[ SOFTWARE REPORT ]

Windows 2000 Server

Symantec AntiVirus 10.0 を再インストールしてみる

2005/12/25 Tomohiro Kumagai

□ Symantec AntiVirus Small Bussiness Edition 10.0

シマンテック さまのサーバ向けウィルス対策ソフト Symantec AntiVirus Small Bussiness Edition 8.1 を購入して、かれこれバージョンアップやライセンスの更新を続けて、今や Symantec AntiVirus 10.0 を利用することとなったのでした。

その辺りのお話は EZ-NET レポート: Symantec AntiVirus 8.1 を使ってみるEZ-NET レポート: Symantec AntiVirus のライセンスを更新してみる 、そして EZ-NET レポート: Symantec AntiVirus 9.0 にアップグレードする などでもお話してみました。

そしてとりあえず Symantec AntiVirus 10.0 を利用してライセンスファイルの更新などを行って、問題なく利用はできてはいたのですけど、ライセンス周りの管理にて少し気になるところがあったのでした。

 

というのも、Symantec AntiVirus Small Bussiness Edition はライセンスファイルを Symantec AntiVirus サーバへ登録して、それをそのサーバに所属する各クライアントへ配布するという形での管理がなされているようなのですけど、この管理周りがどうもおかしくなってしまっている感じだったのでした。

たとえば、クライアントプログラムを更新してライセンスファイルをインストールしてみたら、サーバーが管理しているライセンスとは別枠で登録されてしまったり、その影響でサーバに配分するライセンス数が最大値を設定できなかったり。ライセンス数の登録状況がどうも曖昧で、少なくとも所有しているライセンス数以内をインストールしているはずなのに、ライセンス違反となってしまったりしたのでした。

Symantec System Center (SSC) を用いていろいろと試してはみたのですけど、不要な登録を削除しようとしてみてもなんだかうまく行かなかったり、サーバに登録されているライセンス数を 1 台だけにはどういう訳か配布できたのですけど、それ以外はエラーとなってしまったり。

調べてみると、どうやら Windows XP Service Pack 2 から導入された Windows ファイアーウォール機能が有効になっていると Symantec AntiVirus クライアントとサーバ間の通信が遮断されてしまうので、必要な通信ポートを開放してあげる必要があるとのことでした。

そんな感じでややこしくなってしまっていたので、改めて全ていったんアンインストールして、サーバのインストールからやり直してみることにしました。

 

□ Symantec AntiVirus 10.0 が正常に通信する上で必要なもの

Windows XP Service Pack 2 などで Symantec AntiVirus 10.0 のクライアントとサーバ間での通信を正常に行わせるためには、Windows ファイアーウォールの設定にて Symantec AntiVirus 10.0 に関連するプログラムまたはポート番号を例外として登録する必要があるとのことです。

詳しくは Symantec 社のサイトの Symantec AntiVirus を Windows XP Service Pack 2 で利用する場合のサポート情報にて提供されているのですけど、ここでもそのあたりについてを少し簡単に整理してみようと思います。

 

通信を許可する必要のあるプログラム

Symantec AntiVirus 10.0 が通信で使用するプログラムは次のものだそうです。

Windows ファイアーウォールが有効になっている場合は、各役割を担うそれぞれでこれらのプログラムが通信を行えるように、コントロールパネルの 「Windows ファイアーウォール」 の設定で登録しておく必要があるそうです。

 

Symantec AntiVirus 10.0 サーバ

プログラム パス 補足
Rtvscan.exe C:/Program Files/SAV  
savroam.exe C:/Program Files/SAV  
Pds.exe C:\Windows\System32\CBA  
Lucomserver.exe C:/Program Files/Symantec/LiveUpdate  
Lucomserver_2_6.exe C:/Program Files/Symantec/LiveUpdate Live Update 2.6 の場合

 

Symantec 中央検疫 サーバ

プログラム パス 補足
Qserver.exe C:/Program Files/Symantec\Quarantine\Server  
Icepack.exe C:/Program Files/Symantec\Quarantine\Server  

 

Symantec AMS (Alert Management Server) II サーバ

プログラム パス 補足
IAO.exe C:/Windows/System32/AMS_II  
Hndlrsvc.exe C:/Windows/System32/AMS_II  
Msgsys.exe C:/Windows/System32  

 

Symantec AntiVirus 10.0 クライアント

プログラム パス 補足
Rtvscan.exe C:/Program Files/SAV  
savroam.exe C:/Program Files/SAV  
Lucomserver.exe C:/Program Files/Symantec/LiveUpdate  
Lucomserver_2_6.exe C:/Program Files/Symantec/LiveUpdate Live Update 2.6 の場合

 

Symantec System Center コンソール

プログラム パス 補足
Nsctop.exe C:/Program Files/Symantec\Symantec System Center 管理ツール

 

通信に必要なプロトコルとポート番号

Symantec AntiVirus 10.0 が使用するプロトコルとポート番号は次のような感じだそうです。

Windows ファイアーウォールに登録しやすいように "プロトコル" と "ポート番号" だけで済むようにまとめてみました。Windows ファイアーウォールは外部からその PC へのアクセスを制限するツールとのことなので、きっとこの程度で良いのではないかと思います。念のためファイアーウォールを挟むような場合も考えて、通信方向なども別表に併せて記載しておきました。

なお、今回の Symantec AntiVirus 10.0 と旧バージョンとでは通信に使用するポートが若干違うようですので、アップグレードの際には特に少し注意が必要そうです。

 

Symantec AntiVirus 10.0 サーバ (入力方向)

プロトコル ポート番号 補足
UDP 38293 クライアントがサーバへチェックインしたり、一次サーバと二次サーバ間の通信で利用するポートだそうです。
TCP 2967 サーバ上で実行される Rtvscan の待ち受けポートだそうです。また、SAVRoam がこのポートへ要求を送信するとのことでした。
TCP 38292 AMS (Alert Management Server) が

 

Symantec AntiVirus 10.0 クライアント (入力方向)

プロトコル ポート番号 補足
TCP 2967 SSC (Symantec System Center) からクライアントを操作する場合に使用するそうです。

 

上記の表は、Windows ファイアーウォールの設定において、とりあえず Symantec 社のサイトを眺めつつ必要そうなものを整理してみたつもりではありますけど、これらのポートだけで大丈夫なのかは判断しにくいところではありました。

というのも、サイトの表記や意味合いがややこしい感じがあったのと、また通信の関係で使用するプログラムがそこそこあることなどが挙げられます。それにポートの情報だと、SSC からのアクセスは例外として、そのほかではクライアントが待ち受ける感じの表記がないのも少し気になるところでした。

以下は、通信間に別のファイアーウォールが存在していた場合などの設定で便利かなと思って、正確かは判りませんけど、とりあえずまとめておいてみました。

 

Symantec AntiVirus 10.0 (クライント/サーバ) 間の通信

プロトコル 通信元 通信先
UDP CLIENT:* SERVER:38293
TCP CLIENT:* SERVER:2967

 

Symantec AntiVirus 10.0 SSC (Symantec System Center) に関連する通信

プロトコル 通信元 通信先
UDP SSC_CLIENT:* SERVER:38293
TCP SSC_CLIENT:* SERVER:2967
TCP SSC_CLIENT:* CLIENT:2967
TCP SCC_CLIENT:* AMS_SERVER:38292

 

AMS II (Alert Management Server) の通信

プロトコル 通信元 通信先
TCP CLIENT:* AMS_SERVER:38292
TCP AMS_SERVER:* CLIENT:38292

 

中央検疫サーバ

クライアントが中央検疫サーバへ情報を送信する場合には、Symantec System Center の "Symantec 中央検疫" にて設定されている TCP ポートが利用されるそうなので、中間にファイアーウォールを置いたり、たぶん中央検疫サーバ側もそうなのでしょうけど、中央検疫サーバへアクセスする必要がある場合には、そのポートも開放してあげる必要がありそうでした。

 

こんな感じから、とりあえず Windows ファイアーウォールで許可を行う場合はプログラムを登録するのが明快で良いかも知れないように感じました。

ただ、細かいこだわりではありますけど、Windows ファイアーウォールの設定で、プログラムを登録するときには好きな名前を登録できないところが少しネックでした。ポート番号を登録するときには名称を自分で設定することが出来るので、後になってわかりやすそうなところが嬉しいのですけど…。

その辺りを考えながら、レジストリに名前が登録されていないかを調べてみたところ、次のキーに Windows ファイアーウォールの設定が用意されているようなのを見つけました。

\\HKEY_LOCAL_MACHINE

\SYSTEM

\CurrentControlSet

\Services

\SharedAccess

\Parameters

\FirewallPolicy

このキーの中にある "DomainProfile" キーがそれに該当するみたいで、プログラムの登録の場合は "AuthorizedApplications" に、ポート番号の場合には "GloballyOpenPorts" に、さらにその下に "List" というキーを作って登録されているようでした。

[String] C:\\Program Files\\Messenger\\msmsgs.exe

= "C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

書式については詳しくは判らないのですけど、とりあえず文字列の最後の部分、"Enabled:" に続く文字列がタイトルのようでした。ここを書き換えてから Windows ファイアーウォールの設定を確認してみると、書き換えたとおりの名称でリストアップされるようになりました。

 

□ Symantec AntiVirus 10.0 サーバを準備する

Symantec AntiVirus 10.0 のインストール

インストールに使用する PC は Windows Server 2003 Standard Edition がインストールされている PC です。そこへ Symantec AntiVirus Corporate Edition 10.0 のプログラムファイルを配置して、インストール作業を行います。この PC が Symantec AntiVirus サーバとなるので、ここでは "Symantec AntiVirus のインストール" を選択して、続いてさらに "Symantec AntiVirus のインストール" を選択します。

そしてインストールウィザードを手順に沿って進めつつ、途中の "クライアントサーバーのオプション" にて "サーバーインストール" を選択しておきます。サーバー関連の設定では、"サーバーグループ" や、それにアクセスする際に必要となる "ユーザー名" および "パスワード" を指定します。

インストールが終了するとライセンスが見つからないとの通知がありましたけど、とりあえず Live Update を実行してサーバプログラムをアップデートしておきました。

 

なお、今回は Symantec System Center を用いてライセンスの管理を行いますので、ここではライセンスのインストールは行わないでおきます。

 

Windows ファイアーウォールを設定する

インストールが完了したら、ひとまず Windows ファイアーウォールの調整を行います。

Windows Server 2003 では最初は Windows ファイアーウォールが無効になっているようなので今回は調整する必要はなかったのですけど、Windows ファイアーウォールが有効になっている場合は、コントロールパネルの "Windows ファイアーウォール" を実行して、次のプログラムを例外として登録してあげれば大丈夫だそうです。

パス プログラム
C:/Program Files/SAV Rtvscan.exe
C:/Program Files/SAV savroam.exe
C:\Windows\System32\CBA Pds.exe
C:/Program Files/Symantec/LiveUpdate Lucomserver.exe
C:/Program Files/Symantec/LiveUpdate Lucomserver_2_6.exe

 

□ 管理コンソールを準備する

続いて Symantec AntiVirus を管理するのに使用する SSC (Symantec System Center) コンソールを準備します。

Symantec System Center (SSC) のインストール

Symantec System Center を今回は Symantec AntiVirus サーバへではなく、普段から使用しているクライアント PC へインストールします。

Symantec AntiVirus Corporate Edition 10.0 のセットアッププログラムを実行して、表示されたウィンドウの中の "管理用ツールのインストール" から "Symantec System Center のインストール" を選択します。そしてウィザードの手順に従って進めて行けば、Symantec System Center のインストールは完了です。

なお、インストールの終了後には Windows を再起動する必要があるようでした。

 

Windows ファイアーウォールを設定する

今回は Symantec System Center を Windows XP (SP2) にインストールしましたので、正常に動作させるためにあらかじめ次のプログラムを Windows ファイアーウォールの例外として登録しておきます。

プログラム パス
Nsctop.exe C:/Program Files/Symantec\Symantec System Center

コントロールパネルの "Windows ファイアーウォール" を起動して、「例外」 タグの 「プログラムの追加」 ボタンを押してこのプログラムを追加すれば完了です。

 

□ Symantec AntiVirus 環境を整える

一次サーバを指定する

Symantec System Center をインストールしたら、まずはそれを起動して、Symantec AntiVirus サーバをインストールしたときに登録したグループへ接続します。

グループ名は自動的に検出されるようなので、その名称のところで右クリックをして "サーバーグループのロック解除" を選択して設定したパスワードを入力します。そうして接続してみると、そのグループ名のところに赤い × 印がついていました。そしてそれを選択して右クリックをしてみると、次のようなダイアログボックスが表示されました。

エラー: サーバーグループには一次サーバーが必要です。

サーバーを選択してサーバーを一次サーバーにするコマンドを実行してください。

先にインストールした Symantec AntiVirus サーバを一次サーバにするために、AntiVirus サーバをインストールした PC 名のところで右クリックをして、ポップアップメニューから "サーバーを一次サーバーにする" を選択します。

すると、そのサーバを一次サーバにするか問われるので、「はい」 を選択すれば完了です。

 

ライセンスがまだインストールされていないので赤い × が消えないままではありますけど、これで大丈夫なようです。ちゃんと一次サーバになっているかどうかを確認するには、該当するサーバ名の上で右クリックしてプロパティを参照すれば、そのサーバが一次サーバになっているかがが判ります。

 

ライセンス枠を割り当てる

一次サーバにライセンス枠を割り当ててみます。

サーバ名のところで右クリックをして、"全てのタスク" から "Symantec License Management" を選択し、そして "ライセンス枠割り当ての管理" を選びます。するとライセンス枠を管理するためのダイアログボックスが現れるので、そこから 「追加」 ボタンを押して、ライセンスファイル (SLF) を指定します。

 

そして割り当てる枠の数を指定するのですけど…、このときこの Symantec System Center を用いないで Symantec AntiVirus から直接ライセンスをインストールしていたりすると、グループへは "未割り当て" の状態になってその分のライセンス数を差し引いた分しかここで指定することが出来なくなってしまうようです。

その場合でもそのままで問題はなさそうなのですけど、なんだかすっきりしなくていろいろと試してみても直接インストールした既存のライセンスを削除することは出来なそうな感じでした。とりあえず Symantec AntiVirus をインストールしなおせば大丈夫なような感じではありますけど、そんな感じなので Symantec System Center にて管理する場合は Symantec AntiVirus を使って直接ライセンスをインストールようなことはしないようにしておくのが良さそうです。

 

今回はまだライセンスをインストールしていない状態ですので、そのライセンスファイルによって許可された数を "割り当て済み" として登録することが出来ました。

そして "配布済み" として 1 枠が使用されている表示がありました。いろいろと見渡してみたところ、一次サーバへライセンスが自動的に配布されたようです。実際にその Symantec AntiVirus を起動してみたところ、しっかりとライセンスがインストールされた状態になっていました。

 

□ Symantec AntiVirus 10.0 クライアントを準備する

Symantec AntiVirus 10.0 をインストールする

先ほどインストールした Symantec AntiVirus サーバに所属する Symantec AntiVirus クライアントを、Windows XP Professional がインストールされた PC へインストールしてみることにします。

Symantec AntiVirus クライアントをインストールするには、サーバの時と同じセットアッププログラムを実行することでインストールすることも出来ると思いますけど、今回は Symantec System Center に組み込まれたクライアントインストール機能を使ってやってみることにします。

 

Symantec System Center を起動したら、システムメニューの "ツール" から "ClientRemote インストール" を選択します。

すると "ClientRemote インストールユーティリティ" と称した Symantec AntiVirus クライアントをリモートインストールするためのプログラムが起動しますので、ウィザードの手順に従ってインストールを進めて行きます。途中の "インストール元の場所の選択" では "ディフォルトの場所" を選択しておきます。

インストールするコンピュータの選択では、インストールしたいコンピュータ名を選択して、さらに所属させたいウィルス対策サーバーを指定して 「追加」 ボタンを押す感じで指定します。複数のクライアントを指定することで、そのサーバに所属する Symantec AntiVirus クライアントを一括インストールすることも出来ます。

 

Windows ファイアーウォールを調整する

今回インストールした PC では Windows XP Service Pack 2 から実装された Windows ファイアーウォールが有効になっていましたので、Symantec AntiVirus クライアントが正常に動作するために、それを Windows ファイアーウォールの例外として登録します。

そのために、コントロールパネルの "Windows ファイアーウォール" を起動して、「例外」 タグの 「プログラムの追加」 から次のプログラムを追加してあげます。

プログラム パス
Rtvscan.exe C:/Program Files/Symantec AntiVirus
savroam.exe C:/Program Files/Symantec AntiVirus
Lucomserver_2_6.exe C:/Program Files/Symantec/LiveUpdate

 

□ おわりに

この手順を踏むことで、Symantec AntiVirus Corporate Edition 10.0 のサーバおよびクライアントの準備は完了です。

ライセンスについては、サーバグループにそのライセンスファイルとライセンス枠を登録しておくことで、そこに所属した Symantec AntiVirus クライアントへ自動的に配布されるのでなかなか便利な感じです。

インストール後はしばらくしないと管理化にあるクライアントとして認識されないこともありましたけど、それはしばらく放っておけば自動的に認識されてリストアップされるようになりました。配布されたライセンス数についても、認識され次第、正常に反映されるので、少し待っていれば大丈夫そうな感じです。


 

カスタム検索

copyright © Tomohiro Kumagai @ EasyStyle G.K.
contact me: please from mail-form page.