在不中斷與用戶端的通訊的情況下,更新管理伺服器上的伺服器憑證

Symantec Endpoint Protection Manager
使用憑證來驗證其與
Symantec Endpoint Protection
用戶端之間的通訊。 該憑證亦會數位簽署用戶端從中下載的政策檔案和安裝套件。 用戶端將在管理伺服器清單中儲存憑證的快取複本。 如果憑證損毀或無效,用戶端就無法與伺服器通訊。 如果您停用安全通訊,則用戶端仍然可與伺服器進行通訊,但不會驗證來自管理伺服器的通訊。
在下列情況下,停用安全通訊以更新憑證:
  • 具有單一
    Symantec Endpoint Protection Manager
    的網站
  • 具有多個
    Symantec Endpoint Protection Manager
    的網站,如果您無法啟用容錯移轉或負載平衡
如果憑證已損毀但卻仍然有效,可執行災難復原作為最佳實務準則。
更新憑證且用戶端登入並接收到該憑證之後,再次啟用安全通訊。
在具有多個管理伺服器的網站上更新憑證以及使用容錯移轉或負載平衡時,該憑證會在管理伺服器清單中進行更新。 在執行容錯移轉或負載平衡程序期間,用戶端接收到更新的管理伺服器清單和新憑證。
步驟 15 僅適用於 14 版及更新版本。 如果您使用 12.x,請從步驟 6 開啟。
  1. 若要在不中斷與用戶端的通訊的情況下,更新單一管理伺服器網站上的伺服器憑證,請按一下
    「政策」>「政策元件」>「管理伺服器清單」
  2. 在「
    工作
    」下方,按下「
    複製清單
    」,然後按下「
    貼上清單
    」。
  3. 連按兩下清單複本加以編輯,然後進行下列變更:
    • 按下「
      使用 HTTP 通訊協定
      」。
    • 針對每個伺服器位址,請在「
      管理伺服器
      」下方,按下「
      編輯
      」,然後按下「
      自訂 HTTP 通訊埠
      」。
      將其保留為預設值 8014。 如果您使用自訂通訊埠,請在此處使用。
  4. 单击“
    确定
    ”,再单击“
    确定
    ”。
  5. 在清單複本上按下滑鼠右鍵,然後按下「
    指派
    」。
  6. 在主控台上,按下「
    用戶端 > 政策 > 一般設定
    」。
  7. 在「
    安全設定
    」標籤中,取消勾選「
    使用數位憑證進行驗證,以啟用管理伺服器與用戶端之間的安全通訊
    」,然後按下「
    確定
    」。
  8. 移至步驟 9 之前,在對所有群組進行此變更後等待至少三個活動訊號週期。
    請確定您同樣針對未繼承父群組的群組架構此設定。
  9. 更新伺服器憑證。
  10. 按下「
    確定
    」。
    若要重新啟用原始設定,請等待至少三個活動訊號週期,然後重新勾選「
    使用數位憑證進行驗證,以啟用管理伺服器與用戶端之間的安全通訊
    」,並將原始管理伺服器清單重新指派回您的群組。
  11. 若要在不中斷與用戶端的通訊的情況下,更新多個管理伺服器網站上的伺服器憑證,請確保用戶端配置為將負載平衡或容錯移轉配置為至少一個其他
    Symantec Endpoint Protection Manager
    如果您無法啟用負載平衡或容錯移轉,請使用單一管理伺服器網站程序,以先後停用並重新啟用安全通訊。
    由於通訊模組發生變更,用戶端版本 14.2.x 無法使用此方法來更新伺服器憑證。若要避免中斷與這些用戶端的通訊,請針對這些用戶端版本 (甚至針對多重管理伺服器網站) 使用單一管理伺服器網站程序。
  12. 更新
    Symantec Endpoint Protection Manager
    上的伺服器憑證。
  13. 等待至少三個活動訊號週期,然後在網站上更新下一個
    Symantec Endpoint Protection Manager
    上的伺服器憑證。
  14. 重複步驟 23,直到網站上的每個
    Symantec Endpoint Protection Manager
    都具有新憑證為止。
    由於外出或正在休假的使用者的裝置處於離線狀態,因此可能無法接收這些更新。 許多機構會執行容錯移轉方法 30 天或以上,以盡可能擷取多個外出用戶端。 您可能想要使用舊憑證讓一個
    Symantec Endpoint Protection Manager
    持續執行 90 天,以確保這些使用者不會被孤立。