移行によるEndpoint Security Management Server またはEndpoint Policy Server のR80.20 以降からのアップグレード

移行閉じた あるCheckPointコンピュータからCheckPoint構成データベースをエクスポートし、別のCheckPointコンピュータにインポートします。およびアップグレードのシナリオでは、ソースのCheck Point サーバと別のターゲットのCheck Point サーバで手順を実行します。

注:

  • この手順は、R80.20.M1, R80.20, R80.20.M2, R80.30, R80.40、またはR81 を実行するサーバでのみサポートされます。

  • 以下の手順は、以下に同様に適用されます。

    • Endpoint Security 管理サーバ

    • ポリシー サーバ

  • このアップグレードに関する追加情報については、sk163814 を参照してください。

重要 - Endpoint Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはEndpoint Policy Server をアップグレードする前に:

ステップ

手順

1

現在の設定をバックアップします(バックアップと復元を参照)。

2

アップグレードのオプションと前提条件を参照してください。

3

最新の公開データベースリビジョンのみがアップグレードされます。

保留中の変更がある場合は、セッションをPublish にすることをお勧めします。

4

ソースEndpoint Security Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 またはEndpoint Policy Server に接続されているすべてのGUI クライアント(SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 アプリケーション)を閉じる必要があります。

5

CPUSE閉じた Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。 の最新バージョンをsk92449 からインストールします。

Note - CPUSE が必要なUpgrade Tools パッケージをサポートできることを確認します。

6

アップグレードを開始する前に、すべてのソースサーバでPre-Upgrade Verifier を実行し、検出されたすべての問題を修正します。

7

Management High Availability で、他のサーバでアップグレードを開始する前に、プライマリEndpoint Security Management Server がアップグレードおよび実行されていることを確認します。

手順:

  1. 重要 - アップグレードツール を参照して、サーバが最新バージョンのアップグレードツールを自動的にダウンロードしてインストールできるかどうかを確認します。

    ステップ

    手順

    1

    sk135172からR81.10アップグレードツールをダウンロードします。

    Note - これはCPUSE オフラインパッケージです。

    2

    R81.10 Upgrade Tools with CPUSEをインストールします。

    Gaiaへのソフトウェアパッケージのインストール へのソフトウェアパッケージのインストールを参照し、Local - Offline インストールに適用可能なアクションプランに従います。

    3

    パッケージがインストールされていることを確認します。

    エキスパート モードで次のコマンドを実行します。

    cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    出力には、ダウンロードされたTGZ パッケージの名前に表示されているのと同じビルド番号が表示されている必要があります。

    ダウンロードしたパッケージの名前: ngm_upgrade_wrapper_993000222_1.tgz

    [Expert@HostName:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    993000222

    [Expert@HostName:0]#

    Note - コマンド"migrate_server"。これらのアップグレード・ツールからは、常にインターネット経由でCheck Point Cloud に接続しようとします。

    これは、これらのアップグレードツールの最新バージョンが常にインストールされていることを確認するためです。

    Check Point Cloud への接続に失敗すると、次のメッセージが表示されます。

    Timeout. Failed to retrieve Upgrade Tools package. To download the package manually, refer to sk135172.

  2. ステップ

    手順

    1

    ソースEndpoint Server のコマンドラインに接続します。

    2

    エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

    5

    $FWDIR/scripts/ ディレクトリに移動します。

    cd $FWDIR/scripts

    3

    Pre-Upgrade Verifier を実行します。

    • このEndpoint Server is がインターネットに接続されている場合は、次を実行します。

      ./migrate_server verify -v R81.10

    • このEndpoint Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server verify -v R81.10 -skip_upgrade_tools_check

    詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

    4

    Pre-Upgrade Verifier 出力を読み取ります。

    エラーを修正する必要がある場合:

    1. レポートの指示に従います。

    2. Pre-Upgrade Verifier を再度実行します。

    4

    管理データベースをエクスポートします。

    • このEndpoint Server is がインターネットに接続されている場合は、次を実行します。

      ./migrate_server export -v R81.10 [-l | -x] /<Full Path>/<Name of Exported File>

    • このEndpoint Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server export -v R81.10 -skip_upgrade_tools_check [-l | -x] /<Full Path>/<Name of Exported File>

    注:

    • また、"--include-uepm-msi-files" オプションを使用してMSI パッケージをエクスポートすることもできます。

    • 詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

    7

    エクスポートしたデータベースファイルのMD5 を計算します。

    md5sum /<Full Path>/<Name of Database File>.tgz

    8

    エクスポートされたデータベースをソースのEndpoint Server から外部ストレージに転送します。

    /<Full Path>/<Name of Database File>.tgz

    - ファイルは必ずバイナリモードで転送してください。。

  3. ステップ

    手順

    1

    要件については、R81.10 Release Notes を参照してください。

    2

    次のいずれかの方法でクリーンインストール閉じた コンピュータにCheck Pointオペレーティングシステムを最初からインストールすること。を実行します(not はSmartConsole で初期設定を実行します)。

    重要 - 次のオプションを使用できます。

    • ソースサーバとターゲットサーバのIP アドレス は同じ にすることができます。

      将来、R81.10 サーバに別のIP アドレスを設定する必要がある場合は、変更できます。

      該当する手順については、sk40993およびsk65451を参照してください。

      新しいIP アドレスのライセンスを発行する必要があることに注意してください。

    • ソースサーバとターゲットサーバのIP アドレス は、異なる にすることができます。

      新しいIP アドレスに移行する サーバを含む特別なJSON 設定ファイルmdss.json を作成する必要があります。

      新しいIP アドレスのライセンスを発行する必要があることに注意してください。

      新しいライセンスは、データベースをインポートした後でのみインストールする必要があります。

  4. 重要 - アップグレードツール を参照して、サーバが最新バージョンのアップグレードツールを自動的にダウンロードしてインストールできるかどうかを確認します。

    ステップ

    手順

    1

    sk135172からR81.10アップグレードツールをダウンロードします。

    Note - これはCPUSE オフラインパッケージです。

    2

    R81.10 Upgrade Tools with CPUSEをインストールします。

    Gaiaへのソフトウェアパッケージのインストール へのソフトウェアパッケージのインストールを参照し、Local - Offline インストールに適用可能なアクションプランに従います。

    3

    パッケージがインストールされていることを確認します。

    エキスパート モードで次のコマンドを実行します。

    cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    出力には、ダウンロードされたTGZ パッケージの名前に表示されているのと同じビルド番号が表示されている必要があります。

    ダウンロードしたパッケージの名前: ngm_upgrade_wrapper_993000222_1.tgz

    [Expert@HostName:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81.10 BuildNumber 1

    993000222

    [Expert@HostName:0]#

    Note - コマンド"migrate_server"。これらのアップグレード・ツールからは、常にインターネット経由でCheck Point Cloud に接続しようとします。

    これは、これらのアップグレードツールの最新バージョンが常にインストールされていることを確認するためです。

    Check Point Cloud への接続に失敗すると、次のメッセージが表示されます。

    Timeout. Failed to retrieve Upgrade Tools package. To download the package manually, refer to sk135172.

  5. ソースEndpoint Server とは異なるIP アドレスを持つターゲットR81.10 Endpoint Server をインストールした場合、 ソースEndpoint Server から管理データベース をインポートする前に、特別なJSON 設定ファイルを作成する必要があります。新しいIP アドレスのライセンスを発行する必要があることに注意してください。

    重要:

    • 同じEndpoint Security 環境内のどのサーバも元のIP アドレスを変更しなかった場合は、not で特別なJSON 設定ファイルを作成する必要があります。

    • 1 つのサーバのみが新しいIP アドレスに移行する場合でも、他のすべてのサーバ(すべてのログサーバとSmartEvent サーバを含む)はインポートプロセスのためにこの設定ファイルを取得する必要があります。

      同じEndpoint Security 環境内のすべてのサーバ(ログサーバとSmartEvent サーバを含む)で同じJSON 設定ファイルを使用する必要があります。

    必要なJSON 設定ファイルを作成するには:

    ステップ

    手順

    1

    ターゲットR81.10 Endpoint Server のコマンドラインに接続します。

    2

    エキスパートモードにログインします。

    3

    新しいIP アドレスに移行する サーバを含む/var/log/mdss.json ファイルを作成します。

    単一のEndpoint Server を新しいIP アドレスに移行するための形式:

    [{"name":"<Name of Endpoint Server Object in SmartConsole>","newIpAddress4":"<New IPv4 Address of R81.10 Endpoint Server>"}]

     

    R80.30 Endpoint Security 環境には、Endpoint Security Management Server とログ・サーバの2 つのサーバがあります。Endpoint Security Management Server は新しいIP アドレスに移行します。ログサーバは元のIP アドレスのままになります。

    1. 送信元R80.30 Endpoint Security Management Server の現在のIPv4 アドレスは次のとおりです。

      192.168.10.21

    2. SmartConsole のソースR80.30 Endpoint Security Management Server オブジェクトの名前は次のとおりです。

      MyEndpointMgmtServer

    3. ターゲットR81.10 Endpoint Security Management Server の新しいIPv4 アドレスは次のとおりです。

      172.30.40.51

    4. Endpoint Security Management Server およびログ・サーバで使用するJSON 構成ファイルに必要な構文。

      [{"name":"MyEndpointMgmtServer","newIpAddress4":"172.30.40.51"}]

      Important - この環境のすべてのサーバが同じ設定ファイルを取得する必要があります。

    重要 - 上記のセクション"必須のJSON 設定ファイル"の指示に従っていることを確認します。

    ステップ

    手順

    1

    R81.10 Endpoint Server のコマンドラインに接続します。

    2

    エキスパートモードにログインします。

    3

    有効なライセンスがインストールされていることを確認します。

    cplic print

    まだインストールされていない場合は、ここで有効なライセンスをインストールします。

    4

    エクスポートしたデータベースを外部ストレージからR81.10 エンドポイント・サーバに転送します。

    Note - 必ずバイナリモードでファイルを転送してください。

    5

    転送したファイルが壊れていないことを確認してください。

    転送されたファイルのMD5 を計算し、元のEndpoint Server で計算したMD5 と比較します。

    md5sum /<Full Path>/<Name of Database File>.tgz

    6

    $FWDIR/scripts/ ディレクトリに移動します。

    cd $FWDIR/scripts/

    7

    管理データベースをインポートします。

    • このEndpoint Server is がインターネットに接続されている場合は、次を実行します。

      ./migrate_server import -v R81.10 [-l | -x] /<Full Path>/<Name of Exported File>.tgz

    • このEndpoint Server がインターネットに接続されているnot の場合は、以下を実行します。

      ./migrate_server import -v R81.10 -skip_upgrade_tools_check [-l | -x] /<Full Path>/<Name of Exported File>.tgz

    注:

    • "migrate_server import" コマンドはCheck Point サービスを自動的に再起動します("cpstop" "cpstart" コマンドを実行します)。

    • また、"--include-uepm-msi-files" オプションを使用してMSI パッケージをインポートすることもできます。

    • 詳細については、R81.10 CLI Reference Guide - Chapter Security Management Server Commands - Section migrate_server を参照してください。

  6. SmartConsoleのインストールのインストールを参照してください。

  7. 重要 - この手順は、ターゲットR81.10 エンドポイント・サーバのIP アドレスがソース・エンドポイント・サーバと異なる場合にのみ適用されます。

    ステップ

    手順

    1

    新しいIP アドレスのライセンスをCheck Point User Center アカウントで発行します。

    2

    R81.10 Endpoint Server に新しいライセンスをインストールします。

    これは、"cplic put" コマンドまたはGaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。 を使用してCLI で行うことができます。

    3

    Endpoint Server が新しいライセンスを検出するまで数分待ちます。

    または、Check Point サービスを再起動します。

    cpstop

    cpstart

  8. この手順は、Endpoint Security Management Server のアップグレード手順の一部です。専用のEndpoint Policy Server をアップグレードする場合は、この手順をスキップします。

    Important - Endpoint Security Management Server が専用のEndpoint Policy Server を管理している場合は、これらの専用サーバをEndpoint Security Management Server と同じバージョンにアップグレードする必要があります。

    R80.20 以降からのEndpoint Security Management Server またはEndpoint Policy Server のアップグレード を参照してください。

  9. Important - Endpoint Security Management Server が専用のEndpoint Policy Server を管理している場合は、SmartConsole の対応するオブジェクトのバージョンを更新する必要があります。

    ステップ

    手順

    1

    SmartConsole を使用して、Endpoint Policy Server を管理するR81.10 Security Management Server に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    Endpoint Policy Server のオブジェクトを開きます。

    4

    左側のツリーから、General Properties をクリックします。

    5

    Platformセクションの>フィールドで、Versionを選択します。

    6

    OKをクリックします。。

  10. ステップ

    手順

    1

    SmartConsole を使用してR81.10 Endpoint Security Management Server に接続します。

    2

    左上隅から、Menu > Install databaseをクリックします。

    3

    すべてのオブジェクトを選択します。

    4

    Installをクリックします。。

    5

    OKをクリックします。。

  11. 重要 - この手順は、R81.10 エンドポイント・サーバでSmartEvent Correlation Unit Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。 が有効になっている場合にのみ適用されます。

    ステップ

    手順

    1

    SmartConsole をR81.10 エンドポイント・サーバに接続します。

    2

    SmartConsole の左側のナビゲーション・パネルで、Logs & Monitor をクリックします。

    3

    一番上で、+ をクリックして新しいタブを開きます。

    4

    左下隅のExternal Apps セクションで、SmartEvent Settings & Policy をクリックします。

    Legacy SmartEvent クライアントが開きます。

    5

    左上隅から、Menu > Actions > Install Event Policyをクリックします。

    6

    確認します。

    7

    次のメッセージが表示されるまで待ちます。

    SmartEvent Policy Installer installation complete

    SmartEvent Policy Installer installation succeeded

    8

    Closeをクリックします。。

    9

    Legacy SmartEvent クライアントを閉じます。

  12. ステップ

    手順

    1

    サーバのコマンドラインに接続します。

    2

    エキスパートモードにログインします。

    3

    sk127653 で説明されているように、ログエクスポータの設定を復元します。

    4

    ログエクスポータを再設定します。

    cp_log_export reconf

    5

    ログエクスポータを再起動します。

    cp_log_export restart

    詳細については、R81.10 Logging and Monitoring Administration Guide > Log Exporterの章を参照してください。

  13. ステップ

    手順

    1

    SmartConsole を使用してR81.10 Endpoint Security Management Server に接続します。

    管理データベースと構成が正しくアップグレードされていることを確認します。

    2

    SmartConsole を使用してR81.10 Endpoint Policy Server に接続します。

    すべてが正常に動作することを確認します。

  14. 古いEndpoint Server からケーブルを外します。

  15. 新しいEndpoint Server にケーブルを接続します。