Toon posts:

[McAfee ePO3] Agent op Windows 2003 weigert policies

Pagina: 1
Acties:

maandag 12 juli 2004 21:20

Acties:
  • Counter-Strike
  • Registratie: Maart 2000
  • Niet online

Counter-Strike

Maar ik speel het niet!

Topicstarter
Beste Tweakers,

Ik heb laatst een installatie van McAfee ePolicy Orchestrator uitgevoerd om het netwerkje hier virusvrij te houden. De virusscanner waar gebruik van wordt gemaakt komt eveneens van McAfee, te weten VirusScan Enterprise 7.1. ePO communiceert met een MS SQL 2000 databeest en bevindt zich op een MS Windows 2003 machine. De installatie draait als een zonnetje; in de "Server Events" van ePO doen zich geen rare meldingen voor. Ook de Event Viewer laat niks kwaadaardigs zien.

Op een XP client worden de uitgegeven policies en tasks prima ontvangen en uitgevoerd:
Afbeeldingslocatie: http://www.xs4all.nl/~aamvn/external/GoT/934244/client_wxp.gif


Op een andere pc, voorzien van Windows 2003, worden de policies voor de virusscanner niet uitgevoerd! De settings in de "VirusScan Console" blijven op default staan. De policies met betrekking tot de ePO Agent worden gekgenoeg wel toegepast! Dit is te zien aan het icoontje van de ePO Agent in de taskbar.

Afbeeldingslocatie: http://www.xs4all.nl/~aamvn/external/GoT/934244/client_w2k3.gif


De log van de ePO agent ziet er als volgt uit (na "Check New Policies" en "Enforce Policies" op de ePO agent monitor). Geen vuiltje aan de lucht als je het mij vraagt.

Google en de 550 pagina's tellende Product Guide boden geen soelaas. Ik hoop dat hier iemand rondwandelt die een verhelderende tip of misschien wel oplossing kan geven.

In afwachting op antwoord, alvast mijn dank.


Bijlage: passage uit product guide.
Afbeeldingslocatie: http://www.xs4all.nl/~aamvn/external/GoT/934244/productGuide_agent_w2k3.gif
Verder kan ik nergens uitzonderingen vinden, het zou dus gewoon moeten werken.

[ Voor 16% gewijzigd door Counter-Strike op 12-07-2004 23:09 ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

maandag 12 juli 2004 23:37

Acties:

Verwijderd

je had dit topic beter in PNS (professional networking and servers) kunnen zetten, ik heb al een topicreport gedaan met een vraag tot move.
edit:
BV was idd misschien nog beter :P


dan, inhoudelijk: hoe is de bewuste epo client en virusscan op die PC terecht gekomen? Is die gedeployed via ePO of was die al geïnstalleerd?

In mijn ervaring helpt het in dit geval om de antivirus + client via EPO te verwijderen (kan door je deployment task te wijzigen), dan te wachten tot ie ECHT weg is en als laatste opnieuw laten deployen.

Onder welk account draait de virusscan op de lokale PC?

//edit
wat ik eigenlijk mis: welke versie van ePo hebben we het hier over? Ik neem aan 3.0?

//edit2
even iets achtergrond.. staat op de bewuste client ook het 'mcafee' framework geïnstalleerd? Verwijder die dan eerst handmatig, dan mcafee virusscan en agent via ePO. Dan opnieuw deployen.

Het framework is een echte draak, probeer maar eens groepshield EN virusscan op één en dezelfde server te deployen: dan moet je continu handmatig dat f*cking framework verwijderen, anders blijft hij daar doodleuk op hangen.

//edit
het komt er in het kort op neer dat als de framework service al geïnstalleerd is, de installatieprocedure van de framework service kan vastlopen (ik heb 'm nog niet anders zien doen). Daar kun je 2 dingen tegen doen: op de client de framework install .exe vervangen door een dummy, of van te voren de mcafee framework service te stoppen en te verwijderen.

Dit doe je door eerst de service te stoppen, en dan met sc.exe de service:
De syntax:
code:
1
2

net stop mcafeeframework
sc delete mcafeeframework

[ Voor 57% gewijzigd door Verwijderd op 13-07-2004 00:28 ]

dinsdag 13 juli 2004 00:16

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Zo - en nu gaan we allemaal weer lief doen tegen elkaar O+ of ik word boos :)

Verder - ik ga dit topic verplaatsen naar Beveiliging & Virussen omdat je daar meer kans van slagen gaat hebben.

Software Algemeen >> Beveiliging & Virussen

dinsdag 13 juli 2004 00:38

Acties:
  • Counter-Strike
  • Registratie: Maart 2000
  • Niet online

Counter-Strike

Maar ik speel het niet!

Topicstarter
Verwijderd schreef op 12 juli 2004 @ 23:37:
je had dit topic beter in PNS (professional networking and servers) kunnen zetten, ik heb al een topicreport gedaan met een vraag tot move daarheen.
edit:
BV was idd misschien nog beter :P
Bedankt! Het was een twijfel, het probleem an sich heeft niet zo heel veel met virussen te maken, maar hier kunnen wel eens de experts zitten, niet? ;)
dan, inhoudelijk: hoe is de bewuste epo client en virusscan op die PC terecht gekomen? Is die gedeployed via EPO of was die al geinstalleerd?
De situatie is verschillend. Op de machine met xp is de client gedeployed middels MS' Systems Management Server 2003. De commandline hiervoor: FramePkg.exe /INSTALL=AGENT /SILENT. FramePkg is gemaakt door gebruik te maken van de "Agent Installation Package Creation Wizard". De credentials, die ingeklopt moeten worden in deze wizard, liggen bij een user die in AD aangemaakt is welke lid is van de Domain Admins groep.

Op de bokkende Windows 2003 machine is de agent geinstalleerd door een dubbelklik op de eerdergenoemde FramePkg.exe (wegens het opzettelijk ontbreken van een SMS Client).
In mijn ervaring helpt het in dit geval om de antivirus + client via EPO te verwijderen (kan door je deployment task te wijzigen), dan te wachten tot ie ECHT weg is en als laatste opnieuw laten deployen.
Dit heb ik gedaan, weg uit de directory en weg van de pc in kwestie. Het heeft niet geholpen.
Onder welk account draait de virusscan op de lokale PC?
McEPoDomainM_COR welke lid is van de Domain Admins groep.
//edit
wat ik eigenlijk mis: welke versie van ePo hebben we het hier over? Ik neem aan 3.0?
Server Version: 3.0.2.276, Enterprise Edition (sp1 + sp2 + hotfix 4)
//edit2
even iets achtergrond.. staat op de bewuste client ook het 'mcafee' framework geinstalleerd? Verwijder die dan eerst handmatig, dan mcafee virusscan en agent via ePO. Dan opnieuw deployen.
Ik was er stellig van overtuigd dat het framework mee wordt geinstalleerd met de ePO client? Getuige ook een "Common Framework" directory op de harddisk.
[*snip*]

//edit
het komt er in het kort op neer dat als de framework service al geinstalleerd is, de installatieprocedure van de framework service kan vastlopen (ik heb 'm nog niet anders zien doen). Daar kun je 2 dingen tegen doen: op de client de framework install .exe vervangen door een dummy, of van te voren de mcafee framework service te stoppen en te verwijderen.

Dit doe je door eerst de service te stoppen, en dan met sc.exe de service:
De syntax:
code:
1
2

net stop mcafeeframework
sc delete mcafeeframework
En hierna de ePO client opnieuw installeren? Bij een uninstall (framepkg.exe /REMOVE=AGENT) wordt het framework volgens mij al netjes verwijderd. Ik zal dit morgen nog even testen!

Bedankt!

//edit: misschien wel even handig om te vermelden dat op de Windows 2003 machine al de Alert Manager geinstalleerd staat. Ik zal deze morgen tevens verwijderen om echt met een "mcafee vrije" pc weer aan de slag te kunnen.

[ Voor 7% gewijzigd door Counter-Strike op 13-07-2004 00:42 ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

dinsdag 13 juli 2004 01:12

Acties:

Verwijderd

Counter-Strike schreef op 13 juli 2004 @ 00:38:
Op de bokkende Windows 2003 machine is de agent geinstalleerd door een dubbelklik op de eerdergenoemde FramePkg.exe (wegens het opzettelijk ontbreken van een SMS Client).
Je kunt de agent gewoon installeren vanuit de ePolicy orchestrator, daar heb je dat ding immers voor ;)
Ik was er stellig van overtuigd dat het framework mee wordt geinstalleerd met de ePO client? Getuige ook een "Common Framework" directory op de harddisk.
normaliter wel idd. Hij is sowieso nodig.
//edit: misschien wel even handig om te vermelden dat op de Windows 2003 machine al de Alert Manager geinstalleerd staat. Ik zal deze morgen tevens verwijderen om echt met een "mcafee vrije" pc weer aan de slag te kunnen.
Lijkt me de oplossing.. alles verwijderen (ook mappen), controleren of de frameworkservice wel echt verwijderd is uit het lijstje services, regclean, reboot.

Dan in ePo de PC rechtsklikken, 'deploy agent' oid. (heb het hier niet zo voorhanden).

Dan voor de pc de deployment task aanpassen zodanig dat de spullen die je wilt (anti-virus, alert manager, etc) geinstalleerd worden.

dinsdag 13 juli 2004 11:58

Acties:
  • Counter-Strike
  • Registratie: Maart 2000
  • Niet online

Counter-Strike

Maar ik speel het niet!

Topicstarter
Verwijderd schreef op 13 juli 2004 @ 01:12:
[*snip*]
Lijkt me de oplossing.. alles verwijderen (ook mappen), controleren of de frameworkservice wel echt verwijderd is uit het lijstje services, regclean, reboot.

Dan in ePo de PC rechtsklikken, 'deploy agent' oid. (heb het hier niet zo voorhanden).

Dan voor de pc de deployment task aanpassen zodanig dat de spullen die je wilt (anti-virus, alert manager, etc) geinstalleerd worden.
Nou, heb ik gedaan. VirusScan verwijderd, Alert Manager verwijderd, Client verwijderd (FrmInst.exe /REMOVE=AGENT vanuit de epoagent directory). Vervolgens een reboot. Mapjes weggehaald en registery opgeschoond.

Via de ePO de client gepushed. Ging goed. Die installeert vervolgens VirusScan, ook dat ging goed. De policies worden echter weer niet overgenomen. Wél de policies met betrekking tot de agent zelf - het ePO Agent icoontje verschijnt in de taskbar, gefoceerd door een policy.

Ik ben nu op zoek naar extra logs, misschien van VirusScan zelf. Moet vast wel iets instaan over policy processing of iets in die zin.

Edit
Inmiddels heb ik een debug-logfile gevonden waar op beide machines weinig mis mee is.
De log van de Windows XP machine.
De log van de Windows 2003 machine.

De enige "E" (error) die voorkomt is het laden van een library van een andere taal. Dit is echter ook het geval op de XP client, mag het probleem dus niet zijn.

code:
1

20040713133912  E   LoadLang    LoadLibrary (C:\Program Files\Common Files\ePOAgent\0809\AgentRes.dll) error 126


Dit zijn logs gegenereerd aan de hand van de "Check New Policies" en "Enforce Policies" knoppen in de ePO client.

[ Voor 30% gewijzigd door Counter-Strike op 13-07-2004 13:56 . Reden: Logs toegevoegd ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

woensdag 14 juli 2004 14:38

Acties:
  • Counter-Strike
  • Registratie: Maart 2000
  • Niet online

Counter-Strike

Maar ik speel het niet!

Topicstarter
Problem solved, Sir! :7

Achteraf gezien natuurlijk weer een klein dingetje!
Ik stuitte op http://www.tek-tips.com/gviewthread.cfm/pid/38/qid/869511

En jawel:
Afbeeldingslocatie: http://www.xs4all.nl/~aamvn/external/GoT/934244/solved.gif

Zeg nou zelf, niet echt een in het oog springend tabblaadje. Typisch gevalletje van blindstaren al zeg ik het zelf. Verklaart ook waarom de policies op de ePO agent wel werden doorgevoerd. Bedankt De Generaal voor de tijd en moeite. :)

[ Voor 1% gewijzigd door elevator op 14-07-2004 14:53 ]

Dit is het einde van deze mededeling. De mogelijkheid tot reageren is aanwezig!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq