.:: TechBlog ::. RSS Feed

19.02.2006Symantec Corp. zieht inkl. Clients um
Ich hatte vor kurzem die Aufgabe Symantec Antivirus Corp. 10 auf einen neuen Server zu installieren und alle 20 Clients vom alten Server (Corp 9) gleich mitzunehmen. Wir befinden uns in einer homogenen MS-Struktur mit Active Directory. Der einfachste Weg führte dabei über einen Umtausch der beteiligten Zertifikate...

Folgende Voraussetzungen standen mir zur Verfügung:
  • Alle Nutzer waren Domänennutzer mit lokalen Administratorrechten
  • Es kamen zwei verschiedene Formen von Symantec AV zum Einsatz: Symantec Antivirus Corp. Clients und Symantec Client Security Clients
Symantec nutzt für seine Clients Zertifikate die vom AV-Server bei der Installation verteilt werden und die Clients autorisieren. Das Server-Zertifikat befindet sich in einem geschützten, für den Nutzer nicht zugänglichen Verzeichnis. Sobald ich dieses Zertifikat aber in einen unsichtbaren öffentlichen Bereich kopiere und im Login-Script der Clients ein Kommando zum Herunterladen dieses Zertifikats verankere, gehören die Clients im Anschluss dem neuen Server an.

Umsetzung:
  • Auf dem neuen Server ein Verzeichnis erstellen und mit dem $-Anhang unsichtbar kennzeichnen (im Beispiel Public$)
  • Das Zertifikat vom Server in das öffentliche Verzeichnis kopieren (im Beispiel Public$\SAV\). Das Zertifikat findet man im Symantec Ordner unter pki\roots\
  • Folgende Batch in das User-Login-Script einfügen:
    echo Loesche Inhalt alle vorhandenen Zertifikate
    del "%PROGRAMFILES%\Symantec Antivirus\pki\roots\*.*" /q
    del "%PROGRAMFILES%\Symantec Client Security\Symantec Antivirus\pki\roots\*.*" /q

    echo Importiere neues Zertifikat
    copy "\\<server>\Public$\SAV\*.*" /y "%PROGRAMFILES%\Symantec Antivirus\pki\roots"
    copy "\\<server>\Public$\SAV\*.*" /y "%PROGRAMFILES%\Symantec Client Security\Symantec Antivirus\pki\roots"
    echo Fertig - Timo Tausch (c)
Das Beispiel löscht das bereits vorhandene Zertifikat und kopiert das neue Zertifikat in das jeweilige Verzeichnis.

Anmerkung
Diese Option der Verteilung birgt einige Risiken. Zum einen müssen die Nutzer über lokale Administrator-Rechte verfügen und zum anderen muss das AV-Zertifikat veröffentlicht werden. Die oben beschriebene Vorgehensweise zeigt nur eine mögliche Lösung und wurde ohne Gewähr an dieser Stelle erwähnt.

Kommentare:

Keine Kommentare vorhanden!

Kommentar hinzufügen:

E-Mail Adresse:    Name:   

Kommentar*:

Um unerwünschten, automatisierten Einträgen vorzubeugen muss abschließend ein Code eingegeben werden. Diese finden sie direkt unter diesem Text auf der linken Seite.

Code eingeben*:     Security Code

* Pflichtfelder

Impressum