キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
McAfee Employee knihei
McAfee Employee
不適切なコンテンツを報告
メッセージ1/1

【TIPS】McAfee Web Gateway: Central Managementで管理しているアプライアンスのリプレースについて

こんにちは

マカフィーテクニカルサポートセンターです。

この記事では、McAfee Web Gateway のCentral Managementで管理しているアプライアンスのリプレースについて説明します。


環境
McAfee Web Gateway(以下MWG)v7.x のCentral Managementで複数のアプライアンスが共通管理されている環境

※Central Managementに関する詳細は下記リンクをご参照ください
<McAfee Web Gateway - McAfee Web Gateway 7.x Central Management について>

問題
ハードウェア障害等の理由によりMWGアプライアンスをリプレースする際には、いくつかの注意すべき点があります

注意点.1

Central Management環境で取得した1つのBackupファイルには、すべての管理ノードの設定が含まれているので、どのノードにおいても設定が復元(リストア)可能です。しかし、筐体交換等でハードウェアが変更された場合は、UUIDが変わってしまうので、Backupファイルをリストアするためには下記FAQの手順にて、機器固有のID(UUID)を指定しコマンドラインからリストアする必要があります。

<KB80762: コマンドラインからbackupファイルをフルリストアする方法>

注意点.2

 コマンドラインでリストアした際、以下のエラーメッセージが表示される場合があります。

"a GUI is attached. please pass 'options:forcedetachgui=yes' in commandline to override GUI."

 その場合は、下記のように「options:forcedetachgui=yes」オプションを追記してリストアしてください。

 # /opt/mwg/bin/mwg-coordinator -R 'file:in=path_to_backup_file;options:uuid=<リストアしたいMWGのUUID>;options:forcedetachgui=yes'

注意点.3

MWG v7.3.2.1以前のバージョンで、Network Protection(設定箇所:[Configuration]-[Appliances]-[Network Protection])が有効な場合にBackupファイルをリストアするとFailが発生する場合があります。この問題はv7.3.2.2で修正されていますが、v7.3.2.1以前のバージョンで本事象が発生した場合は、再度コマンドを実施することでリストアが可能です。

注意点.4

NTLM認証を使用している場合、MWGアプライアンスはWindowsドメインに参加するため、 Windows Domain Membership(設定箇所および手順は下記FAQ参照)の登録を行う必要があります。

 <KB80715: NTLM認証を使用したアクセス制限について>

Windows Domain Membershipの管理者パスワードは、アプライアンスがドメインに参加するために1回だけ使用されるので、パスワード情報はBackupファイルに保存されません。そのため、Backupファイルリストア後のアプライアンスが再びWindowsドメインに参加するためには、リストア後にWindows Domain Membershipの登録を手動で行う必要があります。

注意点.5

バージョン7.6.2.11および7.7.1.4以降では、設定バックアップのフルリストアを行なってもクラスタCAが反映されないため、Central Managementで設定同期を行なう全てのMWGへ同じクラスタCAをインポートする必要があります。バージョン7.6.2.10および7.7.1.3以前では不要です。

 <【TIPS】 McAfee Web Gateway のダッシュボードに The Central Management Currently uses the default CA の警告が発生する>

 

解決策
本環境における、リプレースの全体的な流れとしては以下のようになります。

<事前準備>

1. 事前にお客様環境で利用中のMWGのUUIDを取得します
Central Management配下であれば、GUIの [Configuration]-[Appliances] タブを開き、 [Appliances (Cluster)] をクリックすると画面下に各機器のUUIDが表示されます。

または、各機器にSSHなどでログインし、以下コマンドでも確認できます。
# /usr/bin/mwg-info uuid

例)
[root@XXX ~]# /usr/bin/mwg-info uuid
564DD179-ECFD-65A6-BC49-CD9AB774ADBB

<リストア手順>

1. リプレースするアプライアンスをCentral Management配下から削除します。
2. Backupファイルを代替機へSCPなどで/tmp へコピーします。
3. コピーしたBackupファイルの権限を変更します。
# chmod 777 保存したbackupファイル名
4. 以下コマンドにて故障器の設定をリストアします。
# /opt/mwg/bin/mwg-coordinator -R 'file:in=path_to_backup_file;options:uuid=<リストアしたいMWGのUUID>'
※「path_to_backup_file」 にはBackupファイルのパスを指定します
※「リストアしたいMWGのUUID」 には リストアする機器のUUIDを記載します
※注意点.2 のエラーが発生した場合は options:forcedetachgui=yes を追加して再度リストアしてください
5. 機器を再起動します。
6. 7.6.2.11 and 7.7.1.4以上をご利用の場合は、cluster CAをインポートします。(注意点.5)
7. リストアした機器を、1で削除したMWGのGUI上からCentral Management配下へ手動で追加します。
8. NTLM認証を使用されている場合は、Windows Domain Membership を再設定します(注意点.4)


補足.1)
機器固有設定には、ホスト名・IPアドレスやDirectorPriority設定も含まれるので、リストア後にHA構成でDirectorPriorityの値が被ることはありません。

補足.2)
リプレース機の機器固有設定を手動で再設定した場合は、Central Management 配下へそのリプレース機を追加する事で、ポリシー設定などは自動的に共有されます。

本記事作成時の最新リリースバージョン:Main Release 7.7.2.14(26153)

ラベル(1)
More McAfee Tools to Help You
  • Subscription Service Notification (SNS)
  • How-to: Endpoint Removal Tool
  • Support: Endpoint Security
  • eSupport: Policy Orchestrator
  • Community Help Hub

      New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

    • Find Forum FAQs
    • Learn How to Earn Badges
    • Ask for Help
    Go to Community Help

    Join the Community

      Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

    • Get helpful solutions from McAfee experts.
    • Stay connected to product conversations that matter to you.
    • Participate in product groups led by McAfee employees.
    Join the Community
    Join the Community