Symantec Endpoint Protection Small Business Edition 12.0

[iliuwka 0]

Добрый день всем.

Установлен Symantec Endpoint Protection Small Business Edition 12.0

Развернуто 50 клиентов.

На всех машинах стоит MS firewall client для isa server

Периодически некоторые клиенты перестают напрямую подключаться к серверу управления по порту 8014 и начинают лезть через прокси, конкретно процесс smc.exe

остановка - запуск процесса не помогает. при чем такое ощущение что сервер управления просто отключает клиента, так как первых секунд 10 коннект по порту 8014 висит с этого IP. дальше дисконнект, и клиент начинает подключение по порту 8080 через isa сервер. При этом клиент не теряет связь с сервером управления, то есть зелененькая точка на щите есть, и на сервере управления этот клиент online. Но самое главное обновления в этот момент не прокачиваются.

на isa видим следующее:

Разрешенное соединение FIRE 05.10.2010 12:49:31

Тип журнала: Веб-прокси (прямой)

Состояние: 200 ОК.

Правило: доступ по внутренней сети

Источник: Внутренняя (192.168.0.149)

Назначение: Внутренняя (test2003.XXX.ru 192.168.0.221:8014)

Запрос: GET http://192.168.0.221:8014/content/{812CD25...ta101001016.dax

Информация фильтра: Req ID: 0f8d6543; Compression: client=No, server=No, compress rate=0% decompress rate=0%

Протокол: http

Пользователь: anonymous

Дополнительные сведения

Client agent: Smc

Object source: Интернет (Источник - Интернет. Объект был добавлен в кэш.)

Cache info: 0x40800005 (Запрос не должен обслуживаться из кэша. Запрос содержит один из следующих заголовков: CACHE-CONTROL:NO-CACHE или PRAGMA:NO-CACHE. Ответ содержит заголовок LAST-MODIFIED. Ответ не должен быть кэширован.)

Processing time: 1 ms

MIME type:

И так до опупения.

Помогает перезагрузка.

Проблема плавающая, то есть сегодня на одной машине, завтра на другой.

В нормальном состоянии клиент не идет через isa.

На isa настроено: не использовать прокси сервер для локальных адресов.

Как бороть не понятно, уже замучался. HELP

Кстати есть еще один баг.

Почему-то если на сервере управления снята галка разрешать использование live update, на клиентах кнопка продолжает быть активной., Хотя другие политики работают.

вот лог Sylinkwatcher:

<MaintainPushConnection:>http://test2003:8014/secars/secars.dll?h=7481D8AD5D8C5ED02EAB60AF8B00B6E037CFD9D404E8B44DC07F5BA10ADB2B7E10741DFC619A9E

DBB066F76AF4A0DD031233732BE0E39251A47AD613B2F166C701E121EADEE6798C2B8135D5943FF46

6415E6F53D68D2AEE584BD58F709A490B4B4122EA0EEB11CCF2027D48623487B2B4714224304E206A

DA9034CABBDF3D97FCAE6F6277D91D0A9941A2EF9B678EC0A632CD28E6D4FB1183436CAE44358C87F

A9A608FAC025B2EEE721649B6ED35F22C8C9EAEC52A05C0FF92E5FA5F9EF5EF469CE5DA87DB58F4FB

359F5B8D852B2586AF86858115C287E2682FC2A8098B33CCD298DD5A4C1B47EF3ECE5A934FD7AA884

D0DC92DF9E000BD871E3C4C279F994FD55F3A3F6D84F03E47C5625A04B323

09/30 14:57:39 [752] <CSyLink::mfn_DownloadNow()>

09/30 14:57:39 [752] </CSyLink::mfn_DownloadNow()>

09/30 14:58:40 [752] <CSyLink::mfn_DownloadNow()>

09/30 14:58:40 [752] </CSyLink::mfn_DownloadNow()>

09/30 14:59:40 [752] <CSyLink::mfn_DownloadNow()>

09/30 14:59:40 [752] </CSyLink::mfn_DownloadNow()>

09/30 15:00:42 [752] <CSyLink::mfn_DownloadNow()>

09/30 15:00:42 [752] </CSyLink::mfn_DownloadNow()>

09/30 15:01:45 [752] <CSyLink::mfn_DownloadNow()>

09/30 15:01:45 [752] </CSyLink::mfn_DownloadNow()>

09/30 15:02:03 [1812] AH: (InetWaiting) time out. Timeout period: 320000

09/30 15:02:03 [1812] Throw Internet Exception, Error Code=4294967287;Internet Session Timeout

09/30 15:02:03 [1812] <MaintainPushConnection:>COMPLETED

09/30 15:02:03 [1812] <ScheduleNextUpdate>Manually assigned heartbeat=5 seconds

09/30 15:02:03 [1812] HEARTBEAT: Check Point 8

09/30 15:02:03 [1812] <PostEvent>going to post event=EVENT_SERVER_DISCONNECTED

09/30 15:02:03 [1812] <PostEvent>done post event=EVENT_SERVER_DISCONNECTED, return=0

09/30 15:02:03 [1812] <IndexHeartbeatProc>====== IndexHeartbeat Procedure stops at 15:02:03 ======

09/30 15:02:03 [1812] <IndexHeartbeatProc>Set Heartbeat Result= 2

09/30 15:02:03 [1812] <PostEvent>going to post event=EVENT_SERVER_HEARTBEAT_COMPLETE

09/30 15:02:03 [1812] <PostEvent>done post event=EVENT_SERVER_HEARTBEAT_COMPLETE, return=0

09/30 15:02:03 [1812] <IndexHeartbeatProc>Sylink Comm.Flags: 'Connection Failed' = 0, 'Using Backup Sylink' = 0, 'Using Location Config' = 0

09/30 15:02:03 [1812] Use new configuration

09/30 15:02:03 [1812] HEARTBEAT: Check Point Complete

Настораживает вот этот error 09/30 15:02:03 [1812] Throw Internet Exception, Error Code=4294967287;Internet Session Timeout

[Shell 301]

1) Маска сети\разные сети не позволяют SEP и SEPM общаться между собой. Настройки на ISA тут вообще не причем. Настройте правильно маршрутизацию между вашими клиентами и SEPM правильно. Если вы указали IP SEP и IP SEPM правильно в своем посте = проверьте маски, правильно ли указан роутер между клиентом и сервером. В противном случае бы у вас был тот же нетбиос через проксю (хотелось бы на это посмотреть =) )

2) в etc\services что то прописано на клиентах ручками?

3) Бага с кнопкой быть не может. Не помню ни одну версию SEP в которой была бы такая проблема. Смотрите - на этой группе ли клиентов активирована данная политика? На клиентах - пуск-->выполнить-->smc -updateconfig

P.S.

посмотрите политику роутинга на ISA и кажется там еще были настройки что заворачивать в ISA Clnt

[iliuwka 0]

С обновлениями вроде решил

в реестре грохнул два параметра

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

Параметры

SavedLegacySettings

DefaultConnectionSettings

Значения ссылались на старый isa сервер с другим доменным именем. После удаления и перезапуска службы smc, параметры создались новые с нормальными значениями.

а с кнопкой обновления все таки проблема. Выложил скрин.