none
System Center 2012 Endpoint Protection + wsus - перестали обновляться определения на клиентах RRS feed

  • Общие обсуждения

  • Приветствую.

    проблема возникла ~неделю как, на клиентских компьютерах перестали обновляться антивирусные базы.

    при попытке обновления вручную ничего не происходит. Пример на windows 10, жму обновить, смотрим журнал тут Microsoft-Windows-Windows Defender/Operational, событий никаких. Вот как выглядит на win7:

     

     В System Center 2012 Configuration Manager настройки все на месте, источник обновления - wsus. проверять обновления каждый день.

    На wsus тоже никаких ошибок. Службу wsus перезапускали. База на внешнем sql, там еще и другие базы, на sql жалоб нет.

    автоматические утверждения настроены.

    Смотрю отчет по синхронизации wsus за сегодня, вижу прилетели 5 новых апдейтов difinition update разных, т.е. получается wsus их качает, а клиенты не видят. делают репорт по difinitions updates, продукт forefront endpoint protection 2010. открываю какой-нибудь компьютер, вижу что 2 апдейта имеют unknown status. и так у всех компьютеров 2-6 апдейтов - no status.

    Не пойму что случилось, база поломалась?...

    23 ноября 2015 г. 15:46

Все ответы

  • А вы CU2 не ставили случаем?

    и Клиент / SCEP каких версий?

    Случаем не  5.00.8239.1301 / 4.8.204.0?


    Грамотная постановка вопроса - уже 50% решения.

    23 ноября 2015 г. 21:26
    Модератор
  • А вы CU2 не ставили случаем?

    и Клиент / SCEP каких версий?

    Случаем не  5.00.8239.1301 / 4.8.204.0?


    Грамотная постановка вопроса - уже 50% решения.

    на system center насколько знаю ничего такого не ставилось. Лично у меня версия такая

    Версия антивредоносного клиента: 4.8.204.0
    Версия модуля: 1.1.12300.0
    Антивирусное определение: 1.211.4.0
    Определение антишпионской программы: 1.211.4.0
    Версия подсистемы проверки сети: 2.1.11804.0
    Версия определений системы проверки сети: 115.26.0.0
    Имя политики: Default Client Antimalware Policy
    workstations

    Выяснил что обновы на wsus есть, 6 штук, он они никак не ставятся, смотрю по ним отчет, пишет что либо обновление "not applicable", либо "no status". ни на один компьютер ни одно из 6 обновлений не поставилось.

    Может дело в версиях определений? получается что самое старое обновление на wsus 1.211.477.0 которое мне показывается не заменяет версию которая у меня. но это бред какой-то, не может оно так работать. а если компьютер был в ремонте полгода

    24 ноября 2015 г. 6:36
  • выложите куда-нибудь с проблемного клиента лог WindowsUpdate.log из \Windows\ и EndpointProtectionAgent.log из \Windows\CCM\logs
    24 ноября 2015 г. 7:18
    Модератор
  • выложите куда-нибудь с проблемного клиента лог WindowsUpdate.log из \Windows\ и EndpointProtectionAgent.log из \Windows\CCM\logs

    http://1drv.ms/1Xny97P

    http://1drv.ms/1QFjmpV 

    какую полезную инфу из последнего можно выцепить?

    нашел похожую тему https://social.technet.microsoft.com/Forums/en-US/da55d778-bd8b-4eed-ba1d-62c09fba2d7a/not-getting-system-center-endpoint-definition-updates-after-kb2461484-definition-115516200-on?forum=configmanagersecurity

    но не могу понять откуда человек логи эти достал.


    • Изменено Serg .K 24 ноября 2015 г. 7:37
    24 ноября 2015 г. 7:37
  • второй файл EndpointProtectionAgent http://1drv.ms/1QFjmpV
    • Изменено Serg .K 24 ноября 2015 г. 7:52
    24 ноября 2015 г. 7:51
  • у вас с клиентов правильно отдает it-tech1.profit.local и 10.13.0.26?

    Как в групповых политиках вы настроили wsus? 

    Обновления не устанавливаются, потому что агент их не находит: Agent * Found 0 updates and 91 categories in search; evaluated appl. rules of 5393 out of 10831 deployed entities

    с клиента у вас открывается http://it-tech1.profit.local:8530/SimpleAuthWebService/SimpleAuth.asmx?op=GetAuthorizationCookie

    во вторых, sccm у вас пытается запихать версию, которая ниже той, которая установлена:

    File C:\Windows\ccmsetup\SCEPInstall.exe version is 4.7.213.0.
    EP version 4.8.204.0 is already installed.
    EP 4.8.204.0 is installed, version is higher than expected installer version 4.7.213.0.

    но это не страшно, по логу политика применяется нормально.

    24 ноября 2015 г. 7:57
    Модератор
  • dns нормально разрешает указанные адреса, и по имени, и по ip. проверил это сейчас с 3го компьютера.

    26 это wsus. в политиках настроено обычно: задан сервер в интрасети http://10.13.0.26

    wsus кстати работает на 80 порту.

    ссылка вот такая http://10.13.0.26/SimpleAuthWebService/SimpleAuth.asmx?op=GetAuthorizationCookie

    открывается.  SOAP 1.1 HTTP/1.1 200 OK  etc.

    насчет версии видел, не пойму откуда такая проблема. 

    1

    24 ноября 2015 г. 8:40
  • У меня c Definition Update for Microsoft Endpoint Protection - KB2461484 (Definition 1.211.704.0)

    проблема начала рассасываться самостоятельно. Я правда пересоздавал ADR / SUG /Package.

    По поводу версии 4.7.213.0 -

    это версия в клиенте ццм лежит

    (<a href="file://\\\SMS_<SiteCode>\Client\scepinstall.exe">\\<SiteServer>\SMS_<SiteCode>\Client\scepinstall.exe").

    Через апдейты прилетает более новая версия SCEP (KB304956)


    Грамотная постановка вопроса - уже 50% решения.



    24 ноября 2015 г. 9:52
    Модератор
  • обновил wsus вручную, Definition 1.211.704.0, но пока результат тоже. 
    24 ноября 2015 г. 10:14
  • Вы таки обновляете клиентов с WSUS или SCCM SUP?

    Если последнее, то в GPO, настраивающей ПК на обновления с WSUS в интрасети нужно вывести все параметры в "не задано".

    Если вы хотите вернуть обновления клиентов с SCCM обратно на WSUS, то я это лечил переустановкой клиентов SCCM. Хотя возможно есть и более техничный вариант.

    24 ноября 2015 г. 11:07
  • wsus, не было никогда обновления с sccm.

    сейчас смотрю на последние обновление, 1.211.704.0, постепенно появляются клиенты в отчете, также со статусом not applicable

    24 ноября 2015 г. 11:18
  • какая версия wsus? 

    а для 10ки обновления для defender'a включены?

    посмотреть wsusutil.exe checkhealth из C:\Program Files\Update Services\Tools и после посмотреть, что в событиях регистрируется.

    по логу с клиента ничего особенного, я бы точно прогнал server cleanup wizard, пересоздал automatic approvals для defender и endpoint protection, ребутнул wsus и мониторил дальше. 

    24 ноября 2015 г. 15:42
    Модератор
  • 6.3.9600.16384

    для defender обновления включены, но я точно не уверен как оно работает там, endpoint protection вроде как подменяет собой defender, хотя интерфейс от defender

    уже запускал, пишет что что здоровье отменное - WSUS is working correctly.

    в том то и засада, от логов мало пользы, просто всус считает что эти обновления не применимы к клиентам.

    автоматическое утверждение я уже пересоздавал, вот cleanup не гонял, и с перезагрузкой туго, ограничивался перезагрузкой службы, ибо сам сервер держит еще hyper v (

    25 ноября 2015 г. 6:17
  • кто-нибудь знает кто именно сравнивает версии определений в таком окружении, wsus или sccm ?

    может какие службы sccm можно перезапустить?

    25 ноября 2015 г. 6:43
  • WSUS является частью иерархии SCCM или нет?

    25 ноября 2015 г. 6:57
  • не могли бы пояснить что имеете ввиду?

    на sccm настроено откуда обновлять клиентов, вот аналогично

    http://blog.it-kb.ru/wp-content/uploads/2012/08/image_thumb60.png

    25 ноября 2015 г. 7:23
  • просто скажите, поднята ли у вас software update point на sccm? )))
    25 ноября 2015 г. 7:53
    Модератор
  • понял про что вы, просто не я настраивал, не я устанавливал.

    да, software update point установлен, все галки стоят насчет fep и difinition.  вроде бы все настроено.

    куда еще там можно посмотреть? 

    25 ноября 2015 г. 9:23
  • стоп, вы же говорили, что клиенты работают через wsus, а теперь у нас sup нарисовалась. Вы обновления где применяете? Покажите настройки агента SCCM, раздел Software Updates.
    25 ноября 2015 г. 9:40
    Модератор
  • ну насколько я понял в sccm можно выставить несколько источников обновлений, например сейчас так:

    в worstation вижу все компы присутствуют.

    >>Покажите настройки агента SCCM, раздел Software Updates.

    где посмотреть это что-то не пойму


    • Изменено Serg .K 25 ноября 2015 г. 11:37
    25 ноября 2015 г. 11:35
  • вот еще скрин, я так понимаю апдейты с sccm не используются

    25 ноября 2015 г. 11:41
  • >>Покажите настройки агента SCCM, раздел Software Updates.

    Имелось ввиду параметры клиента.

    25 ноября 2015 г. 11:44
  • правильнее будет посмотреть в разделе администрирования "серверы и системы сайта" есть ли на коком-то из серверов настроенная точка обновлений (SCCM SUP) - убедимся, что он у вас точно есть или точно нет.

    Если он точно есть - смотрим Sync Settings и Sync Schedule ( в параметрах Software Update Point Component Properties).

    Если и тут все настроено, то в Software Library - Software Updates смотрим на Automatic Deployment Rules.

    25 ноября 2015 г. 11:58
  • а сервер в иерархии SCCM один?

    25 ноября 2015 г. 12:28
  • да, сервер один.

    получается остается ковырять wsus %(

    а что там можно сделать...уже идей нет. разве что перезагрузка, к сожалению он совмещен с hype-v ...

    25 ноября 2015 г. 12:36
  • Параметры клиента посмотрите (покажите). (мой скрин).

    И я бы порекомендовал WSUS на ВМ перенести.

    25 ноября 2015 г. 12:39
  • нет, не параметры Endpoint Protection (с ними все понятно), а параметры обновления ПО.

    Посмотрите другие объекты политики клиентов, возможно в политике по умолчанию.

    25 ноября 2015 г. 13:03
  • меня что-то смущает что в последнем пункте стоит No

    --

    а вот тот самый скрин, всего политик 2 



    • Изменено Serg .K 25 ноября 2015 г. 13:12
    25 ноября 2015 г. 13:10
  • а не, всё правильно, там No должно быть
    25 ноября 2015 г. 13:13
  • Тогда влияние SCCM можно исключить. Однако я бы включил все варианты источников для Definition Update.

    26 ноября 2015 г. 4:58
  • включил или настроил? оно то сейчас включено как на скрине выше, 3 галки, как оно определяет что первый источник не годится, и не переходит на второй - непонятно.

    но в данном случае это всё равно не помогает. клиент считает что обновлений просто новых нет.

    26 ноября 2015 г. 6:13
  • попробуйте проверить обновления для ПК с Microsoft Update.
    26 ноября 2015 г. 6:37
  • с инета всё обновляется, и на клиенте, и если в sccm выставить первым Microsoft Update.
    26 ноября 2015 г. 6:39
  • Ну тогда что вам мешает создать виртуальную машину для WSUS? Вы ведь тогда сможете делать с нею все что захотите, не оглядываясь на хост.

    26 ноября 2015 г. 7:33
  • да мысль то конечно верная, просто ресурсов нет на отдельную виртуалку. но стоит подумать где эту роль можно поднять.
    • Изменено Serg .K 26 ноября 2015 г. 7:38
    26 ноября 2015 г. 7:37
  • решилось переустановкой wsus. 
    8 декабря 2015 г. 6:39
  • из серии цитаты великих людей: "в любой непонятной ситуации передёргивайте всус." )
    8 декабря 2015 г. 7:33
    Модератор