19
Erkennung neuer Versionen des Forefront Endpoint Protection Client funktioniert nicht
Hallo zusammen,
in einem Netzwerk wird flächendeckend auf allen Maschinen der Microsoft Endpoint Protection Client eingesetzt. Die dazugehörigen Definitions- und Programmaktualisierungen werden standardmäßig über WSUS an die Maschinen verteilt.
Die neuste Programmversion 4.10.209.0 von Forefront Endpoint Protection Client stammt aus dem Januar 2017 und wird unter dem KB-Artikel KB3209361 geführt. Dieses Update ist im WSUS vorhanden und auch für alle Systeme freigegeben.
Das Update wird problemlos auf Clients mit Windows 7 Professional/Enterprise (32Bit und 64Bit, SP1) gefunden. Das Selbe gilt für Windows Server 2008R2 Standard (64 Bit). Unter Windows Server 2012R2 Standard (64Bit) wird das Update über Windows Update auf Teufel komm heraus nicht gefunden. Gleiches Ergebnis bei der Nutzung von Microsoft Update (sprich ohne WSUS). Es wurden bereits virtuelle Maschinen als Standalone aufgesetzt, alle verfügbaren Windows Updates installiert und dort eine alte Version von Forefront Endpoint Protection Client installiert. Das Resultat blieb das Selbe. Die das genannte Programmupdate via Microsoft SCCM bzw. Forefront Manager freigegeben, wird es unter Windows Server 2012R2 gefunden und auch installiert.
Hat jemand von euch die selbe Beobachtungen/Feststellungen gemacht?
Grüße,
Daniel
in einem Netzwerk wird flächendeckend auf allen Maschinen der Microsoft Endpoint Protection Client eingesetzt. Die dazugehörigen Definitions- und Programmaktualisierungen werden standardmäßig über WSUS an die Maschinen verteilt.
Die neuste Programmversion 4.10.209.0 von Forefront Endpoint Protection Client stammt aus dem Januar 2017 und wird unter dem KB-Artikel KB3209361 geführt. Dieses Update ist im WSUS vorhanden und auch für alle Systeme freigegeben.
Das Update wird problemlos auf Clients mit Windows 7 Professional/Enterprise (32Bit und 64Bit, SP1) gefunden. Das Selbe gilt für Windows Server 2008R2 Standard (64 Bit). Unter Windows Server 2012R2 Standard (64Bit) wird das Update über Windows Update auf Teufel komm heraus nicht gefunden. Gleiches Ergebnis bei der Nutzung von Microsoft Update (sprich ohne WSUS). Es wurden bereits virtuelle Maschinen als Standalone aufgesetzt, alle verfügbaren Windows Updates installiert und dort eine alte Version von Forefront Endpoint Protection Client installiert. Das Resultat blieb das Selbe. Die das genannte Programmupdate via Microsoft SCCM bzw. Forefront Manager freigegeben, wird es unter Windows Server 2012R2 gefunden und auch installiert.
Hat jemand von euch die selbe Beobachtungen/Feststellungen gemacht?
Grüße,
Daniel
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366426
Url: https://administrator.de/forum/erkennung-neuer-versionen-des-forefront-endpoint-protection-client-funktioniert-nicht-366426.html
Ausgedruckt am: 06.04.2025 um 09:04 Uhr
19 Kommentare
Neuester Kommentar
Hi @Dani
ich bin gerade mal unsere 2012r2 Server sporadisch durchgegangen, die sind alle auf der von dir genannten Version 4.10.209.0.
Aber irgendwie wiederspricht sich deine Aussage
Am Anfang wird es weder via WSUS noch Microsoft Update gefunden und im letzten Satz dann doch wieder via WSUS & SCCM - oder ich hab es nicht verstanden :o
Was wir festgestellt haben, das Deployment der AV Pattern und Updates via SCCM-Client/-Bereitstellung funktioniert besser und schneller wie über den WSUS und macht auch deutlich weniger Probleme / Fehler, wir verteilen das komplett via SCCM (Pattern und SCEP Updates).
Gruß
@clSchak
ich bin gerade mal unsere 2012r2 Server sporadisch durchgegangen, die sind alle auf der von dir genannten Version 4.10.209.0.
Aber irgendwie wiederspricht sich deine Aussage
Am Anfang wird es weder via WSUS noch Microsoft Update gefunden und im letzten Satz dann doch wieder via WSUS & SCCM - oder ich hab es nicht verstanden :oWas wir festgestellt haben, das Deployment der AV Pattern und Updates via SCCM-Client/-Bereitstellung funktioniert besser und schneller wie über den WSUS und macht auch deutlich weniger Probleme / Fehler, wir verteilen das komplett via SCCM (Pattern und SCEP Updates).
Gruß
@clSchak
Hallo @clSchak
Wir vermuten entweder
a) das Package im WSUS ist fehlerhaft paketiert bzw. getagged. So dass Betriebssystem nicht erkannt wird.
b) die verwendete Windows Update Engine unter Server 2012R2 hat einen Bug.
Gruß,
Dani
Aber irgendwie wiederspricht sich deine Aussage Am Anfang wird es weder via WSUS noch Microsoft Update gefunden und im letzten Satz dann doch wieder via WSUS & SCCM - oder ich hab es nicht verstanden :o
du hast alles richtig verstanden. Wir haben das Unternehmensnetzwerk in Teilnetze unterteilt. Einige Teilnetze werden ausschließlich via WSUS versorgt. In anderen nutzen wir WSUS und SSCM/SCEP. Daher habe ich beides in einem Atemzug genannt.Wir vermuten entweder
a) das Package im WSUS ist fehlerhaft paketiert bzw. getagged. So dass Betriebssystem nicht erkannt wird.
b) die verwendete Windows Update Engine unter Server 2012R2 hat einen Bug.
Gruß,
Dani
Ich kann es jetzt bei uns nicht nachstellen, das _alte_ Paket mit dem Update war bei 92% Erfolgsquote bis es deaktiviert wurde, da alle Images zur Bereitstellung dieses bereits intergriert haben (wir erstellen die jedes Quartal neu) und der _letzte Rest_ sich auf Clients / Server bezieht die nicht mehr im Einsatz sind.
Auf Windows 10 und Server 2016 kann es zudem eh nicht deployen bzw. das Update hat dort eine andere Versionsnummer.
Welche Version vom SCCM habt Ihr im Einsatz?
Auf Windows 10 und Server 2016 kann es zudem eh nicht deployen bzw. das Update hat dort eine andere Versionsnummer.
Welche Version vom SCCM habt Ihr im Einsatz?
Das wäre evtl. der Fehlergrund:
https://www.nova17.de/2017/01/update-for-system-center-endpoint-protecti ...
Das Update wurde scheinbar von MS zurückgezogen und dann unter der gleichen KB neu deployed und evtl. hat das der SCCM nicht so richtig mitbekommen.
https://www.nova17.de/2017/01/update-for-system-center-endpoint-protecti ...
Das Update wurde scheinbar von MS zurückgezogen und dann unter der gleichen KB neu deployed und evtl. hat das der SCCM nicht so richtig mitbekommen.
Hi.
Das hatten wir hier schon einmal, wenn auch beim Windows Defender, aber ich denke, das ist es: Lösche mal auf einem zum Test HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MpSigStub und redetektiere.
Das hatten wir hier schon einmal, wenn auch beim Windows Defender, aber ich denke, das ist es: Lösche mal auf einem zum Test HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MpSigStub und redetektiere.
Ich frage mich mittlerweile, ob dein Produkt überhaupt die selbe Engine hat. Vielleicht ist das auch gar nicht anwendbar.
Hallo clSchak,
Gruß,
Dani
Das Update wurde scheinbar von MS zurückgezogen und dann unter der gleichen KB neu deployed und evtl. hat das der SCCM nicht so richtig mitbekommen.
Über WSUS/SCCM können wir das Paket problemlos herunterladen, freigeben und installieren. Nur in den Netzen, wo nur ein WSUS steht, wird es nicht gefunden.Gruß,
Dani
Hallo DerWoWusste,
mit dir habe ich fast gerechnet...
Gruß,
Dani
mit dir habe ich fast gerechnet...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MpSigStub und redetektiere.
Hat leider nichts gebracht. Ich frage mich mittlerweile, ob dein Produkt überhaupt die selbe Engine hat. Vielleicht ist das auch gar nicht anwendbar.
Sie selbe Engine wie Windows Defender? Das weiß ich nicht.Gruß,
Dani
Defender hat heute die "Antimalware client version" 4.12.17007.18011 - das liegt nah an Deiner ´Version dran. Schade, dass es nichts gebracht hat.
habe jetzt noch mal unseren (alten) WSUS geprüft der so sein darsein friestet um ggf. Geräte aus dem Feld zu bedienen die nur sehr selten am Standort sind, das KB3209361 ist dort nicht gelistet, allerdings war auch der ForeFront Client 2010 nicht mit in der Synchronisation, habe das jetzt mal mit aufgenommen und die Sync starten lassen.
Im SCCM sieht man es, wie bereits oben geschrieben und dort ist der 2010er ForeFront Client auch nicht angehakt, scheinbar synct der wohl anders wie der WSUS auch wenn es an sich die gleiche Technik sein sollte.
Aber sollte der Client nicht ohnehin über die SCCM auf die aktuelle Version gezogen werden? SCEP wird doch vollständig über das SCCM gesteuert oder irre ich mich da? Oder meinst du ggf. den "Security Essential Client"? *duck*
Im SCCM sieht man es, wie bereits oben geschrieben und dort ist der 2010er ForeFront Client auch nicht angehakt, scheinbar synct der wohl anders wie der WSUS auch wenn es an sich die gleiche Technik sein sollte.
Aber sollte der Client nicht ohnehin über die SCCM auf die aktuelle Version gezogen werden? SCEP wird doch vollständig über das SCCM gesteuert oder irre ich mich da? Oder meinst du ggf. den "Security Essential Client"? *duck*
jap, das war es wohl, jetzt ist es auch im WSUS gelistet
Und hier im WSUS:
Edit / Add:
der WSUS läuft auf einem 2012R2, aber auch nur noch nebenher, alle GPOs usw zeigen auf dem SCCM ... der hat ansonsten keine weitere Settings oder ist in irgendeiner Weise mit anderen WSUS Server oder ähnliche verbunden / gekoppelt.
Edit Add 2:
Evtl - in der Ansicht vom WSUS die abgelehnten Updates anzeigen - vielleicht ist es dabei (ja ich weis das man eigentlich als erstes nachsieht, aber ...
)
Guten Abend clSchak
Nein, meine ich nicht.
Gruß,
Dani
Aber sollte der Client nicht ohnehin über die SCCM auf die aktuelle Version gezogen werden?
In den Teilnetzen wo wir SCCM einsetzen, geschieht das auch problemlos. Aber wir haben Teilnetze wo nur ein WSUS steht.habe jetzt noch mal unseren (alten) WSUS geprüft der so sein darsein friestet um ggf. Geräte aus dem Feld zu bedienen die nur sehr selten am Standort sind, das KB3209361 ist dort nicht gelistet, allerdings war auch der ForeFront Client 2010 nicht mit in der Synchronisation, habe das jetzt mal mit aufgenommen und die Sync starten lassen.
Hättest du einen Möglichkeit, dass eine VM mit Windows Server 2012R2 und einer alten Entpoint Version (zur Not aus dem VLSC), seine Updates über den WSUS bezieht. Ich würde das Resultat brennend interessieren.Oder meinst du ggf. den "Security Essential Client"? *duck*
Mutig von dir... Nein, meine ich nicht.Evtl - in der Ansicht vom WSUS die abgelehnten Updates anzeigen - vielleicht ist es dabei (ja ich weis das man eigentlich als erstes nachsieht,
Wäre es nicht genemigt, würden die Windows 7 Clients das Update ebenfalls nicht finden. Da wird es aber zur Installation über Windows Update angezeigt.Gruß,
Dani
jap, wird angeboten zur Installation, erst 4.5, dann 4.7 und jetzt 4.10
Hier auch die Settings aus Regestry
Was aber interessant ist, bzw. mir aufgefallen ist, auf: http://www.catalog.update.microsoft.com/home.aspx ist das von dir genannte Update nicht gelistet
Guten Abend clSchak,
Gruß,
Dani
Was aber interessant ist, bzw. mir aufgefallen ist, auf: http://www.catalog.update.microsoft.com/home.aspx ist das von dir genannte Update nicht gelistet
das hat den einfachen Grund: So könnte sich jeder den Forefront Client beziehen ohne dafür zu bezahlen. jap, wird angeboten zur Installation, erst 4.5, dann 4.7 und jetzt 4.10
Hmm, das Upate heißt bei uns bei den Windows 7 Clients anders als bei dir. Das Paket heißt "Entpoint Protection 2010 - 4.10.209.0 (KBKB3209361). Ist auf dem Test Server der System Center Client installiert?Gruß,
Dani
Hi Dani
nein den Client habe ich dort nicht mitinstalliert um sicherzustellen das der den WSUS nimmt und nicht die Updates vom SCCM erhält. Ich hab mir das schon fast gedacht das der von dir beschrieben Effekt auftritt nachem im WSUS zwei Updates mit der gleichen Kennung aber zu einem unterschiedlichen Produkt erschienen sind (SCEP und Forefront EP).
FEP kann ich nur mit Rollup1 runterladen, ich teste das mal und installiere den auf dem Server.
Die Basisinstallation kommt mit:
Forefront Endpoint Protection Version: 2.1.1116.0
Antimalware Client Version: 3.0.8402.0
Engine Version: 1.1.14600.4
Antivirus definition: 1.263.67.0
Antispyware definition: 1.263.67.0
Network Inspection System Engine Version: 2.1.8904.0
Network Inspection System Definition Version: 17.1100.0.0
nein den Client habe ich dort nicht mitinstalliert um sicherzustellen das der den WSUS nimmt und nicht die Updates vom SCCM erhält. Ich hab mir das schon fast gedacht das der von dir beschrieben Effekt auftritt nachem im WSUS zwei Updates mit der gleichen Kennung aber zu einem unterschiedlichen Produkt erschienen sind (SCEP und Forefront EP).
FEP kann ich nur mit Rollup1 runterladen, ich teste das mal und installiere den auf dem Server.
Die Basisinstallation kommt mit:
Forefront Endpoint Protection Version: 2.1.1116.0
Antimalware Client Version: 3.0.8402.0
Engine Version: 1.1.14600.4
Antivirus definition: 1.263.67.0
Antispyware definition: 1.263.67.0
Network Inspection System Engine Version: 2.1.8904.0
Network Inspection System Definition Version: 17.1100.0.0
So, nachdem alle Updates so nach instaliert wurden, weder via WSUS noch via Windows Update kommt die neue Version auf den Server drauf. Somit kann ich dein Problem bestätigen .
SCEP wird anstandslos installiert, FFEP nicht - weder via WSUS noch via Windows Update. (Optionale Updates sowie Updates für andere MS Produkte sind angehakt). Hab es mit 2 Server ausprobiert (einmal der 1. mit SCEP und dann ein anderer mit FFEP)
Ich hoffe das hilft dir weiter
.SCEP wird anstandslos installiert, FFEP nicht - weder via WSUS noch via Windows Update. (Optionale Updates sowie Updates für andere MS Produkte sind angehakt). Hab es mit 2 Server ausprobiert (einmal der 1. mit SCEP und dann ein anderer mit FFEP)
Ich hoffe das hilft dir weiter
Hallo @clSchak,
erstmal vielen lieben Dank für deine Zeit und Mühen.
Gruß,
Dani
erstmal vielen lieben Dank für deine Zeit und Mühen.
Ich hoffe das hilft dir weiter
Auf jeden Fall. Das bedeutet nämlich, dass wir (Kollegen und Ich) nicht bescheuert sind! Mit den Infos werden wir den Microsoftlern mal etwas Feuer machen... Gruß,
Dani
Und ergänzend dazu: im WSUS steht der Server drin mit "Install" für diese Update
Moin,
inzwischen ist das Problem von Microsoft behoben worden und das Update erscheint nun regulär im WSUS bzw. Windows Server.
Gruß,
Dani
inzwischen ist das Problem von Microsoft behoben worden und das Update erscheint nun regulär im WSUS bzw. Windows Server.
Gruß,
Dani
