Data Center Security (DCS) マネージャーの IP アドレスを変更したい。

• 自己証明書を使用している DCS マネージャー 6.9.2 以上

概要:

1. 変更前に、エージェントが管理サーバーの新しい IP アドレスを認識するように更新されていることを確認します。この情報をエージェントに提供するために、エージェント上にある sisipsconfig ツールを使用して (sisipsconfig.exe -h <新しい IP, 古い IP>)、手動で新しい IP アドレスをエージェントに追加します。もしくは新しい IP アドレスを含むようポリシーを設定し、エージェントに適用します。
2. いくつかのエージェントで IP アドレスが更新されたことを確認します。
3. 管理サーバーの IP アドレスを変更します。
4. 管理サーバーのサーバー証明書を更新します。

詳細な手順:

1. IP アドレス情報の更新

使用する必要のある検出ポリシーは 2 つあります。UNIX_SDCSS_Agent_Diagnostics (Linux/Unix マシン用) と SDCSS_Agent_Diagnostics (Windows マシン用)です。これらのポリシーは DCS Java 管理コンソールの [Policy] タブ - [Detecion] の下にあります。これらのポリシーの [Advanced agent settings] - [Modify the management server list] をチェックし [Edit] をクリックします。[Value] フィールドに <新しい IP アドレス、現在の IP アドレス> を入力し、ポリシーを保存します。
この変更を Unix と Windows の両方のポリシーで実行します。

次に、Windows と Linux エージェントのセキュリティグループに 2 つのポリシーを適用します。

2 IP アドレス情報の確認

いくつかの Windows と Linux エージェントで IP が更新されていることを確認します。 (Command line options for the Sisipsconfig Tool を参照) 

Linux マシンの場合:

[root@#### ~]# cd /opt/Symantec/sdcssagent/IPS
[root@#### IPS]# su sisips
sh-4.2$ ./sisipsconfig.sh -view
---------------------------------------------------------------------------
Agent Configuration Tool version 6.7.3.1473
---------------------------------------------------------------------------

Server Host List - ###.###.###.###,###.###.###.### Current Management Server - ###.###.###.### Port - 443 Protocol - https Failback Interval - 60 minutes Utilities Service Port - 2323 CertFile - /opt/Symantec/sdcssagent/IPS/certs/keystore
Tracing - false
Force Retranslation - false
Prevention Feature - enabled

Windows マシンの場合:

C:\Users\administrator>cd C:\Program Files (x86)\Symantec\Data Center Security Server\Agent\IPS\bin 
C:\Program Files (x86)\Symantec\Data Center Security Server\Agent\IPS\bin>sisipsconfig -view

---------------------------------------------------------------------------
Agent Configuration Tool version 6.7.3.1473
---------------------------------------------------------------------------

Server Host List - ###.###.###.###,###.###.###.### Current Management Server - ###.###.###.### Port - 443 Protocol - https Failback Interval - 60 minutes Utilities Service Port - 2323 CertFile - C:\Program Files (x86)\Symantec\Data Center Security Server\Agent\IPS\certs\keystore Tracing - false Force Retranslation - false Prevention Feature - enabled

"Server Host List" のエントリに新旧 IP アドレスが記載されているはずです。
約 1 時間後に [Assets] タブで以前報告していたマシンがまだ報告されていることを確認します。

3. IP アドレスの変更

管理サーバーの IP アドレスを変更します。

4. サーバー証明書の更新

1.  <DCS インストールフォルダ>\Server\umc\umc.properties のバックアップを取得してテキストエディタで開きます。
2. UMC_SERVER_IP = のフィールドの IP アドレスを新しい IP アドレスに変更して保存します。
3. The 6.9.x Data Center Security (DCS) Certificate Utility に添付された DCS_Certificate_Utility.exe をダウンロードし、管理サーバー上で実行します。
4. [Step 1 - Backup all current Certificates] の [Backup Files] ボタンを選択して、現在の証明書をバックアップします。
5. [Step 2 - Enter the new certificate details] の [IP Address] フィールドが、変更後の IP アドレスとなっていることを確認します。
6. [Step 3 - Pick either 3rd Party CA -- OR -- Self Signed Certificate] で [Self Signed (Max Compatibility Mode)] を選択します。
7. [Create New Agent Certificates] のチェックをはずします。
8. [Generate Self Signed] ボタンを選択します。
9. [Web Certificates] 欄の [<DCS Install Directory>\tools\CertUtil\WebCerts] リンクを選択してエクスプローラを開き、"umc_cert.cer" ファイル をダブルクリックします。
10. [証明書のインストール] を選択します。
11. 保存場所として [ローカルコンピューター] を選択して [次へ] を選択します。
12. [証明書をすべて次のストアに配置する] を選択して [参照] を押し、[信頼されたルート証明機関] を選択して OK を押します。
13. [次へ] を選択し、[完了] を押してインポートします。
14. <DCS インストールフォルダ>\tools\CertUtil\WebCerts にある "dcssa_api_cert.cer" ファイルも、手順 9～13 と同じ手順でインポートします。
15. Data Center Security (DCS) Certificate Utility ダイアログを閉じます。(Step 4 以降は行う必要はありません)
16. UMC コンソールにログインして、資産 (assets) が正しく報告されていることを確認します。

注: DB が管理サーバーと同じマシンにある場合:

DB が DCS マネージャーと同じマシンにある場合、IP アドレスの変更後 DCS Manager サービスを開始する前に追加の手順が必要です。この手順により、DB の IP アドレスの変更をマネージャに通知します。

C:\Program Files (x86)\Symantec\Data Center Security Server\Server\tomcat\conf\server.xml のバックアップを必ず取得後、下記のように更新します。

1. url="jdbc:jtds:sqlserver://###.###.###.###/SCSPDB  のように始まる 3 行を探します。
2. ###.###.###.### が古い SQL マシンの IP アドレスだと仮定し、ここを新しい IP アドレスに変更して XML ファイルを保存します。