Markus Bäker

In SCCM 2012 ist der Forefront Endpoint Protection (FEP) Client noch stärker im Configuration Manager (SCCM) integriert worden. Daher kümmert sich auch der SCCM Client um das Einspielen der FEP Policy, die als XML File vorliegt.

In einigen Fällen scheitert dies aber und die Clients erhalten in der SCCM Konsole im Bereich FEP den Status fehlerhaft.

Bei der ersten Analyse hilft das Log EndpointProtectionAgent.log auf dem Client (%systemroot%\ccm\logs). In diesem Fall war folgende Fehlermeldung zu lesen:

<![LOG[Create Process Command line: "c:\Program Files\Microsoft Security Client\\ConfigSecurityPolicy.exe" "C:\WINDOWS\CCM\EPAMPolicy.xml".]LOG]!><time=”09:44:00.851-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentutil.cpp:607″>
<![LOG[Failed to apply the policy C:\WINDOWS\CCM\EPAMPolicy.xml with error (0x80004005).]LOG]!><time=”09:44:00.916-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”3″ thread=”4452″ file=”epagentimpl.cpp:647″>
<![LOG[Save new policy state 2 to registry SOFTWARE\Microsoft\CCM\EPAgent\PolicyApplicationState]LOG]!><time=”09:44:00.966-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentimpl.cpp:267″>

<![LOG[State 2 and ErrorCode -2147467259 and ErrorMsg Failed to open the local machine Group Policy and PolicyName Antimalware Policy and GroupResolveResultHash A3B029F0133B36CFF682D8CD9BB02D6952B1C9E3 is NOT changed.]LOG]!><time=”09:44:00.967-60″ date=”01-28-2013″ component=”EndpointProtectionAgent” context=”" type=”1″ thread=”4452″ file=”epagentimpl.cpp:339″>

Interessant ist die letzte Zeile: “State 2 and ErrorCode -2147467259 and ErrorMsg Failed to open the local machine Group Policy and PolicyName Antimalware Policy and GroupResolveResultHash”. Eine kurze Recherche im Web ergibt, dass dieser Fehler mit einem Berechtigungsproblem auf die lokalen Gruppenrichtliniendateien zusammenhängen kann, d.h. eine eingerichtete Lokale Gruppenrichtlinieneinstellung hat sich verharkt, so dass das lokale System keinen Schreibzugriff mehr hat. Ein einfaches Löschen dieser Datei (c:\windows\system32\GroupPolicy\Machine\registry.pol) behebt das Problem. Der Ordner GroupPolicy ist im Allgemeinen versteckt.

Möchte man dies remote ausführen, so bietet sich folgende kleine Batchdatei an:

@echo off
call %~dp0findip.cmd %~1
if %ip%.==. goto fehler
echo PC %1 ist erreichbar.
del \\%1\c$\windows\System32\GroupPolicy\Machine\registry.pol

rem remote start gpupdate
psexec \\%1 gpupdate /force

rem update fep policy
SendSchedule.exe {00000000-0000-0000-0000-000000000222} %1

rem update sccm wsus policy
SendSchedule.exe {00000000-0000-0000-0000-000000000108} %1
goto ende

:fehler

echo PC %1 ist nicht erreichbar.

goto ende
:ende

Die Datei benötigt die findip.cmd, die ich bereits in einigen vorhergehenden Batchdateien eingesetzt habe, um zu kontrollieren, ob ein Client online ist. Zusätzlich wird psexec.exe zum Remoteausführen von gpupdate und sendschedule.exe aus dem SCCM Client Toolkit benötigt.

Diese Batchdatei führt folgendes aus:

• Kontrollieren, ob der per Parameter übergebene PC erreichbar ist
• Löschen der lokalen GPO Datei
• Ein Gruppenrichtlinienupdate erzwingen, damit Einstellungen von der Domäne ggfl. korrigiert werden
• Dem SCCM Client mitteilen, dass er die FEP Policy neu einspielen soll
• Dem SCCM Client mitteilen, dass er die WindowsUpdate Einstellungen neu eintragen soll

Hintergrund: Die SCCM Komponenten für das Update Management und FEP benötigen beide Schreibzugriff auf lokale Policies. Dabei werden die Einstellungen in die oben erwähnte registry.pol Datei ablegt. Ist dies nicht möglich so kommt es zu dem oben erwähnten Fehler.

Im Rahmen einer Vortragsserie haben ein Kollege und ich die Neuerungen in Windows Server 2012 vorgestellt.  In diesem Post möchte ich diese nochmal zusammenfassen und einige Details erklären:

In folgenden Bereichen sehe ich Neuerungen:

Limits

• 64vCPUs per Guest
• 4TB per Host
• 320 logical CPUs pro Host
• 1TB pro VM
• 64 Cluster Nodes
• 4000 VMs pro Cluster

Memory Read more…

In einem Fall konnte von einem Server nicht auf die SSL geschützte Webseite eines anderen Servers zugegriffen werden. Die Standardfehler wie unvertrautem Zertifikat, fehlerhafte IE Einstellungen konnten ausgeschlossen werden. Daher blieb nur der beherzte Griff zum Netzwerkmonitor und Google.

Mit Unterstützung dieses Artikels (

http://blogs.msdn.com/b/sudeepg/archive/2009/02/16/debugging-ssl-handshake-failure-using-network-monitor-a-scenario.aspx) konnte der eigentliche SSL Fehler aus dem Mitschnitt ermittelt werden:

Der letzte Hex Wert (blau hinterlegt, 28 = Dez 40) ist der Fehlercode:

Read more…

Obwohl System Center Operations Manager (SCOM) 2012 bereits seit über einem Monat verfügbar ist und bereits das erste Update erhalten hat, bringt Microsoft jetzt ein Cumulative Update für SCOM 2007 heraus:

Cumulative Update 6 for System Center Operations Manager 2007 R2 is available (2626076)

Die Liste der behobenen Fehler ist umfangreich, der relevanteste Fix dürfte aber im Bereich Cross-Plattform sein:

“When Microsoft security update MS12-006 is installed on an OpsMgr management server, that management server can no longer communicate with the OpsMgr agent on any Linux or UNIX server.”

Dieses Update fügt auch die bereits im Update vom SCOM 2012 hinzugefügte Agents für IBM AIX 7.1 und Oracle Solaris 11 zum SCOM 2007 hinzu.

Achtung: Auch hier gibt es wieder Updateskripte für die Datawarehouse, SCOM und ACS Datenbank. Daher sollte man den Knowledge Base Artikel genau lesen:

http://support.microsoft.com/kb/2626076/en-us

Ein weiteres neues Feature in SCCM 2012 ist die Möglichkeit offline WIM Image einfach aktuell zu halten, so dass ein Rollout dieses OSes immer mit den neuesten bereits installierten Updates erfolgt. Dieser Post beschreibt das Vorgehen dabei.

Zu finden ist das Feature im OS Deployment Bereicht. (Software Library –> Operating Systems). Dort wählt man das gewünscht Image aus. Im obeneren Bereich gibt es dann den Schedule Updates” Button (siehe nachfolgenden Screenshoot):

Read more…

Microsoft Press stellt momentan kostenlos ein eBook als PDF zur Verfügung. Das Thema ist nicht besonders anspruchsvoll (Passwortschutz in Office 2010 und Entfernen von persönlichen Daten), dafür bestimmt interessant für den einen oder anderen Office User:

http://blogs.msdn.com/b/microsoft_press/archive/2012/02/29/free-ebook-security-and-privacy-for-microsoft-office-users.aspx

On thing I was always missing in System Center Operations Manager (SCOM) was the notification with other instant messaging (IM) protocols than the build in Microsoft Communicator.

On friday I had some time to test a solution which I will describe here.

On warnung at the beginning: This current solution is experimental. It will run a Miranda client in the system context and can be a large security hole for your SCOM server!

The first thing I had to to is finding a client which can be controlled by command line or by a SDK. I stumbled upon the command line plugin for Miranda IM. Miranda IM is an open source mutli-protocol instant messaging client. With it you can integrate multiple protocols with plugins.

Read more…

Eine häufig bemängelte Einschränkung des SCCM 2007 ist es, dass die darin enthaltene Updateverteilung keine Updates automatisch freigeben kann. In größeren Umgebungen ist dies im Allgemeinen auch nicht wünschenswert, da neue Microsoft Updates zuerst getestet und dann erst verteilt werden sollten.

Bei Antivirendefinitionen macht ein solches Vorgehen keinen Sinn. Tests gegen alte und neue Viren oder gegen bestimmte Clients, um False-Positives zu erkennen kann man ein paar Mal machen, sobald Updates mehrfach am Tag kommen ist dies nicht mehr sinnvoll.

Forefront Client Security 2010 integriert sich so tief in den SCCM, dass auch für die Definitionsverteilung der SCCM genutzt werden kann. Hat dieser keine aktuellen Definitionen, so kann der Client auf eine Freigabe (UNC-Pfad), einen WSUS oder Microsoft Updates ausweichen. Als WSUS wird natürlich der auf dem Client hinterlegte verwendet, der bei einem SCCM Client immer der vom Server gemanagte WSUS sein muss.

Daher wäre es wünschenswert, wenn dieser die Definitionsupdates automatisch freigibt. Generell ist es nicht empfehlenswert in einen vom SCCM verwalteten WSUS einzugreifen. In diesem Szenario ist es die einzige sinnvolle Lösung.

Um das (von mir ebenfalls schon umgesetzte) Verfahren nicht erneut beschreiben zu müssen, verlinke ich einfach auf den nachfolgenden Blog Post:

Approve updates for Forefront Endpoint Protection 2010

Neue Management Packs im Zeitraum zwischen 01.05.2011 und 31.05.2011

Aktualisiert wurde das SQL Server Management Pack mit:

SQL Server Management Pack version 6.1.400.00 includes the following changes:

• Documented association of Run As profiles and targets for account mapping.
• Made minor fixes in string resources.
• Made security improvements.

Hier die direkten Downloadlinks: (Die Word-Dokumente mit den Beschreibungen sind ganz am Ende der Liste)

Read more…

Sometimes the acs forwarder doesn’t connects successfully to the acs server and states in the operations manager event log, that you have to activate debugging to see more details.

You can activate it by following this instruction:

1. Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtAgent\Parameters
2. Create DWORD value = TraceFlags
3. Edit the TraceFlags entry and enter decimal value 524420
4. Restart the AdtAgent service

(Source: http://helpmemanage.blogspot.com/2007/05/enable-detailed-logging-for-acs.html)

You can find the log under c:\windows\temp

One cause can be that the acs cannot operate over forest borders or from a workgroup (kerberos authentication – some reason for the scom agent).

The workaround is a little bit mor complicated that a simple certificate exchange.

A good and working explanation can be found here:

http://www.directtechnology.com/BlogEngine/post/2010/08/17/Problems-with-non-trusted-computers-reporting-to-ACS-%28Audit-Collection-Services%29.aspx