架構 Symantec Endpoint Protection Manager 與 Microsoft SQL Server 之間的加密通訊

Symantec Endpoint Protection Manager 會使用憑證驗證
Symantec Endpoint Protection
(SEPM) 與 Microsoft SQL Server Express 或 SQL Server 資料庫之間的通訊。您必須產生憑證並將其匯入至
Symantec Endpoint Protection Manager
電腦,SEPM 才能連接到 SQL Server 資料庫。如果憑證不存在、過期或即將到期,則 SEPM 和資料庫之間的連線會失敗。
如果尚未匯入憑證,可以安裝或升級管理伺服器和 SQL Server 資料庫。不過,管理伺服器組態精靈會偵測憑證是否過期還是在未來 30 天內到期。SEPM 每天會傳送通知,直到 30 天結束,提醒管理員匯入憑證。您可能會看到以下訊息:
在未來 30 天內,Symantec Endpoint Protection Manager 將無法再連接到 Microsoft SQL Server 資料庫,因為 SQL Server 使用的憑證即將到期。
步驟 1:產生自我簽署憑證
如果您的組織還沒有憑證授權單位 (CA) 簽署的憑證,則您必須產生一個。此步驟說明如何產生預設自我簽署
Symantec Endpoint Protection Manager
(SEPM) 憑證並將其取代為 CA 簽署憑證。
步驟 2:加構 SQL Server 的永久憑證
您必須為 SQL Server 資料庫引擎的實例啟用加密連線,並且必須使用 SQL Server Configuration Manager 來指定憑證。請參閱下列主題中的「架構 SQL Server」:啟用資料庫引擎的加密連線
步驟 3:將 SQL Server 憑證匯入至
Symantec Endpoint Protection Manager
電腦上的 Windows
管理伺服器電腦必須已佈建 SQL Server 公用憑證。若要在管理伺服器電腦上佈建憑證,請將其匯入至 Windows。伺服器電腦必須設定為信任憑證的根授權。
  1. 在安裝 SEPM 的 Windows 伺服器上,以滑鼠右鍵按下憑證。
  2. 在「憑證匯入精靈」中,按照憑證匯入步驟執行。
    在「
    儲存位置
    」下方,選取「
    本機電腦
    」:
    選取「
    將所有憑證放入下列存放區
    」,並按一下「
    瀏覽
    」,然後按一下「選取憑證存放區」對話方塊中的「
    受信任的根憑證授權中心
    」:
  3. 按下「
    確定
    」,再按「
    下一步
    」。
步驟 4:架構
jre11
資料夾的權限
如果搭配使用網域管理員與 Windows 驗證來架構您的 SQL Server,則網域管理員需要具有
Symantec Endpoint Protection Manager
伺服器上
jre11
資料夾的「
讀取和執行
」、「
列出資料夾內容
」和「
讀取
」權限。
  1. 在 Symantec Endpoint Protection Manager 伺服器上,移至
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    資料夾,並以滑鼠右鍵按一下
    jre11
    資料夾,然後按一下「
    屬性
    」。
  2. 在檔案屬性視窗的「
    安全性
    」標籤上,按一下「
    進階
    」。
  3. 在「
    進階安全設定
    」視窗的「
    權限
    」標籤上,按一下「
    新增
    」。
  4. 在「
    權限項目
    」視窗中,按一下「
    選取主體
    」。
  5. 在「
    選取使用者、電腦、服務帳戶或群組
    」視窗中,新增
    domainadmin
    使用者,然後按一下「
    確定
    」。
  6. 在「
    權限項目
    」視窗中,按一下「
    確定
    」。
  7. 在「
    進階安全設定
    」視窗的「
    權限
    」標籤上,選取
    domainadmin
    ,然後,按一下「
    變更
    」。
  8. 在「
    選取使用者、電腦、服務帳戶或群組
    」視窗中,再次新增
    domainadmin
    使用者,然後按一下「
    確定
    」。
  9. 在「
    進階安全設定
    」視窗中,勾選「
    取代子配置區和物件擁有者
    」,並勾選「
    將所有子物件權限項目取代為此物件的可繼承權限項目
    」,再按一下「
    啟用繼承
    」,然後按一下「
    套用
    」。
  10. 按下「
    」或「
    確定
    」以確認。
  11. 在檔案屬性視窗中,確定
    domainadmin
    使用者現在具有所有所需權限,然後按一下「
    確定
    」。
步驟 5:開啟「管理伺服器架構精靈」並使用「
Windows 驗證
」選項完成「伺服器架構」
若要開啟精靈,請移至
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
資料夾,然後連按兩下
sca.exe
檔案。
步驟 6:檢查是否加密通訊以及是否使用 SQL Server 憑證通訊
  1. 在管理伺服器上,開啟下列檔案:
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    ,並確定
    encrypt=true
    trustServerCertificate=false
  2. 在 SQL Server 上,開啟「
    MSSQLSERVER 屬性的通訊協定
    」,並檢查是否「
    強制加密=是
    」。
  3. 在 SQL Server 上,執行下列查詢,檢查是否加密
    Symantec Endpoint Protection Manager
    與 SQL Server 之間的連線:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    檢查是否
    encrypt_option=TRUE