アップグレードウィザードが "警告: このサーバーアップグレードの監査ログイベントを作成できませんでした" で失敗する

book

Article ID: 220499

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection Manager (SEPM) を 14.3 RU1 以降にアップグレードする際に、アップグレードウィザードが以下の警告で失敗する。

このサーバーアップグレードの監査ログイベントを作成できませんでした。

Upgrade-0.log または Stdout.log を確認すると、以下のエラーが記録されている。

com.microsoft.sqlserver.jdbc.SQLServerException: ドライバーが SSL (Secure Sockets Layer) 暗号化による SQL Server への安全な接続を確立できませんでした。エラー: "SSL (Secure Sockets Layer) の初期化中に、証明書内のサーバー名の検証が失敗しました。"。 

Cause

このエラーは、証明書の名前がサーバーの名前と異なる場合や、証明書に NetBIOS ホスト名が含まれていない場合に発生します。例えばサーバーの名前を変更したけれども、新しい証明書を生成しなかった場合や、Subject と SAN に FQDN のみを指定して CA 署名付きの証明書をインストールした場合などが考えられます。14.3 RU1 へのアップグレード時に、SEPM は TLS 1.2 を使用して NetBIOS ホスト名でデータベースに接続し、サーバー証明書を検証します。

再現手順:

1. 14.3 MP1 またはそれ以前の SEPM をインストール/構成します。
2. 次のいずれかを実行します。

    • OS のサーバー名を変更して再起動します。SEPM の新しい証明書は作成しません。
      または
    • サーバー証明書を FQDN のみを持つ CA 署名付きの証明書に更新します。

3. 14.3RU1 へアップグレードします。
4. upgrade.bat を実行するとエラーが発生します。
5. Update-0.log または stdout.log を確認すると上記のエラーが表示されます。

Environment

SEPM 14.3.3384.1000 (14.3 RU1) 以降

Resolution

1. 以前のバージョンへディザスタリカバリを実行するか、アップグレード前のスナップショットがあれば戻します。
2. 新しいサーバー証明書を作成します。

重要な注意:上記マニュアルでは [新しいキーの生成] をチェックするよう記載されていますが、本事象の対応では [新しいキーの生成] のチェックをはずして処理を進めてください。

3. 14.3 RU1 へアップグレードします。

 

FQDN のみの CA 署名付き証明書を使用する必要がある場合は、以下の追加手順を実行します。
4. <SEPM インストールフォルダ>\tomcat\conf\Catalina\localhost フォルダを参照します。
5. 念のため ROOT.xml のバックアップを取得します。
6. ROOT.xml をテキストエディタ等で開き、url= 以降のパラメータ値を以下のように変更してください。

[変更前]
trustServerCertificate=false

[変更後]
trustServerCertificate=true

7. すべての SEPM サービスを再起動します。
8. サーバー証明書を以前インストールした CA 署名付き証明書に更新し、クライアントとの通信を回復します。

注:修復セットアップまたは管理サーバー設定ウィザードを実行すると ROOT.xml への変更が元に戻ります。

Attachments