none
EndPointのパターファイルが更新されない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    EndPointを構成し、クライアントにインストールを行っているのですが、パターンファイルが
    更新されません。

    クライアントの設定で、更新についてはSystemCenterからの配信と、共有ファイルからの取得のみに
    チェックを入れております。

    SystemCenter側の展開の設定もドキュメント通りにしているのですが、配信されていません。
    最新のパターンファイル2個が常に配信対象になっていることを確認しております。

    チェックする部分があれば教えていただけないでしょうか?

    よろしくお願いいたします。

    2015年8月26日 23:42
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    SCEPクライアントの定義ファイルが更新されないとのことで、いくつか確認ポイントをあげます。

    1. クライアント設定の"Endpoint Protection"で、「クライアントコンピューターのEndpoint Protectionクライアントを管理する」が「はい」になっているか。また、このクライアント設定が対象のデバイスコレクションに展開されているか。

    2.Endpoint Protectionの「マルウェア対策ポリシー」が作成されており、「定義ファイルの更新」- 「Endpoint Protectionの定義ファイルの更新のソースと順序を設定する」- ソースの設定で、1.Configuration Manager, 2.ファイル共有の順序で設定されているか。またこのマルウェア対策ポリシーが対象のデバイスコレクションに展開されているか。

    3.ソフトウェア更新プログラムグループで[Microsoft Endpoint Protectionの定義の更新]を含んだグループと展開パッケージが作成されているか

    4.自動展開規則が作成されており、[ソフトウェア更新プログラム」タブで、リリース日:過去1日/更新プログラムの分類:定義更新プログラム/製品:Forefront Endpoint Protection"が構成されており、[展開設定]タブで使用許諾の設定が、[この規則で検出されたソフトウェア更新プログラムをすべて自動展開し、使用許諾契約書がある場合は同意する]が選択され、対象デバイスコレクションに展開されているか。

    他にクライアントとして動作しているかの確認方法としては、インベントリが取得されている、パッケージを正常に配布できる、更新プログラムを1つサンプルとして展開してみてインストールされるといった確認方法があります。

    #SCEPクライアントを管理(定義ファイルの更新をSCCMでする場合)するには、インベントリ収集、パッケージ配布、更新プログラム展開の3機能をすべて使います。

    評価ガイドを見ながら操作されていると思われますが、構成から一つ一つ、確認してみて頂くのも重要な確認方法です。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:39
    2015年8月27日 6:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    アクティブクライアント:1,180台のパターンファイルがどの程度古いかにもよりますが、SCEPインストール時に定義ファイルをMicrosoft Updateから取得している場合は、SCCMのソフトウェア更新プログラム上で表示される定義ファイルよりも新しい場合が多いです。

    これはSCCMの仕組み上、そのようなものです。

    但し、先に確認頂いた構成からSCEP関連のポリシー構成は間違っていないので、クライアントとサーバーが正常に通信していて、ポリシー処理が正常に出来ていれば、多少のばらつきはあれど、比較的新しい定義ファイルの状態になります。

    SCCMクライアントを再インストールした後、サンプルのクライアントからリソースエクスプローラーで、最新のインベントリが取得しているか確認し、クライアントアクティビティが反映されるかの確認が先ですね。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:40
    2015年8月31日 7:16
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    自動展開、展開パッケージは問題ないようです。

    ご指摘の通り、グループポリシーに既存WSUSが構成されていることが原因に思われます。

    定義ファイルのダウンロード元をSUP(ソフトウェア更新ポイント)のWSUSではなく、別のWSUSとしたい場合は、クライアント設定とデバイスコレクションの参照元に注意が必要です。本社、支店のデバイスコレクション、クライアント設定は以下のようにしてみて下さい。

    1. 2つのクライアント設定を作成します。

    *他に必要な構成は、任意で構成して下さい。

    A) 本社用クライアント設定

        - ソフトウェア更新プログラム:有効

        - Endpoint Protection: 「管理」を有効

    B) 支店用クライアント設定

        - ソフトウェア更新プログラム:この構成を選択しない

        - Endpoint Protection: 「管理」を有効

    2. Endpoint Protecitonの「マルウェア対策ポリシー」を2通り作成します。

    C) 本社用マルウェア対策ポリシー

        - 定義ファイルの更新: ソースの設定をConfiguration Manager

           (「WSUSから配信される更新プログラム」は選択しない)

    D) 支店用マルウェア対策ポリシー

        - 定義ファイルの更新: ソースの設定を「WSUSから配信される更新プログラム」 

    (「Configuration Managerから配信される更新プログラム」は選択しない)

    3. 本社用デバイスコレクションに、A)およびC)を展開

    4. 支店用デバイスコレクションにB)およびD)を展開

    5. 本社用デバイスコレクション/支店用デバイスコレクションには、必要なデバイス(PC)が登録されていること

    6. Active Directory OUに支店デバイス(PC)が格納されていて、支店用のWSUSがGPOで指定されていること

    注意点は、WSUSのGPOで指定されたWSUSとSCCMのSUP(WSUS)の指定がされていると、SCCMのクライアント設定は、SUPの指定をローカルセキュリティポリシーで上書きする仕様になっているため、ローカルセキュリティポリシーとGPOで上書きが何度も発生します。

    これで解決するかお試し下さい。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:40
    2015年9月2日 1:54
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    SCEPクライアントの定義ファイルが更新されないとのことで、いくつか確認ポイントをあげます。

    1. クライアント設定の"Endpoint Protection"で、「クライアントコンピューターのEndpoint Protectionクライアントを管理する」が「はい」になっているか。また、このクライアント設定が対象のデバイスコレクションに展開されているか。

    2.Endpoint Protectionの「マルウェア対策ポリシー」が作成されており、「定義ファイルの更新」- 「Endpoint Protectionの定義ファイルの更新のソースと順序を設定する」- ソースの設定で、1.Configuration Manager, 2.ファイル共有の順序で設定されているか。またこのマルウェア対策ポリシーが対象のデバイスコレクションに展開されているか。

    3.ソフトウェア更新プログラムグループで[Microsoft Endpoint Protectionの定義の更新]を含んだグループと展開パッケージが作成されているか

    4.自動展開規則が作成されており、[ソフトウェア更新プログラム」タブで、リリース日:過去1日/更新プログラムの分類:定義更新プログラム/製品:Forefront Endpoint Protection"が構成されており、[展開設定]タブで使用許諾の設定が、[この規則で検出されたソフトウェア更新プログラムをすべて自動展開し、使用許諾契約書がある場合は同意する]が選択され、対象デバイスコレクションに展開されているか。

    他にクライアントとして動作しているかの確認方法としては、インベントリが取得されている、パッケージを正常に配布できる、更新プログラムを1つサンプルとして展開してみてインストールされるといった確認方法があります。

    #SCEPクライアントを管理(定義ファイルの更新をSCCMでする場合)するには、インベントリ収集、パッケージ配布、更新プログラム展開の3機能をすべて使います。

    評価ガイドを見ながら操作されていると思われますが、構成から一つ一つ、確認してみて頂くのも重要な確認方法です。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:39
    2015年8月27日 6:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    丁寧な回答ありがとうございます。

    早速、確認を行います。

    2015年8月27日 23:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    確認を行っております。

    1.「管理する」:はい になっています。
      展開からデバイスコレクションをクリックすると既に割り当てられているメッセージが出ます。

    2.マルウェア対策ポリシーの設定:1.ConfigurationManager、2ファイル共有の設定になっています。
      展開からデバイスコレクションをクリックすると既に割り当てられているメッセージが出ます。

    3.ソフトウェア更新:グループと展開パッケージが作成済みです。

    4.自動展開の設定も上記設定になっております。

    設定上問題なさそうですが、1点気になることがあります。ソフトウェア更新プログラムのEndpoint用を表示したときに
    定義の更新KB2461484が4つ表示され、いずれもダウンロード済み:はい、展開済み:はい になっておりますが
    定義の更新の一つをクリックした際の、下の詳細に対応:0、必須:0、必要なし:53、不明:1100などと表示されます。
    大多数が不明になっているのが問題のような気がします。

    また、作成したデバイスコレクションには、クライアント:はい、Endpoint:有効、ポリシーの適用状態:成功となって
    おりますが、定義の最新バージョンがばらばら(インストールしたときの最新と思われます)です。

    何か確認する点がありましたら、教えていただけないでしょうか?

    よろしくお願いいたします。

    • 回答としてマーク To.I 2015年9月5日 4:39
    • 回答としてマークされていない To.I 2015年9月5日 4:39
    2015年8月28日 5:30
    |
  • Question
    サインインして投票
    0
    サインインして投票

    To.Iさん

    こんにちは。

    「不明:1100」と表示されているのは、「Microsoft Endpoint Protectionの定義の更新 - KB2461484(定義 1.205.<XXXX>)」を選択した際の合計資産数グラフの内訳かと思います。

    SCCMから見て不明の場合、管理ポイントがクライアントのインベントリ報告を受信出来ていないかもしれません。すべてSCCMクライアントがインストールされていると仮定して、デバイスコレクションの「すべてのデスクトップ クライアントおよびサーバークライアント」を開き、クライアントアクティビティ列の非アクティブでソートしてから非アクティブなクライアント数と一致するか確認してみて下さい。

    まずはこれでSCCMクライアントとSCCMサーバーの管理ポイントと通信しているか確認が取れます。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    2015年8月31日 2:18
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Sunday Silence(Kazuo.S)様

    お世話になっております。回答ありがとうございます。

    さっそく確認しました。
    デバイスコレクションで
    「すべてのデスクトップ クライアントおよびサーバークライアント」:1253台で非アクティブが70台ほど
    「すべてのシステム」:2600台
    「ClientDevice」(Win8.1,Win7のみ):2480台
    いろいろと確認したところ、クライアントアクティビティに空白が大量にありました。
    管理コンソールにまだ上がっていないと思っていたのですが、インストールがうまくいっていない可能性が出てきております。(現在、クライアントを順次インストール中です)

    再度、クライアントのインストールについては確認していきます。

    しかしながら、アクティブになっている1180台ほどは、一部を除いてEndpointのパターンが古い状態です。
    クライアントのインストールをccmsetup.exeを起動し、その後scepinstall.exeを起動し、インストール直後だけWindowsUpdateからパターンを取得しています。(管理される前)

    この手順に問題があるのでしょうか?(SCCMよりパターンが一時的にあたらしくなる)

    何か確認する点などありましたら、教えていただけないでしょうか?
    よろしくお願いいたします。

    2015年8月31日 4:23
    |
  • Question
    サインインして投票
    0
    サインインして投票

    アクティブクライアント:1,180台のパターンファイルがどの程度古いかにもよりますが、SCEPインストール時に定義ファイルをMicrosoft Updateから取得している場合は、SCCMのソフトウェア更新プログラム上で表示される定義ファイルよりも新しい場合が多いです。

    これはSCCMの仕組み上、そのようなものです。

    但し、先に確認頂いた構成からSCEP関連のポリシー構成は間違っていないので、クライアントとサーバーが正常に通信していて、ポリシー処理が正常に出来ていれば、多少のばらつきはあれど、比較的新しい定義ファイルの状態になります。

    SCCMクライアントを再インストールした後、サンプルのクライアントからリソースエクスプローラーで、最新のインベントリが取得しているか確認し、クライアントアクティビティが反映されるかの確認が先ですね。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:40
    2015年8月31日 7:16
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Sunday Silence(Kazuo.S)様

    お世話になっております。回答ありがとうございます。

    >サンプルのクライアントからリソースエクスプローラーで、最新のインベントリが取得しているか確認し、
    >クライアントアクティビティが反映されるかの確認が先ですね。

    アクティブなクライアントを見ると、ポリシー要求9/1 定期探索9/1 ハードウェアのスキャン:8/25(時間省く)などと新しい日付で出ております。また、リソースエクスプローラーでワークステーションのステータスを見ると9/1になっております。

    クライアントのプロパティを見てみると展開のタブに新しい定義ファイルが2つ表示されています。
    一覧では、EndPointの定義の最終更新時間が8/5 定義ファイルが1.203.1304.0です。

    定義ファイルの展開が動作していない気がします。

    何かありましたら、教えていただければと思います。
    よろしくお願いいたします。

    2015年9月1日 5:44
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    クライアントとの通信は出来ているようですね。

    定義ファイルを展開している自動展開規則があると思いますが、該当する自動展開規則の状態は一覧でどのように表示されていますか?

    また、定義ファイルの更新プログラムが含まれている展開パッケージに、最新の「Microsoft Endpoint Protection の定義の更新 - KB2461484(定義 1.205.XXXX)」が含まれていますか?(アイコンがグリーンのものが最新で展開対象となる定義ファイルです)

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    2015年9月1日 7:39
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Sunday Silence(Kazuo.S)様

    何度も申し訳ないです。

    先に、展開パッケージについては、1.205.1110と1.205.1148が展開済みになっております。

    自動展開規則の一覧上は、下記のようになっております。
    名前:自動展開用 有効:はい 最新エラーコード:0X00000000 最後のエラーの説明:成功
    最終エラー発生日時:空白 最終評価時刻:2015/09/01 16:02

    また、クライアントのログを正常なクライアントとアップデートされないクライアントを比べてみていたのですが、
    「UpdatesDeployment.log」に「Job error (0x87d00692) received for assignment ({ceb7fa79-a2df-4fd6-a8fb-497812a0ba85}) action」が出ております。
    「WUAHandler.log」に「Failed to Add Update Source for WUAgent of type (2) and id ({85F3808E-63AC-477D-9A75-3529A9550150}). Error = 0x87d00692.」も出ております。

    Endpointの定義ファイルの更新の設定が、配布と共有フォルダのみ選択していた場合WSUSは関係無いものだと思っていたのですが、エラーからするとEndpoint(SCCM)がWSUSの設定を自動で設定し、グループポリシーで上書き(別のWSUSサーバーを見に行くように設定しています)されることが原因でうまくパターンが上がっていないような気がしてきました。

    正常なクライアントはグループポリシーにWSUSの設定が入っていないため、問題なく定義更新がされていたのかもしれません。

    基本的なところかもしれませんが、クライアントに定義ファイルをダウンロードしているWSUSサーバーの設定が必須になるのでしょうか?可能でしたら、別のWSUSサーバーをクライアントに設定したいと思っていますが配布ポイントで別のWSUSを指定できるのでしょうか?(SCCMは、本社、WSUSが支店数十か所の構成です)

    よろしくお願いいたします。



    • 編集済み To.I 2015年9月1日 23:03
    2015年9月1日 9:22
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    自動展開、展開パッケージは問題ないようです。

    ご指摘の通り、グループポリシーに既存WSUSが構成されていることが原因に思われます。

    定義ファイルのダウンロード元をSUP(ソフトウェア更新ポイント)のWSUSではなく、別のWSUSとしたい場合は、クライアント設定とデバイスコレクションの参照元に注意が必要です。本社、支店のデバイスコレクション、クライアント設定は以下のようにしてみて下さい。

    1. 2つのクライアント設定を作成します。

    *他に必要な構成は、任意で構成して下さい。

    A) 本社用クライアント設定

        - ソフトウェア更新プログラム:有効

        - Endpoint Protection: 「管理」を有効

    B) 支店用クライアント設定

        - ソフトウェア更新プログラム:この構成を選択しない

        - Endpoint Protection: 「管理」を有効

    2. Endpoint Protecitonの「マルウェア対策ポリシー」を2通り作成します。

    C) 本社用マルウェア対策ポリシー

        - 定義ファイルの更新: ソースの設定をConfiguration Manager

           (「WSUSから配信される更新プログラム」は選択しない)

    D) 支店用マルウェア対策ポリシー

        - 定義ファイルの更新: ソースの設定を「WSUSから配信される更新プログラム」 

    (「Configuration Managerから配信される更新プログラム」は選択しない)

    3. 本社用デバイスコレクションに、A)およびC)を展開

    4. 支店用デバイスコレクションにB)およびD)を展開

    5. 本社用デバイスコレクション/支店用デバイスコレクションには、必要なデバイス(PC)が登録されていること

    6. Active Directory OUに支店デバイス(PC)が格納されていて、支店用のWSUSがGPOで指定されていること

    注意点は、WSUSのGPOで指定されたWSUSとSCCMのSUP(WSUS)の指定がされていると、SCCMのクライアント設定は、SUPの指定をローカルセキュリティポリシーで上書きする仕様になっているため、ローカルセキュリティポリシーとGPOで上書きが何度も発生します。

    これで解決するかお試し下さい。

    SundaySilence Microsoft MVP | Enterprise Client Management (Jan.2011- Dec.2015)

    • 回答としてマーク To.I 2015年9月5日 4:40
    2015年9月2日 1:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Sunday Silence(Kazuo.S)様

    回答ありがとうございます。

    設定も同時に行いますが一点だけ質問です。ドキュメントで設定を行うと、デバイス設定の作成でA)のソフトウェア更新プログラムにはチェックを入れずにEndpointのみのチェックで作成するようになっておりますが、チェックを入れて有効にすればよいのでしょうか?ソフトウェアの更新プログラムを有効にし、定義ファイルの更新元から「WSUSから配信される更新プログラム」 のチェックを外す(現在の設定)の両方の設定が入ることでWSUSの書き換えが行われなくなるという認識で間違いなかったでしょうか?

    A) 本社用クライアント設定 
        - ソフトウェア更新プログラム:有効
        - Endpoint Protection: 「管理」を有効

    現在、デバイスにはB),C)の設定が展開されていますが、WSUSの書き換えが行われていそうでしたので質問でした。

    B) 支店用クライアント設定
        - ソフトウェア更新プログラム:この構成を選択しない
        - Endpoint Protection: 「管理」を有効

    C) 本社用マルウェア対策ポリシー
        - 定義ファイルの更新: ソースの設定をConfiguration Manager
           (「WSUSから配信される更新プログラム」は選択しない)

    追記:本日(9/3)GPOのWSUSの設定をSCCMのWSUSに変更したところ、WSUSの書き換えやエラーはなく、ログの中に下記のメッセージがありました。

    「Added Update Source ({85F3808E-63AC-477D-9A75-3529A9550150}) of content type」

    ソースにWSUSを指定しない場合でも、一度は設定が必要もしくは、マルウェア対策ポリシーの最新が当たっていない(初期はデフォルトでWSUSもしようするになっていた)ということになりますか?

    よろしくお願いいたします。

    • 編集済み To.I 2015年9月3日 1:08
    2015年9月2日 5:10
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Sunday Silence(Kazuo.S)様

    お世話になっております。

    現状ですが、SCCMクライアントが入っていない端末は、プッシュでインストールし、徐々に管理画面に上がってきております。
    また、GPOでWSUSの設定をSCCMのWSUSサーバーにしたことでパターンファイルも正常に上がっております。

    最終的に、上記頂いた設定を行い、GPOのWSUS設定を戻しWSUSのエラー(書き換え)が行われなくなり、パターンが正常にアップデートされれば完了になると思っております。

    いろいろと教えていただきありがとうございました。

    2015年9月5日 4:38
    |