Konfigurując ochronę antywirusową za pomocą programu Defender trzeba umieścić na jakimś serwerze rolę Endpoint Protection Point, skonfigurować i wdrożyć odpowiednie polityki konfiguracyjne klienta. Po wykonaniu tych wszystkich czynności zauważyłem, że niektóre tabele w bazie SQL o nazwach zaczynających się od EP_ są nadal puste.
Taka sytuacja nie jest normalna, obserwowałem w innych instancjach Configuration Managera, że wspomniana tabela zawiera zazwyczaj ponad 200 tysięcy rekordów.
Ochrona antywirusowa na maszynach klienckich tymczasem działa, jednie sam Configuration Manager okazuje się nieświadomy klasyfikacji zagrożeń oraz ich istotności, co ma swój skutek w raportach antywirusowych, gdzie spodziewane dane nie są umieszczane. Właśnie problem z pustymi raportami stał u początku dociekań. Szybko okazało się, że dane z raportów pobierane są także z tabel, które nie powinny być puste, a jednak nic nie zawierają.
Dość oczywiste podejrzenie musiało paść na rolę Endpoint Protection Point. Podglądając proces instalacji tej roli, okazało się, że jest tam instalowany klient System Center Endpoint Protection.
Serwer ten nie będąc klientem Configuration Managera (a dodatkowo nie znajdując się w kolekcji, przeznaczonej do zarządzania Defenderem) nie mógł w izolowanym środowisku laboratoryjnym uzyskać dostępu do aktualizacji antywirusowych. Widać to ładnie poniżej:
Próba zmuszenia systemu do pobrania aktualizacji kończyła się niepowodzeniem:
Dopiero wskazanie położenia aktualizacji w udostępnionym katalogu (ścieżka UNC) w poniższy sposób powoduje, że aktualizacje mogą być pobrane.
Tym razem nie pojawia się komunikat o błędzie:
Patrząc na zawartość logu EPCntrl.log widać, że aktualizacje nie tylko zostały pobrane, lecz także przekazane na Site Server:
Wystarczy teraz powtórzyć sprawdzenie bazy SQL:
Należy zauważyć, że cała trudność wynikała z braku dostępu do Internetu serwera z rolą Endpoint Protection Point, w związku z czym trzeba było mu wskazać alternatywne źródło aktualizacji sygnatur antywirusowych.