近期更换服务器后,将原来服务器降级,停止运行。在安装新服务器的时候,将主机名改名,所以在以前服务器上做的证书备份不能使用,没办法迁移到新服务器上,要重新安装部署客户端比较麻烦,打赛门铁克客服电话了解后,客户端运行时要调用一个与服务器的链接文件SyLink.xml,只要将其替换成新部署软件包中的SyLink.xml就OK了。赛门铁克客户端运行起来一般操作根本没办法让他退出关闭的,连结束进程都不行,所以无法直接进行覆盖。
        赛门铁克安装时已经产生了一条命令可以关闭和打开程序(smc -stop,smc -start),可以在windows下运行,由于不是windows的内部命令,所以不可以直接在默认提示符下运行,必须要定位到客户端软件的安装目录下方可。以下是测试结果:

C:\Documents and Settings\admin>smc -stop
'smc' 不是内部或外部命令,也不是可运行的程序或批处理文件。                                  
C:\Documents and Settings\admin>smc         
'smc' 不是内部或外部命令,也不是可运行的程序或批处理文件。
C:\Documents and Settings\admin>cd ..
C:\Documents and Settings>cd ..           
C:\>                                                              
C:\>smc  -stop                                             
'smc' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
C:\>cd C:\Program Files\Symantec\Symantec Endpoint Protection       
C:\Program Files\Symantec\Symantec Endpoint Protection>smc –stop
                     \\将新链接文件直接覆盖粘贴到客户端目录下
C:\Program Files\Symantec\Symantec Endpoint Protection>smc –start
                      \\右击任务栏中Symantec盾牌,按“更新策略”,刷新几次就会开到小点已经变绿了,OK了
 
 
 
编写一个简单的批处理运行比较方便一点:
cd C:\Program Files\Symantec\Symantec Endpoint Protection
smc -stop
del Sylink.xml         //删除原文件
cd ..
cd ..
cd ..
copy SyLink.xml  C:\Program Files\Symantec\Symantec Endpoint Protection\SyLink.xml
cd C:\Program Files\Symantec\Symantec Endpoint Protection
smc -start
 
 
 
附:常规情况下的备份和迁移
 
        恢复的前提要求:必须有事先已经备份好的PKI文件夹。因SAV10.1通过数字证书进行加密通讯,在服务器做升级操作之前需备份数字证书。即\Program Files\SAV\PKI目录下的所有文件。
        为确保SAVCE10.0版的一级服务器在重装后成功恢复数字证书,请参照以下操作步骤:
1. 安装前的准备:
A 保持主服务器的IP和主机名不变;
B 在安装完成前,不要接入工作网。但需要和单一主机或交换机连接。因为赛门铁克系统中心(SSC)需要把网卡激活才能访问服务器。
1. 先装SSC控制台,再装SAV服务器端。通过SSC将服务器升级为一级服务器。安装好SSC或服务器后,都必须重新启动服务器。先升级到最新的病毒定义,并确认升级成功(检查I2_LDVP.VDB文件夹的两个子文件夹)。
2. 在系统服务中停止Symanetc AntiVirus和 Intel PDS服务(注:停Intel PDS服务时会提示停止几个相关的服务,在KB 2005040513373748中并没有提到停止Intel PDS服务)。
3. 将sav安装目录下的PKI目录删除或改名,把备份的PKI目录复制到安装目录下。
4. 用regedt32打开注册表。提取备份的PKI目录中roots下的证书文件第一个点前的32个字符替换一下几个注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\下的DomainGUID;
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData\下的DomainGUID;
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AddressCache\服务器名>下的\DomainGUID; (许多情况下无此键值)
HKEY_LOCAL_MACHINE\SFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\ScsComms\LocalData\TrustedRoots备份,然后删除。
注:此键值在Regedit的模式下不能复制粘贴,但在regedt32模式下可以。在Windows2003中无论用Regedit还是用regedt32下都不能从注册表编辑器外复制后在此进行粘贴(但可以在注册表编辑器内进行复制和粘贴),必须先删除对话框里的数值,再用键盘输入新的数值。
6. 在系统服务中启动Symanetc AntiVirus和 Intel PDS服务(包括先前一起被终止的几个“Intel”开头的服务)。
7. 这时候打开赛门铁克防病毒软件或SSC访问服务器端会提示密码错误。可以用SSC安装目录(\Program Files\Symantec\Symantec System Center\Tools)下的工具IFORGOT.exe重设密码。
8. 确认都正常以后,即可以接入工作网。最好能够先找一台客户端和服务器连接,测试对客户端的管理没有问题后,才将服务器启用。
提示:在切换服务器后,由于服务器第一次需要向客户端推送一个比较大的病毒定义文件,可能需要一段时间来观察(如果该服务器管理了很多的客户端,可能需要三五天的时间,当然还要考虑网络连接的情况)
 
 
 Symantec antivirus 客户端如何在不重新安装的情况下迁移父服务器Symantec AntiVirus 企业版客户端已指定某个服务器的接受管理,现在希望将该客户端移动到另一台父服务器上。我们应该怎么做呢,难道要重装吗?
     使用以下两种方法之一可以实现这一点。要移动选定的几个客户端,请使用方法1。要移动所有客户端,则既可以使用方法1,也可以使用方法2,推荐使用方法1
方法 1:
将一个或多个客户端移动到另一台父服务器上要将某些客户端移动到另一台服务器上,应将新的父服务器上的Grc.dat 文件复制到将受其管理的所有客户端上,同时,修改旧的客户端的注表:HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl\ReloadRootCertsNow 注册表键的DWORD值设为1;
    Grc.dat 文件在父服务器上所处的位置若父服务器采用的是 Windows 2003 操作系统,那么应从父服务器上的 VPHOME 共享文件夹复制Grc.dat 文件。默认情况下,VPHOME 共享文件夹指向父服务器上的C:\Program Files\Symantec AntiVirus 。
   Grc.dat 文件在客户端上的位置:根据您使用的操作系统,将 Grc.dat 文件复制到相应的文件夹中。
      **Windows 98 :默认的文件夹位置为 C:\Program Files\Symantec_Client_security\Symantec AntiVirus\ 。
      **Windows NT :默认的文件夹位置为C:\WinNT\Profiles\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\ 。
     ** Windows 2000/XP :默认的文件夹位置为C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 注意:在 Windows 2000/XP 上,目录“Application Data ” (C:\Documents and Settings\All Users\Application Data) 是隐藏目录。
    几分钟后,客户端就会在此文件夹下找到 Grc.dat 文件,并对注册表进行适当的更改并删除 Grc.dat 文件。然后大家打开客户端看看父服务器,是不是变化了?呵呵,就是这么简单。如果长时间没有变化,可重启客户端电脑。
在新的新服务器secu中共享了一个目录sav,把所需要的GRC.DAT文件共享出来,然后做了个简单的批处理:
---------------------------------------------------------------------------------------------------------------------------
@ECHO OFF
title secu服务器管理
color 0a
echo *************************************************
echo.
echo 运行本程序将重新指定Symantec升级服务器为secu
echo               运行之前应关闭其他运行程序
echo.
echo **************************************************
echo.
echo.
SET /P A1=更新完毕是否重启(Y/N)?
IF /I '%A1%'=='Y' GOTO 1
IF /I '%A1%'=='N' GOTO 2
ECHO 你即不YES,也不NO
goto 3
:1
copy "\\secu\sav\GRC.DAT" "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\grc.dat"
reg add HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl /v ReloadRootCertsNow /t REG_DWORD /d 1 /f
shutdown -r -t 0 -f
goto 3
:2
copy "\\secu-bj\sav\GRC.DAT" "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\grc.dat"
reg add HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl /v ReloadRootCertsNow /t REG_DWORD /d 1 /f
ECHO 你输入了No,重启后操作生效!
:3
PAUSE
---------------------------------------------------------------------------------------------------------------------------
方法 2:
       将所有客户端移动到另一台父服务器上如果要将所有客户端移动到另一台父服务器上,那么更改原始父服务器上的一个特定注册表键就可以自动将客户端定向到一台新的父服务器。如果原有的父服务器不再工作,则应使用方法1。
1.导航至下列注册表子键:HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\ClientConfig\
2.将“Parent”名更改为新的父服务器的计算机名。
3.将“AlertDirectory ”名更改为新的父服务器。
4.将“RemoteHomeDirectory ”名更改为新的父服务器。
5.如果在服务器组间转移客户端,需要将"DomainName" 更名为新的服务器组名称。
6.关闭注册表编辑器。
7.打开 Symantec 系统中心。
8.用鼠标右键单击原始的父服务器,指向“所有任务”,再指向 Symantec AntiVirus ,然后单击“客户端实时防护选项”。
9.单击“全部重设”。这将生成 Grc.dat 文件的一个新副本,从而将客户端指向新的父服务器。
当客户端签入初始的父服务器时,会接收到配置更改,并开始与新的父服务器通信。如果停止然后重新启动 Symantec AV 服务器服务,或者重新启动初始父服务器,则 Grc.dat 文件会再一次将客户端指向初始父服务器。未接收到配置更改的客户端将仍然由初始父服务器管理。