none
SCCM 2012 SP1 Endpoint Protection RRS feed

  • Frage

  • Hallo zusammen,

    ich habe einen SCCM 2012 SP1 mit der Endpoint-Protection Rolle drauf. Auch WSUS ist installiert und ich habe eine ADR für die SCEP-Updates. Die aktuellen Updates liegen auch auf auf dem SCCM. An dem Client wird aber das Update nicht installiert obwohl es bei der Sammlung unter "Deployment" an steht. Ausserdem habe ich selbst eine neue Antimalware-Regel namens "Server-Test-Antimalware" und habe diese auch auf die Sammlung deployed. Wenn ich dann aber auf dem betreffenden Server die Endpoint Oberfläche öffne und unter "Help / About System Center Endpoint Protection" bei "Policy Name" schaue dann steht da anstatt meiner  "Server-Test-Antimalware" nur Antimalware Policy", das ist doch die Standard, oder?

    Habt Ihr eine Idee wo da der Fehler liegen könnte?

    Vielen Dank für Hilfe im Voraus.

    Viele Grüße

    Andi

    Donnerstag, 27. Juni 2013 14:13

Antworten

Alle Antworten

  • Was sagt denn \Monitoring\Overview\Deployments zu den Definition Updates?
    "Antimalware Policy" ist ok, wenn's SP1 ist. Die Policies stehen unter HKLM\SOFTWARE\Microsoft\CCM\EPAgent\LastAppliedPolicy

    Torsten Meringer | http://www.mssccmfaq.de

    Donnerstag, 27. Juni 2013 14:49
    Beantworter
  • Hallo Torsten,

    unter \Monitoring\Overview\Deployments steht das die Compliance bei 0% ist, der Kreis bei den Completion Statistics ist grau und sagt das 5 Systeme "Unknown" sind, sonst 0 bei "Erroe", "In Progress" und "Compliant".

    Unter HKLM\SOFTWARE\Microsoft\CCM\EPAgent\LastAppliedPolicy steht oben die von mir erstellte "Server-Test-Antimalware" nur Antimalware Policy" drin und unten die "Default Client Antimalware Policy". Schade, ich meine früher stand der Name der Policy drin, war einfacher.

    Viele Grüße
    Andi




    Donnerstag, 27. Juni 2013 14:56
  • Wenn "unknown", dann hat die Site noch keine Rückmeldung von den Clients bekommen. Clientseitige Logs dann U*.log, ScanAgent.log, WUAHandler.log. Policy Polling Intervall + ggfs Collection-Update müssen natürlich seit Erstellung des Deployments der Software Update Group schon verstrichen sein.

    Torsten Meringer | http://www.mssccmfaq.de

    Donnerstag, 27. Juni 2013 15:09
    Beantworter
  • Hallo Torsten,

    ich habe das ganze mit der ADR heute morgen erstellt. Die 5 Server werden unter deployments in der Registerkarte "Unknown" mit der Beschreibung " 5 Client check passed/Active" dargestellt. Der poling-Intervall ist noch unberührt, sollte also 60 Minuten sein. Im WUAHandler.log gibt es keine Fehler. Der einzige Eintrag von heute (vermutlich nachdem ich "Machine Policy Retrieval & Evaluation Cycle" über den "Action"-Tab gestartet habe lautet:

    CWuaHandler::SetCategoriesForStateReportingExclusion called with E0789628-CE08-4437-BE74-2495B842F43B;E0789628-CE08-4437-BE74-2495B842F43B,A38C835C-2950-4E87-86CC-6911A52C34A3; for leaves and E0789628-CE08-4437-BE74-2495B842F43B,A38C835C-2950-4E87-86CC-6911A52C34A3; for bundles WUAHandler 24.06.2013 16:29:13 12776 (0x31E8)

    Was auch komisch ist, ich habe bei den Updates angegeben das sich der SCEP zuerst vom SCCM, dann vom Internet seine Updates holen soll. Auch wenn ich die Updates am SCEP-Panel starte lädt er keine Updates herunter obwohl der Server ins Internet kommt.

    Viele Grüße

    Andi


    Donnerstag, 27. Juni 2013 15:21
  • Die U*.logs wären noch spannend. Hast Du auch schon einmal den "Software Updates Deployment and Evaluation Cycle" gestartet?

    Torsten Meringer | http://www.mssccmfaq.de

    Donnerstag, 27. Juni 2013 18:42
    Beantworter
  • Hallo Torsten,

    bitte entschuldige die späte Rückmeldung, aber ich war krank.

    Ja, ich habe einen "Software Updates Deployment and Evaluation Cycle" gestartet. Im UpdatesDeployment.log steht von heute folgendes:

    CUpdateAssignmentsManager received a SERVICEWINDOWEVENT END Event UpdatesDeploymentAgent 02.07.2013 05:00:00 4636 (0x121C)
    No current service window available to run updates assignment with time required = 1 UpdatesDeploymentAgent 02.07.2013 05:00:00 4636 (0x121C)
    Attempting to cancel any job started at non-business hours. UpdatesDeploymentAgent 02.07.2013 05:00:00 4636 (0x121C)
    Message received: '<?xml version='1.0' ?>
     <CIAssignmentMessage MessageType='EnforcementDeadline'>
         <AssignmentID>{62506494-1dc7-441b-80ec-309b5c7084d2}</AssignmentID>
     </CIAssignmentMessage>' UpdatesDeploymentAgent 02.07.2013 12:03:00 6372 (0x18E4)
    Message ignored as component is disabled. UpdatesDeploymentAgent 02.07.2013 12:03:00 6372 (0x18E4)
    Message received: '<?xml version='1.0' ?>
     <CIAssignmentMessage MessageType='Activation'>
         <AssignmentID>{62506494-1dc7-441b-80ec-309b5c7084d2}</AssignmentID>
     </CIAssignmentMessage>' UpdatesDeploymentAgent 02.07.2013 13:21:00 4296 (0x10C8)
    Message ignored as component is disabled. UpdatesDeploymentAgent 02.07.2013 13:21:00 4296 (0x10C8)

    Im UpdatesHandler.log ist der letzte Eintrag vom 21.06.2013, im UpdateStore.log vom 16.05.2013.

    Viele Grüße

    Andi

    Dienstag, 2. Juli 2013 14:52
  • Ist der Software Updates Client Agent (Control Panel; ConfigMgr; Components) "Installed" oder "Enabled"?

    Torsten Meringer | http://www.mssccmfaq.de

    Dienstag, 2. Juli 2013 15:36
    Beantworter
  • Hallo Torsten,

    ich habe hier einen "Software Updates Agent", der ist aber disabled. Ich habe ihn im SCCM über "Client Settings" und meinen selbst definierten Client Agent Policy aktiviert. Ich hätte schwören können ich habe das getan....

    Ich habe den Interval zum überprüfen auf 4 Stunden gesetzt, macht Ihr diesen Intervall auch?

    Wenn ich aber auf dem Endpoint Protection Client auf "Update" gehe zieht der Client die Updates auch nicht.

    Viele Grüße


    Andi


    Mittwoch, 3. Juli 2013 08:02
  • Hallo Torsten,

    hier nochmal kurtz eine Rückmeldung. Es sieht so aus das sich die Clients nach und nach die Updates ziehen.

    Wie es aussieht habe ich wirklich vergessen die Updates zu aktivieren.

    Nochmals vielen Dank für Deine Hilfe.

    Viele Grüße

    Andi

    Mittwoch, 3. Juli 2013 11:34