Symantec Endpoint Protection と Symantec Network Access Control の既知の問題と追加情報
Symantec Protection Center および Symantec Endpoint Protection Manager Web コンソールの問題
Symantec Endpoint Protection および Symantec Network Access Control Windows クライアントの問題
Symantec Endpoint Protection や Symantec Network Access Control のインストールまたはロールアウトを行う前、またはテクニカルサポートに連絡する前に、この文書全体を確認してください。この文書には、標準マニュアルまたは状況感知型ヘルプに含まれていない情報が記載されています。
この Readme ファイルの最新バージョンを次の URL で検索できます。
http://www.symantec.com/business/support/overview.jsp?pid=54619
シマンテック製ソフトウェアには特定のプロトコル、オペレーティングシステム、Service Pack、ソフトウェア、ハードウェアが必要です。シマンテック製ソフトウェアのインストール先になるすべてのコンピュータは使われるオペレーティングシステムの推奨条件に合うか、またはそれ以上でなければなりません。
最新の日本版のシステムの必要条件については、シマンテック社の Web サイトにあるテクニカルサポートページ(http://www.symantec.com/region/jp/techsupp/enterprise /select_product_kb.html)を参照してください。
このリリースでは次のマニュアルに再構成と更新が加わりました。
『Symantec Endpoint Protection および Symantec Network Access Control インストールガイド』
『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』。このマニュアルには Symantec Protection Center Web コンソールを使って Symantec Endpoint Protection を管理する方法や、Mac クライアント用の Symantec Endpoint Protection を管理する方法が載っています。
『Symantec Endpoint Protection および Symantec Network Access Control クライアントガイド』
マニュアルとヘルプに加わった部分的な変更の多くはサポート対象オペレーティングシステムについての具体的な説明です。Windows 7 は Symantec Endpoint Protection クライアントの場合にのみサポート対象です。Windows Server 2003 には Service Pack 1 以降が必要です。
最新のマニュアルを参照してください。
ここでは、アップグレード、インストール、アンインストール、修復の問題についての情報を示します。
RU6 よりも前のリリースを実行している場合、ベストプラクティスは、Symantec Endpoint Protection Manager を最初にアップグレードしてからクライアントソフトウェアをアップグレードすることです。これにより、最新のクライアントパッケージが自動的に追加され、管理コンソールが最新の機能にアップグレードされます。
Symantec AntiVirus のバージョンがわからない場合には移行後にコマンドプロンプトで次のコマンドを実行します。
次のように表示されたらドライバを開始するためにコンピュータを再起動してください。
SERVICE_NAME:SPBBCDrv TYPE :1 KERNEL_DRIVER STATE :1 STOPPED (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE :31 (0x1f) SERVICE_EXIT_CODE :0 (0x0) CHECKPOINT :0x0 WAIT_HINT :0x0
自動アップグレードはグループに新しいクライアントインストールパッケージを追加する処理を説明するために使われる用語です。グループに新しいインストールパッケージを追加すると、Symantec Endpoint Protection Manager はグループに所属するクライアントをクライアントソフトウェアの新しいバージョンに自動的にアップグレードします。コンソールの[クライアント]ページと[管理]ページの両方でグループに新しいクライアントパッケージを追加できます。
Symantec Endpoint Protection Manager を実行するコンピュータ上で自動アップグレード処理は mdef25builder.exe を使います。この処理は可能な最小のアップグレードパッケージを作成します。自動アップグレード処理中にタスクマネージャで実行中の mdef25builder.exe を参照できます。
Symantec Endpoint Protection Manager MR2 以降で MR2 クライアントを RU6 にアップグレードする場合には 2 分ほどで mdef25builder.exe の実行が始まります。任意の Symantec Endpoint Protection Manager で MR1 のクライアントを RU5 にアップグレードする場合にはまず Symantec Endpoint Protection Manager で LiveUpdate を実行する必要があります。LiveUpdate は新しいコンテンツをダウンロードしない可能性がありますが、Symantec Endpoint Protection Manager コンテンツカタログが更新され、その後で mdef25builder.exe が実行されます。
グループに新しいパッケージを追加してからタスクマネージャに mdef25builder が表示されるまでに 5 分以上かかります。新しいパッケージを初めて追加するときにSymantec Endpoint Protection Manager の自動アップグレード処理時間は最小で 30 分かかります。グループに所属するクライアントが同じレガシーソフトウェアを実行する場合、それ以降の他のグループへのパッケージ追加にはそれほどかかりません。スケジュールを設定していなければ mdef25builder.exe がタスクマネージャから消えてから 1 分ほどでパッケージがクライアントにダウンロードされます。スケジュールを設定すればパッケージはスケジュールに従ってクライアントにダウンロードされます。Symantec Endpoint Protection や Symantec Network Access Control のクライアントのアップグレードスケジュールを設定できるのは MR2 から RU6 にアップグレードする場合のみです。以前の MR の場合にアップグレードスケジュールを設定してもアップグレードは実行されません。定時自動アップグレードはクライアントコンピュータの時計を使います。
同じ日の 00:00 から 23:59 までの間ならば自動アップグレードスケジュールを設定できますが、翌日にわたる設定はできません。たとえば、00:02 から 05:00 までの間のアップグレードは実行されますが、1 日目の 22:30 と 2 日目の 05:30 の間のアップグレードは失敗します。
MR2 クライアントのアップグレードスケジュールを設定する場合には、[クライアントインストールパッケージの追加]ダイアログボックスで[開始時間]と[終了]の値または[アップグレードを配布する]の値のいずれかを使えますが、両方を同時には使わないでください。
パッケージがクライアントにダウンロードされていることを確認するには、\Program Files\Symantec\Symantec Endpoint Protection\Download フォルダを見つけてください。.dax または .zip のいずれかの拡張子が付くファイルが表示されるはずです。dax ファイルまたは .zip ファイルのいずれかがそこに表示されるはずです。ファイルが消えるとクライアント上でアップグレード処理が開始されます。処理には 10 分以上かかることがあります。
Symantec Endpoint Protection Manager にインストールパッケージをインポートしてパッケージをグループに割り当てることができます。パッケージの割り当て後に自動アップグレード処理がグループに所属するクライアントを更新しますが、更新が始まるまでに最大 4 時間かかることがあります。
自動アップグレード処理がすぐに始まるように強制するには Symantec Endpoint Protection Manager で LiveUpdate を実行します。LiveUpdate で新しいコンテンツがダウンロードされなくても自動アップグレードパッケージの生成とクライアントの更新が強制されます。
MR1 以前 (RU6 にアップグレードする前) の Symantec Endpoint Protection Manager を使って RU5 クライアントパッケージを追加する場合、クライアントが MR1 以前を実行していると自動アップグレードが失敗します。
この問題を解決するには、自動アップグレードを使って RU6 クライアントパッケージをインポートまたは配備しようとする前に Symantec Endpoint Protection Manager を RU6 にアップグレードします。
Release Update 6 に自動的にアップグレードするのに時間がかかるクライアントコンピュータは、再起動が必要になることがあります。この問題は、Windows Vista または Windows Server 2008 を実行するクライアントコンピュータで発生します。
Network Access Control に対応した Symantec Endpoint Protection クライアントをアップグレードした場合、インストールが完了しないことがあります。この問題は、クライアントが 802.1x 認証を実行するように設定されているときに発生します。また、この問題は、エクスポートしたクライアントインストールパッケージがネットワーク上にあり、そのインストールパッケージをクライアントから起動した場合にのみ発生します。
この問題が発生するのは、クライアントをアップグレードするために、インストール処理が smc クライアントサービスと snac クライアントサービスを停止するからです。これらのクライアントサービスが停止した場合、LAN エンフォーサはクライアントコンピュータを認証できません。LAN エンフォーサがクライアントコンピュータを認証できない場合、クライアントコンピュータはネットワークとその他のインストールファイルへのアクセスを許可されません。
クライアントの URL 自動アップグレードで MR1 から RU5 へのアップグレードを完了するには次の手順で操作します。
Web サーバーを使ってクライアントを MR 1 から RU6 に自動アップグレードするには
http://192.168.1.118/setup.exe または http://mywebsite.com/setup.exe
共有ドライブからインストールファイルを実行することによって Symantec Endpoint Protection クライアントをインストールまたはアップグレードしようとするとネットワーク接続性の一時的な破棄が起きます。破棄が起きるのは権限の昇格によるシステム特権でインストールを実行した場合です。
LAN 上のインストールまたはアップグレードの場合、ネットワーク接続は復元されます。VPN 接続経由のインストールまたはアップグレードの場合、ネットワーク接続は復元されないのでユーザーは再認証する必要があります。
Symantec Sygate Policy Manager MR8 から Symantec Endpoint Protection Manager RU5 以降に移行するときには圧縮解除したクライアントパッケージを格納するオプションを有効にしてください。
コンソールの[管理]ページで[サーバー]をクリックしてからサイトを選択します。[サイトのプロパティ]ダイアログボックスの[LiveUpdate]ページで圧縮解除したクライアントパッケージを格納するオプションにチェックマークが付いていることを確認します。これでアップグレードのネットワークパフォーマンスが向上します。このオプションにチェックマークを付けるとアップグレード処理中にサーバー上に %SEPM% \Inetpub\ClientPackages\XXXXXXXXXXX\Full\ フォルダが作成されます。チェックマークをはずすとフォルダが作成されないので移行は失敗します。
以前に自動アップグレードしたクライアントを自動アップグレードで Symantec Endpoint Protection RU4 以降にアップグレードしようとするときには新しいパッケージを追加する前に以前のインストールパッケージを削除する必要があります。
Symantec Endpoint Protection Manager コンソールで以前のパッケージは[インストールパッケージ]タブの[クライアントインストールパッケージ]ページに表示されます。以前のパッケージを削除しないで新しいパッケージを追加しようとすると、まず以前のクライアントパッケージを削除するように指示するエラーメッセージが表示されます。以前のパッケージを削除しても既存のレガシークライアントには影響しません。
Symantec Network Access Control の管理外クライアントをコンピュータにインストールしてから Symantec Endpoint Protection クライアントをそのコンピュータにアップグレードとしてインストールした場合、手動で再起動する必要があります。 再起動を要求するメッセージは表示されません。 Symantec Endpoint Protection クライアントのステータスは再起動するまでは赤色で表示されます。
以前のバージョンの Symantec Network Access Control をインストールしてからクライアントコンピュータを再起動していないと Symantec Network Access Control クライアントソフトウェアのアップグレードは失敗します。.
たとえば、MR1 を実行しているクライアントを MR4 にアップグレードするにはインストール後に少なくとも 1 回は再起動する必要があり、そうしないと MR4 へのアップグレードは失敗します。
URL 方式を使って MR3、MR4、MR4 MP1 クライアントを自動アップグレードする場合は、アップグレードが 3 回試行された後、停止して失敗します。この問題を回避するには、URL の代わりに Symantec Endpoint Protection Manager を使って MR3、MR4、MR4 MP1 クライアントを自動アップグレードします。
プロアクティブ脅威防止がインストールされていない Symantec Endpoint Protection クライアントをアップグレードすると、Windows が SEP を設定していることを示すメッセージが表示されます。最初のメッセージの後、インストールの修復で見つからないファイルを置き換えている間に他のメッセージが続けて表示されます。一連のメッセージがすべて表示されると、インストールは正常に完了します。
根本原因:修正済みの PHP ファイルはバージョン不定であり、MSI にはインストーラの外部で修正されたバージョン不定のファイルを別扱いにして次回のインストールで置き換えないというルールがあるので (タイムスタンプが示すように) MSI による上書きインストール中に置き換わりません。これは .ini ファイルのようなテキストファイルに役立ちますがシマンテック製品のインストールが失敗する原因になります。
対策:PHP ファイルを修正しないでください。シマンテック社はシマンテック製 PHP ファイルの無断修正をサポートしません。理由があって一時的に修正しなければならない場合には元のファイルを保存し、修正を加え、後で元のファイルを復元してください。
Documents フォルダの対象となる場所がドライブマップを使って再割り当てされている場合、クライアントのインストール中に、「エラー 1327。無効なドライブ U:\」というようなドライブ無効のエラーメッセージが表示されることがあります。この問題は Windows Vista で確認されています。
Documents フォルダが UNC パスを使って再割り当てされている場合、このエラーメッセージは表示されず、これらの手順は不要です。
既存のオンデマンドクライアントを Firefox で実行し、オンデマンドクライアントの最新バージョンをインストールしようとした場合、インストールが失敗します。Firefox ブラウザを閉じて、インストールを開始してください。
Firefox 3.0 でオンデマンドクライアントをインストールするときは、インストール中に[アドオン]パネルで NPlug-in が有効になっていることを確認します。このプラグインを最初に有効にしない場合、オンデマンドクライアントをインストールできません。
これは Symantec Endpoint Protection が DHCP サーバーでネットワーク脅威防止とともにインストールされていると起こる場合があります。
DHCP トラフィックを許可するようにネットワーク脅威防止を設定する方法について詳しくは、「
」を参照してください。
Windows Vista 64 ビットで Panda 2009 ソフトウェアを実行するコンピュータにオンデマンドクライアントをインストールしないでください。このクライアントをインストールした場合、予期しない結果が起こることがあります。
管理サーバーの設定ウィザードでは、利用するデータベース認証の種類を選択できます。SQL Server 認証または Windows 認証を選択できます。SQL Server 認証を選択した場合、Symantec Endpoint Protection Manager はユーザー名とパスワードを平文でデータベースに送信します。Windows 認証を選択した場合、Symantec Endpoint Protection Manager は NTLM(Microsoft NT LAN Manager)認証プロトコルを使ってパスワードを暗号化し、データベースに送信します。Windows 認証を受け入れるように Microsoft SQL Server を設定する必要があります。
ThinkVantage Client Security Solution 8.2 がクライアントコンピュータにインストールされており、Windows User Access Control が有効になっている場合、クライアントインストールは失敗することがあります。
[管理外コンピュータの検索]ダイアログボックスを使って x64 オペレーティングシステムにクライアントソフトウェアを配備した場合、インストールが機能しないことがあります。インストールの結果では、インストールが正常に完了したと表示されますが、実際には完了していません。
Symantec Endpoint Protection Manager で、クライアントソフトウェア更新パッケージをダウンロードするように LiveUpdate を設定している場合、Symantec Endpoint Protection Manager コンソールに表示されるパッケージのバージョン番号の最後の数字はゼロになります。たとえば、パッケージのバージョン番号が 11.0.2000.1423 の場合、[クライアントインストールパッケージ]ページに表示されるバージョン番号は 11.0.2000.0 です。パッケージがクライアントに配備された後、クライアントの[バージョン情報]ボックスでパッケージの完全なバージョン番号を確認できます。
Symantec Endpoint Protection Manager コンソールでは、クライアントインストールパッケージのバージョン番号は、11.0.4000.1567 のように表示されます。インストールパッケージには 11.0.4000.x や 11.0.4002.x などのように 3 番目の位置に必ず固有の数字が設定されます。パッケージのバージョン番号を表示するには、[管理]、[インストールパッケージ]、[クライアントインストールパッケージ]の順にクリックし、[バージョン]列を確認します。
4 番目の方法として、Symantec Endpoint Protection Manager から LiveUpdate を実行して Symantec Endpoint Protection Manager にパッケージを追加することもできます。シマンテック社から LiveUpdate 経由で最新のパッケージが提供されており、これらのパッケージをダウンロードするように LiveUpdate が設定されている場合、パッケージは[クライアントインストールパッケージ]リストにも表示されます。ただし、LiveUpdate を通して追加したパッケージのバージョン番号は、他の方法で追加したパッケージのバージョン番号とは異なって表示されます。LiveUpdate を通して追加したパッケージは、11.0.4000.0 のようにバージョン番号の最後の数字がゼロになります。
ただし、LiveUpdate を通してパッケージを追加する場合、Symantec Endpoint Protection Manager では、インストールメディアから 2 つのファイルを選択することによって同じパッケージが追加されるのを防ぐことはできません。そのため、インストールメディアから同じパッケージを追加しないようにしてください。また、LiveUpdate 以外の方法でパッケージを追加していた場合は、LiveUpdate を実行しても重複するパッケージは追加されません。
インストールメディアからパッケージを追加しているときに、重複するパッケージを追加しているかどうかがわからない場合は、\SEP\setup.ini ファイルを開いてください。このファイルにはインストールメディアにある Symantec Endpoint Protection のバージョンが記載されています。
キャッシュをオンまたはオフにしてクライアントをインストールできます。キャッシュをオンにしてクライアントをインストールする場合にはカスタムの場所も指定できます。
キャッシュをオフにしてインストールするには次の MSI コマンドを使います。
msiexec /I "MSI FILE" CACHEINSTALL=0
キャッシュをオン (デフォルト) にしてインストールするには、インストールキャッシュのカスタムの場所を指定できるように次の MSI コマンドを使います。
msiexec /I "MSI FILE" CACHEINSTALL=1 CACHED_INSTALLS="cache location"
32 ビットと 64 ビットの Windows Vista、Windows 2008 Server R2、Windows 7 オペレーティングシステムでは、次の操作を行うときに対話モードを選択しないでください。
32 ビットと 64 ビットの Windows Vista、Windows 2008 Server R2、Windows 7 オペレーティングシステムで対話型インストールを行うと、エラーなどの一貫しない結果が生じます。これらのオペレーティングシステムでインストールするとき、サイレントインストール機能を使います。
Windows Vista (Service Pack 0 または 1) にシマンテック製クライアントソフトウェアをリモート (プッシュ配備ウィザードなど) で配備すると対話型インストールと一部の無人インストールで Windows Vista ユーザープロンプトが表示されます。最初のユーザープロンプトとして「プログラムからデスクトップにメッセージを表示できません」が表示されます。インストールを完了するには、[メッセージを表示する]を選択し、シマンテック製クライアントインストールのメッセージに従って操作し、インストールが完了する前に自動的に Windows Vista からログオフする必要があります。ユーザーが再びログオンするときに[メッセージを表示する]を再びクリックすれば、クライアントインストールが完了します。
現在サードパーティのファイアウォールを実行しているクライアントコンピュータにはネットワーク脅威防止をインストールしないでください。1 台のコンピュータで同時に 2 つのファイアウォールを実行すると、リソースが使い果たされたり、ファイアウォールのルールが互いに競合したりする可能性があります。サードパーティのファイアウォールには Microsoft ISA ファイアウォールや Windows ファイアウォールなどがあります。
Windows Vista を実行している仮想コンピュータでは、Symantec Endpoint Protection ネットワーク脅威防止(NTP)が有効になっているとき、大容量ファイルをネットワーク共有にコピーすると時間がかかる可能性があります。IPv6 を無効にするとパフォーマンスが改善されます。
再起動オプションを無効に設定したクライアントパッケージをインストールする場合に次の MSI コマンドを使うとインストール後に再起動を要求するメッセージが表示されます。
msiexec /I "Symantec AntiVirus.msi" REBOOT=suppress
インストール後に再起動オプションが表示されないようにするには、代わりに setup.exe を使ってクライアントパッケージをインストールするか、または次の MSI コマンドを使います。
コマンドウィンドウから Windows MSP 実行可能ファイルを実行してクライアントコンピュータをアップグレードするときに、cmd.exe アプリケーションを閉じて[再試行]をクリックするように指示するメッセージがインストーラによって表示されます。このメッセージは Windows Server 2008 の Server Core のインストール時に表示されます。
メッセージが表示されたら、コマンドウィンドウを閉じて[Retry to continue with the upgrade]をクリックします。
Symantec Endpoint Protection Manager をインストールし、Microsoft SQL Server 2005 64 ビットエディションにデータベースをインストールするという選択をした場合、インストーラは bcp.exe という名前のファイルを正しく検索できません。管理サーバーの設定ウィザードは %SystemDrive?=%\ProgramFiles\Microsoft SQL Server\90 \Tools\Binn という名前のディレクトリで bcp.exeを検索します。このディレクトリは Microsoft SQL Server 2005 32 ビットエディションでは正しいディレクトリですが、64 ビットエディションでは正しくありません。
手動で入力する必要がある正しいディレクトリは %SystemDrive%\Program Files\Microsoft+ SQL Server\90\Tools\Binn です。たとえば、C:\Program Files\Microsoft+ SQL Server\90\Tools\binn というように入力します。
Symantec Endpoint Protection Manager は Symantec Endpoint Protection Manager のコンソールを表示するために TCP 9090 を使います。他のソフトウェアがこのポートで応答準備している場合、Symantec Endpoint Protection Manager コンソールにログオンできません。Symantec IM Manager は TCP ポート 9090 を使います。TCP ポート 9090 を使う他のソフトウェアを必要としているコンピュータで Symantec Endpoint Protection Manager コンソールを実行する必要がある場合は、Symantec Endpoint Protection Manager コンソールのポートを変更できます。
TCP ポート 9090 を変更するには、WordPad で次のファイルを編集します(メモ帳では XML の LF が正しく表示されません)。
\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\server.xml
port=9090 を検索し、TCPポート 9090 を別の TCP ポート番号に変更します。ファイルを保存してから、[管理ツール]の[サービス]ユーティリティを使って Symantec Endpoint Protection Manager を再起動します。これで Symantec Endpoint Protection Manager コンソールにログオンできます。
ただし、ポート 9090 を変更すると、オンラインヘルプシステムの一部が無効になります。ヘルプを使うたびに、URL の 9090 を変更したポート番号に変更してヘルプテキストを表示する必要があります。
エンフォーサと Symantec Endpoint Protection Manager の通信のデフォルトポートは 8014 であるを参照してください。
同じコンピュータ上に Norton Confidential をインストールしてあると Symantec Endpoint Protection は正しく動作しません。Symantec Endpoint Protection を先にインストールした場合、Norton Confidential をインストールしようとしても遮断されます。Norton Confidential を先にインストールした場合、Symantec Endpoint Protection はインストールされます。同じコンピュータ上に両方のソフトウェアプログラムをインストールした場合、Symantec Endpoint Protection はアプリケーションホワイトリストを正しく処理しません。アプリケーションホワイトリストには、コンピュータで上でプロアクティブ脅威防止によって実行が許可されるアプリケーションのシグネチャが含まれています。
デフォルトでは、Symantec Endpoint Protection を DVD からインストールすると Lotus Notes 用または Microsoft Outlook 用の電子メール保護はインストールされません。Lotus Notes または Microsoft Outlook の電子メール保護をインストールするにはカスタムインストールを実行して保護したい電子メールプログラムにチェックマークを付けます。パフォーマンス上の理由により、サーバーオペレーティングシステムにインターネット電子メール保護はインストールされません。
Linux 用の Symantec AntiVirus 保護インストールファイルは、追加のインストール DVD に含まれています。このインストールファイルは、インストールマニュアルとユーザーマニュアルを含む SAVFL という名前のディレクトリにあります。Symantec AntiVirus for Linux は管理外モードでのみサポートされます。
日本語文字が入ったディレクトリ名は LiveUpdate サーバーや Symantec Network Access Control クライアントのインストール先としてサポート外です。
LiveUpdate サーバーのインストール先のディレクトリ名に日本語の文字が入っていると LiveUpdate サーバーは正しく動作しません。LiveUpdate サーバーを日本語文字のディレクトリにインストールすることはインストールパスのカスタマイズを示しています。日本語オペレーティングシステム上で LiveUpdate サーバーをデフォルトパスにインストールすれば LiveUpdate サーバーは正しく動作します。
DVD で Symantec Endpoint Protection Manager をインストールした場合に Symantec Endpoint Protection Manager を修復しようとすると DVD を挿入するように要求するメッセージが表示されます。
Windows Server 2008 のスタートメニューで、[設定]、[コントロールパネル]、[プログラムと機能]の順に選択し、Symantec Endpoint Protection Manager を右クリックしてから[修復]をクリックすることによって修復します。
Windows 7 または Vistra を実行するコンピュータ上で組み込みでないローカルシステム管理者ユーザーのクレデンシャルを使ってクライアントにリモートプッシュをしようとする場合に[管理外コンピュータの検索]タスクでコンピュータを検索するとインストール先コンピュータが[不明なコンピュータ]ページのリストに表示され、それらのコンピュータにクライアントをリモートでプッシュできなくなります。
これは Windows Vista コンピュータ上で ReallySuppress フラグを使ってコマンドラインインストールをした場合にのみ起きます。
対策:この場合にはコマンドラインインストールを使わないでください。代わりに、サイレントに動作する設定のパッケージをエクスポートしてください。エラーメッセージは表示されません。
限定管理者が特定のグループの割り当てでカスタムパッケージを作成するとその割り当ては失敗します。そのパッケージをインストールするクライアントはデフォルトグループに割り当て済みです。
複製のために設定される Symantec Endpoint Protection Manager のインスタンスをアンインストールする場合は、最初に複製を無効にします。次に、Symantec Endpoint Protection Manager をアンインストールするコンピュータを再起動してから、アンインストールを実行します。
複製していた Symantec Endpoint Protection Manager をアンインストールしようとして、ログファイルエラーが表示された場合は、アンインストールを取り消し、コンピュータを再起動してから、Symantec Endpoint Protection Manager をアンインストールしてください。
Windows Vista を実行するコンピュータの Remote Desktop を使って Symantec Endpoint Protection をアンインストールした場合、アンインストールは機能しません。
Windows Vista を実行するコンピュータからアンインストールを実行した場合、変更が保留になるため、Windows Vista の再起動メッセージが表示されます。Windows Vista を再起動し、Symantec Endpoint Protection のアンインストールを再び実行した場合、変更が保留になるため、Windows Vista の再起動メッセージが再び表示されます。
この問題を解決するには、Windows XP を実行するコンピュータから Symantec Endpoint Protection をアンインストールします。たとえば、Windows XP を実行するコンピュータから Remote Desktop セッションを開始し、Windows Vista と Symantec Endpoint Protection を実行するコンピュータにログオンします。これで Symantec Endpoint Protection を正常にアンインストールできます。
移行についての最新情報を次の Web サイトで検索できます。
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=endpointsecurity_sep11shift00&footer=2
管理サーバーで Symantec Sygate Protection Agent バージョン 5.1 が Symantec Endpoint Protection MR4 クライアントに自動的にアップグレードされるときには、32 ビットクライアントインストールパッケージが使われ、64 ビットクライアントインストールパッケージは使われません。これは、Symantec Sygate Enterprise Protection MR8 MP1 以前から Symantec Endpoint Protection MR4 に移行している場合にのみ該当します。
SSEP 5.1 MR8 エージェントでは、管理サーバーから 32 ビットクライアントインストールパッケージと 64 ビットクライアントインストールパッケージのどちらをダウンロードするように要求するかを決定できません。そのため、32 ビットのクライアントコンピュータで間違ったパッケージを受信することがあります。
この問題を回避するには、32 ビットコンピュータのグループと 64 ビットコンピュータのグループを作成します。その後、適切なパッケージを各グループに配備します。
Symantec AntiVirus と Symantec Client Security のレガシーサーバーでは、共有ディレクトリを作成して使います。共有ディレクトリの場所は \\Program Files\SAV です。共有の名前は VPHOME です。場合によっては、Symantec Endpoint Protection クライアントへの移行後に、このディレクトリと共有が読み取り専用権限で維持されます。
ここでは Symantec Protection Center と Symantec Endpoint Protection Manager Web コンソールについて説明します。
Symantec Protection Center または Symantec Endpoint Protection Manager の Web コンソールを実行するには Internet Explorer で混在コンテンツを有効にする必要があります。混在コンテンツを有効にするには、初めてログオンするときに表示される[セキュリティ警告]ダイアログボックスで[いいえ]をクリックします。
Symantec Brightmail Gateway でホストの設定を編集した場合、サーバーは応答を停止します。初期の起動ページから Symantec Protection Center を再起動する必要があります。
状況によっては、Symantec Protection Center にプロキシサーバーが必要です。プロキシサーバーを設定するには、portal.propertiesファイルを編集して適切な設定を含めます。portal.properties ファイルは <install_SEPM_directory>\tomcat\portal フォルダに入っています。これらのプロパティはサーバー上でのみ指定されます。クライアントコンピュータ上で何もする必要はありません。
ここでは、Symantec Endpoint Protection Manager についての情報を示します。
フランス語版の Windows Server 2008 または Windows Vista で Symantec Endpoint Protection Manager をインストールした場合、一部のフォルダ名が英語で表示されます。
プロキシサーバーを使って Symantec LiveUpdate に接続する場合、プロキシサーバーに対してWindows 認証を設定できます。プロキシサーバーのサーバープロパティのダイアログボックスの[プロキシサーバー]タブで、[Windows 認証を使う]にチェックマークを付けます。Windows 認証を有効にしたときは、ユーザー名の形式に <ユーザー>@<ドメイン> または <ドメイン>\<ユーザー> を使います。
Symantec Endpoint Protection Manager との暗号化されていない通信(HTTP)のデフォルトポートは 80 から 8014 に変わりました。暗号化された通信(HTTPS)には引き続き 443 番のポートを使います。このポート設定はすべての種類のエンフォーサに適用されます。
Windows Server 2008 でコンソールタイムアウト機能を設定した場合、コンソールが応答を停止し、正しく終了しないことがあります。また、管理サーバーで[ホーム]ページ、[監視]ページ、[レポート]ページが表示されないことがあります。この問題は、Windows Server 2008 のユーザーアカウント制御が有効になっているときに発生します。
この問題は、Sun JKD 6 アップグレード 4 以前を実行するコンピュータでのみ発生します。この問題を解決するには、JDK をバージョン 6 アップデート 5 以降にアップグレードします。バージョン 6 アップデート 14 をお勧めします。この問題は、Sun の既知の不具合(id 6514454)が原因です。
リモートでログオンするコンピュータに JDK がインストールされていない場合、Symantec Endpoint Protection は JDK の正しいバージョンを自動的にインストールします。
2 つのサイトを複製パートナーとして設定した場合、サーバープロパティのダイアログボックスで各サイトの複製サーバーにアクセスを許可する必要があります。アクセスを許可しない場合、複製は失敗します。
複製パートナーサーバーへのアクセスを許可する手順については、『Symantec Endpoint Protection Manager および Symantec Network Access Control 管理者ガイド』の第 14 章「サーバーの管理」を参照してください。「リモートの Symantec Endpoint Protection Manager コンソールへのアクセスの認可または拒否」のセクションを確認してください。
Symantec Endpoint Protection Manager は、Microsoft SQL Server 2005 以降については I18n サポートを提供しますが、Microsoft SQL Server 2000 については提供しません。SQL Server 2000 で I18n サポートを提供するには、管理サーバーでバッチモード処理を有効にする必要があります。
Check Point VPN 接続に基づく場所の認識基準は、Check Point VPN クライアントバージョン R56 以降でのみサポートされます。
ネットワークが現在 Check Point VPN クライアントバージョン R55 以前をサポートしている場合、Check Point VPN クライアントをバージョン R56 以降にアップグレードする必要があります。Check Point VPN クライアントバージョン R56 以降は、Symantec Endpoint Protection Manager における場所の認識をサポートします。
Maintenance Release 2 以降では、管理コンソールを使って管理サーバーで保持するコンテンツリビジョンの数を変更できます。
以前のバージョンの Symantec Endpoint Protection Manager では、conf.properties ファイルの scm.lucontentcleanup.threshold パラメータを設定することにより、コンテンツリビジョンの数を変更できます。Maintenance Release 2 以降では、このパラメータはファイルから削除されています。
保持するコンテンツリビジョンの数のデフォルトは 3 です。以前のリリースからアップグレードする場合、管理コンソールでは代わりに scm.lucontentcleanup.threshold(以前のリリースで設定した場合)を使います。
Symantec Endpoint Protection Manager サーバーは単一言語のユーザーインターフェースをサポートします。これは特定言語のオペレーティングシステムの Symantec Endpoint Protection Manager コンソールでインストールや実行できるのはそれと同じ言語のみであることを意味します。Symantec Endpoint Protection Manager コンソールを実行するときにエンドユーザーはユーザーロケールをオペレーティングシステム言語と同じ設定にする必要があります。
[プログラムの追加と削除]の[サポート情報]ウィンドウを通して Symantec Endpoint Protection Manager を修復した場合、Symantec Endpoint Protection Manager に再びログオンできません。
データベース保守オプションを設定した後、新しいオプションはすぐに適用されず、深夜に適用されます。
データベース保守オプションがすぐに適用されるように管理サーバーを設定するには、conf.properties ファイルを設定します。
config.properties ファイルを設定するには
- scm.object.idletime=3600000(ミリ秒)を小さい数値に変更します。デフォルトは 1 カ月です。
- scm.timer.objectsweep=900(ミリ秒)を小さい数値に変更します。デフォルトは 1 日に 1 回です。
既存の Symantec Sygate Enterprise Protection 5.x データベースをこのリリースにアップグレードした場合、誤った詳細情報が表示されることがあります。この問題は、データベースできわめて短い時間内に大量のクライアントログエントリが生成された場合にのみ発生します。
Symantec Endpoint Protection Manager では、2 バイト文字を使って管理者の名前を追加しないでください。2 バイト文字を使った場合、管理者はインターネットブラウザで Symantec Endpoint Protection Manager コンソールにログインできなくなります。Symantec Endpoint Protection Manager コンソールへのログインは失敗します。ただし、管理者がインターネットブラウザを使わずに、Symantec Endpoint Protection Manager Java コンソールに直接ログインすることは引き続き可能です。
Tomcat では IPv6 の localhost ループバック IP アドレスが認識されません。この問題は、Windows 2008、Windows Vista、Windows 7 を実行するコンピュータで発生します。この問題を回避するには、URL に localhost ではなく IP アドレス 127.0.0.1 を使います。
たとえば、http://localhost:9090/servlet/ConsoleServlet?ActionType=ConfigServer&action=CleanGroupPolicy を使って Symantec Endpoint Protection Manager データベースのポリシーデータを削除する場合は、URL に localhost ではなく 127.0.0.1 を使います。
Windows 2008 コンピュータでは、JDK(Java Development Kit)の問題が原因で、フィールドに中国語簡体字を入力したときに Symantec Endpoint Protection Manager コンソールがクラッシュします。64 ビット版では、この問題は文字を 1 文字でも入力した場合に発生します。32 ビット版では、フィールドに 26 文字以上を入力した場合にのみ発生します。この問題は Java Development Kit 1.6 以降で発生しますが、それよりも前のバージョンで発生する可能性もあります。
2 つのサイトを複製パートナーとして設定してから 1 つ目のサイトに二次サーバーを追加した場合、2 つ目のサイトからの複製で 1 つ目のサイトにある二次サーバーは見つかりません。
対策:1 つ目のサイトの一次サーバーを再起動して複製を再実行します。再起動すると localPartner 構造が再ロードされ、それが複製されます。
ここでは、Symantec Endpoint Protection と Symantec Network Access Control のポリシーの操作についての情報を示します。
クライアントは管理サーバーの無効な IP アドレスに接続を試みた場合に Symantec Endpoint Protection Manager からコンテンツをダウンロードするのに長い時間を要することがあります。この状況は複数の IP アドレスを持つ管理サーバーで発生する可能性があります。一部の管理サーバーは複数の NIC または VPN ソフトウェアがインストールされているため、複数の IP アドレスを持ちます。コンソールでは、各管理サーバーのデフォルト管理サーバーリストにそのサーバーのすべての利用可能な IP アドレスが含まれています。多くの場合、それらの IP アドレスの 1 つのみが有効です。
ポリシーを変更した後、クライアントは負荷分散の目的で、最新のポリシーのダウンロード元となるサーバーを管理サーバーリストから無作為に選択します。クライアントはその特定の IP アドレスを持つサーバーに接続できない可能性があります。その場合、クライアントは有効なサーバーが見つかるまで管理サーバーリスト内の各サーバーに接続を試みます。これらの接続試行によりコンテンツのダウンロードが遅れます。
この問題を回避するには、サーバーの新しい管理サーバーリストを定義します。別の方法として、クライアントが到達できないすべての IP アドレスを既存のリストから削除します。次に、グループに管理サーバーリストを割り当てます。[クライアント]、[ポリシー]の順にクリックし、さらに[通信の設定]をクリックします。
管理外クライアントは、古い管理サーバーバージョンとサードパーティツールにより配備されたポリシーを更新できません。サードパーティ管理ツールはコンテンツパッケージのポリシーを更新する必要がありますが、クライアントはレガシーポリシーファイルを処理しません。この問題は、Symantec Endpoint Protection Manager Maintenance Release 2 以前を Symantec Endpoint Protection クライアント Maintenance Release 4 とともに実行した場合に発生します。
この問題を回避するには、ポリシーファイルをクライアントに配備する前に、まず管理サーバーを Maintenance Release 4 に更新します。
英語以外のオペレーティングシステムを実行するクライアントですべてのコンテンツの種類を同時に追加したとき、クライアントはウイルス定義コンテンツを適用しないことがあります。この状況が発生した場合、ウイルス定義コンテンツを再度追加することで問題を解決できます。
最初の LiveUpdate セッション中に、一部のコンテンツが Symantec Endpoint Protection Manager コンピュータにダウンロードされないことがあります。足りないコンテンツをダウンロードするには、次のコマンドを実行します。LUALL
HTTP 1.1 以降のプロトコルに対応しているプロキシサーバーをネットワーク環境がすでにサポートしている場合は、このエントリを無視できます。LiveUpdate を初めてダウンロードしようとした後に次のメッセージが表示されることがあります。
LU1863:Insufficient free disk space.There is not enough free disk
space for LiveUpdate to operate properly.Please free up disk space
on your computer and run LiveUpdate again.
ディスク容量が不十分な可能性があります。ただし、より高い可能性としてプロキシサーバーが正しい Contents-Length ヘッダーフィールドを送信できないためにこのメッセージが間違って表示されていることが考えられます。このエラーメッセージは Symantec Endpoint Protection Manager、Symantec Endpoint Protection クライアント、Symantec Network Access Control クライアントで表示されることがあります。LiveUpdate をダウンロードしたディスクドライブに十分なディスク容量があることを確認できます。ディスクドライブに十分なスペースがあることを確認した場合、問題を引き起こしているのはおそらくプロキシサーバーです。Content-Length ヘッダーフィールドが含まれていない HTTP 応答をプロキシサーバーが受信した場合、上記のメッセージが間違って表示されます。誤ったメッセージは LiveUpdate がダウンロードされたコンピュータで表示されます。
HTTP 1.1 プロトコルに対応しているプロキシサーバーでは Content-Length ヘッダーエンティティフィールドが自動的に含まれます。HTTP 1.0 プロトコルに対応しているプロキシサーバーでは Content-Length ヘッダーエンティティフィールドが自動的に含まれません。ネットワークのプロキシサーバーが HTTP 1.1 プロトコルに対応していることを確認できます。
プロキシサーバーを HTTP 1.1 プロトコルに対応させる方法について詳しくはプロキシサーバーに付属のマニュアルを参照してください。
LiveUpdate サイトの設定は複製されません。これらの設定は、Symantec Endpoint Protection Manager が何をダウンロードしてクライアントに配布するかに影響します。これらの設定には次のようなものがあります。
管理下クライアントのウイルス定義または侵入防止シグネチャが最新でなく、Symantec Endpoint Protection Managerで管理下クライアントに対してすべての更新方法を無効にした場合、管理下クライアントはコンテンツが最新でないことをユーザーに報告しません。管理下クライアントの画面にはコンテンツが最新でないという警告は表示されません。
Symantec Endpoint Protection Manager を Symantec Network Access Control が有効な Symantec Endpoint Protection Manager にアップグレードした後、LiveUpdate はホストインテグリティテンプレートを自動的に更新しません。
テンプレートを更新するには、Symantec Endpoint Protection Manager コンソールの[ダウンロードするコンテンツの種類]ダイアログボックスで[ホストインテグリティテンプレート]チェックボックスに明示的にチェックマークを付ける必要があります。コンソールで、[管理]をクリックし、[サーバー]をクリックします。[サーバーの表示]でサイトを選択し、[サイトのプロパティ]をクリックします。[LiveUpdate]タブをクリックし、[ダウンロードするコンテンツの種類]グループボックスで[選択項目の変更]をクリックします。
オンデマンドスキャンでは、Windows のマウントポイントまたはドライブのスキャンにセキュリティリスク例外が適用されません。したがって、クライアントはボリュームコンテンツをスキャンするとき、指定されたファイルとフォルダを除外しません。
たとえば、ドライブ E:\ が C:\Mount にマウントされていて、C:\Mount\Foo\ の例外を作成したとします。クライアントが E:\Foo\ または C:\Mount\Foo\ をスキャンした場合、オンデマンドスキャンでフォルダコンテンツが除外されません。また、E:\Foo\ の例外を作成し、クライアントが C:\Mount\Foo\ をスキャンした場合、フォルダコンテンツは除外されません。ただし、クライアントが E:\Foo\ をスキャンした場合、オンデマンドスキャンでフォルダコンテンツが除外されます。
Auto-Protect スキャンはセキュリティリスクの例外を Windows のマウントポイントまたはドライブに適用しません。つまり、クライアントでボリュームの内容をスキャンするときにフォルダやファイルは除外されません。
たとえば、ドライブ E:\ を C:\Mount にマウントして C:\Mount\Foo\ の例外を作成した場合、Auto-Protect スキャンは E:\Foo\ または C:\Mount\Foo\ のフォルダの内容を除外しません。
除外するフォルダまたはファイルが C:\Mount\Foo\などのマウントポイントである場合、ドライブ文字を含めた代替パス(E:\Foo\ など)を手動で集中例外ポリシーに追加する必要があります。
Exchange Server のフォルダとファイルの例外のパスを検索するには、次のレジストリ位置を参照します。
詳しくは、次の URL にあるテクニカルサポート Web サイトのナレッジベースの記事を参照してください。http://www.symantec.com/ja/jp/enterprise/support/index.jsp
[その他]、[通知]の順に選択して表示される[定義が最新でないとき] の [クライアントコンピュータに通知メッセージを表示する] オプションのチェックマークが付いていない場合、クライアントの画面に定義が最新でないというメッセージが表示され続ける可能性があります。クライアントが許可する日数や修復の回数にもっと大きい数字を指定することで警告が表示されにくくなるはずです。
Windows Vista を実行する仮想マシン上で Symantec Endpoint Protection のネットワーク脅威防止 (Network Threat Protection を略して NTP) が有効なときに大きいファイルをネットワーク共有にコピーすると通常よりも時間がかかる可能性があります。IPv6 を無効にすればパフォーマンスが向上します。
ファイアウォールポリシーに新しいルールを追加するときに学習済みアプリケーションをフィルタ処理できます。フィルタ処理することでルールの対象になるアプリケーションを選択しやすくなります。アプリケーションのパス名を入力して[次へ]をクリックしてもフィルタでアプリケーションは見つかりません。アプリケーションをフィルタ処理するには、代わりにパスなしの実行可能ファイル名を入力してください。
[ファイアウォールポリシーの追加]コマンドをクリックしてから[ファイアウォールポリシーの概要]ページが表示されるまでに 1 分半ほどかかることがあります。これが起きるのは管理サーバーに 500 以上のグループを登録した場合です。問題が起きる理由は既存のファイアウォールポリシーを割り当てたすべてのグループと場所を[ファイアウォールポリシーの概要] ページに表示するのに時間がかかるからです。
ファイアウォールポリシーの[概要]ページにある[このポリシーを使うグループ]の下にグループの代わりに[グループリストは現在非表示です]と表示されます。
管理コンソールでカスタム IPS シグネチャを作成したときは、構文が検査されません。構文が誤っている場合、クライアントのメッセージコンソールに次のメッセージが生成されます。
致命的: 新しい IPS ライブラリを適用できませんでした
IPS ポリシーを適用できませんでした
カスタム IPS シグネチャを作成するときは、状況感知型ヘルプの構文ルールに従っていることを確認してください。ベストプラクティスは、ルールを作成し、テスト環境で実行してから、それらのルールを実働環境に適用することです。
カスタム侵入防止シグネチャを作成して割り当てると、[侵入防止ポリシーの割り当て]ダイアログボックスに誤った語句が表示されます。このダイアログボックスで、「ポリシー」と記述されている箇所は「シグネチャ」の誤りです。
Symantec Endpoint Protection Manager では、シグネチャがカスタム IPS の変数をまだ使っている場合でも、その変数を警告なしで削除できます。変数を削除する前に、シグネチャグループにあるすべてのシグネチャの内容から変数を削除したことを確認してください。
侵入防止ポリシーの編集時には個々のポリシーを無視するという選択ができます。例外を追加するには、[侵入防止ポリシー]ページで [例外]をクリックしてから[追加]をクリックします。
表示されるシグネチャのリストで単一のシグネチャを選択するか、またはすべてを選択できます。単一のシグネチャを選択した場合には[次へ]ボタンが有効になるはずですがそうなりません。
この問題を回避するには、[すべてを選択]をクリックします。[次へ]ボタンが有効になります。そうすれば個々のシグネチャを選択でき、[次へ]ボタンは有効なままになります。
プロアクティブ脅威スキャンでネットワークまたはマップしたドライブから実行されるプロセスを検出すると、クライアントコンピュータのログにイベントが表示されます。ただし、管理サーバーはこのイベントを登録せず、したがってこのイベントは管理コンソールのログに表示されません。また、このプロセスは集中例外の検出したプロセスのリストに表示されないため、このプロセス用の例外も作成できません。
アプリケーションとデバイス制御ポリシーを使うと、アプリケーション制御ルールを作成できます。アプリケーション制御ルールを使うと、クライアントコンピュータでレジストリキーが作成されるのを防ぐことができます。HKEY_LOCAL_MACHINE(HKLM)レジストリエントリへのすべてのアクセスを遮断するアプリケーション制御ルールを作成した場合に、Regedit.exe を使って HKLM の下にレジストリキーを作成すると、Regedit.exe がクラッシュします。このクラッシュは Windows Vista でのみ発生します。
アプリケーションとデバイス制御のポリシーがストレージボリュームを遮断するのは Windows XP のみであり、Windows 2000 または Windows Vista のオペレーティングシステムでは遮断しません。
アプリケーションとデバイス制御ポリシーは PS2 デバイスなどの HID (Human Interface Device) を遮断しません。これは設計に基づく機能性です。HID 遮断の機能性は次のように働きます。
アプリケーションとデバイス制御ポリシーで CD/DVD ドライブを遮断するようにルールを設定した場合、ルールはハードウェア CD/DVD ドライブのみを遮断します。仮想 CD/DVD ドライブは遮断されません。ポリシーは GUID を使うことによってハードウェア CD/DVD ドライブを遮断します。仮想ドライブには GUID がありません。
ハードウェアリンク (Windows Vista で利用可能) はアプリケーション制御とデバイス制御ポリシーの保護を使って遮断またはトリガできません。この問題はアプリケーションとデバイス制御ポリシーを作成して Windows Vista 32 ビットプラットフォームでファイル、フォルダ、アプリケーションのハードウェアリンクに適用しようとする Symantec Endpoint Protection ユーザーに影響します。この問題が起きたかどうかはルールのトリガにならないことからわかります。
Windows Vista コンピュータ上で動作するクライアントにはシンボリックリンクを使わないでください。アプリケーションとデバイス制御ポリシーのルールをパーティションまたはパスに直接適用してください。
こうなる理由はホワイトリスト項目の追加に使われるツールがユーザーコンテキストではなくシステムコンテキストに依存するからです。たとえば、Windows XP エントリの %temp% を追加すると c:\Documents and Settings\<ユーザー名>\Local Settings\Temp ではなく c:\Windows\Temp を指します。
ここでは Symantec Network Access Control でのみ利用可能なホストインテグリティポリシーについての情報を示します。
クライアントコンピュータが Kaspersky のウイルス対策ソフトウェアを実行している場合、カスタム必要条件は Kaspersky のウイルス対策またはスパイウェア対策シグネチャファイルが最新であることを検出します。ただし、Kaspersky のリアルタイム保護が無効になっている場合、またはシグネチャファイルを更新している場合は、カスタム必要条件はシグネチャの日付を正しく検出できません。
Symantec Network Access Control と組み合わせて Symantec Endpoint Protection Manager をアップグレードすると、場所固有の検疫ゾーンにポリシーが入りません。検疫ゾーンに任意のポリシーを追加できるようにするにはまず場所にホストインテグリティポリシーを追加する必要があります。その後で LiveUpdate ポリシーやファイアウォールポリシーなどのポリシーを検疫ゾーンに追加できます。
検疫ゾーンに LiveUpdate ポリシーとウイルス対策とスパイウェア対策のポリシーを追加した場合には、検疫ゾーンからそれらを撤回 (削除) できません。これらの 2 種類のポリシーを撤回しようとした場合、これらのポリシーの撤回はサポート外であることを知らせるメッセージが表示されます。これらのポリシーを検疫ゾーンから削除するには、その場所からホストインテグリティポリシーを撤回します。ホストインテグリティポリシーを削除すると検疫ゾーンからすべてのポリシーが削除されます。その後で検疫ゾーンにポリシーを追加するには、その場所にホストインテグリティポリシーを再び追加します。他の種類のポリシーは通常どおりに撤回できます。
ホストインテグリティポリシーに事前定義済み必要条件またはカスタム必要条件のいずれかでクライアントコンピュータ上に Windows の KB867460 パッチがインストール済みかどうかを検出する設定が入っている場合、クライアントコンピュータ上で両方の必要条件が失敗します。
カスタムホストインテグリティの必要条件を作成する場合には IF THEN 条件の一部としていくつものファイルオプションを指定できます。ファイルオプション条件ごとにファイル名とパスのフィールドがあります。これらの 2 つのフィールドに入力できる限度はそれぞれ 255 文字です。ただし、230 文字以下にしないとクライアント上でホストインテグリティポリシーが正しく機能しないことがあります。
プログラムまたはスクリプトを実行するオプションの待ち時間が 4294967 秒を超えてはいけません。この値を超えるとカスタムホストインテグリティポリシーはセキュリティ詳細ログにエラーを記録します。4294967 秒以下の値にしてください。
Symantec Endpoint Protection Manager サーバー上でホストインテグリティの[メッセージを表示する]機能には一部の特殊文字を表示できないという制限事項があります。どのオペレーティングシステムでも次の文字を使わないでください:山形記号 (^)、等号 (=)、タブ
Symantec Endpoint Protection Manager コンソールから、ホストコンプライアンスログを確認します。ホストインテグリティ検査が失敗すると、イベントが「イベントの種類: ホストインテグリティの失敗」としてログに記録されます。[理由]列には、「Process is not running Signature is out of date」というメッセージが常に表示されます。このエラーメッセージは、すべての Symantec Endpoint Protection Manager オペレーティングシステムで表示されます。
Service Pack をインストールしない Windows XP コンピュータ上で Service Pack をインストールしない Microsoft Internet Explorer バージョン 6.0 を使うときに Symantec Endpoint Protection のレポートを保存しようとするとレポートを .php ファイルとして保存するという確認のメッセージが表示されます。
この問題を解決するには Windows XP と Internet Explorer バージョン 6.0 の Service Pack をインストールします。Service Pack をインストールしたくない場合にはメッセージに従ってレポートを保存できます。保存したファイルを表示する前に拡張子を .mht に変更してください。
Symantec Endpoint Protection Manager の[ホーム]ページ、[監視]ページ、[レポート]ページの情報を表示するには、一部のインターネットオプションを有効にします。これらの設定を見つけるには、ツールメニューで[インターネットオプション]を選択し、[セキュリティ]タブの[レベルのカスタマイズ]をクリックします。
生成後に Microsoft Outlook に送信される電子メール定時レポートが正しくフォーマットされないことがあります。異なるセクション間の改行がレポートに欠落している可能性があります。この問題は、受信者の Microsoft Outlook ソフトウェアで、ある設定が有効になっているときにのみ発生します。[メールオプション]ペインで、[テキスト形式メッセージ内の余分な改行を削除する]チェックボックスのチェックマークをはずします。このオプションがオフになっているとき、レポートとともに送信された電子メールメッセージは正しくフォーマットされます。
フォーマットの問題がある電子メールの内容は次のように表示されます。
下記によってスケジュールされるレポート:admin
レポート生成日:2007-04-04 21:31: 19 レポートの種類: システムレポート レポート
の説明: テスト用の説明
適切なフォーマットの電子メールの内容は次のように表示されます。
下記によってスケジュールされるレポート:admin
レポート生成日:2007-04- 04 21:31:19
レポートの種類: システムレポート
レポートの説明:テスト用の説明
データベースサーバーの DBCS 名が長すぎるコンピューターでは、[ホーム]ページ、[監視]ページ、[レポート]ページがロードされません。この場合、ODBC ではデータベースが正しく登録されないため、レポート関連のページがロードされません。可能な場合は、名前を 15 文字以内にしてください。または、スタートメニューで[Symantec Endpoint Protection Manager]、[管理サーバーの設定ウィザード]を使ってください。これで、DBCS のホスト名の代わりにデータベースサーバーの IP アドレスを使うことができます。
Web ブラウザを通じて Symantec Endpoint Protection Manager のレポート機能にログオンしたときにページの上部にタブが表示されない場合は、Internet Explorer の一時ファイルキャッシュを消去してみてください。Internet Explorer 6 でインターネット一時ファイルを削除するには、Internet Explorer のツールメニューで[インターネットオプション]を選択し、[全般]タブの[インターネット一時ファイル]グループボックスで[ファイルの削除]をクリックします。Internet Explorer 7 では、[閲覧の履歴]で[削除]をクリックします。
レポートを印刷するときに背景色を印刷するには、Internet Explorer のツールメニューで[インターネットオプション]を選択し、[詳細設定]タブで[背景の色とイメージを印刷する]にチェックマークを付けます。
Windows 2000 Server Service Pack 3 を実行するコンピュータでは、サイト状態レポートでメモリ使用状況が常に 0% と表示されます。このエラーは、Symantec Endpoint Protection Manager コンソールで[サイトの状態]の[健全性状態]をクリックしてサイトの状態の情報にアクセスした場合にも発生します。Symantec Endpoint Protection を使うとき、この情報は[概略]タブにあります。Symantec Network Access Control のみを使う場合、この情報は[ホーム]ページにあります。Service Pack 4 を実行するようにコンピュータを更新した場合、情報は正しく表示されます。
IIS の Symantec Web Server に特定の IP アドレスを使う Windows 2008 R2 コンピュータではコンポーネントのレポートが機能しません。この問題を回避するには、次のいずれかの操作を実行します。
Mac クライアントコンピュータ上でウイルスを検出して検疫に移動した場合、Symantec Endpoint Protection Manager コンソールそのウイルスを[まだ感染しています]と[検疫]の両方として表示します。Mac クライアントの場合に[まだ感染しています]の処理は自動的には更新されません。
この問題を回避するには、クライアントコンピュータ上でSymantec Endpoint Protection Manager から[コンテンツの更新とスキャン]のコマンドを実行することによって[まだ感染しています]の処理を手動で消去します。
詳しくは、『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』を参照してください。
コンソールで[ウイルス定義配布]をクリックすることによって[ホーム]ページにウイルス定義を表示できます。複数のウイルス定義を表示した場合に Internet Explorer が予想外に閉じることがあります。この問題は SP 2 以前の Internet Explorer 6 を実行する場合に起きます。
ここでは、Windows 上の Symantec Endpoint Protection クライアントと Symantec Network Access Control クライアントについての情報を示します。
作成後にグループに割り当てた LiveUpdate ポリシーにより、デフォルトのポート番号が誤って表示されることがあります。デフォルトポート番号は 2967 です。このデフォルのトポート番号は、クライアントコンピュータのシステムログで 0 と表示されることがあります。
管理外クライアントで LiveUpdate が実行される頻度のスケジュールを変更した場合、その変更は smc プロセスが再起動するか、コンピュータが再起動するまで反映されません。たとえば、LiveUpdate を週単位で実行するスケジュールを日単位の実行に変更する場合、プロセスまたはコンピュータを再起動する必要があります。
シマンテック社は Windows 7 の MS Verifierを実行しないことを推奨します。ユーザーのコンピュータがクラッシュする、BSODが表示される、その他のエラーが起きるなどの場合の対策はコンピュータを再起動することです。
定時更新の拡張オプションには、未処理イベントオプションと呼ばれる動作しない機能があります。定時更新機能を使うと、Symantec Endpoint Protection ユーザーは LiveUpdate サーバーから届く更新を確認するために LiveUpdate を実行する頻度を指定できます。スケジュールの一部として、未処理イベントオプションで再試行間隔を設定できます。予定時刻に LiveUpdate を正常に実行できない場合、クライアントは再試行間隔を使って指定された時間ごとに LiveUpdate の実行を試行し続けます。この機能が重要な場合は、回避策として、クライアントが LiveUpdate を実行するスケジュール設定済みの頻度を更新します。この設定は、[設定の変更] > [クライアント管理] > [オプションの設定] > [定時更新](タブ) > [拡張]にあります。
Symantec Network Access Control を備えた Symantec Endpoint Protection クライアントがインストールされている場合、クライアントはリモートネットワークサーバーに至るリモートアクセスを許可しません。したがって、Microsoft Vista で実行される Symantec Network Access Control を備えた Symantec Endpoint Protection クライアントがある場合、リモートサーバーに至るアクセスを許可するファイアウォールルールを Symantec Endpoint Protection Manager で作成する必要があります。
ルールを作成するには
Symantec Network Access Control クライアントの状態フィールドは、そのクライアントがエンフォーサアプライアンスまたは統合エンフォーサに接続しているときにのみ使われます。Symantec Network Access Control クライアントは、エンフォーサアプライアンスまたは統合エンフォーサに接続していないときでも、「許可しました」という状態値を表示します。エンフォーサアプライアンスまたは統合エンフォーサに接続していて、ホストインテグリティ検査が成功または失敗したとき、Symantec Network Access Control クライアントは「承認しました」または「検疫」をそれぞれ表示します。
Symantec Network Access Control クライアントにはトラフィックログがありません。トラフィックログは Symantec Endpoint Protection クライアントでのみ表示できます。このログは、ピアクライアントと認証子クライアントの両方で表示されます。Symantec Network Access Control クライアントについては、管理者が Symantec Endpoint Protection Manager のエンフォーサクライアントログを検査してピアツーピア認証の動作を調べることができます。
一部のネットワークでは、プライベートネットワークのコンピュータとパブリックネットワークのコンピュータの間で発生する TCP 通信または UDP 通信にポートアドレス変換を使います。プライベートネットワークの各コンピュータは、同じ IP アドレスに異なるポート番号を使ってパブリックネットワークに接続します。パブリックネットワークは、単一の IP アドレスから行われる通信のみを受信します。単一のホストから発信される、これらの修正された IP アドレスでは、ピアツーピア認証は機能しません。
ピアツーピア認証を有効にするファイアウォールポリシーを Symantec Endpoint Protection クライアントに割り当て、ホストインテグリティポリシーを Symantec Network Access Control クライアントに割り当てると、Symantec Endpoint Protection クライアント上の共有フォルダへの Symantec Network Access Control クライアントのアクセスが遮断されることがあります。この状況は、ホストインテグリティコンプライアンス検査が完了した後に発生します。
Symantec Endpoint Protection クライアントソフトウェアをインストールした後に COM+ サービスが何らかの理由で停止した場合は、SMC サービスを開始できません。この問題を回避するには、次のいずれかの操作を実行します。
プロアクティブ脅威防止定義が壊れているか見つからない場合、クライアントユーザーインターフェースで[プロアクティブ脅威防止]の部分が赤くなることはなく、自己を修復するために自動的に新しい定義をダウンロードすることもありません。しばらくすると、Symantec Endpoint Protection の通知領域アイコンに赤いドットが表示され、クライアントユーザーインターフェースに「プロアクティブ脅威防止が無効である」と表示されます。
この問題を回避するには、[解決]をクリックします。そうすれば Symantec Endpoint Protection が新しいプロアクティブ脅威定義をダウンロードして問題を解決します。
ここでは、Symantec Endpoint Protection クライアントについての情報を示します。
Mac クライアントでスキャンコマンドを実行する場合、[コマンド状態の詳細]ウィンドウに不一致のスキャン状態と詳細が表示されます。この状況に陥るのはスキャンが進行中でソフトウェアがスキャンの状態を判断できないときです。この不一致は無視しても安全です。
Mac OS X 10.5 または 10.6 のコンピュータ上でクライアントソフトウェアをアップグレードする場合、インストールウィザードはアップグレードオプションの代わりにインストールオプションを表示します。インストールを完了するために[インストール]をクリックします。
Symantec Endpoint Protection for Mac はネットワークの検出を提供しません。この問題を回避するには、Mac コンピュータが所属するグループのデフォルトの場所について場所固有の設定を修正します。
Symantec Endpoint Protection Manager [クライアント]ページに Mac クライアントコンピュータのログオンクライアントの名前が正しく表示されないことがあります。この状況に陥るのは Mac コンピュータのホスト名またはユーザーアカウントに Unicode 拡張文字が入っている場合です。
パッチがないと Mac OS はDHCP の静的ルーティングオプション (33) に応答しません。Symantec Endpoint Protection ネットワーク上の Mac はそのパッチを適用しないと Mac On-Demand クライアントをダウンロードして使えません。
対策: Mac OS X 10.4、10.5、10.6 のいずれかを実行する Mac ごとに Symantec ODC Static Route Spoof Tool.pkg をダウンロードしてインストールします。インストール中に管理者権限が必要です。インストールの完了後に再起動が必要です。
DHCP エンフォーサ環境が働くためには、管理者が DHCP サーバー上で静的経路オプション (33) を設定する必要があります。このオプションを使うとクライアントの検疫時にクライアント側から次のサーバーにアクセスできます。
社内 LiveUpdate サーバーを設定した場合、Mac クライアントコンピュータは UNC パスに従って更新を取得できません。Mac クライアントで社内 LiveUpdate サーバーから更新を取得できるようにするには FTP サーバーまたは Web ページ (HTTP) を用意する必要があります。
Windows クライアント上でウイルス定義が最新でないと見なされる基準は次のとおります。クライアント上の定義の日付がサーバー上の定義の日付と比較されます。
クライアント上の定義の日付を今日の日付と比較することによって Mac クライアント定義が最新ではないと見なされます。
この状況に陥る理由は Mac クライアントは管理サーバーからではなく常に LiveUpdate サーバーから更新を取得するからです。
Mac クライアントコンピュータ上で Norton AntiVirus または Norton Internet Security をアンインストールするには、製品ディスクに入っているアンインストーラを使います。アンインストーラは製品ディスクのルートにある SEP_MAC フォルダに入っています。
Symantec Endpoint Protection for Mac をインストールする前に Norton AntiVirus for Mac をアンインストールする必要があります。
Auto-Protect は StuffIt アーカイブファイル内部のファイルをスキャンしません。この状況はウイルス対策とスパイウェア対策のポリシーで圧縮ファイルをスキャンするオプションにチェックマークを付けても起きます。
ここでは、Symantec Endpoint Protection クライアントに固有の情報を示します。
Windows がすべてのダイヤルアップ接続に対して単一の説明を提供するため、オートロケーションネットワークインターフェースカード(NIC)の説明条件はダイヤルアップ接続で利用できません。重複のない説明が提供されるため、オートロケーションの説明条件を利用できるのはイーサネットアダプタ接続のみです。接続と説明を表示するには、コマンドプロンプトで ipconfig /all と入力します。
クライアントがランタイムエラーまたはメモリ不足エラーを表示した後に終了または実行を停止した場合、クライアントコンピュータには十分なメモリがありません。この状況は、Windows のページファイルがいっぱいになった場合に発生する可能性があります。ページファイルを表示するには、クライアントコンピュータでタスクマネージャを開き、[パフォーマンス]タブをクリックし、[PF 使用量]グラフを確認します。この問題を回避するには、クライアントコンピュータのメモリを増やすか、不要なアプリケーションを終了します。
管理者が smc コマンドの -stop パラメータ、-importconfig パラメータ、-exportconfig パラメータにパスワードを要求することがあります。ユーザーまたはスクリプトがパスワード保護した smc コマンドを実行し、指定したパスワードが誤っている場合、smc コマンドはパスワードが正常に処理されたことを示す 0 のエラーコードを誤って返します。smc の戻り値以外の方法を使って、コマンドが成功したかどうかを確認します。
制限があるユーザーは製品のすべての側面にアクセスできるわけではありません。通常、アクセスできない項目はグレー表示されますが、赤い X とともに表示されることもあります。この状態は問題を示すものではなく、限定された権限を示しています。
指定時間後にコンピュータでシステムがスタンバイになるように設定できます。ただし、設定を有効にしても、クライアントをインストールしたコンピュータではシステムがスタンバイになることはありません。
クライアントをインストールしたコンピュータでこの問題を修復するには、システムのスタンバイを手動で有効にする必要があります。[Windows のシャットダウン]ダイアログボックスでスタンバイを手動で有効にできます。または、システムを手動でスタンバイにする方法について、オペレーティングシステムに付属のマニュアルで確認します。
64 ビットオペレーティングシステムのファイルリダイレクト機能のために、ユーザーはクライアント上でネーティブ Windows system32 フォルダを例外として追加できません。たとえば、ユーザーが %windier%\system32\inetinfo.exe を例外として追加した場合、Windows は自動的にクライアントを 32 ビットサブシステム Windows system32 ディレクトリつまり %windir%\SysWOW64 にリダイレクトします。
この問題を回避するには、Symantec Endpoint Protection Manager にログオンして疑わしいファイルまたはフォルダの集中例外を作成する必要があります。
クライアントコンピュータは、無人インストールでコンピュータを自動的に再起動しません。クライアントインストールパッケージの[クライアントインストールの設定]を「無人」と「インストール後にコンピュータを再起動する」に設定した場合でも、ユーザーはコンピュータを再起動する必要があります。
管理サーバーがネットワークから接続解除されている間にクライアントインストールパッケージを作成した場合、クライアントインストールパッケージの一部である sylink.xml ファイルには、管理サーバーの IP アドレスが含まれません。このクライアントインストールパッケージを sylink.xml ファイルに IP アドレスが含まれない状態で配備してインストールすると、クライアントは管理サーバーに接続できません。
管理サーバーの IP アドレスをホスト名に基づいて解決するために、DNS(Domain Name Service)サーバーを設定できます。DNS サーバーがない場合は、クライアントコンピュータにある C:\WINDOWS\system32\drivers\etc\hosts ファイルで管理サーバーの IP アドレスをホスト名にマップすることにより、管理サーバーの IP アドレスをホスト名に基づいて解決することもできます。
管理下の Windows クライアントの通知領域にクライアントアイコンや通知領域アイコンが表示されないことがあります。表示の設定は Symantecディスプレイの設定は Symantec Endpoint Protection Manager コンソールで[クライアント]、[ポリシー]、[場所固有の設定]、[クライアントユーザーインターフェース制御の設定]、[サーバー制御]、 [カスタマイズ]の順に選択することによって管理できます。表示設定が有効になっていても、デフォルトポリシーにトレーアイコンを隠す設定が入っていてアイコンが表示されないことがあります。
アイコンを表示するには、新しいポリシーを作成するかデフォルトポリシーを修正します。クライアント上で smc プロセスを再開した場合にも表示されます。
この問題は一部のバージョンの Windows で識別されました。具体的には Windows XP (32 ビットと 64 ビット)、Windows 2000 (Professional/Server)、Windows Vista (32 ビットと 64 ビット)、Windows Small Business Server などです。
ウイルス定義を更新した後、現在検疫されている脅威が自動的にスキャンされます。この自動スキャンでは、Windows\Temp ディレクトリに一時ファイル(DWH****.tmp)が短期的に作成され、削除されます。スキャン中に、これらの一時ファイルを開かないでください。スキャン中にこれらの一時ファイルのいずれかを開いた場合、Auto-Protect によって新たな脅威として検出されて検疫に追加される可能性があります。
製品を最初にインストールしたとき、ウイルス定義が最新でないことを誤って示すメッセージが通知領域アイコンとメインユーザーインターフェースに表示されることがあります。このメッセージは無視してかまいません。ただし、LiveUpdate の実行後は、すべてのメッセージが正確なものとなります。メッセージには、ポップアップメッセージボックス、赤い状態アイコン、黄色い状態アイコンなどがあります。
[トラブルシューティング]ダイアログボックスの「Symantec Endpoint Protection」という見出しの下にあるデバッグログ設定は、ウイルス対策とスパイウェア対策のスキャンとプロアクティブ脅威防止のスキャンにのみ適用されます。
Windows Vista を実行するクライアントコンピュータで、Auto-Protect によってリスクが通知されたときに[修復]を選択した場合、コンピュータがクラッシュすることがあります。このクラッシュは、Auto-Protect を無効にし、リスクによって修復不能なファイルがコンピュータに追加され、Auto-Protect を再び有効にし、ファイルの修復を試みたときにのみ発生します。コンピュータのクラッシュを防ぐには、まず[検疫]をオフにしてファイルをバックアップします。次に、ファイルを修復します。
Windows Vista に関する最新情報は Microsoft 社に確認してください。この問題を解決する更新プログラムがリリースされます。Microsoft 社のサポート技術情報の記事 951250 を参照してください。
Symantec Endpoint Protection Manager は、次のような場所の LiveUpdate サーバーから受信したコンテンツ更新ファイルを発行します。C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\{1CD85198-26C6-4bac-8C72-5D34B025DE35}\80219003
コンテンツ更新は full という名前のサブフォルダにコピーされます。full.zip という名前の圧縮アーカイブも同じ場所に作成されます。以前のリリースでは、full.dax という名前の圧縮アーカイブも作成されました。以前のバージョンの Symantec Endpoint Protection クライアントソフトウェアは、full.dax という名前のコンテンツ更新ファイルのみを認識します。
サードパーティの管理ツールを使ってレガシークライアントにコンテンツ更新を配布する場合、または手動で管理サーバーからレガシークライアントにコンテンツ更新をコピーする場合は、関連付けられた full.zip ファイルを代わりの場所にコピーする必要があります。コピーした full.zip ファイルの名前を full.dax に変更し、full.dax ファイルを使ってレガシークライアントを更新します。Maintenance Release 2 以降を実行するクライアントは、コンテンツ更新の full.zip という名前のファイルを認識します。
サードパーティの管理ツールの使用について詳しくは、『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』を参照してください。
プロアクティブ脅威スキャンの検出通知をクライアントコンピュータに表示されるように設定し、プロアクティブ脅威検出の動作がログのみになっている場合、スキャンで脅威を検出したときに、管理下クライアントコンピュータにポップアップ通知が表示されません。他の動作が検出に設定されている場合、ポップアップ通知は常にクライアントコンピュータに表示されます。いずれの場合も、ユーザーはプロアクティブ脅威防止ログで検出情報を常に表示できます。
遮断されたアプリケーションを通知するポップアップメッセージは、ファイアウォールがアプリケーションを遮断するたびに必ず表示されるとは限りません。このポップアップメッセージは、次の状況で表示されない可能性があります。
ネットワークでブリッジ接続を利用する場合、2 枚のネットワークカードを使い、同じネットワークスイッチに接続するクライアントコンピュータは通信できない可能性があります。トラフィックがファイアウォールを通過するときに、ファイアウォールがパケットストームを発生させ、ネットワークでトラフィックをブロードキャストできないことがあります。クライアントコンピュータで 2 枚の NIC カードを使い、ブリッジ接続を利用し、通信ができない場合、接続のブリッジ解除が必要になる可能性があります。
クライアントがプロトコルドライバを実行した場合、そのドライバは[ネットワーク活動]ダイアログボックスと[アプリケーションリスト]ダイアログボックスに表示されます。これらのダイアログボックスからドライバを遮断した場合、ファイアウォールは遮断動作を無視し、引き続きドライバを許可します。この問題を解決するには、プロトコルドライバから送信されたトラフィックを遮断するファイアウォールルールを作成します。
Symantec Endpoint Protection Manager を使って、ZoneAlarm Security Suite 6.5 ファイアウォールを Symantec Endpoint Protection クライアントのホストインテグリティポリシーとして有効にすることができます。ただし、Windows 2000 Service Pack 4 を実行するコンピュータ上のクライアントに対してこのファイアウォールをオフにした場合、ホストインテグリティ検査でファイアウォール保護がオフであることがユーザーに通知されません。クライアントコンピュータにファイアウォール保護を提供するには、ZoneAlarm Security Suite 6.5 の代わりに Symantec Endpoint Protection クライアントファイアウォールをインストールします。
ここでは、オンデマンドクライアントなどの Symantec Network Access Control クライアントに固有の情報を示します。
管理者が smc コマンドの -stop パラメータ、-importconfig パラメータ、-exportconfig パラメータにパスワードを要求することがあります。ユーザーまたはスクリプトがパスワード保護した smc コマンドを実行し、指定したパスワードが誤っている場合、smc コマンドはパスワードが正常に処理されたことを示す 0 のエラーコードを誤って返します。smc の戻り値以外の方法を使って、コマンドが成功したかどうかを確認します。
Windows を実行するコンピュータから要求された認証に失敗した後、スイッチからの追加の認証要求が 20分以上遮断されることがあります。この問題は、ネットワークが失敗する可能性のある認証要求で過負荷になるのを防ぐために、Windows で 20 分間の遮断期間がハードコードされていることが原因です。この遮断期間中、システムはスイッチからの EAPOL-Identity メッセージに応答しません。
この遮断期間は、Windows Vista、Windows Server 2008、Windows XP に適用されます。スイッチの再認証期間が 20 分未満に設定されている場合でも、Windows は認証要求を 20 分間遮断します。スイッチの再認証期間が 20 分を超える時間に設定されている場合、Windows はスイッチで設定された時間だけ認証要求を遮断します。
Windows のハードコードされた値を変更するには、Microsoft の KB957931(http://support.microsoft.com/kb/957931)を参照してください。
ユーザーまたは管理者が Cisco スイッチ上の Cisco サプリカントによる 802.1x 認証用にクライアントを設定した場合、スイッチによってすべての発信トラフィックが 1 分を超える時間にわたって遮断されます。このため、クライアントコンピュータが異なる VLAN への移動後に IP アドレスを取得するために 1 分を超える時間がかかることがあります。
ユーザーまたは管理者が Aruba スイッチと WPA2(Wi-Fi Protected Access)と AES の暗号化による 802.1x 認証用の組み込みサプリカントとしてクライアントを設定した場合、クライアントは 30 分後にユーザーを認証解除します。クライアントはネットワークから接続解除されます。ユーザーはクライアントコンピュータを再起動して認証を再度行う必要があります。
Windows 以外のクライアントにネットワークへのアクセスを許可するようにゲートウェイエンフォーサを設定した場合、Macintosh と Linux のオペレーティングシステムを実行するデバイスの検出と検査は可能ですが、IP 電話やネットワークプリンタなどの他のネットワークデバイスの検出はサポートされません。Windows 以外のクライアントを許可するようにゲートウェイエンフォーサを設定した場合、そのようなデバイスは常に遮断されます。
Symantec Network Access Control サービスの開始日時が原因で、[ローカルエリア接続]ウィンドウのネットワーク接続状態に、XP オペレーティングシステムでクライアント認証が失敗したと誤って表示されることがあります。Microsoft サプリカントを使って Symantec Network Access Control への認証を行った後、[マイネットワーク]を右クリックし、[プロパティ]を選択して[ネットワーク接続]を表示した場合、[ローカルエリア接続]に、認証が成功したにもかかわらず、依然として「認証が失敗しました」と表示されていることがあります。正しい状態を表示するには、表示メニューからウィンドウを更新します。
透過モードのクライアントが LAN エンフォーサに対して最初の認証を行うと、クライアント認証は失敗します。エンフォーサはポートを閉じ、ポリシー検査が利用できないことを報告します。具体的には、サポート対象の任意のスイッチに対する LAN エンフォーサの p n/a p f n/a p という状態により、このエラーが発生します。クライアントが再度認証を行うと、認証は成功します。結果として、透過モードのクライアントは、LAN エンフォーサに対する最初の認証で認証を 2 回行う必要があります。クライアントユーザーはこの認証を手動で実行できます。
Microsoft Vista よりも前のオペレーティングシステムで動作するクライアントでは、802.1x 認証を使うローミングプロファイルをダウンロードできません。この問題は Vista 以降にアップグレードすることで解決できます。詳しくは、次の Microsoft 社の記事を参照してください。
Symantec Endpoint Protection クライアントを実行しているクライアントコンピュータを 802.1x と PEAP(Protected Extensible Authentication Protocol)を使って認証するように設定し、オンデマンドクライアントがダウンロードされてインストールされているオンデマンド環境に移動すると、ホストインテグリティ検査に成功してもプロファイルの状態検査に失敗し、稼働している VLAN ではなく検疫 VLAN に移動される可能性があります。
この問題は Windows XP と Windows Vista を実行しているコンピュータに影響します。現時点ではこの問題に対する解決策はありません。
オンデマンドクライアントのユーザーインターフェースで、ネットワークアクセスが許可されないときにネットワークアクセスが許可されたことが示される場合があります。この問題は、ホストインテグリティに成功を報告する前に最新のプロファイルを確認するようにクライアントポリシーが設定されている場合に発生します。「ネットワークアクセスは許可されない」と報告される必要がありますが、実際には「ネットワークアクセスが許可された」と報告されます。この問題は次のリリースで修正される予定です。
DNS サーバーがクライアントで正しく設定されていない場合に、Windows オンデマンドクライアントをダウンロードすると通常よりも時間がかかります。この問題は、クライアントを ActiveX で配信する場合に該当します。解決するには、有効な DNS サーバーを設定するか、DNS サーバーを指定しないようにします。
この問題は、Windows Server 2008 Enterprise の場合にのみ発生しますが、環境変数(%windir% など)よりも通常のファイルパス(c:\download など)を使うほうが安全性が高くなります。環境変数で定義されたパスにダウンロードしている場合は、認証なしで FTP または HTTP の環境変数を使うこともできます。
Windows Fundamentals for Legacy PC の一部の設定では、ローカル管理サポートコンポーネントがインストールされません。このコンポーネントは、ワークステーションの保全ポリシーなどの一部のホストインテグリティスクリプトに必須です。Symantec Network Access Control クライアントは、ローカル管理サポートコンポーネントを必要とするポリシーが実行されるとき、secedit.exe が見つからないことを報告します。この問題を回避するには、ローカル管理サポートコンポーネントがインストールされていることを確認します。
この問題は、単に表示上の問題です。ユーザーインターフェースでクライアントが検疫ネットワークに存在することが示されていても、実際は適切なネットワークにアクセスしていることがあります。解決するには、代わりに 11.x エンフォーサに認証します。
この問題は、UAC とユーザーのログオン権限が競合しているために発生します。回避するには、UAC がオンになっている場合は、管理者として Internet Explorer を実行します。または UAC をオフにします。
コンピュータで Internet Explorer 7、Java Runtime Environment、ActiveX の組み合わせを使っている場合、Symantec Endpoint Protection オンデマンドクライアントのダウンロードが権限の欠如により失敗することがあります。管理者権限のないユーザーがクライアントをダウンロードするには、ActiveX を無効にすることが必要になる可能性があります。管理者権限のあるユーザーまたは Internet Explorer 6 を実行しているユーザーは影響を受けません。
このリリースの時点では、Juniper で Mac OS 10.6 に対応したバージョンがリリースされていないため、Juniper VPN クライアントは Macintosh On-Demand Client で使用できません。
このリリースの時点では、Checkpoint で Mac OS 10.6 に対応したバージョンがリリースされていないため、Checkpoint VPN クライアントは Macintosh On-Demand Client で使用できません。
Compliance.xml では、セキュリティ修正版のデフォルト値は重要なパッチのデフォルト値よりも小さい値になります。したがって、クライアントコンピュータのセキュリティ修正版がデフォルト値よりも小さい値の場合、ホストインテグリティ検査が成功します。それ以外の場合、ホストインテグリティの Bigfix コンプライアンス検査に失敗します。
最新リリースの Norton Antivirus では Mac OS のバージョン 10.6 をサポートしていないため、「Check Norton confidential installed」ルールは Mac OS 10.6 でテストされていません。
「Check SAV/NAV installed」HI ルールは Mac OS 10.6 でテストされていません。このリリースでは、シマンテック社はこのバージョンの Mac OS に対する Symantec AntiVirus または Norton Antivirus をサポートしません。
エージェントが無効になっている場合でも、Macintosh On-Demand Client はホストインテグリティ検査を実行し、ポリシーを 1 回更新します。この問題は将来のリリースで修正される予定です。
MacBook 10.5 ネットワークアプリケーションでは、[サブネットマスク]フィールドに通常のクライアント IP アドレスが正しく表示されません。検疫 IP アドレスが表示されるようにする必要があります。検疫 IP アドレスを表示するには、端末ウィンドウで ipconfig を実行します。
この問題を回避するには、./Application/RemoveSniffer コマンドを使って手動でファイルを削除します。また、バージョン 10.5 または 10.6 の Macintosh Power PC オペレーティングシステムを使うことで、この問題を回避することもできます。
これは Windows XP でのみ発生する問題であり、リモートユーザーがホストインテグリティ検査の実行中に少しの間ログオフするか、ホストインテグリティが実行されている間にログオフした場合に発生します。解決するには、このようなときにログオフしないようにします。
Symantec Endpoint Protection Manager で[この必要条件が失敗してもホストインテグリティ検査の合格を許可する]オプションを選択しても詳細は表示されません。ホストインテグリティが失敗したときに、クライアントは内部ネットワークにアクセスできます。ただし、クライアントログにはどのホストインテグリティ検査が失敗したのかは表示されません。
Mac オンデマンドクライアントは DHCP エンフォーサまたは Symantec Endpoint Protection Manager に DHCP サーバーの 127.0.0.1 として検疫パスを設定した場合、接続できません。この問題は安全なマスク機能が有効な DHCP エンフォーサか、またはサブネットマスクが 255.255.255.255 である DHCP プラグインエンフォーサに適用されます。この問題を回避するには、検疫のユーザークラスで 127.0.0.1 のルーターを設定しないでください。代わりに、手動で ipconfig release とrenewのコマンドを実行して正しい IP アドレスを取得します。
ここでは、Symantec Network Access Control でのみ利用可能なエンフォーサ機能についての情報を示します。
エンフォーサアプライアンスのログに記録されるタイムスタンプは、アプライアンスのシステム設定ではなく、アプライアンスの CMOS の時刻設定に基づきます。たとえば、NTP サーバーを使ってシステム時刻を設定したとき、ログに記録されるタイムスタンプは、依然としてアプライアンスの CMOS 設定に基づきます。これらのタイムスタンプは、NTP サーバーが提供するシステム時刻に基づきません。正確なタイムスタンプを取得するには、システム時刻とアプライアンスの CMOS が同じクロック設定を使うことを確認します。
外部ネットワークは安全ではないと見なされるので、ゲートウェイエンフォーサの接続先になるサーバーは内部ネットワーク上に存在する必要があります。外部ネットワーク上のホストと通信できるのはエンフォーササービスとオンデマンド配信サービスのみです。その他のユーザーモードアプリケーション (SNMP クライアント、NTP クライアント、SSH サーバーなど) が外部ネットワークホストと通信するにはエンフォーサの転送サポートモジュールを使う必要があります。
このエラーコードは、ユーザークラスがすでに DHCP データベースに存在することを示しています。このエラーコードの意味は、このユーザークラスが DHCP サーバーですでに手動で設定されているということです。このユーザークラスはデータベースにまだ存在するため、自動処理でこのユーザークラスを追加することはできません。Windows 2000 Server の場合、このエラーは、ユーザークラスが DHCP サーバーで手動で設定され、その後手動で削除されたときに発生します。場合によっては、ユーザークラスは DHCP データベースから削除されません。このシナリオは、自動処理がこのユーザークラスを追加できなくなったときに発生します。
透過モードではクライアントと LAN エンフォーサの間の初回の認証が失敗します。透過モードについては『Symantec Endpoint Protection および Symantec Network Access Controlエンフォースメント実装ガイド』を参照してください。
次のタスクを実行した後で LAN エンフォーサがクライアントを初めて認証しようとすると認証が失敗します。
Symantec Endpoint Protection Manager コンピュータ上で 802.1x 認証のクライアントパッケージを設定しました。『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』の「802.1x 認証の使用」を参照してください。
クライアントパッケージの配備が完了しました。『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』の「クライアントインストールパッケージの使用」を参照してください。
クライアントコンピュータ上でクライアントパッケージのインストールが完了しました。『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』の「クライアントインストールパッケージの使用」を参照してください。
LAN エンフォーサによるクライアントの初回の認証が失敗した場合にはその後でクライアントの再認証が必要です。そうしないとクライアントはネットワークに接続できません。『Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド』の「802.1x 認証について」を参照してください。初回の認証が失敗したのでエンフォーサレポートプロファイルは利用不能です。したがって、再認証が必要です。
USB ドライブまたは CD/DVD ドライブなどの任意のデバイスを使って更新パッケージをコピーした場合、更新を完了して show update コマンドを入力すれば次のメッセージは表示されなくなるはずです。Enforcer# show update initrd-Enforcer.img.gpg available in {device} device Disregard this message.The update has been completed successfully.
プリンタは、DHCP エンフォーサアプライアンスまたは DHCP プラグインエンフォーサ用に設定された静的な経路を受け入れません。したがって、SNAC スキャナは DHCP エンフォーサアプライアンスまたは DHCP プラグインエンフォーサに接続されているプリンタと通信できません。
クライアントの MAC アドレスを Symantec Endpoint Protection Manager の信頼できる MAC リストから削除した場合、DHCP エンフォーサのリースにより、クライアントはネットワークに接続できなくなります。DHCP サーバーのリースが期限切れになるまで、クライアントはネットワークと通信できません。代わりに、ユーザーは次のコマンドを実行できます。
ユーザーに DHCP サーバーのリースが期限切れになるまで待機してもらう場合、ユーザーは長時間にわたって待機しなければならない可能性があります。管理者は帯域幅の問題により、DHCP サーバーのリース有効期限のデフォルト設定を分単位から時間単位にリセットしていることがあります。
Symantec Network Access Control Enforcer では、802.1x 認証に対して Juniper Odyssey 4.6 クライアントサプリカントはサポートされません。
DHCP エンフォーサの外部の無線アクセスポイントを使う必要がある場合には認証のタイムアウト期間と DHCP のタイムアウト期間の両方を10 秒以上に設定することをお勧めします。タイムアウト期間を増やすことは認証でエージェントのタイムアウトと再試行が繰り返されるのを避けるうえで役立ちます。
Macintosh で[システム環境設定]の[ネットワーク]コマンドを実行しても無効なアドレスを持つルーターや到達できないルーターは表示されません。この状況は Macintosh の問題が原因です。解決するには、ルーターが有効なアドレスを持ち、アドレス可能であるようにします。
DHCP エンフォーサと MacBook 10.6 では、クライアントが通常の IP を取得したときに静的経路レコードは削除されません。Microsoft DHCP サーバーでは必ず静的経路オプションが提供されるとは限らないため、クライアントは静的経路レコードを保持する必要があります。
デフォルト値は 60 秒です。管理者は、この値がクライアントの再認証タイムアウトの 2 倍になるように、値を 10 分(600 秒)に更新する必要があります。
値を変更するには、統合 NAP エンフォーサコンピュータでレジストリキー HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\SNAC\Enforcer\SymEnforcerShv - ReauthTimeout:DWORD を編集します。
2 つのゲートウェイエンフォーサがアクティブモードにある場合、これらのエンフォーサを接続してフェールオーバー環境を構築すると 0.5 秒から 9 秒の ARP ストームが発生します。(デフォルト期間は 1 秒で、エンフォーサのコマンドラインで設定されたフェールオーバーの感度レベルによって決まります。)フェールオーバーが開始されると、ARP ストームがなくなります。この問題を回避するには、エンフォーサのいずれかがスタンバイモードのときに 2 つのゲートウェイエンフォーサをフェールオーバー環境に接続します。
この問題は、Dell 850 と Dell 860 で使われているネットワークインターフェースカードの処理能力が低下することによって発生します。解決するには、ハードウェアを Dell R200 にアップグレードします。
DHCP エンフォーサを使い、DHCP エンフォーサの安全なサブネットマスクを有効にする場合には、外部ルーターと静的経路を追加する必要があります。これらの追加により、クライアントがエンフォーサ、Symantec Endpoint Protection Manager、DHCP サーバーに常にアクセスできるようになります。
Windows 2000 Service Pack 4(SP4)を実行するコンピュータに Symantec Network Access Control をインストールする場合、そのクライアントコンピュータで無線接続が失敗することがあります。この問題を修復するには Symantec Network Access Control ポリシーを修正します。
この問題は、サードパーティの無線管理ソフトウェア(Intel PROSet/Wireless Software など)と Windows の Wireless Zero Configuration ソフトウェアとの間に互換性がないことが原因で発生します。
Symantec Network Access Control を実行するクライアントコンピュータで無線接続を有効にするには、Symantec Endpoint Protection Manager で Symantec Network Access Control ポリシーを作成するときに必ずサードパーティのサポートを有効にします。
Windows XP または Windows Server 2003(x86 と x64 のプラットフォームの RTM、Service Pack 1、Service Pack 2 を含む)でエンフォーサを使うときに、Microsoft DHCP クライアントで問題が発生することがあります。クライアントが自身の IP アドレスを更新したときに、接続が失われたり、ipconfig コマンドの実行で正しくないサブネットマスクが表示されたりすることがあります。
また、クライアントの IP アドレスが検疫 IP アドレスから通常の IP アドレスに変更された場合に、コマンドプロンプトに正しくないサブネットマスクが表示されることもあります。クライアントは引き続き正しいサブネットマスクを使います。この問題は、Microsoft Windows 2000 を実行するクライアントコンピュータで発生し、クライアントのホストインテグリティ検査が成功した場合でも発生します。クライアントは引き続き正しく動作します。
Windows XP または Windows Server 2003 でこの問題を修復するには、Microsoft Hotfix(Microsoft KB927288)を適用する必要があります。Hotfix は最初のリリース以降に更新されているので、お使いのコンピュータプラットフォーム用の最新バージョンの Hotfix をダウンロードして適用してください。Microsoft は現在 Windows 2000 をサポートしていないため、この問題に対応した Windows 2000 のパッチはありません。
Cisco サプリカント 5.0 または 5.1 をクライアントコンピュータにインストールしてから、サードパーティのサプリカント用に設定したエクスポート Symantec Endpoint Protection クライアントをインストールした場合は、Cisco サプリカントで dot1x 認証が実行されず、ホストインテグリティ検査に成功しません。
RU 5 ではカーネルのアップグレードがあるため、以前のバージョンからのアップグレードはサポートされていません。製品ディスクからフレッシュインストールを行う必要があります。これにより再度設定を行う必要があることに注意してください。
Macintosh OS 10.5 または 10.6 で DHCP エンフォーサの安全なマスクを使っているとき、ホストインテグリティに失敗した場合に IP アドレスが通常のアドレスから検疫のアドレスに自動的に切り替わりません。この問題を回避するには、正しい IP アドレスを取得するために[iprenew]をダブルクリックします。
Symantec Endpoint Protection Manager と NAP エンフォーサをインストールしてクライアントに接続すると、管理サーバーはクライアントの UID を検証します。その後で Microsoft Network Access Protection 用 Integrated Enforcer を 2 台目の管理サーバーに接続した場合、その管理コンピュータと組み合わせて UID が正しく検証されるように Symantec Integrated NAP Enforcer を停止して開始する必要があります。
エンフォーサアプライアンスのイメージを 11.0.4000 から 11.0.6000 のバージョンにアップグレードすることはできません。 アップグレードする代わりにアプライアンスに 11.0.6 の新規インストールを実行してください。
パッチがないと Mac OS は DHCP static routing オプション (33) に応答しません。Symantec Endpoint Protection ネットワーク上の Mac コンピュータはそのパッチを適用しないと Mac オンデマンドクライアントをダウンロードして使えません。
対策:Mac OS X のバージョン 10.4、10.5、10.6 のいずれかを実行する Mac ごとに Symantec ODC Static Route Spoof Tool.pkg をダウンロードしてインストールします。インストール中に管理者権限が必要です。インストールの完了後に再起動が必要です。
DHCP エンフォーサ環境が働くようにするには、管理者が DHCP サーバー上で静的経路オプション (33) を設定する必要があります。このオプションを使うとクライアントの検疫時にクライアント側から次のサーバーにアクセスできます。
エンフォーサを再初期化した場合またはインターフェースの役割を再設定した場合にはオンデマンドクライアントがエンフォーサから接続解除されます。
エンフォーサアプライアンスを再初期化するときに初回の設定を試みた後でCtrl + Cを押しても再初期化の拡張設定コマンドが働きません。このコマンドを実行すると出力として eth0 IP アドレスが返るはずですが何も表示されません。
エンフォーサハードウェア互換性マトリックス は Symantec Network Access Control アプライアンスイメージリリースと Dell エンフォーサアプライアンスハードウェアモデルのテストレベルとサポートレベルのリストです。
表: エンフォーサハードウェア互換性マトリックス
Windows XP を実行するクライアントコンピュータが 30 秒ごとに「クライアントが見つからない」というポップアップメッセージを受信することがあります。
この問題が起きるのはゲートウェイエンフォーサ上で[クライアントが動作していない場合にクライアント上で表示されるポップアップメッセージを有効にする]オプションを選択した場合です。設定したポップアップメッセージの頻度に関係なく起きます。ポップアップメッセージが表示され続けるのはクライアントコンピュータ上でメッセンジャサービスも開始している場合です。
エンフォーサが存在する共有ネットワークに Mac コンピュータを接続しようとして問題が起きることがあります。それ以降に Mac オンデマンドクライアントをダウンロードしてもネットワークに接続できません。
この状況に陥る理由は最初に認証するエンフォーサがクライアントコンピュータを常に認証する必要があるからです。オンデマンドクライアントをダウンロードする前にエンフォーサを通してクライアントコンピュータを接続した場合、クライアントはオンデマンドクライアントソフトウェアに必要なエンフォーサを使うことによって認証できなくなります。
この問題はエンフォーサを通した認証が必要なネットワークに接続する前に Mac オンデマンドクライアントをダウンロードすることによって回避できます。
Symantec Endpoint Protection Manager サーバーがシャットダウンした場合、エンフォーサは管理サーバーリストで最も優先度が高いサーバーを選択するようになるはずです。代わりに、エンフォーサはサーバーリストで次に利用可能なサーバーを選択します。現時点で既知の回避策はありません。
休止後に Symantec Network Access Control クライアントが再開した場合、DHCP サーバー認証の取得で遅延が起きることがあります。この状況に陥る理由はクライアントが新しい IP アドレスを要求するはずだからです。代わりに、クライアントは現在の IP アドレスを要求し続けます。
ユーザーマニュアルは製品リリースの間で更新されることがあります。シマンテック社の Webサイトにあるテクニカルサポートページから最新のマニュアルをダウンロードできます。
このセクションには、『Symantec Network Access Control および Symantec Network Access Control 管理者ガイド』に関するマニュアルの問題が含まれています。
ここでは Symantec Endpoint Protection Manager の状況感知型ヘルプの正誤情報を示します。
[通信の設定] ダイアログボックスのヘルプに次のような [再接続の環境設定] グループボックスの説明が必要です。
クライアントコンピュータが新しいクライアントインストールパッケージを受信するかどうかに関係なくクライアントコンピュータを現在のグループに残すためのオプションがあります。どのクライアントインストールパッケージにもグループの設定が入っていてクライアントコンピュータの現在のグループとは異なる可能性があります。
[通信の設定]ダイアログボックスを表示するために[クライアント] > [ポリシー] > [通信の設定]の順にクリックします。この機能はグループ固有の機能であり、場所固有の機能ではありません。
[グループの通信設定を使う]チェックボックスのチェックマークが付いていない場所を通して[通信の設定]ダイアログボックスを表示した場合にダイアログボックスのヘルプが表示されません。
ヘルプを表示するには、[クライアント][ポリシー]の順にクリックし、[場所固有の設定]を展開し、[通信の設定]の右で[タスク]をクリックします。[グループの通信設定を使う]チェックボックスにチェックマークが付いていることを確認し、[設定の編集]をクリックしてから[ヘルプ]をクリックします。
ここにあるオプションを選択した場合、シマンテック社は製品の向上に役立てるために Symantec Endpoint Protection クライアントの使用状況についての情報を収集します。初期に Symantec Endpoint Protection Manager のインスタンスを設定したときに、このデータ収集を許可または拒否するオプションを選択しました。このページにあるオプションを使うと、設定中に選択したオプションを変更できます。
[データ収集]ページを表示するには、 [管理] > [サーバー] > [サイトプロパティの編集] > [データ収集]の順にクリックします。
複製ディレクトリサーバーを追加する場合の[ディレクトリサーバーの追加]ダイアログボックスの説明が正しくないダイアログボックスには[サーバーの IP アドレスまたは名前]というテキストフィールドが表示されます。テキストフィールドの正しい説明は 「複製サーバーの IP アドレスまたはホスト名を入力してください」です。
このセクションには、『Symantec Network Access Control および Symantec Network Access Control インストールガイド』に関するマニュアルの問題が含まれています。
「Windows Virtual Server のサポートについて」に「シマンテック製ソフトウェアが Windows Server 2008 Hyper-V でサポートされる」と書いてあります。この文には詳しい説明が必要です。Microsoft Hyper-V Server 2008 はサポート外です。Windows Server 2008 コンピュータ上で Hyper-V の役割がサポートされます。
このセクションには『Symantec Endpoint Protection 始めましょう』および『Symantec Network Access Control始めましょう』に関するマニュアルの問題が含まれます。
Symantec Endpoint Recovery Tool は RU1 で新しく用意されたツールで FileConnect から入手可能です。ツールをダウンロードするには Symantec Endpoint Protection のシリアル番号を使います。個別のシリアル番号は必要ありません。
詳しくは、シマンテック社の Web サイトにあるサポート技術情報で次の文書 (いずれも英語) を参照してください。
About the Symantec Endpoint Protection Support Tool
および
ここでは『Symantec Endpoint ProtectionおよびSymantec Network Access Controlクライアントガイド』または Symantec Endpoint Protection クライアントヘルプの正誤情報を示します。
ウイルス対策とスパイウェア対策のシステムログのヘルプが表示されません。システムログを表示するには、Symantec Endpoint Protection クライアントコンソールで[ログを表示]をクリックします。[ウイルス対策とスパイウェア対策]の隣で[ログを表示] > [システムログ]の順にクリックします。
システムログはコンピュータ上の保護に関係するウイルスやセキュリティリスクの日単位のレコードの集まりです。イベントと呼ばれるこれらのレコードには設定の変更、エラー、ウイルスやセキュリティリスクの定義ファイル情報などが記録され、追加情報とともに表示されます。不適切な処理または管理者が許可しない処理は利用不能です。
このセクションには、『Symantec Network Access Control エンフォースメント実装ガイド』に関するマニュアルの問題が含まれています。
「Microsoft DHCP サーバー用 Integrated Enforcer のためのオペレーティングシステムの必要条件」のトピックに Windows Server 2008 32 ビットを含める必要があります。リストにあるその他のオペレーティングシステムは 32ビットシステムの場合のみです。
説明には「このオプションを選択しても、エンフォーサがない場合は、常にクライアントコンピュータがホストインテグリティ必要条件を検査します」とあります。この説明は正しくありません。正しい説明は「このオプションを選択しても、エンフォーサがない場合は、クライアントコンピュータはホストインテグリティ必要条件を検査しません」です。
Windows オンデマンドクライアントのマニュアルに「クライアントに 9 GB のが空きディスク容量が必要」と書いてあるのは正しくありません。この数字はオペレーティングシステムに必要な容量も含んでいます。オンデマンドクライアント自体に必要なのは 100 MB のみです。
Nortel VPN クライアントと Symantec Endpoint Protection または Symantec Network Access Control クライアントを同時にインストールし、Nortel AutoConnect 機能を有効にした場合、コンピュータを再起動すると、どちらのクライアントも起動せず、通知領域アイコンも表示されません。コンピュータを再起動すると、この問題が解決することがあります。解決しない場合は、回避策として、Nortel AutoConnect を無効にすると Symantec Endpoint Protection または Symantec Network Access Control クライアントが起動します。VPN サーバーが AutoConnect 機能を有効にできるため、ユーザーはすべての VPN 接続後に AutoConnect 機能を無効にすることが必要になる可能性があります。
Trend Micro OfficeScan 7.3 をシマンテック製クライアントソフトウェアとともに実行するには、最初に Trend Micro OfficeScan をインストールし、次にシマンテック製クライアントソフトウェアをインストールする必要があります。そうでない場合、Trend Micro OfficeScan のインストーラは LiveUpdate を検出したときにアンインストールを試み、失敗して終了します。
ファイアウォールは Google Web Accelerator と Internet Explorer の組み合わせと連携して働きません。この問題は、Internet Explorer と Google Web Accelerator の両方がインストールされたすべての Symantec Endpoint Protection クライアントに影響します。この問題は、クライアントコンピュータがファイアウォールルールを使ってリモート Web サイトに至るアクセスを遮断しようとしたときに発生します。すべてのプラットフォームが影響を受けます。シマンテック社では、Internet Explorer、Google Web Accelerator、ファイアウォールを組み合わせて使わないことを推奨しています。この問題に対する回避策はありません。
Copyright © 2010 Symantec Corporation.All rights reserved.
Symantec、Symantec のロゴ、LiveUpdate、Sygate、Symantec AntiVirus、Bloodhound、Confidence Online、Digital Immune System、Norton は、Symantec Corporation およびその関連会社の米国および各国における商標または登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
ライセンス対象ソフトウェアおよび資料は、FAR 12.212 の規定によって商業用コンピュータソフトウェアと見なされ、FAR 52.227-19「Commercial Computer Software - Restricted Rights」、DFARS 227.7202「Rights in Commercial Computer Software or Commercial Computer Software Documentation」、その他の後継規則の規定により制限権利の対象となります。米国政府によるライセンス対象ソフトウェアおよび資料の使用、修正、複製のリリース、実演、表示、開示は、本使用許諾契約の条項に従ってのみ行われるものとします。