Symantec Endpoint Protection

[blood 15]

Добрый день,

Столкнулся с проблемой - Есть центральный офис(Установлен SEPM) и есть удаленный филиал. Филиальные клиенты поместил в отдельную группу и в настройках поставился обновлять с Поставщика обновления группы, находящегося в той же группе

Далее клиенты обновляются по следующему маршруту(выяснено снифером и нетстатом)

Клиент - Прокси -GUP Смысл GUPа теряется при такой схеме.

Все проблемы с перенаправлением поотключал, на клиенте нет ни одного упоминания о прокси. Кстати старые клиенты симантека так и продолжают пытаться подключиться к вторичному серверу(который стоял до GUP) по порту 2967 и при чем соединение идет напрямую.

Вручную если цепляешься на GUP по порту 2967 все идет напрямую

В чем может быть дело?

Ниже схема построения

[blood 15]

Прошу прощения, проблемы были все же с ISA Firewall Client - записи в реестре остались, проблема решена.

[Кирилл Керценбаум 671]

Прошу прощения, проблемы были все же с ISA Firewall Client - записи в реестре остались, проблема решена

А можете подробнее рассказать о причинах, так как другим пользователям может пригодиться ваш опыт

[blood 15]

А можете подробнее рассказать о причинах, так как другим пользователям может пригодиться ваш опыт

Оказалось все очень просто - Первоначальное решение было - удалять Иса файервол клиент - перегружать - устанавливать новый - перегружать - после этого работало, но это решение не очень "удобное". Начал копать файлы - настроек файервол клиента - идентичны, добавление в правила о пропуске локальных адресов - непомогало, так же как создание файлика Localat. Пошел дальше выгрузил ветку реестра HKLM до удаления клиента и ее же после установки - никаких существенных различий. В итоге решил отстраниться от причины а заняться следствием - ведь симантек общается по HTTP и запускается из под local system, соответственно проблема в настройках прокси для local system, а эти настройки - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections - здесь очистил обе переменные, HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings - убрал упоминания о проксе. Тоже самое произвел в ветке HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings и все заработало.

[p2u 824]

Грамотный подход, blood: 'отстраниться от видимых причин и заняться следствием'. Плюсик потом получите (я к сожалению уже набрал квоту по изменению статусов на сегодня).

Paul

[blood 15]

Добрый день,

Как ни печально, но это не помогло. Через некоторое время опять клиенты начинают цепляться через прокси. Что делал - полностью удалял на клиенте файерволл агента, отключал везде настройки прокси и автоматического определения прокси - без результатно. Тех саппорт симантека молчит уже неделю, хотя у кейса 2 статус.

Думаю что где-то стоит кэш соединения который берется из настроек браузера пользователя. Но нигде ничего найти не могу.

[Кирилл Керценбаум 671]

хотя у кейса 2 статус

киньте мне в ЛС номера кейсов

[blood 15]

Добрый день,

Продолжу свою эпопею.

Дозвонился в саппорт обрисовал ситуацию - в итоге я был очень близко, но они предложили - другой вариант решения - запустить iexplorer из под учетки System и выставить параметры подключения в итоге это те же 2 параметра SavedLegacySettings и DefaultConnectionSettings в ветках [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections] и [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]

Инструкция как запустить iexplorer из под учетки System:

Click Start > Run

Type cmd and click OK

Type in this the following command and press Enter:

at 12:00 /INTERACTIVE "C:\Program Files\Internet Explorer\iexplore.exe"

You should receive a confirmation stating "added a new job..."

Navigate to the Control Panel and open Scheduled Tasks

Right-click the new task just created in the previous step (probably named "At1") and click Run.

This will open an Internet Explorer window that will now be running under the SYSTEM account.

Go to the Tools menu and select Internet Options

Select the Connections tab and click the LAN Settings button.

Uncheck Use a proxy server for your LAN

Click OK twice

Click Start > Run

Type SMC -stop and click OK.

The Symantec Endpoint Protection icon should disappear from the system tray.

Click Start > Run

Type in SMC -start and click OK. The Symantec Endpoint Protection icon should appear in the system tray and should now display a green dot indicating that it is connected to the Symantec Endpoint Protection Manager.

В итоге все заработало правильно

[ejik 10]

Кирилл Керценбаум

как я понял из мануала, GUP ставится на клиентский комп, который в свое время подключен к SEPM?

У меня такая ситуация, 30 региональных офисов в каждом от 1 до 10 машин, на них установлен не упровляемые клиенты, можно ли на такого клиента поставить GUP и чтобы он качал обновления с SEPM в головном офисе и раздовал уже остальным клиентам в своем региональном офисе?

[Кирилл Керценбаум 671]

У меня такая ситуация, 30 региональных офисов в каждом от 1 до 10 машин, на них установлен не упровляемые клиенты, можно ли на такого клиента поставить GUP и чтобы он качал обновления с SEPM в головном офисе и раздовал уже остальным клиентам в своем региональном офисе?

К сожалению нет, клиенты должны быть управляемыми, хотя бы как минимум клиент с GUP

[ejik 10]

И еще вопрос, GUP не найду в дитрибутиве скаченого с fileconnect.symantec.com SEPM_11.0.4 MR4 MP2 Ru, или его нужно качать отдельно?

[Кирилл Керценбаум 671]

или его нужно качать отдельно?

GUP - это функционал, который встроен в код любого клиента SEP, но не работает. Как только Вы в политике LiveUpdate в SEPM назначаете какой-то SEP клиент GUPом, он об этом уведомляется и начинает функционировать дополнительно как GUP. Повторюсь - им может быть любой ПК, где просто установлен SEP клиент

[ejik 10]

Кирилл Керценбаум

уточнить хотел, GUP-ом может быть только управляемый клиент. Если я в каждом региональном офисе установлю по одному управляемому клиенту и сделаю их GUP-ом, то остальных не управляемых клиентов я натравливаю на GUP, такая схема будет работать?

[Кирилл Керценбаум 671]

то остальных не управляемых клиентов я натравливаю на GUP, такая схема будет работать?

Можно попробовать, для этого нужно будет выгрузить пакет с политиками для группы, в которой уже настроен GUP, а затем этих клиентов расставить, если они не смогут достучаться до SEPM, то они будут как бы Неуправляемыми

[ejik 10]

Можно попробовать, для этого нужно будет выгрузить пакет с политиками для группы, в которой уже настроен GUP, а затем этих клиентов расставить, если они не смогут достучаться до SEPM, то они будут как бы Неуправляемыми

Что -то я вас не понял.

Я поступаю так на SEPM создаю группу например Астана добавляю в эту группу клиента из региона Астана. Настраеваю политику так что этот комп становится GUP - ом. Теперь задача натравить в Астане остальных неупровляемых клиентов на ту машину которая теперь является GUP - ом.

[Кирилл Керценбаум 671]

Теперь задача натравить в Астане остальных неупровляемых клиентов на ту машину которая теперь является GUP - ом.

Для этого после настроек нужно выгрузать пакет инсталляции с политиками именно этой группы и расставить его на требуемых ПК. Если SEPM будет недоступен, то они соответственно будут работать как неуправляемые, но будут знать IP адрес GUPа

[ejik 10]

Не найду как выгрузить пакет инсталляции с политиками. Захожу на SEPM->клиенты->выбираю нужную группу->

установочные пакеты и здесь доступны следующие действия: изменить установочный пакет, удалить установочный пакет, скопировать параметры развертывания и добавить установочный пакет или я не там смотрю?

[Кирилл Керценбаум 671]

Не найду как выгрузить пакет инсталляции с политиками. Захожу на SEPM->клиенты->выбираю нужную группу->

Нет, это делается в разделе Администрирования, Пакеты Инсталляции - там при выгрузке нового пакета можно выбрать группу, с политиками которой Пакет будет создан

[ejik 10]

Кирилл Керценбаум, да получилось, спасибо! И еще вопрос, можно выставить приоритет, что бы клиенты сначала попытались обновиться с GUPa, а если не получилось, то потом ломились на SEPM?

[angel-keeper 60]

Да можно.

Это делается в настройках GUP-а.

Обратите внимание на первый пост там показана картинка http://www.anti-malware.ru/forum/index.php...ost&id=3727

[Pablo Z 0]

Как можно проверить что GUP работает, что клиент является GUP-ом и что он закачивает обновления?

[Pavel Polyanskiy 65]

Как можно проверить что GUP работает, что клиент является GUP-ом и что он закачивает обновления?

Если на клиенте идет траффик через порт 2967 по HTTP - то

клиент является GUP-ом и закачивает обновления с SEPM

[Кирилл Керценбаум 671]

что клиент является GUP-ом

В MR5 в списке клиентов будет видно какие из них являются GUP

[Pablo Z 0]

ждем-с

[ejik 10]

Кто может помочь, проблема такая: есть SEPM стоит в ГО (головном офисе) к нему подключены все компы + региональный филиалы все компов 200, проблема с региональными компами при подключении к SEPM они забивают канал (в тех регионах где канал = 128 mb), на SEPM создал группы для каждого регионального представительства, в каждой группе свой GUP. Все обновления поставил в ночное время. Поменял период контрольного сигнала на 12 ч. Но и это не помогает. Люди помогите пож-та, что можно сделать?