devient possible. Il suffira alors de suite les procédures standards.

Références: http://www.symantec.com/business/support/index?page=content&id=TECH70138&actp=search&viewlocale=en_US&searchid=1292493096299

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

SBG - Déployer un certificat sur une Appliance Symantec Brightmail Gateway à partir d'une autorité de certification Microsoft

La problématique

Lors du déploiement d'une Appliance Symantec Brightmail Gateway un certificat numérique auto-signé est automatiquement généré et assigné à l'interface Web du rôle Control Center.

image

La principale conséquence de cette configuration est l'apparition systématique d'une fenêtre d'avertissement lors de la connexion à l'interface Web d'administration (cf. capture d'écran ci-dessous).

image

De plus l'URL du navigateur apparaît en rouge pour rappeler que le certificat SSL utilisé pour chiffrer les données est invalide.

image

Cela n'est pas gênant lorsque seule une population d'administrateur se connecte à l'interface Web. Cependant, lorsque l'accès utilisateur à la quarantaine est activée, il devient nécessaire de corriger ce comportement.

Cette configuration doit être effectuée en plusieurs étapes :

1) Configuration de l'URL d'accès à la quarantaine
2) Import de l'autorité de certification interne dans l'Appliance
3) Génération d'une requête de certificat (CSR)
4) Validation de la requête auprès de l'autorité de certification interne (ou externe)
5) Import du certificat signé par l'autorité dans l'Appliance
6) Positionnement du certificat sur l'interface Web

Procédure à suivre

1) Configuration de l'URL d'accès à la quarantaine

La première étape consiste à définir, puis à configurer l'URL d'accès à la quarantaine utilisateur. Pour cela il faut se connecter à l'interface Web d'administration en tant qu'administrateur, cliquer sur l'onglet Spam, puis sur le lien Quarantine Settings dans le menu de gauche.

On peut ensuite spécifier l'URL d'accès à la quarantaine dans le champ Spam Quarantine Login URL. Dans l'exemple ci-dessous l'URL retenue est la suivante :

image

Remarque : L'accès utilisateur à la quarantaine nécessite également que l'option Administrator-only Quarantine soit décochée et donc que l'accès à un annuaire soit configuré (pour l'authentification LDAP). De plus une entrée DNS doit également être créée pour effectuer la correspondance entre le FQDN de l'interface Web (exemple : sbg.piservices.fr) et l'adresse IP du control center.

2) Import de l'autorité de certification interne dans l'Appliance

Dans l'hypothèse où l'on souhaite utiliser un certificat émis par une autorité de certification interne, il faut impérativement insérer le certificat de l'autorité de certification racine dans le magasin Certificate Authority de l'Appliance.

Pour cela l'administrateur doit se connecter à l'interface Web d'administration, cliquer sur l'onglet Administration, puis sur le lien Certificates dans le menu de gauche. Il faut ensuite sélectionner l'onglet Certificate Authority, puis cliquer sur le bouton Update.

image

L'assistant propose alors d'injecter un certificat présent localement sur le poste de l'administrateur. Ce certificat doit respecter le format PEM (CER encodé en base64).

image

Remarque : Dans le cas où l'autorité de certification interne est issue du monde Microsoft (serveurs sous Windows Server 2003, 2003 R2, 2008 ou 2008 R2), les formats généralement utilisés sont les formats CER ou CRT. Pour les convertir au format PEM un utilitaire de conversion comme Crypto4PKI peut être utilisé.

image

3) Génération d'une requête de certificat (CSR)

L'étape suivante consiste à créer une requête de demande de certificat dans l'interface Web d'administration. Pour cela il faut aller dans l'onglet TLS & HTTPs Certificates, puis cliquer sur le bouton Add.

image

Dans l'assistant de création de la requête il faut sélectionner Certification Authority Signed dans le type de certificat, renseigner le nom commun qui doit correspondre à l'URL d'accès à la quarantaine (ici "sbg.piservices.fr") ainsi que tous les champs descriptifs demandés.

Le bouton Request permet ensuite de générer la demande de certificat ou CSR (Certificate Signing Request).

image

La requête obtenue doit ensuite être conservée en mémoire (cf. capture d'écran ci-dessous).

image

Suite à cette manipulation le certificat apparaît comme étant Requested dans l'interface Web.

image

4) Validation de la requête auprès de l'autorité de certification interne

La requête de certificat doit ensuite être validée et signée numériquement par l'autorité de certification interne. Si il s'agit d'une autorité de certification Microsoft, l'une des méthodes consiste à se connecter à l'interface Web d'administration (l'URL est généralement du type https://server/certsrv).

Pour commencer l'administrateur doit sélectionner le lien Request a certificate, puis advanced certificate request et enfin Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

image

image

image

Dans la page Submit a Certificate Request or Renewal Request il faut insérer la requête précédemment générée, sélectionner le modèle de certificat Web Server et enfin cliquer sur le bouton Submit.

image

Si l'autorité de certification est de type "entreprise" et si le compte utilisateur possède les bonnes autorisations alors un certificat signé numériquement au format CER est immédiatement émis par l'autorité de certification (dans le cas d'une autorité de certification "autonome", l'émission du certificat doit être validée manuellement dans la console MMC Autorité de certification).

image

Remarque : Le certificat émis étant au format CER, il doit être converti au format PEM pour pouvoir être utilisé au sein de l'interface Web Brightmail.

5) Import du certificat signé par l'autorité dans l'Appliance

Pour importer le certificat au format PEM dans l'interface Web Brightmail, il faut cliquer sur l'onglet Administration, puis sur le lien Certificates et enfin sur le bouton Import.

image 

image

Suite à l'opération d'import un message indique que le certificat a été correctement importé et le certificat apparaît comme étant disponible (available).

image

6) Positionnement du certificat sur l'interface Web

La dernière étape consiste à positionner le certificat sur l'interface Web d'administration du control center. Pour cela il faut cliquer sur l'onglet Administration, puis sur le lien Control Center.

Dans la page Control Center Settings, il faut ensuite cliquer sur l'onglet Certificates, puis sélectionner le nouveau certificat dans la liste déroulante User interface HTTPs certificate.

image

image

Une fois cette dernière modification opérée, aucun message d'erreur n'est généré dans les navigateurs lors de l'accès à l'interface Web et l'URL du site ne s'affiche plus sur fond rouge mais sur un fond blanc ou vert (en fonction du type de certificat utilisé).

image

SEP - Installation de SAV 10 sur linux

L’installation de SAV 10 demande des pré-requis d’installation.

Avant d'installer tous les paquets, vous devez installer Sun JRE version 1.4.2 ou supérieur avec la version illimitée de JCE. Par défaut, JRE est livré avec la version de cryptographie forte de JCE, mais LiveUpdate nécessite la version illimitée. Si vous voulez utiliser l'interface graphique, vous devez également installer un environnement X11.

Il y a des pré-requis supplémentaires pour certains noyaux Linux (Fedora et Debian). Red Hat étant nativement supporté, nous ne détaillerons pas ces pré-requis.

Ils sont disponibles sur le site de Symantec à l’addresse : http://service1.symantec.com/support/ent-security.nsf/docid/2010062217010148.

L'installation des packages sous Linux doit respecter un ordre précis :

1. SAV

2. savap (ou savap-x64 pour la version 64-bit)

3. savjlu

4. savui

En premier, le noyau de SAV : SAV

Il contient le noyeau : « savap »

Il utilise une fonctionalité de recherche d’OS et de composants dont il a besoin.

Attention, au moment du démarrage du système, SAV pour Linux détecte la distribution Linux exécutée et assemble une liste des modules du noyau.

« Using a "fuzzy match" algorithm, it will go through the list of candidates, one at a time, until it finds one that can be loaded by the Linux OS. »

L’utilisation d'un algoritme à adéquation partielle ("fuzzy match") permet de lister les composants un à un, jusqu'à ce qu'il trouve celui qui peut être chargé par le système d'exploitation Linux.

Si aucun des systèmes linux n’est détecté comme compatible et ne peut être chargé dans le noyau, SAV pour Linux va écrire un message d'erreur dans la console et enregistrer l'erreur dans le journal des messages du système (/var/log/messages ou /var/log/syslog).

Les deux autres paquets contiennent Java et les fichiers LiveUpdate GUI.

Une fois l'installation terminée, vérifiez que les démons suivants sont en cours d'exécution:

1. rtvscand

2. symcfgd

Si ces processus ne sont pas en cours d'exécution, vous pouvez les démarrer comme suit:

1. # / Etc / init.d / start rtvscand

2. # / Etc / init.d / start symcfgd

Pour rappel :

Doc Sav 10 linux : Lien FTP

Pour préconfigurer le package de SAV 10 for Linux, il faut utiliser « ConfigEd.exe ».

test

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007100513224548?Open&seg=ent

Cette application demande la présence d’un SAV sur le poste qui l’exécute.

Note : il est possible de passer des commandes d’exclusion de Scan, directement sur le serveur une fois celui ci installé :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2009072917021448?Open&seg=ent

Pour info :

un script et un fichier texte commençant par #!/bin/sh

Exemple de script pour faire une exclusion :

#!/bin/sh

symcfg add -k '\Symantec Endpoint Protection\AV\Storages\FileSystem\RealTimeScan' -v HaveExceptionDirs -d 1 -t REG_DWORD

symcfg add -k '\Symantec Endpoint Protection\AV\Storages\FileSystem\RealTimeScan\NoScanDir' -v /my/path/to/folder1 -d 1 -t REG_DWORD

/my/path/to/folder1 étant le chemin du dossier à exclure.

(Lu depuis http://www.tuteurs.ens.fr/unix/shell/script.html )

ensuite il faut le rendre exécutable chmod u+x lenomdufichier et pour le lancer soit : ./lenomdufichier ou sh lenomdufichier

Symantec Enterprise Vault V8 SP3 – Virtual Vault

Une des nouveautés annoncées par Symantec dans le SP3 de la version 8 d’Enterprise Vault s’appelle le “Virtual Vault”… mais QU’ES ACÒ ???…

Est-ce une réelle avancée technologique ? Est-ce que cela répond à des besoins précis ? Est-ce compliqué à mettre en place ? Et surtout, pourquoi Virtuel ?

Après l’Offline Vault … après le Vault Cache … voici le Virtual Vault !

A l’identique du “mode Exchange mis en Cache” pour les clients Outlook, Enterprise Vault propose depuis quelques temps déjà une fonctionnalité permettant d’avoir accès à ses éléments archivés en mode déconnecté, à savoir l’Offline Vault (avant la version 8) ou le Vault Cache (depuis la version 8). Le principe consiste à répliquer localement sur le poste de travail les mails archivés ainsi que l’arborescence dans un fichier de type OST, et à concurrence d’un % d’espace disque disponible défini depuis la console d’administration de la solution.

Donc, cela n’est pas nouveau mais n’était pas visible

Désormais, il est possible de visualiser le contenu de ce Vault Cache depuis Outlook, et de le faire apparaître comme un dossier personnel type PST.Le Virtual Vault n’est en quelques sortes qu’une extension de son Vault Cache. Mieux, il devient un vrai dossier intégré à Outlook et interagir avec lui depuis son client de messagerie est maintenant possible.

Mais à quoi cela ressemble t-il…

image

Dans la boite aux lettre de l’utilisateur, un nouveau dossier apparaît sous la forme “Vault – Nom de la boite” et affiche le contenu complet de l’archive Enterprise Vault, avec la structure dossier, sous-dossier impactés par l’archivage. De plus, les mails archivés apparaissent avec les icônes originaux, donc des enveloppes…

image

Comment est-ce géré ?…

…Directement depuis la console d’administration avec les différentes Policies :

image 

imageimage

… Mais aussi depuis son client Outlook :

image image

image

Et quel sont les mécanismes permettant d’appliquer les modifications apportées à son Vault Cache ?…

… En premier lieu, la synchronisation des Policies vers les cibles permet d’appliquer les modifications…

… Puis, tout simplement les mécanismes de Synchronisation de Vault Cache entre le client et le serveur Symantec Enterprise Vault :

image

Au final, quels pourraient bien être les avantages à activer le Virtual Vault ?…

  • Il devient possible d’y créer des dossiers, des sous dossier, une structure,
  • Effectuer des déplacements de dossiers ou de message se réalise facilement,
  • Glisser des mails depuis sa boite aux lettres vers son archive se fait allègrement
  • Générer des “règles” dans Outlook pour aller déverser directement des mails dans son archive devient possible
  • Toutes les opérations comme “répondre”, “répondre à tous”, “transférer” sont réellement fonctionnelles
  • La recherche intégrée à Outlook est désormais capable de montrer des résultats depuis la boite aux lettres comme depuis le Vault Cache, le tout avec le même outil
  • Il est possible de gérer à l’identique toutes les archives auxquelles on a accès et de toutes les faire apparaître (sa propre boite aux lettres, boites aux lettres partagées, …)
  • Et plus encore…

Du coup, la gestion de ses archives devient intuitive et perturbe beaucoup moins l’utilisateur final. Et il devient légitime de se poser d’autres questions:

  • Est-il encore nécessaire de remplacer les mails archivés par les fameux “raccourcis” ?
  • Doit-on encore fournir les outils de recherche Symantec Enterprise Vault à l’utilisateur final dans Outlook (recherche simple ou avancée, recherche Web, Archive Explorer) ?
  • Et doit-on encore déployer Windows Desktop Search ?
  • Quid du fonctionnement en Outlook Web Access ou Outlook Web Application ?
  • Quelle stratégie adopter pour les nomades ayant accès en 3G ?
    Plutôt intéressant comme nouveauté !…

N'hésitez pas à laisser un commentaire si ce tips vous a été utile ou bien si vous avez des éléments à ajouter !…

Vous trouverez ci-dessous certains document relatifs à cet article :

ftp://exftpp.symantec.com/pub/support/products/Exchange_Mailbox_Archiving_Unit/347092.pdf

http://seer.entsupport.symantec.com/docs/346892.htm

SEP – Méthodologie de montée de version

SEP, Symantec Endpoint Protection est le dernier antivirus de Symantec. Chaque évolution de SEP est nommée MR (Major Release). Symantec corrige et améliore la solution SEP à chaque release. Il est donc important de toujours maintenir à jour la solution avec le dernier correctif.

Aujourd’hui, nous sommes à la version SEP MR6

Chaque MR apporte trois évolutions :

  • Evolution du SEPM (cf post sur l’architecture SEP)
  • Evolution de la base SEP (SQL ou Sybase)
  • Evolution des clients

Ces évolutions ne sont ni une mise a jour du moteur antivirus, ni une mise à jours de la base virale du client SEP.Chaque montée de version fait donc l’objet d’un « upgrade » de l’architecture SEP.

Il existe plusieurs méthodologies pour faire cette montée de version. Voici celle que j’estime être la plus sure, et la plus rapide.

Les pré-requis sont :

  • Un serveur de « spare »
  • La nouvelle version (les sources, CD1)
  • Du temps :-) (cette migration peut se faire sur deux à trois jours)

1) Rappel d’une architecture SEP (cf : Lien Solution SEP )

Une architecture SEP est constituée des composants suivants :

  • SEPM (manager)
  • Clients SEP (postes et serveurs client)
  • GUP (client SEP, serveur ou poste de travail, relais pour la mise à disposition des mises à jour)
  • Base de données (une par défaut, SQL ou Sybase) SEP

clip_image002[5]

2) Montage d’un serveur de relais pour la migration

Un second serveur de relais sert à ne pas impacter les utilisateurs lors de la migration du serveur SEPM (montée de version du SEPM et de la base de données).

Donc, la première des actions est de monter un second serveur avec une seconde base (même version que le premier).

3) Synchroniser les deux serveurs

Le but de la synchronisation est de s’assurer que les deux bases aient le même niveau d’information.

  • Politique
  • Client
  • Package de déploiement

4) Faire basculer les postes clients sur le second serveur

Cette bascule s’effectue via la configuration de la liste de serveur SEPM.

clip_image004[4]clip_image006[4]

Il faut créer une liste (via la copie de la liste par défaut est un bon moyen).

clip_image008[4]

Créer une nouvelle priorité de serveur, et ajouter le second serveur à la liste.

clip_image010[4]

Attention, il faut bien vérifier que le nouveau serveur est en priorité1

5) Casser la synchronisation

Lors de la migration d’un serveur SEPM, la base est migrée. Si la synchronisation est active, elle risque de casser les tables de la seconde base.

6) Migrer le premier serveur

Lancer simplement le setup. Exe du CD 1 dans le dossier SEPM

7) Vérifier le bon fonctionnement du SEPM, de la base

Redémarrer le serveur et la base.

Vérifier que les informations de la base sont accessibles via la console de gestion SEP…

clip_image012[4]

8) Basculer un lot de postes clients SEP et vérifier le bon fonctionnement de ceux-ci

Tester que le client est bien connecté au serveur SEPM

Le bouclier informe de l’état de la solution SEP client et informe du lien avec le SEPM (pastille et couleur).

  • Vert OKclip_image014[4]
  • Jaune lié mais léger problème SEP ou définitions non a jour
  • Rouge antivirus désactivé ou non fonctionnelclip_image016[4]
  • -Non présent SEP en mode « Autonome – Hors Ligne » clip_image018[4]

9) Basculer le reste des clients

Les clients doivent être rebasculés dans l’intégralité avant de passer à l’étape d’après.

10) Couper le serveur relais

Le serveur relais n’a pas besoin d’être migré.