SEPM не видит клиентов, а клиенты его

[alexts 5]

Джентельмены , помогите! Развернут Sep 11.0.5002.333 на SBS 2003 R2. Sepm заводиться и не глючит, но клиенты не видны, клиенты тоже не видят сервер, не обновляются и не получают политик.

Все танцы с бубном рекомендованные Симантеком произведены, т.е проверены права на DefoltappPull, права на каталог Sym Web server, сервер на 8014 порту, в SEPM закладки отчетов и другие работают, пакеты создаются и распостраняются , компы неуправляемые ищуться.

Запрос http://server:8014/secars?hello,secars выдает крупный OK. Базы обновляются , но не раздаются.

Все так красиво , только не работает главное - управление этим счастьем.

SylinkMonitor_6733.exe выдает :

read error, exit

12/03 21:48:44 [7516] <SendRegistrationRequest:>SMS return=401

12/03 21:48:44 [7516] <ParseHTTPStatusCode:>401=>Uninterpreted Status

12/03 21:48:44 [7516] <SendRegistrationRequest:>Content Lenght => 1661

12/03 21:48:44 [7516] HTTP returns status code=401

12/03 21:48:44 [7516] <SendRegistrationRequest:>RECEIVE STAGE COMPLETED

12/03 21:48:44 [7516] <SendRegistrationRequest:>COMPLETED, returned 5...

Проверял и перепроисывал пароль на Symantec Web server для IUSR_<servername> - никакого эффекта.

Странно, что на копии этого сервера ( сделано акронисом) все встало и работает как часы. Т.е. сервера - близнецы, правила в ISA идентичны. Ни бельмеса в tomcat , может это он не пускает ? Переустанавливал раз сто, с чисткой реестра от всего Symanteca, результата нет.Просто не знаю уже где рыть.

[DeaDClaW 5]

сервер один или партнер по репликации?

русская или английская версия?

если руками добавить клиента в группу то будет получать обновления?

[Кирилл Керценбаум 671]

alexts попробуйте на стороне сервера SEPM и на стороне любого проблемного клиента запустить Диагностику

[alexts 5]

сервер один или партнер по репликации?

русская или английская версия?

если руками добавить клиента в группу то будет получать обновления?

Сервер 1, русский, руками - не получает и в консоли не появляется.

alexts попробуйте на стороне сервера SEPM и на стороне любого проблемного клиента запустить Диагностику

запускал на сервере Symantec Endpoint Protection Support Tool, на нем же и клиент SEP (только защита от вирусов..) , сравнивал с работающим серваком, сильных отличий не нашел, кроме того , что на работающем на один Warning больше,но может не хватает компетенции их обнаружить и не понял как сохранить результаты диагностики.

Вот отличия :

Это с сервера со сбоями работы

Tests Error The Secars communication test failed for these consoles:Site Port Http Code Error

10.10.10.2 8014 401

172.168.0.100 8014 502

172.168.0.100 8014 502

Information Sylink.xml lists the following Symantec Endpoint Protection Manager:Priority Address DnsIP

List0 10.10.10.2 10.10.10.2

List0 172.168.0.100 172.168.0.100

List0 ns 172.168.0.100

Ok None of the listed Management servers have a DNS error.

Ok The Secars communication test worked with these servers:Site Port Http Code Error

ns 8014 200

А это с корректно работающего:

Status Error

Tests Error The Secars communication test failed for these consoles:Site Port Http Code Error

172.168.1.100 8014 502

172.168.1.100 8014 502

Information Sylink.xml lists the following Symantec Endpoint Protection Manager:Priority Address DnsIP

1 10.10.10.2 10.10.10.2

1 172.168.1.100 172.168.1.100

1 ns 172.168.1.100

Ok None of the listed Management servers have a DNS error.

Ok The Secars communication test worked with these servers:Site Port Http Code Error

ns 8014 200

10.10.10.2 8014 200

D обоих случаях 172.... это внешний адрес сервера и Isa на него не пускает, можно заподозрить dns? но nslookup кореектно выжает соответсвие имен, сеть работает как часы, sharepoint, WSUS тоже , да и запрос Запрос http://ns:8014/secars?hello,secars отвечает ОК.

Пока писал додумался: проверил на обоих http://10.10.10.2:8014/secars?hello,secars, так вот сбойный сервер запросил пароль , а корректный нет, после ввода пароля - ОК

Все таки идентификация , но где еще менять, все галочки проставлены?

[alexts 5]

Пока писал додумался: проверил на обоих http://10.10.10.2:8014/secars?hello,secars, так вот сбойный сервер запросил пароль , а корректный нет, после ввода пароля - ОК

Все таки идентификация , но где еще менять, все галочки проставлены?

Исправил , по IP тоже отвечает OK, но результат тот же.

АУ!!!! Нелp!!! Неужели никто не знает предмет глубже?

[A lone 20]

мои 5 копеек:

первое: вот эти два пункта мне не очень нравятся

1. 1 ns 172.168.1.100

2. List0 ns 172.168.0.100

второе: для пользователя IUSR_<servername> пароль запросто скидывать нельзя. Деталей уже не помню, рекомендую воспользоваться поиском и MSDN Library

[alexts 5]

IUSR_<servername> - не просто так, а доставал из метабазы реальный и уже его прописывал.

1. 1 ns 172.168.1.100 - порсмотрел на других серверах - везде где 2 сетевые карты servername садиться на внешний адрес, но это видимо не важно, поскольку работает.

2. List0 ns 172.168.0.100 - самому не нравиться этот List0, поскольку на работающем такого нет, но откуда береться и как влияет не понятно

[alexts 5]

Победил, но удовлетворения никакого, поскольку это не решение , а шаманство какое то.

Как не ясно из за чего был глюк, так и не понятно что и как исправил, но заработало.

Опишу , что делал, сразу скажу , что помогло наличие второго сервера ( хотя SEPM на каждый из них и ставился по отдельности)

1. Сделал копию сайта на работающем - перенес на глюкавый.

2. Сохранил сертификат на глюкавом.

3.Сделал резервную копию IIS - перенес на глюкавый.

4. Сделал экспорт реестра NKCRoot на исправном и накатил на глюкавый.

5.Восстановил из перенесенных бэкапов IIS и затем SEPM. при остановленных службах WSUS , SEPM,

6. Протестировал базу - ОК.

7. Прогнал мастер настройки SEPM при остановленных службах WSUS и Symantec Web server.

8.При остановленных службах WSUS и Symantec Web server запустил с диска 1 setup SEPM и согласился на обновление версии на такую же.

На этом этапе В консоли появились зелененькие кружки на клиентах, а клиенты при загрузке меняли цвет на зеленый , но потом гасли.

9. Создал список серверов управления , в который включил полное доменное имя сервера.

10. Создал Параметы установки клиента с функцией удаления журналов, политик и заменой параметров связи.

11. Имортировал сохраненый сертификат.

12. Создал новые пакеты для контроллера домена и для клиентских машин.

13. На сервере удалил SEP клиента и перезагрузил сервер.

14. Мастером миграции развернул пакеты на клиентских машинах и на сервере.

Вроде все живет, обновления политик и описаний идут.

Да долго сличал и приводил в соответсвие параметры реестра TCPIP, semsrv, но критичных различий не было ( это уже от бессилия).

В общем приживил, а системного решения так и нет.

Ниже выкладываю результаты диагностики с починенного сервера

Tests Error The Secars communication test failed for these consoles:Site Port Http Code Error

172.168.0.100 8014 502

172.168.0.100 8014 502

172.168.0.100 8014 502

Information Sylink.xml lists the following Symantec Endpoint Protection Manager:Priority Address DnsIP

1 ns.net.local 172.168.0.100

1 ns 172.168.0.100

1 10.10.10.2 10.10.10.2

1 172.168.0.100 172.168.0.100

Ok None of the listed Management servers have a DNS error.

Ok The Secars communication test worked with these servers:Site Port Http Code Error

ns 8014 200

ns.net.local 8014 200

10.10.10.2 8014 200

В клиенте сказано , что он видит сервер по имени ns.net.local, т.е. по полному доменому имени.

И шо это за диагностика : сначала говорит , что error на адрес 172.168.0.100 и порт 8014.

Потом сообщает , что этому адресу соответсвует имя ns.net.local

Потом говорит "Ok None of the listed Management servers have a DNS error."

Дальше все OK и подключает клиентов к ns.net.local с error адресом 172.168.0.100 ?

О общем опасная при установке программа SEPM, как привяжеться, и если что не так и нет 2х недель на разборки с ней, то хоть сервак переустанавливай. Очень советую перед экспериментом по установке SEPM не расслабляться и делать backup , чтобы хотя бы на прежний антивирус можно было бы откатиться.