286: System Center Endpoint Protection Update

Für SCCM 2012 SP1 mit installiertem CU2 gibt es eine neuere Version der Endpoint Protection. Diese wird vermutlich für das kommende Windows 8.1 benötigt. Falls das Update serverseitig nicht eingespielt ist versucht der SCCM Agent trotzdem den SCEP Client zu installieren und scheitert mit folgender Fehlermeldung im „EndpointProtectionAgent.log“.

Detail error message is : [EppSetupResult]
HRESULT=0x8004FF71
Description=System Center 2012 Endpoint Protection cannot be installed on your operating system. 
Windows Program Compatibility mode is not supported by this program.
For information about supported operating systems, see the online Help. 
Error code:0x8004FF71.

Also los gehts. Update hier anfordern: http://support.microsoft.com/kb/2865173. Aus dem heruntergeladenen Hotfix Paket entstehen diese zwei Updatepakete:

  • CM12-SP1CU2-QFE-KB2864366-X64-ENU.exe (dieses ist seit dem 10.9. nicht mehr im Updatepaket drin. Es war auch nicht dokumentiert und anscheinend nicht notwendig)
  • CM12-SP1CU2-QFE-KB2865173-X64-ENU.exe

Diese werden nach der Installation auf dem Siteserver, wie andere Updates auch, im SCCMDIR\Hotfix Verzeichnis gespeichert, von wo sie z.B. per Updates Publisher ggf. auf weitere Sitesysteme übertragen werden können. Hat man nur einen Siteserver dann ist das schon geschehen und weitere Aktionen nicht notwendig. Die Updates generieren bei einer primären Site einen Site Reset, d.h. es macht Sinn das „sitecomp.log“ zu beobachten ob der Reset fertig ist und ggf. auch einen Blick in das „mpsetup.log“ zu werfen um zu erfahren ob ein Reboot notwendig ist.

Nach den Updates finded sich im SCCMDIR\Client Verzeichnis eine neue „scepinstall.exe“ mit der Versionsnummer „4.3.0215.0“. Diese gilt es jetzt ins Feld zu bekommen. Eine Methode ist hier beschrieben die einwandfrei funktioniert: http://blogs.msdn.com/b/minfangl/archive/2013/08/15/guidance-on-install-anti-malware-platform-updates-for-fep-2010-su1-and-scep-2012-sp1.aspx.

Hier ist nachzulesen wie die Methode genau funktioniert: http://configmgrblog.com/2012/12/03/how-to-update-configmgr-clients-automatically-in-sp1/.  Möchte man also den Zeitraum nicht abwarten reicht es den angelegten Task auf dem Client zu starten um das SCEP Update anzutriggern der das aktualisierte „scepinstall.exe“ ins Verzeichnis „ccmsetup“ herunterlädt.  Im „EndpointProtectionAgent.log“ ist dann folgendes zu sehen (Geduld… :-))

File C:\WINDOWS\ccmsetup\SCEPInstall.exe version is 4.3.215.0
Unable to query registry key (SOFTWARE\Microsoft\Microsoft Security Client), return (0x80070002) means EP client is NOT installed
Sending ack to MTC for task {9BCF7827-E04F-4C3A-8D8C-B943316A2D7F}
SCEP client is not present, SCEP client will be installed with the latest AM policy
Sending message to external event agent to disable notification
Sending message to endpoint ExternalEventAgent
Disable Startup Signature Update equals to false
Add the Disable Startup Signature Update settings to policy xml successfully
Create Process Command line: "C:\WINDOWS\ccmsetup\SCEPInstall.exe" /s /q /policy "C:\WINDOWS\CCM\EPAMPolicy.xml"
Endpoint is triggered by WMI notification
Detail error message is : [EppSetupResult] HRESULT=0x00000000
Description=The operation completed successfully.

Jetzt ist Endpoint Protection installiert bzw. aktualisiert.

scep01

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: