Das Klicken auf die Schaltfläche „Aktualisieren" in der Benutzeroberfläche des System Center 2012 Endpoint Protection-Clients schlägt mit dem Fehler 0x8024402c fehl
Stellen Sie sich das folgende Szenario vor:
Der System Center Configuration Manager-Administrator verwaltet alle Updates in der Umgebung.
Benutzer haben keinen Zugriff auf die Windows Update-Website.
Der Configuration Manager-Softwareaktualisierungspunkt ist konfiguriert und wird synchronisiert.
Die automatische Bereitstellungsregel für Definitionsaktualisierungen ist konfiguriert und scheint Aktualisierungen jede Nacht problemlos bereitzustellen.
Wenn in diesem Szenario ein neuer Client bereitgestellt wird und der lokale Administrator auf der Benutzeroberfläche des System Center 2012 Endpoint Protection-Clients (SCEP-Benutzeroberfläche) auf die Schaltfläche „Aktualisieren" klickt, tritt bei der Suche nach Updates schließlich ein Timeout auf und der folgende Fehler wird angezeigt:
0x8024402c – System Center Endpoint Protection konnte die Definitionsaktualisierungen nicht installieren, da die Namen des Proxyservers oder des Zielservers nicht aufgelöst werden können
Die Analyse der Datei C:\Windows\WindowsUpdate.log weist außerdem darauf hin, dass der SCEP-Client versucht, auf die Microsoft Update-Website zuzugreifen.
Symptome
Die Einstellung „Von der Configuration Manager-Quelle verteilte Updates" unterscheidet sich von den anderen Definitions-Update-Quelleneinstellungen in SCEP-Richtlinien. Sie können keine Definitionen aus dieser Quelle abrufen, indem Sie in der SCEP-Benutzeroberfläche auf „Aktualisieren" klicken.
Ursache
Um dieses Problem zu umgehen, richten Sie eine andere Definitionsaktualisierungsquelle wie WSUS ein, auf die zurückgegriffen wird, wenn ein Client versucht, Definitionen manuell über die SCEP-Benutzeroberfläche zu aktualisieren. Alternativ können Sie die SCEP-Benutzeroberfläche für den Endbenutzer ausblenden, damit dieser nicht auf „Aktualisieren" in der Client-Benutzeroberfläche klicken kann, indem Sie die in System Center 2012 Configuration Manager SP1 eingeführte Richtlinieneinstellung „Client-Benutzeroberfläche deaktivieren" verwenden. Die Option „Client-Benutzeroberfläche deaktivieren" befindet sich im Bereich „Erweitert " der Antimalware-Richtlinieneinstellung in der Configuration Manager-Verwaltungskonsole.
Auflösung
Wenn Sie in der SCEP-Benutzeroberfläche auf „Aktualisieren" klicken, sucht der Client nach einem FallbackOrder- Registrierungsschlüssel in HKLM\Software\Policies\Microsoft\Microsoft Antimalware\Signature Updates . Der Client überprüft jede Aktualisierungsquelle im FallbackOrder- Registrierungsschlüssel in der Reihenfolge, in der sie aufgelistet sind, bis er eine Quelle findet, die über verfügbare Definitionen verfügt. Wenn alle Quellen durchsucht werden, ohne dass verfügbare Definitionen erkannt werden, wird ein Fehler zurückgegeben und der Aktualisierungsversuch ist nicht erfolgreich. Configuration Manager wird nie im FallbackOrder- Registrierungsschlüssel aufgeführt, da der SCEP-Client einen Configuration Manager-Software-Update-Point-Agenten (und die zugehörige Infrastruktur) nicht als gültige Definitionsquelle erkennt und keine Definitionen aus Configuration Manager abrufen kann. Zu den FallbackOrder- Quellen können InternalDefinitionUpdateServer (WSUS), MicrosoftUpdateServer (Microsoft Update-Website), FileShares (eine oder mehrere UNC-Dateifreigaben, deren Speicherort durch die Richtlinie bestimmt wird) und MMPC (alternativer Download-Speicherort des Microsoft Malware Protection Center) gehören.
Konfigurationsmanager-Definitionsaktualisierungen werden vollständig vom CCM-Client-Softwareaktualisierungsagenten verwaltet und vom CCM-Softwareaktualisierungsagenten heruntergeladen und installiert. Der Zeitplan für diese Aktualisierungen wird beim Konfigurieren der Bereitstellungsregel während der serverseitigen Einrichtung festgelegt. Weitere Informationen finden Sie unter http://technet.microsoft.com/en-us/library/jj822983.aspx .
Wenn Sie in Ihrer SCEP-Richtlinie „Vom Konfigurationsmanager verteilte Updates" auswählen, wird der Registrierungsschlüssel „FallbackOrder" nicht geändert. Stattdessen legt diese Update-Quellenoption den AuGracePeriod- Registrierungsschlüssel in HKLM\Software\Policies\Microsoft\Microsoft Antimalware\Signature Updates fest. Diese Registrierungseinstellung verhindert, dass der SCEP-Client versucht, automatisch Definitionen aus Quellen abzurufen, die im FallbackOrder- Schlüssel definiert sind, und zwar für einen durch die SCEP-Richtlinie festgelegten Zeitraum, der standardmäßig 72 Stunden oder 4320 Minuten beträgt. Dies soll dem CCM-Client-Softwareaktualisierungsprozess ausreichend Zeit geben, den Definitionsaktualisierungsprozess unabhängig vom SCEP-Client abzuschließen.
Wenn „Vom Configuration Manager verteilte Updates" die einzige in Ihrer Richtlinie definierte Updatequelle ist, ist der Registrierungsschlüssel „FallbackOrder" leer. In diesem Fall führt das Klicken auf „Aktualisieren" in der SCEP-Benutzeroberfläche dazu, dass der Client zu einem Verhalten zurückkehrt, das dem von Microsoft Security Essentials ähnelt, und der Client versucht, ein Update über die Microsoft Update-Website durchzuführen.
No comments:
Post a Comment