Перейти к содержанию
kzenz

Symantec Endpoint Protection

Recommended Posts

kzenz

Установил Symantec_Endpoint_Protection_11.0.4014_MR4_MP1 консоль управления на сервер. Ставил вообщем то по дефолту кроме порта сервера. Liveupdate в консоле говорит что вс ОК. есть обновления. Разворачиваю клиентов....устанавливаю. Но обновления баз так и не происходит. Клиенты в консоле появляются.

Подскажите где копать?.... w2003 r2 в сети стоит isa 2006.

на исе от клиентов появляются вот такие запросы

Запрос: GET http://192.168.0.3:8014/content/{E5A3EBEE-...401020/Full.zip

Запрос: GET http://192.168.0.3:8014/content/{4F889C4A-...519038/Full.zip

Отредактировал Кирилл Керценбаум

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Обновления не проходят на сервер SEPM или на клиентов?

Как клиенты получают обновления? с сервера или

с GUP?

Есть статья по поводу обновления клиентов.Попробуйте через консоль обновить клиентов,

используя команду update contnet.

Проверьте еще вот эти настройки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

на клиентских машинах не обновляются базы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

ISA установлен в качестве шлюза? Клиенты видят Интернет?

что конкретно показывает лог ISA?

Вообще для взаимодействия, например, клиента SEP с сервером SEPM, установленным

на ISA, требуется определить правило "Firewall Rule".

на клиентских машинах не обновляются базы

Попробуйте сделать следующее:

1. On the ISA 2006 Server, logon using an account that has ISA Server Administrator permissions.

2. Go to: Start > All Programs > Microsoft ISA Server Management.

3. In Microsoft Internet Security and Acceleration Server 2006 management console left hand side menu, expand the array name, and then click the Firewall Policy node.

4. In the right hand side click on Tasks tab. On the Tasks pane, click on Create Access Rule.

5. On Welcome to the New Access Rule Wizard page, type the name you wish to give to the Firewall Rule (e.g. Allow HTTP Traffic) in Access Rule name text box. Click on Next.

6. On Rule Action page, select the Allow option, and then click on Next.

7. On Protocols page, select the Selected protocols option from the This rule applies to list, and then click the Add.

8. In Add Protocols dialog box, expand Common Protocols folder. Highlight HTTP and click on Add. (Optionally, you may need to select HTTPS if secure communication port is being used for SEP Manger – SEP Client communication.) Click on Close. Click on Next on Protocols page.

9. On Access Rule Sources page, click on Add.

10. In Add Network Entities dialog box, expand Networks, highlight Internal and click on Add. Click on Close. Click on Next.

11. On Access Rule Destinations page, click on Add.

12. In Add Network Entities dialog box, expand Networks, highlight Internal and click on Add. Click on Close. Click on Next.

13. On User Sets page, make sure that All Users is already added and click on Next.

14. On Completing the New Access Rule Wizard page click on Finish.

15. Click on Apply to save changes and update the configuration on the main window.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz
Проверьте еще вот эти настройки

Сделал все как написано. Но при попытке Теста выдает The instruction at "0x7c8417af" refrrenced memory at "0x0000000". The memory could not be "read"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz
ISA установлен в качестве шлюза? Клиенты видят Интернет?

что конкретно показывает лог ISA?

Вообще для взаимодействия, например, клиента SEP с сервером SEPM, установленным

на ISA, требуется определить правило "Firewall Rule".

Симантековские клиенты с удовольствием хотят обновляться сами.... только инет открой :)

На исе все протоколы внутри разрешены для всех. Создал по вашему примеру правило. вот что идет в логах исы.

Разрешенное соединение

Тип журнала: Веб-прокси (прямой)

Состояние: 200 ОК.

Правило: Test

Источник: Внутренняя (192.168.0.10)

Назначение: Внутренняя (iss.iss.local 192.168.0.3:8014)

Запрос: GET http://192.168.0.3:8014/content/{C60DC234-...402025/Full.zip

Информация фильтра: Req ID: 0e7cdf72; Compression: client=No, server=No, compress rate=0% decompress rate=0%

Протокол: http

Пользователь: anonymous

После удаления с сервака клиента Symantec Endpoint Protection оставив только консоль, логи выдают такие ошибки

Remote Access Connection Manager failed to start because the Point to Point Protocol failed to initialize. The specified module could not be found.

The Control Protocol EAP in the Point to Point Protocol module C:\WINDOWS\System32\rasppp.dll returned an error while initializing. The specified module could not be found.

Point to Point Protocol engine was unable to load the C:\Program Files\Symantec\Symantec Endpoint Protection\SymRasMan.dll module. The specified module could not be found.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Remote Access Connection Manager failed to start because the Point to Point Protocol failed to initialize. The specified module could not be found.

Посмотрите вот эту статью - http://service1.symantec.com/support/ent-s...02?OpenDocument

Диагностику запускали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz
Посмотрите вот эту статью - http://service1.symantec.com/support/ent-s...02?OpenDocument

Диагностику запускали?

Спасибо за ссылку. сделал все как написано.....но все равно лезут ошибки. :(

При попытке протестировать ODBC она постоянно выдает ошибку

Application popup: Microsoft ODBC Administrator: odbcad32.exe - Application Error : The instruction at "0x7c8417af" referenced memory at "0x00000000". The memory could not be "read".

Я уже IIS переставлял. консоль симантека ......пока мыслей больше нет.......

Отредактировал kzenz

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
пока мыслей больше нет

Обратитесь в тех. поддержку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

Диагностику первым делом... только кажись все это ерунда, я прав?

Warning

Issue Are the Symantec Endpoint Protection Manager's Microsoft Internet Information Services (IIS) Virtual directories being used by another application?

Overview The Symantec Endpoint Protection Manager uses 5 IIS virtual directories. If there is a conflict with another application, one of the applications will not work. This report currently only works with IIS 6.x.

Product Symantec Endpoint Protection Manager

Category Installation

Subcategory Local

Symantec KBs Are the Symantec Endpoint Protection Manager Virtual Directories in IIS being used by other applications?

Status Warning

Tests Warning Currently the Support Tool is not able to parse IIS v5.x virtual directories. Thus it can not detect port errors between the Manager's configuration and IIS virtual directory configurations.

Error

Is Simple File Sharing turned off?

Does the Symantec Endpoint Protection Proactive Threat Protection require definition updates?

Does this system meet the minimum requirements for installing Symantec Endpoint Protection Manager?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Issue Are the Symantec Endpoint Protection Manager's Microsoft Internet Information Services (IIS) Virtual directories being used by another application?

Вот это не похоже на ерунду, у вас конфликт на IIS с каким-то другим приложением

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

угу. сам только понял :(

Вопрос на сколько сильно влияет ODBC администратор на обновление клиентов?

просто она постоянно сваливается. выдает ошибку при нажатии на Test connection.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
просто она постоянно сваливается. выдает ошибку при нажатии на Test connection.

При использовании SEPM нет никаких проблем, отчеты и логи показываются? Если Да, то значит соединение с БД есть и значит это не проблема

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

ясно.

Может ли быть проблема если сервак на англ. языке а симантек я ставлю русский?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Может ли быть проблема если сервак на англ. языке а симантек я ставлю русский?

Нет, не может, все должно работать в этом случае

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

Может я просто что то не так понимаю.

В консоле Администратор---Серверы---Локальный сайт---Показать операции загрузки.

Там выводится список имеющихся обновлений для клиентов, правильно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Там выводится список имеющихся обновлений для клиентов, правильно?

Правильно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

Кирилл Керценбаум Cпасибо за помощь и дельные советы.

Победил я наконец Symantec. все дело было в IIS. Но просто снести его нельзя было......там SharePoint крутится....

Сейчас загнал машины под "серверное управление" все тут же получили обновления.

единственное но: только мой ноут так и не хочет получать обновления :( запускал утилиту Sep_SupportTool.exe все абсолютно так же как и на рабочих машинах....... а обновлений нету :(

СПАСИБО!!!!

Отредактировал kzenz

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
все дело было в IIS

Отлично. Недолго осталось ждать, к концу года передем на Апач, проблем станет меньше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

Кирилл еще вопрос: на клиентских машинах которые не обновляются в журнал записывается вот такое событие "К серверу не удалось подключиться более 10 раз подряд" С чем это может быть связано???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

kzenz, это событие записывается в журнал всегда или только при

определенных условиях?

я бы рекомендовал вам использовать режим "Push" для соединения клиентов

с сервером. Возможно, это решит проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
на клиентских машинах которые не обновляются в журнал записывается вот такое событие "К серверу не удалось подключиться более 10 раз подряд"

Именно на этих ПК Утилита Диагностики что-либо показывает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kzenz

Абсолютно тоже самое как и на остальных (работающих).

Что такое режим Push? просто у меня русский симантек.... :)

Да тут обратил внимание на процесс dbsrv9.exe я так понял что это симантековский процесс.

Почему он так много жрет памяти? (от 180 до 300 метров) Можно это как то исправить?

Отредактировал kzenz

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×