Configuration Manager Konsole zeigt die veraltete Endpoint Protection-Definitionsversion und den Zeitpunkt der letzten Aktualisierung an.
Dieser Artikel bietet eine Lösung für das Problem, dass Configuration Manager Konsole veraltete Endpoint Protection-Definitionsversion und den Zeitpunkt der letzten Aktualisierung anzeigt, während auf den Clients die neueste Version der Definition installiert ist.
Ursprüngliche Produktversion: Configuration Manager
Ursprüngliche KB-Nummer: 4528414
Symptome
Wenn Sie Endpoint Protection zusammen mit Configuration Manager verwenden, treten die folgenden Probleme auf:
- In der Configuration Manager-Konsole öffnen Sie den Arbeitsbereich Bestand und Kompatibilität unter dem Knoten Geräte. In diesem Arbeitsbereich stellen Sie fest, dass in den Spalten Endpoint Protection Definition Letzte Version und Endpoint Protection Last Update Time (Endpoint Protection-Definition Letzte Version) veraltete Werte für einige Geräte angezeigt werden. Die Clients zeigen jedoch, dass die neuesten Versionen angewendet wurden.
- Der Thementyp 1901 (State_Topictype_Ep_Am_Health) ist nicht StateMessage.log auf den Clients angemeldet.
- Die folgenden Fehlermeldungen werden in ExternalEventAgent.log auf den Clients protokolliert:
PARSE XML zum Abrufen der Abfragezeichenfolge SELECT * FROM MSFT_MPComputerStatus
...
Führen Sie alle Initialisierungsaktionen für Richtlinienänderungen von CCM_ExternalEventConfig aus.
Der Registrierungsschlüssel "SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage\SyncStatus\ SyncStatus" konnte nicht mit einem Fehler 0x80070002 geöffnet werden.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage konnte nicht mit einem Fehler 0x80070002 geöffnet werden.
Fehler beim Laden vorheriger Werte der Differenzierungskriterien ComputerStatusStateMessage mit Fehler 0x80070002.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage\SyncStatus konnte nicht mit fehler 0x80070002 geöffnet werden.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage konnte nicht mit fehler 0x80070002 geöffnet werden.
Fehler beim Laden vorheriger Werte der Differenzierungskriterien "InfectionStatusStateMessage" mit Fehler 0x80070002.
Darüber hinaus sind die folgenden Registrierungsschlüssel nicht auf dem Client vorhanden:
HKLM\SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage
HKLM\SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage
Ursache
Dieses Problem tritt auf, weil die instance der MSFT_MpComputerStatus
Klasse nicht im root\Microsoft\ProtectionManagement
Namespace vorhanden ist. Der Client fragt diese instance ab, um die zugehörigen Registrierungsschlüssel aufzufüllen.
Lösung
Um das Problem zu beheben, führen Sie den folgenden Befehl auf den betroffenen Clientcomputern aus, um den ProtectionManagement
Anbieter erneut zu registrieren:
Register-CimProvider -ProviderName ProtectionManagement -Namespace root\Microsoft\protectionmanagement -Path <path of ProtectionManagement.dll> -Impersonation True -HostingModel LocalServiceHost -SupportWQL -ForceUpdate
Hinweis
In diesem Befehl < ist path of ProtectionManagement.dll> der Platzhalter für den Pfad von ProtectionManagement.dll. Zum Beispiel:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1907.4-0\ProtectionManagement.dll
Nachdem Sie diesen Befehl ausgeführt haben, gelten die folgenden Bedingungen:
- Die instance von
MSFT_MpComputerStatus
wird imroot\Microsoft\ProtectionManagement
Namespace aufgefüllt. - Der Thementyp 1901 wird in StateMessage.log protokolliert.
- Die betroffenen Werte in der Configuration Manager-Konsole werden aktualisiert.
Weitere Informationen
Windows Defender Protokolle können Ihnen helfen, die Grundursache dieses Problems zu identifizieren. Der folgende Protokollausschnitt zeigt beispielsweise an, dass eine andere Antivirenlösung vorhanden ist:
2019-09-04T08:00:11.166Z [Minifilter] Zugriff auf Datei verweigert: \ProgramData\Microsoft\Windows Defender\Platform\4.18.1907.4-0\Powershell\MSFT_MpComputerStatus.cdxml, from process '\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.0.3929.1200.105\Bin\ccSvcHst.exe' (PID: 3408)
Führen Sie zum Sammeln von Diagnoseprotokollen für Windows Defender die Schritte unter Sammeln von Diagnosedaten zur Updatekonformität für Windows Defender AV-Bewertung aus.
Informationen zum Haftungsausschluss von Drittanbietern
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für