Configuration Manager Konsole zeigt die veraltete Endpoint Protection-Definitionsversion und den Zeitpunkt der letzten Aktualisierung an.

  • Artikel

Dieser Artikel bietet eine Lösung für das Problem, dass Configuration Manager Konsole veraltete Endpoint Protection-Definitionsversion und den Zeitpunkt der letzten Aktualisierung anzeigt, während auf den Clients die neueste Version der Definition installiert ist.

Ursprüngliche Produktversion: Configuration Manager
Ursprüngliche KB-Nummer: 4528414

Symptome

Wenn Sie Endpoint Protection zusammen mit Configuration Manager verwenden, treten die folgenden Probleme auf:

  • In der Configuration Manager-Konsole öffnen Sie den Arbeitsbereich Bestand und Kompatibilität unter dem Knoten Geräte. In diesem Arbeitsbereich stellen Sie fest, dass in den Spalten Endpoint Protection Definition Letzte Version und Endpoint Protection Last Update Time (Endpoint Protection-Definition Letzte Version) veraltete Werte für einige Geräte angezeigt werden. Die Clients zeigen jedoch, dass die neuesten Versionen angewendet wurden.
  • Der Thementyp 1901 (State_Topictype_Ep_Am_Health) ist nicht StateMessage.log auf den Clients angemeldet.
  • Die folgenden Fehlermeldungen werden in ExternalEventAgent.log auf den Clients protokolliert:

PARSE XML zum Abrufen der Abfragezeichenfolge SELECT * FROM MSFT_MPComputerStatus
...
Führen Sie alle Initialisierungsaktionen für Richtlinienänderungen von CCM_ExternalEventConfig aus.
Der Registrierungsschlüssel "SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage\SyncStatus\ SyncStatus" konnte nicht mit einem Fehler 0x80070002 geöffnet werden.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage konnte nicht mit einem Fehler 0x80070002 geöffnet werden.
Fehler beim Laden vorheriger Werte der Differenzierungskriterien ComputerStatusStateMessage mit Fehler 0x80070002.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage\SyncStatus konnte nicht mit fehler 0x80070002 geöffnet werden.
Der Registrierungsschlüssel SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage konnte nicht mit fehler 0x80070002 geöffnet werden.
Fehler beim Laden vorheriger Werte der Differenzierungskriterien "InfectionStatusStateMessage" mit Fehler 0x80070002.

Darüber hinaus sind die folgenden Registrierungsschlüssel nicht auf dem Client vorhanden:

  • HKLM\SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\ComputerStatusStateMessage
  • HKLM\SOFTWARE\Microsoft\CCM\ExternalEventAgent\Criterias\Differentiation\InfectionStatusStateMessage

Ursache

Dieses Problem tritt auf, weil die instance der MSFT_MpComputerStatus Klasse nicht im root\Microsoft\ProtectionManagement Namespace vorhanden ist. Der Client fragt diese instance ab, um die zugehörigen Registrierungsschlüssel aufzufüllen.

Lösung

Um das Problem zu beheben, führen Sie den folgenden Befehl auf den betroffenen Clientcomputern aus, um den ProtectionManagement Anbieter erneut zu registrieren:

Register-CimProvider -ProviderName ProtectionManagement -Namespace root\Microsoft\protectionmanagement -Path <path of ProtectionManagement.dll> -Impersonation True -HostingModel LocalServiceHost -SupportWQL -ForceUpdate

Hinweis

In diesem Befehl < ist path of ProtectionManagement.dll> der Platzhalter für den Pfad von ProtectionManagement.dll. Zum Beispiel:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1907.4-0\ProtectionManagement.dll

Nachdem Sie diesen Befehl ausgeführt haben, gelten die folgenden Bedingungen:

  • Die instance von MSFT_MpComputerStatus wird im root\Microsoft\ProtectionManagement Namespace aufgefüllt.
  • Der Thementyp 1901 wird in StateMessage.log protokolliert.
  • Die betroffenen Werte in der Configuration Manager-Konsole werden aktualisiert.

Weitere Informationen

Windows Defender Protokolle können Ihnen helfen, die Grundursache dieses Problems zu identifizieren. Der folgende Protokollausschnitt zeigt beispielsweise an, dass eine andere Antivirenlösung vorhanden ist:

2019-09-04T08:00:11.166Z [Minifilter] Zugriff auf Datei verweigert: \ProgramData\Microsoft\Windows Defender\Platform\4.18.1907.4-0\Powershell\MSFT_MpComputerStatus.cdxml, from process '\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.0.3929.1200.105\Bin\ccSvcHst.exe' (PID: 3408)

Führen Sie zum Sammeln von Diagnoseprotokollen für Windows Defender die Schritte unter Sammeln von Diagnosedaten zur Updatekonformität für Windows Defender AV-Bewertung aus.

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.