Symantec Endpoint Protection

[Dred 0]

Добрый день!

Symantec Endpoint Protection 11 MR4

Проблема была замечена по устареванию баз на клиентах при этом в вписке загруженных на сервере были свежие версии. При детальном осмотре выявлено, что на клиентах не выполняются команды. В консоле половина клиентов перестала показывать Online Status. Логи клиентов чистые

02/12/2009 19:40:19 <ComplianceEngine@480> Smc Started = 0

02/12/2009 19:40:19 <ComplianceEngine@490> compliance status changed, update SHM

02/12/2009 19:40:19 Symantec Network Access Control client started.

02/12/2009 19:40:19 <EnvironmentSensor@777> EnableDebug = 0

02/12/2009 19:40:19 <GatewayClient@587> Update Compliance status

02/12/2009 19:40:19 <P2PAuth@56>P2pInit started

02/12/2009 19:40:19 <P2PAuth@254>P2p has started successfully

02/12/2009 19:40:19 <PluginManager@1749> HandleReloadComplianceStatusRequest

02/12/2009 19:40:19 <PluginManager@1773> g_hNTDLL is 60F60000, g_lpNapData is 0

Было произведено обновление до MR4 MP1 и обновлен вручную один тестовый клиент. Ситуация не изменилась. Данный клиент статус не показывает, базы не обновляет. В консоле command status 0% Подскажите в какую сторону копать

[Pavel Polyanskiy 65]

Dred,

На клиентах установлен компонент Network Threat Protection?

В данный момент разрабатывается fix для MR4 MP1, поэтому загружать или обновлять вашу текущую версию SEP Symantec не рекомендует.

Проблема с подключением клиентов пока не решена.

[Dred 0]

Спасибо, Павел

Версию сервера сейчас откачу. Network Threat Protection на клиентах стоит. На клиентах, которые были установлены после начала проблемы, он в состоянии OFF на остальных ON

[Кирилл Керценбаум 671]

Dred обновленная версия MR4 MP1a уже доступна на fileconnect, можете ее установить. Также рекомендую попробовать воспользоваться утилитой диагностики, также не забудьте о возможности обратиться в тех. поддержку

[Dred 0]

Кирилл, спасибо за утититу

Сервер не обновлял, оставил MR4

В результате исслодования и вспоминания порядка действий над сервером было выяснено:

Проблемма образовалась в ввязи с некорректным переносом standalone базы на внешний SQL сервер.

все клиенты, которые были до переноса и те которые установленны позже видят сервер в состоянии offline. Соответственно ни обновления ни изменение политик не накатывается, хотя способ растространения - Push

Найдено следующее решение: В консоле управления создется новая группа, переписываються по новому политики, создается новый Client install Setting с указанием Remove all previous logs and policies, and reset the client-server communication setting. Делается Export Client Install Packages c новыми Client install Setting и производится ручной Update. В результате все ратотает (на переустановленных клиентах) все счастливы.

Единственный вопрос - оставшихся(мертвых), и подлежащих обновлению клиентов 400+ , некоторые подключаються по тонким каналам. Конечно же можно всем через SCCM раздать по 80 Мб свежего(обновленного) клиента, но каналы и бизнес критичные приложения не будут этому благодарны. Есть ли какое ни будь другое решение по принудительному обновлению политик?

[Pavel Polyanskiy 65]

Есть ли какое ни будь другое решение по принудительному обновлению политик?

Вы хотите обновить политики или сделать так, чтобы все клиенты

были видны в SEPM и показывали статус online?

[Dred 0]

Вы хотите обновить политики или сделать так, чтобы все клиенты

были видны в SEPM и показывали статус online?

Я хочу заставить клиентов понимать все те действия, которые обычно делаються из консили SEPM (обновления баз, изменения в настройках, сканирование и прочее все что делают с management cleint). Обновление самих политик не самоцель

[Pavel Polyanskiy 65]

Хорошо,

1) Что сейчас происходит с неподключенными к SEP клиентами?

2) Какая версия SEP на них установлена?

3) Пробовали настраивать соединение между клиентами и SEPM?

[Dred 0]

1) Что сейчас происходит с неподключенными к SEP клиентами?

Живут своей жизнью согласно ранее полученных настроек (базы не обновляются, в оснастке клиента статут сервера - оffline, при попытке из сделать SEPM какое либо действее "Run command..." в отчетах command status - статус Not received - 100%). Полностью работаюь только клиенты установленные согласно выше описанному решению

2) Какая версия SEP на них установлена?

Version 11.0.4000.2295

на части клиентов установлен только AV на остальных AV + Network Threat Protection

3) Пробовали настраивать соединение между клиентами и SEPM?

не понял вопроса

[Pavel Polyanskiy 65]

не понял вопроса

Дело в том, что есть несколько статей, описывающих процесс настройки взаимодействия между клиентом и сервером:

1) Основной документ

2) Вспомогательный здесь

3) Как тестировать соединение между клиентом и сервером.

[Кирилл Керценбаум 671]

Dred пробовали воспользоваться утилитой sylinkdrop для проблемных клиентов?