» Symantec Endpoint Protection - SEP

dlc22

Цитата:

А Вы мастера настройки сервра управления прогонять не пробовали - мне он пару раз помог SEPM обратно вытащить

Пробывал,при реконфигурации он пишет, что все у меня хорошо и сервер настроен, однако при попытке авторизации в консоле вываливалась ошибка о том, что сервер не найден.



Добавлено:

Цитата:

По поводу установки - ставил IIS перед SEP (как было написано в инструкции по устаноке SEP) из под аккаунта доменного админа

Аналогично, поставлил сначала 2003 стандартный сервер, второй сервис пак, потом уж и ISS.


Добавлено:
Вспомнил, при реконфигурации говорит, что порт 2638 занят и просит ввести другой. Вопрос: как поменять сей порт, помню что где-то читал про это, но никак что-то найти не могу.

на форуме Symantec получил ответ. Решил использовать инструкцию для решения моей проблемы.
На первом же пунке застопорился, т.к. не смог вспомнить пароль к моей БД. Попытался восстановить пароль. Запустил пуск->программы->SEPM->Мастер настройки сервера управления. Прошел все пункты, ввел новый пароль. Утилита пошаманила с базой и сказала, что операция прошла успешно. Попытался вернуться к выполнению инструкции, но проль опять не подошел. Тогда я тупо решил еще раз попробывать получить обновления через консоль. И о чудо - консоль сказала, что свежие обновления есть... а чуть позже клиенты тоже их получили


Цитата:

Вспомнил, при реконфигурации говорит, что порт 2638 занят и просит ввести другой. Вопрос: как поменять сей порт, помню что где-то читал про это, но никак что-то найти не могу.

да, тоже заметил это сообщение. Подумал, что если что-то будет не так - перед запуском утилиты в следующий раз застоплю службу... но это мне не понадобилось.

Цитата:

да, тоже заметил это сообщение. Подумал, что если что-то будет не так - перед запуском утилиты в следующий раз застоплю службу... но это мне не понадобилось.

А самое забавное в том, что служба отключена, а сообщение всё равно появляется, и при попытке указать другой порт появляется ошибка о том, что порт не подходит (пробывал вводить все упомянутые в мануале порты). Может его где-то ручками надо для начала добавить?

3JIou
порт 2638 - это порт Sybase Adaptive Server Anywhere Database Engine, и он нужен если использовать SQL что идёт с SEP. Я ставил с использованием MS SQL 2005.

Вот тут вроде есть по конфигурации Sybase:
http://calendar.dom.edu/manual/en/247.htm

dlc22
Я знаю, что это порт локальной базы данных, у меня база именно такая. Но сначала, я тестировал с 2005 SQL и именно с ним наблюдалась проблема с созданием установочных пакетов.
За ссылку спасибо, буду читать.

Кто нибудь сталкивался с такой бедой на сервере симантека? Хочешь сделать отчет в Symantec Endpoint Protection Manager, т. е. заходишь на вкладку "Отчеты", нажимаешь "Создать отчет", а ответ выдает запрос на ввод пароля. Просит ввести имя пользователя, пароль, домен. Какие комбинации не пробуй, процесс остается бесконечным. Была версия насчет Java - обновил (поставил версию 1.5), не помогает.
Вот кой чего накопал ещё. Вероятно ошибка в ODBC при работе со встроенной базой данных. Нашел на симантеке вот это: http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/d87c5993a0a8b35f882573770063d834?OpenDocument
При тесте ODBC выдается ошибка. Но как с этим бороться?

Кто нибуть может мне подсказать всетаки как решить проблему с прекращением закачек обновлений.
Как я понял проблема должна быть решена с MR2 который должен был выйти 24 марта.Если у кого есть,можете выложить в варезник?или кинуть ссылочку?

zipka123
MR2 английский выйдет 13 апреля. а вот русский примерно через месяц.
мало вероятно, что установка MR2 сразу решит твои проблемы.

напиши подробнее что и как у тебя не обновляется, какая версия SEPM, при каких условиях перестал обновляться

Стоял 11.0.780.1109 все корректно обновлялось,проблем не было. Проапгрейдил до версии 11.0.1375. Обновления перестали качаться,SEPM соединяется в сервером обновлений Симантека, пишет Программа LUALL.EXE завершила работу. Новые обновления содержимого не найдены. Код возврата = 1.
Как я понял,почитав эту ветку форума, моя проблема не единичная и нормальное решение этой проблемы еще никем не найдено. Надеюсь что обновление до MR2 решит эту проблему.

Привет всем.
Решение проблемы с портами, когда одновременно стоят WSUS + SEP (от MS)
////////////////////////////////////
Use Internet Information Services (IIS) Management console to verify that the server is set up with one of the following two configurations.
Configuration 1: WSUS is installed on the default Web site
Configure the default Web site by using the following settings:
•    SelfUpdate
•    Content
•    ClientWebService
•    SimpleAuthWebService
•    WSUSAdmin
•    ReportingWebService
•    DssAuthWebService
•    ServerSyncWebService

Configuration 2: WSUS is installed on a custom Web site
Configure the default Web site on port 80 by using the following settings:
•    SelfUpdate
•    ClientWebService

Configure WSUS Administration on port 8530 with the following settings:
•    SelfUpdate
•    Content
•    ClientWebService
•    SimpleAuthWebService
•    WSUSAdmin
•    ReportingWebService
•    DssAuthWebService
•    ServerSyncWebService

Regardless of the configuration that you select, you must also verify the following settings:
•    You must configure the SelfUpdate virtual directory under the default Web site or any other Web site to listen on Port 80.
•    The SelfUpdate virtual directory points to C:\Program Files\Update Service\SelfUpdate.
•    The WSUSAdmin virtual directory is the only virtual directory in IIS that should have security set to Integrated Windows Authentication. Set all other virtual directories security to Anonymous Access Enabled.
//////////////////////
http://support.microsoft.com/kb/920659
У меня работает.. т.е. WSUS ставиться после SEP на порт 8530

Глюк Эндпойнта!
Установлен в рабочей группе на 7 клиентов (лицензионный, скачан с сайта). Оказался - сапожник без сапог! Установился как клиент везде, но только не на самом компьютере с Endpoint Managerом. Устанавливал через "найти неуправляемые компьютеры", находит, но установить не может. Устанавливал, запуская setup из папки Клиент. Встает, но не обновляется и не в одну группу вступать не желает.
Пытался развернуть отдельной утилитой, находит сам себя в рабочей группе, но не принимает пароль, говоит не тот! Создавал нового пользователя с правами админа вообще без пароля, все равно не принимает пароль.
Может кто поборол сей косяк?

3JIou
Ура!! У меня заработало. ПРоблема была в русском названии групп. SEP такого не понимает. Как только убил группы с русскими именами, полученные импортом из AD, все клиенты перебежали в Temporary, получили обновления и отрапортовались о своём состоянии. И это на русском сервере и с русским симантеком. На мысль навел раздел в каком-то readme.txt где описываются допустимые имена компьютеров с точки зрения Симантека. На дворе 2008 год, а надо просто отвечать всем требованиям NetBIOS и только английские буквы, в именах. Иначе клиенты будут исчезать из консоли, ну и т.д.
Были ещё сомнения про JAVА (у SUN есть только английская версия x64), но она тут не причём. Всё работает и на 1.6 up5, надо только стартовую страницу поправить чтоб и эту версию цепляла. Всем помогавшим большое спасибо.

dlc22
Ну и чудно, я просто не думал об этом, у нас априори все компьюторы цифорками названы, а группы на английском языке.
Сегодня День космонавтики, поэтому на работу не пустили. Следовательно, перестанавливал сервер вчера, откатил на установку операционной системы, под учёткой ЛОКАЛЬНОГО АДМИНИСТРАТОРА накатил второй сервис-пак и IIS, потом уже под доменным администратором поставил весь SEPM. Прицепил клиента, и о чудо! Домашняя страница стала отображать статистику. НО!
Но появилась новая проблема: В контекстном меню с ярлычка в трее для клиента активен пункт меню: "Выключить Симантик Ендпоинт Протекшен", и это при том, что политиками управления сервером и защитой от вирусов и программ-шпионов это запрещено. И ещё, при прошлой установке этот пункт меню отключал ЗАЩИТУ ОТ УГРОЗ ИЗ СЕТИ, а сейчас ЗАЩИТУ ОТ ВИРУСОВ И ПРОГРАММ-ШПИОНОВ.
Я уже ничего не понимаю.

В сети появился
Symantec_Endpoint_Protection_11_0_2000_MR2_AllWin_EN_CD1.zip
Symantec_Endpoint_Protection_11_0_2000_MR2_AllWin_EN_CD2.zip

А есть в MR2 интраектианый режим фаервола?

подскажите кто знает!
в NIS есть такая штука как trusted networks, это такие предустановленные правила для фаервола которые можно применить к активной сети. Есть ли такаяже или подобная штука в SEP ?

Dacor
В SEPе есть функция "Доверять компьютерам со включенной автоматической защитой от вирусов и программ-шпионов", в политиках в настройках сети.

Привет, Manish!


Цитата:

Antakam
проблем с переполнением не испытываю... диск большой

Нашел, можно руками в IIS базы удалять. Так они действительно удаляются, и не восстанавливаются, как если бы удалять просто из каталога.


Цитата:

решилась ли у тебя проблема с ответом return code = 1?

Проблема-то решилась, все скачивает. Только клиенты больше не отображают в трее подключение к серверу. И не берут новые базы с сервера. В консоли тоже нет подключения к клиентам. Бывает, несколько клиентов в консоли светятся как подключенные, на самом деле нет. Думал, sylink.xml новый на клиента положить, а он идентичен тому, что на клиенте.
Что еще можно посмотреть?

zipka123

Цитата:

Стоял 11.0.780.1109 все корректно обновлялось,проблем не было. Проапгрейдил до версии 11.0.1375. Обновления перестали качаться,SEPM соединяется в сервером обновлений Симантека, пишет Программа LUALL.EXE завершила работу. Новые обновления содержимого не найдены. Код возврата = 1.
Как я понял,почитав эту ветку форума, моя проблема не единичная и нормальное решение этой проблемы еще никем не найдено. Надеюсь что обновление до MR2 решит эту проблему.

ты по диагонали читаешь? читай внимательнее - я писал как эту проблему решать
причем мой пост выше твоего на 3-4

Цитата:

Запустил пуск->программы->SEPM->Мастер настройки сервера управления. Прошел все пункты, ввел новый пароль. Утилита пошаманила с базой и сказала, что операция прошла успешно... решил еще раз попробывать получить обновления через консоль. И о чудо - консоль сказала, что свежие обновления есть... а чуть позже клиенты тоже их получили

Antakam
у тебя проблема посерьезнее моей. Сюдя по всему полетела БД.
Попробуй найти резервную копию, если ты конечно ее делал, и восстановить ее.

Цитата:

Нашел, можно руками в IIS базы удалять. Так они действительно удаляются, и не восстанавливаются, как если бы удалять просто из каталога.

напиши как

Не поможете с такой проблемой, сервер упал, его пришлось переустановить, база тоже пропала, есть возможность клиентов найти, или их удалить автоматом и заново поставить и привязать к новому серверу?

6o6ax
в SAV'е было намного проще.
переустнавливаешь сервер, называешь его тем же именем... и клиенты автоматом начинают цепляться к нему... потом только в нужную группу засовываешь и все...

работает ли у SEPM такая схема неизвестно, но стоит попробывать

Вот что-то у меня никто не подцепился.. теперь ломаю голову что делать... А как удалить у всех никто не в курсе... Помню удялял 10-ю версию.. запуская по одному ключику из реестра..

6o6ax
Ну как вариант можно использовать SylinkDrop.exe
скопировать с нового серва Sylink.xml и пускать на каждой тачке.. что-то типа
SylinkDrop.exe -silent Sylink.xml
а чтоб не бегать по машинам - pstools помогает.
Или уже доменными политиками или скриптами входа...

Manish
6o6ax
В SAV такая схема поключения без подкладывания сертификатов может и не поехать.
А поиском unmagment клиентов и установкой на них клиентов не помагает?

Цитата:

работает ли у SEPM такая схема неизвестно, но стоит попробывать

У меня такая схема не работает, причём с учётом одинаковых версий серверов и клиентов.

Попробую SylinkDrop.exe, но может кто еще подскажет, можно ли все-таки как-то его удаленно удалять?

6o6ax

PSTools очень тебе поможет )) Если ты доменный админ.
ну например, если не использовать Sylinkdrop.exe то можно заменять файл , только останавливать службу.
psservice.exe (из пакета PSTools) - останавливаем службу. на машине test

psservice \\test -u Mydomain\DomenAdmin stop smc
copy sylink.xml \\test\c$:\Program Files\Symantec\Symantec Endpoint Protection\sylink.xml
psservice \\test -u Mydomain\DomenAdmin start smc

или заходить на машину и там останавливать сервис
psexec.exe \\test -u Mydomain\DomenAdmin cmd.exe
smc -stop
copy sylink.xml c:\Program Files\Symantec\Symantec Endpoint Protection\sylink.xml
smc -start & exit

ну что-то в этом роде )))

pims76
Обнаружилась новая трабла... Клиент всем был установлен с файрволом, который положил 5 серверов и почти все юзеры не могут нормально с сетью работать.. ) Алес... Теперь сделал клиента без функции сетевого фильтра, но он не накатывается поверх уже установленых.. проблема в драйвере сетового подключения Teefer2 driver... Теперь буду сносить всех клиентов и ставить без файера... вроде нашел ключ для удаления, запихну его невидимо в групповые политики...

Manish

Цитата:

Судя по всему полетела БД.
Попробуй найти резервную копию, если ты конечно ее делал, и восстановить ее.

Перед переходом на другой сервер бэкапов кучу делал, но базу на новом сервере создал заново. После того, как все заработало, про бэкапы забыл. Эх, балда я, балда Разбираюсь, как пересоздать.

Как на сервере старые базы через IIS удалять.
Мой компьютер / Управление / Службы и приложения / Диспетчер служб IIS / Веб-узлы / Default Web Site (или что-то подходящее ) / Content
Здесь лежат папки, как и в С:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\
Обновления каких компонентов в них содержатся, написано в файле ContentInfo.txt. Самые увесистые – это Virus Definitions Win32 {1CD85198…} и Win64 {C60DC234…}. Я оставлял 3-5 последних обновлений, остальные удалял через IIS.

На компьютере Core2 6550/ P35/2048/GF8600GT/Maxtor SATA/ xp pro sp2 rus 32bit потестировал
SEP 11.0.2000.1567 без фаервола.
По показаниям task manager до установки
Выделение памяти/физически доступно: 277/1655
после установки (зафиксированные варианты):
393/1600
410/1585
431/1570
То есть вроде как SEP под свои нужды использует от 55 до 85 мег. памяти ОЗУ.
Все обновления на AV и OS установлены .
Тормоза в режиме On-Access (то есть не полного скана по требованию,
а сканирования реального времени) вполне терпимые, но хотелось бы меньших.

При завершении работы OS каждый раз повисает процесс Network Activity.
Приходится ждать или нажимать закрыть. У кого-нибудь было такое?

Поставил скачанный с сайта разработчика Alcohol 1.9.7.6221 Free Edition.
При установке SEP сообщил, что с помощью эвристики нашел в 4 файлах из папки Lang (языки интерфейса) с установленным Alcohol вирус вирус BloodHound.Overpacked.
AX_RU.dll
AX_FR.dll
AX_PT.dll
AX_SR.dll
Срабатывание вероятно было ложным, но в результате русский интерфейс отсуствует и пришлось довольствоваться английским.

А новый прикол заметил в 22:00. Заметил, что на значке антивируса в трее есть красный перечкнутый кружок.
При наведении на него было написано Proactive Threat Protection Disabled.
Зашел в настройки антивируса через Open Symantec Endpoint Protection.
Там написано было No problems detected.
Включил и выключил несколько раз Proactive Threat Protection. Красный кружок изчез.

Так что и SEP 11.0 MR2 есть сборище глюков?