Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
genagon

Symantec Endpoint Protection

Автор genagon, в Вопросы по Symantec Endpoint Protection

Recommended Posts

genagon    0

genagon
Опубликовано

Здравствуйте!

Возникла такая проблема с SEPM.

У заказчика стоит SEPM 11 MR1. Не знаю почему (уже наверное никто не узнает), но вдруг пропали панели "Домашняя страница", "Мониторинг" и "Отчеты", и перестал работать LiveUpdate в автоматическом режиме. При этом если запускать LiveUpdate вручную из %programfiles$\symantec\liveupdate\luall.exe, все работает, во всяком случае ошибок не появлялось. Ни одно из средств, указанных на сайте symantec не помогло. Мы обновили SEPM до MR3. Результат тот же. Проблема с вкладками была решена изменением прав на анонимный вход в IIS с учетной записи по умолчанию IUSR_<server_name> на учетную запись локального администратора и перезагрузки сервера.

Но LiveUpdate не заработал. Кроме того, перестали раздаваться обновления на клиенты, хотя политики обновляются регулярно.

Если запустить LuAll.exe, обновление происходит. Только обновления опять не разливаются.

Если запустить LiveUpdate через консоль (Администрирование - Серверы - Сайт - Запустить Live Update), то выдается ошибка

В ходе работы функции LiveUpdate произошли ошибки. Код возврата = 4. [сайт: <>] [сервер: <>].

Еще заметил, что лог-файле scm-server-0.log выглядит следующим образом:

 2009-03-03 18:30:43.920 SEVERE: ================== Server Environment ===================2009-03-03 18:30:43.920 SEVERE: os.name = Windows 20032009-03-03 18:30:43.920 SEVERE: os.version = 5.22009-03-03 18:30:43.920 SEVERE: os.arch = x862009-03-03 18:30:43.920 SEVERE: java.version = 1.5.0_152009-03-03 18:30:43.920 SEVERE: java.vendor = Sun Microsystems Inc.2009-03-03 18:30:43.920 SEVERE: java.vm.name = Java HotSpot Server VM2009-03-03 18:30:43.920 SEVERE: java.vm.version = 1.5.0_15-b042009-03-03 18:30:43.920 SEVERE: java.home = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\jdk\jre2009-03-03 18:30:43.920 SEVERE: catalina.home = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat2009-03-03 18:30:43.920 SEVERE: java.user = null2009-03-03 18:30:43.920 SEVERE: user.language = ru2009-03-03 18:30:43.920 SEVERE: user.country = RU2009-03-03 18:30:43.920 SEVERE: scm.server.version = 11.0.3001.22242009-03-03 18:30:45.702 SEVERE: ================== StartClientTransport ===================2009-03-03 18:30:46.030 SEVERE: Schedule is started!2009-03-03 18:30:47.030 SEVERE: StateCheckpointTask connect to secars failed: SERVICE NOT AVAILABLE

при этом тест secars проходит ok. Насколько я понимаю, secars отвечает за обновление содержимого и проблема заключается в разрешениях, т.к.secars стартует.

а SesmuLU:

 03 09, 07:13:30 INFO(High)  SesmLu: ***************************************************************************************************************мар 03 09, 07:13:30 INFO(High)  SesmLu: ****                                Starting New SesmLu Session                                            ****мар 03 09, 07:13:30 INFO(High)  SesmLu: **** Platform: Microsoft Windows Server 2003мар 03 09, 07:13:30 INFO(High)  SesmLu: **** SesmLu Version: 11.0.3001.2224мар 03 09, 07:13:30 INFO(High)  SesmLu: **************************************************************************************************************мар 03 09, 07:13:30 INFO(Med)  SesmLu: PreSession callback...мар 03 09, 07:13:30 INFO(Med)  TomcatServerXml: Entered Init().мар 03 09, 07:13:30 INFO(Med)  SesmLu: http://localhost:9090/servlet/ConsoleServl...lishLuInventoryмар 03 09, 07:13:30 INFO(Low)  SesmLu: <?xml version="1.0" encoding="UTF-8"?><Response ResponseCode="0"/>мар 03 09, 07:13:30 INFO(Med)  ProductUtil: Response code: 0x0мар 03 09, 07:13:30 INFO(Med)  SesmLu: Server successfully published LU inventory.мар 03 09, 07:13:30 INFO(Med)  SesmContentCatalog: Entered Init().мар 03 09, 07:13:30 INFO(Low)  ProductUtil: Data root = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\dataмар 03 09, 07:15:05 INFO(Med) catalogen SesmLu: PreSession callback... finished. Result: 0мар 03 09, 07:15:06 INFO(Med)  SesmContentCatalog: Entered Init().мар 03 09, 07:15:06 INFO(Low)  ProductUtil: Data root = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\dataмар 03 09, 07:15:06 INFO(Med) sesmAvClient32en SesmLu: PostSession callback...мар 03 09, 07:15:06 INFO(Low) sesmAvClient32en SesmLu: PrepareLUDownloads was not run. Skipping PostSession work.мар 03 09, 07:15:06 INFO(Med)  SesmContentCatalog: Entered Init().мар 03 09, 07:15:06 INFO(Low)  ProductUtil: Data root = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\dataмар 03 09, 07:15:07 INFO(Med) sesmAvClient64en SesmLu: PostSession callback...мар 03 09, 07:15:07 INFO(Low) sesmAvClient64en SesmLu: PrepareLUDownloads was not run. Skipping PostSession work.мар 03 09, 07:15:07 INFO(Med)  SesmContentCatalog: Entered Init().мар 03 09, 07:15:07 INFO(Low)  ProductUtil: Data root = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\dataмар 03 09, 07:15:07 INFO(Med) sesmSnacClient32en SesmLu: PostSession callback...мар 03 09, 07:15:07 INFO(Low) sesmSnacClient32en SesmLu: PrepareLUDownloads was not run. Skipping PostSession work.мар 03 09, 07:15:07 INFO(Med)  SesmContentCatalog: Entered Init().мар 03 09, 07:15:07 INFO(Low)  ProductUtil: Data root = C:\Program Files\Symantec\Symantec Endpoint Protection Manager\dataмар 03 09, 07:15:08 INFO(Med) sesmSnacClient64en SesmLu: PostSession callback...мар 03 09, 07:15:08 INFO(Low) sesmSnacClient64en SesmLu: PrepareLUDownloads was not run. Skipping PostSession work.мар 03 09, 07:15:11 INFO(Med) catalogen SesmLu: PostSession callback...мар 03 09, 07:15:11 INFO(Low) catalogen SesmLu: PrepareLUDownloads was not run. Skipping PostSession work.

После установки MR3 сам LiveUpdate не обновлялся, и с клиентами не проводилось никаких операций. Т.е. как они работали в MR1, так и остались в MR3.

SEPM и IIS ставили под учетной записью локального админа.

Сервер перегружать нельзя. Подскажите, где искать причину? Стоит ли ставить LiveUpdate из MR3, и что делать с клиентами?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

genagon первое - обновиться до версии 11.0.4000 MR4, и сервер и клиентов далее

В ходе работы функции LiveUpdate произошли ошибки. Код возврата = 4. [сайт: <>] [сервер: <>].

http://service1.symantec.com/support/ent-s...77?OpenDocument

http://service1.symantec.com/support/ent-s...24?OpenDocument

Если не поможет, то

http://service1.symantec.com/support/ent-s...02?OpenDocument

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

genagon    0

genagon
Опубликовано
genagon первое - обновиться до версии 11.0.4000 MR4, и сервер и клиентов далее

ОК, сообщу клиенту. Пусть качают.

это первое, что я сделал. Не помогло.

Таких ошибок в логе точно пока еще не было, но все равно спасибо. Проверю, что там с DCOM и regedit.

Ну с SEPM понятно. Это сделать не проблема. А вот с клиентами... 500 машин не так то просто обойти. Нельзя ли это сделать средствами SEPM?

Спасибо за советы. Будем ковыряться дальше...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано
А вот с клиентами... 500 машин не так то просто обойти. Нельзя ли это сделать средствами SEPM?

Обновите SEPM до последней версии, затем через него обновите клиентов до последней версии, возможно проблема с обновлениями и решится, если нет - то в тех. поддержку

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

genagon    0

genagon
Опубликовано
Обновите SEPM до последней версии, затем через него обновите клиентов до последней версии, возможно проблема с обновлениями и решится, если нет - то в тех. поддержку

Пока еще SEPM не обновляли. Но заметил вот что. В базе SEPM есть 3 версии клиентов (Администрирование - Установочные пакеты). 11.1 (стоял изначально), 11.3 и 11.4 (появилась, когда обновили до MR3). Эти пакеты мы не ставили на клиенты. Т.е. на них остается 11.1. Сегодня выделили группу для теста, куда добавили 3 машины. Мастером установки пакетов запустили обновление клиентов. Указали запланированное время установки. Прошло 3 часа - никаких изменений. На странице "Мониторинг" - Команды отчет показывает что команда не обработана.

Кроме того, LiveUpdate все-таки запускался в автоматическом режиме ночью. Но обновлений в \Document and Settings\AllUsers\Application Data\Symantec\LiveUpdate\Downloads не обнаржено (хотя возможно их и не было, последние обновления датированы вчерашним вечером).

Где можно найти причину такого поведения клиентов и менеджера?

И еще вопрос. Как можно получить утилиту TestSEC?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано
Прошло 3 часа - никаких изменений. На странице "Мониторинг" - Команды отчет показывает что команда не обработана.

Попробуйте развертывание в реальном времени через консоль

в меню Find Unmanaged Computers - самый простой и быстрый способ.

Кроме того, LiveUpdate все-таки запускался в автоматическом режиме ночью. Но обновлений в \Document and Settings\AllUsers\Application Data\Symantec\LiveUpdate\Downloads не обнаржено (хотя возможно их и не было, последние обновления датированы вчерашним вечером).

Видимо новых обновлений пока не было.

Обычно дата обновлений отстает от текущей даты.

Например, сегодня 4 марта 2009 года. У меня клиент SEP стабильно

обновляется и последние обновления антивируса на нем датированы - 3 марта 2009 r23

И еще вопрос. Как можно получить утилиту TestSEC?

Для этого нужно связаться с технической поддержкой Symantec

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

genagon    0

genagon
Опубликовано
Попробуйте развертывание в реальном времени через консоль

в меню Find Unmanaged Computers - самый простой и быстрый способ.

Ок. Спасибо. вечером попробую. Забыл, правда, сказать, что группа, в которой находятся тестовые машины (которая по-сути является OU и синхронизируется с AD) наследует политику из родительской группы, к которой привязан именно клиент 11.0.1. Надо ли убирать наследование?

Видимо новых обновлений пока не было.

Обычно дата обновлений отстает от текущей даты.

Например, сегодня 4 марта 2009 года. У меня клиент SEP стабильно

обновляется и последние обновления антивируса на нем датированы - 3 марта 2009 r23

Хорошо. Подождем.

Для этого нужно связаться с технической поддержкой Symantec

Я так понимаю, это должен сделать владелец продукта, но никак не подрядчик?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано
Ок. Спасибо. вечером попробую. Забыл, правда, сказать, что группа, в которой находятся тестовые машины (которая по-сути является OU и синхронизируется с AD) наследует политику из...

Совершенно не обязательно. Обновлять install package можно через

SEPM->Admin->Install Packages->Upgrade Groups with Package, где каждой

группе можно привзяать новые пакеты установки.

Я так понимаю, это должен сделать владелец продукта, но никак не подрядчик?

Связаться с поддержкой можете и вы, главное сообщить

идентифицирущие данные о том, что вы действительно имеете

право на поддержку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум    671

Кирилл Керценбаум
Опубликовано

genagon во-первых, рекомендую посмотреть вот эту статью - http://service1.symantec.com/support/ent-s...1b?OpenDocument

Также, что касается причины почему возможно клиенты не обновляются - http://service1.symantec.com/support/ent-s...eb?OpenDocument

Попробуйте развертывание в реальном времени через консоль

в меню Find Unmanaged Computers - самый простой и быстрый способ.

Не совсем так, если клиент уже установлен - его нельзя обновить через Find Unmanaged Computers

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

genagon    0

genagon
Опубликовано

За советы по обновлениям клиентов всем спасибо. Через некоторое время они обновились...

Переустановил LiveUpdate. В автоматическом режиме и через SEPM запускается. Но обновления в папку \Document and Settings\All Users\Aplication Data\Symantec\LiveUpdate\Downloads не приходят.

В логе появляется ошибка

HttpSendRequest (status 502): Request failed - Gateway or proxy encountered an error on LiveUpdate server

HR 0x802A002B DECODE: E_HTTP_GATEWAY_ERROR

и так для каждого загружаемого файла. Понимаю, что ошибки где-то в настройках. Но где?

LuAll.exe в ручном режиме запускается нормально и кладет обновления в указанную папку. Но клиенты их не получают. А в первую очередь надо сделать, чтобы клиенты хотя бы их получали. Потом уже можно и LiveUpdate настроить.

Опять грешу на secars. Не нравится мне его поведение... Только не знаю, как исправить. На сайте symantec нашел единственное решение - переустановить IIS под локальным админом. Но он и был установлен под локальным...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

genagon    0

genagon
Опубликовано

Проблема решена!

Клиенты не получали обновления вирусов по причине некорректной настройке IIS.

А LiveUpdate не запускался из под SEPM по той простой причиние, что в этом случае LiveUpdate запускается от имени учетной записи компьютера, а ISA блокировала этот траффик!!!

Об этом нигде не сказано в руководстве и KB! Прошу это учесть.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
    • santy
      uVS - оффтопик

      От santy · Опубликовано

      Актуально, по лучше перенести обсуждение в офтопик.
        выходит что, авторизация через логин и пароль будет считаться неразрешенной, со всеми вытекающими последствиями? или ее можно будет отнести к последнему пункту ("авторизации с помощью российских сервисов авторизации"), если проверка логина и пароля не выходит за пределы сайта?
×