Symantec Endpoint Protection (SEP)の既知の問題と回避策

このセクションの項目は、このリリースの Symantec Endpoint Protection に該当します。
アップグレードの問題
問題
説明と解決策
「Symantec Endpoint Protection バージョン 14.3 RU2 for Win64bit は最新のパッケージです。削除できません。」というエラー メッセージが表示される。[14.3 RU2]
Symantec Endpoint Protection Manager に複数のビルドのパッケージが表示された場合、クライアント インストール パッケージを削除できません。14.3 RU2 以降、LiveUpdate はビルド番号が異なる複数のクライアント インストール パッケージをダウンロードできます。これは、
[管理]
ページ >
[インストール パッケージ]
>
[クライアント インストール パッケージ]
のテーブルに表示されます。[SEP-72531]
14.3 RU2 の
[現在インストールされている言語がサポートされていない場合は英語にアップグレードする]
オプションを使用して、サポート対象外の言語のクライアントを英語にアップグレードする場合、自動更新に失敗する。[14.3 RU2]
この状況は、14.3 RU1 MP1 以前で、サポート対象言語からサポート対象外言語に手動でアップグレードしたクライアント(チェコ語のクライアントを日本語のオペレーティング システムで日本語にアップグレードする、など)で発生します。そして、
[現在インストールされている言語がサポートされていない場合は英語にアップグレードする]
オプションを使用して、14.3 RU2 でサポート対象外の言語を英語にアップグレードします。[SEP-72490]
この問題は、クライアント言語がサポートされているオペレーティング システムの言語(この場合は日本語)を使っている場合に発生します。自動更新は英語ではなくサポート対象言語を使います。
この問題を回避するには、自動更新を再試行し、
[現在インストールされている言語がサポートされていない場合は英語にアップグレードする]
オプションをオフにします。
14.3 RU2 Symantec Endpoint Protection Manager (SEPM)からクライアント インストール パッケージをエクスポートするときに、「クライアント インストール パッケージにコンテンツが含まれていません。」という警告メッセージが表示される。
これは、パッケージのエクスポートに使用している Symantec Endpoint Protection Manager とコンソール間の通信が中断された場合に発生します。
最新のクライアント インストール パッケージを古いバージョンの Symantec Endpoint Protection Manager にインポートするとエラーが表示される。[14.3 RU2]
Symantec Endpoint Protection 14.3 RU2 クライアントは、14.3 RU1 MP1 以前の Symantec Endpoint Protection Manager では管理できません。[SEP-72292]
つの Symantec Endpoint Protection Manager
のダーク ネットワークでは、LiveUpdate がアップグレード中に実行しないので、古いクライアント侵入検出システム (CIDS) コンテンツを新しいクライアントにダウンロードする [14.3 RU1]
14.3 RU1 Symantec Endpoint Protection Manager がインターネットまたは LiveUpdate Administrator (LUA) サーバにアクセスできない場合、古い互換性のないコンテンツをキャッシュに保持します。この古いコンテンツは通常、新しいクライアントに配信されます。管理サーバのキャッシュのコンテンツを更新するには、認証済みウイルス定義と CIDS .jdb ファイルを手動でダウンロードします。[SEP-69125]
新しいクライアントが古いコンテンツを取得しないようにするには、新しいクライアントをインストールする前、または古いクライアントをアップグレードする前に、CIDS .jdb ファイルを SEPM に手動でインストールします。
ネットワーク インターフェース カードが無効な場合、Symantec Endpoint Protection Manager (SEPM) にログオンできません [14.3 RU1]
Symantec Endpoint Protection Manager をインストールした後、コンソールにログオンできず、次のエラー メッセージが表示されます。
予期しないサーバ エラー
この問題は、SEPM をインストールしたときにコンピュータのネットワーク インターフェース カードが無効になっている場合に発生する可能性があり、これによりサーバ証明書が生成されなくなります。[SEP-67040]
SEPM が無効なネットワーク インターフェース カードでインストールされたかどうかを調べるには、サーバ証明書を確認します。
SEPM をアンインストールし、オプションを使用してデフォルトのデータベースを削除して SQL Server Express インスタンスを残すと、「
データベース サーバに接続しようとしたときにエラーが発生しました
」というエラーが表示される [14.3 RU1]
Symantec Endpoint Protection Manager をアンインストールし、
[DB のみを削除して SEPM とインストールされた SQL Server Express インスタンスを残す]
オプションを選択すると、「
データベース サーバに接続しようとしたときにエラーが発生しました
」というエラーが表示される場合があります。この問題は、デフォルト ユーザ DBA の認証情報を追加した後に発生し、ユーザ権限に関連している可能性があります。[SEP-68670]
この問題を回避するには、SEPM setup.exe ファイルを実行してアンインストールし、アンインストール中に[
DB のみを削除して SEPM とインストールされた SQL Server Express インスタンスを残す
]オプションをクリックします。
FIPS モードを有効にすると、SQL Server のバージョン 2017 からバージョン 2019 へのアップグレードに失敗する [14.3]
以下のエラーが表示される場合があります。「次のエラーが発生しました。拡張機能のインストール中にエラーが発生しました。エラーメッセージ: AppContainer の作成に失敗。エラーメッセージ「なし」状態。この実装は、Windows プラットフォームの FIPS で検証された暗号化アルゴリズムの一部ではありません。」これは、FIPS 対応の Symantec Endpoint Protection Manager 14.3 を使用し、Microsoft SQL Server 2017 から 2019 にアップグレードした場合に発生します。 [SEP-61473]
この問題を回避するには、オペレーティングシステムレベルで FIPS を無効にします。
  1. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
    で、
    [ローカルセキュリティポリシー]
    >
    [ローカルポリシー]
    >
    [セキュリティオプション]
    をクリックし、
    [システム暗号化]を無効にし、暗号化、ハッシュ、およびサイニングに FIPS 準拠のアルゴリズムを使用します
  2. SQL Server バージョン 2017 からバージョン 2019 にアップグレードします。
  3. SQL Server を正常にアップグレードした後、FIPS を再度有効にします。
14.2 以降へのアップグレード時に、カスタム名が使用されているとファイアウォールポリシーを更新できない場合がある
Symantec Endpoint Protection 14.2 以降へのアップグレードでは、いくつかのデフォルト名を変更していた場合、ファイアウォールポリシーに IPv6 の変更が組み込まれません。このデフォルト名には、デフォルトポリシーの名前とデフォルトルールの名前が含まれます。アップグレード時にルールを更新できない場合、IPv6 のオプションは表示されません。アップグレード後に作成する新しいポリシーまたはルールには影響がありません。
可能な場合は、変更された名前をデフォルトに戻します。または、デフォルトポリシーに追加したカスタムルールが IPv6 通信を遮断しないことを確認します。追加するすべての新しいポリシーまたはルールについて、同じことを確認します。
Symantec Endpoint Protection Manager の問題
問題
説明と解決策
一部の EDR イベントがクライアントに表示されない [14.3 RU1]
Symantec Endpoint Protection クライアントは、Symantec EDR の Windows 用イベント追跡 (ETW) イベントを収集するために、Windows 10 ビルド 14393 以降を実行している必要があります。[SEP-67175]
ネットワークトラフィックリダイレクト機能にいくつかの制限事項がある [14.3 RU1]
  • Symantec Web Security Service は、IPv6 ではなく IPv4 で提供されます。[SEP-68700]
  • トンネルリダイレクト方式
    • Windows 10 x64 バージョン 1703 以降 (半期サービスチャネル) でのみ実行されます。この方法では、他の Windows オペレーティングシステムまたは Mac クライアントはサポートされていません。[SEP-67927]
    • HVCI 対応の Windows 10 64 ビットデバイスはサポートされていません。[SEP-67648]
    • Symantec Endpoint Protection
      クライアントからのアウトバウンドトラフィックは、クライアントのファイアウォールまたは URL 評価ルールのいずれかによって評価される前に、WSS にリダイレクトされます。代わりに、そのトラフィックは WSS ファイアウォールおよび URL に対して評価されます。たとえば、SEP クライアント ファイアウォール ルールが google.com を遮断し、WSS のルールが google.com を許可する場合、クライアントは google.com へのアクセスをユーザに許可します。クライアントへのインバウンド ローカル トラフィックは引き続き
      Symantec Endpoint Protection
      ファイアウォールによって処理されます。[SEP-67488]
    • WSS キャプティブ ポータルはトンネル方式では使用できません。クライアントはチャレンジ資格情報を無視します。今後のリリースでは、WSS エージェント内の SAML 認証はキャプティブ ポータルに置き換わり、
      Symantec Endpoint Protection
      クライアントで使用可能になります。
    • クライアント コンピュータがトンネル方式を使用して WSS に接続して仮想マシンをホストする場合、各ゲスト ユーザは WSS ポータルで提供された SSL 証明書をインストールする必要があります。
    • ホームディレクトリや Active Directory 認証のようなローカルネットワークへのトラフィックはリダイレクトされません。
    • Microsoft DirectAccess VPN とは互換性がありません。
このトンネル方式は、現在のところ早期採用リリース機能です。
14.2.x から 14.3 MP1 以降へのアップグレード後のクライアント登録エントリの重複 [14.3 RU1]
Symantec endpoint Protection クライアントを 14.2.x から 14.3 MP1 以降にアップグレードすると、Symantec Endpoint Protection Manager の
[クライアント]
ページに、これらのクライアントのエージェント登録エントリが重複して作成されます。
機能上の影響はありません。また、14.3 RU1 クライアントの新しいエントリを使用し続けることもできます。Symantec Endpoint Protection Manager は古いエージェントエントリを削除します。
ハイブリッド管理オプション、プロキシ サーバ、境界ファイアウォールを使用する場合は、Symantec Endpoint Security URL を許可する [14.3]
Broadcom による Symantec Enterprise Security の買収にともない、14.2.2.1 でのクライアントからクラウドへの通信用 URL が変更されました。[CDM-42467]
以下の状況では、クライアントをバージョンビルド 14.2.5569.2100 以降にアップグレードする必要があります
  • オンプレミス Symantec Endpoint Protection Manager ドメインがクラウドコンソールに登録されているときに、Symantec Endpoint Security を使用してクライアントおよびポリシーを管理している
  • プロキシサーバーを使用している。
完全なクラウド管理エージェントまたはハイブリッド管理エージェントのいずれかの URL を許可し、プロキシサーバーまたは境界ファイアウォールを許可します。
Symantec Endpoint Protection Manager リモートコンソールは、32 ビット Windows プラットフォームをサポートしません [14.3]
14.3 以降、32 ビットバージョンの Windows を実行している場合、Symantec Endpoint Protection Manager リモート コンソールにログオンできません。Oracle Java SE Runtime Environment は、32 ビットバージョンの Microsoft Windows をサポートしなくなりました。 [SEP-61106]
以下のメッセージが表示された場合は、ローカルで Symantec Endpoint Protection Manager にログオンします。
「このバージョンの C:\Users\Administrator\Downloads\Symantec Endpoint Protection Manager Console\bin\javaw.exe は、実行中の Windows のバージョンと互換性がありません。お使いのコンピュータのシステム情報を確認してから、ソフトウェア発行者にお問い合わせください。」
Symantec Endpoint Protection Manager をインストールするときに、「Microsoft Visual C++ ランタイムのインストールに失敗しました」というエラーが表示される [14.3]
Symantec Endpoint Protection Manager を Windows 2012 R2 にインストールしているときに、以下のエラーが表示される場合があります。「Microsoft Visual C++ ランタイムのインストールに失敗しました」 [SEP-60396]
この問題を回避するには、Windows をアクティブ化して、Windows 更新プログラムをインストールします。Windows 更新プログラムでは、Visual C++ 2017 再頒布可能パッケージをインストールします。これは、Windows 2012 R2 に Symantec Endpoint Protection Manager 14.3 をインストールするための前提条件です。
Windows の WinHTTP で、TLS 1.1 および TLS 1.2 をデフォルトのセキュアプロトコルとして有効にするための更新 [14.3]
クラウドコンソールに登録されている Symantec Endpoint Protection Manager バージョン 14.3 にアップグレードまたはインストールした後、管理サーバーは、クラウドにログを正常にアップロードしなくなります。アップローダーに、以下のエラーが表示される場合があります。
<SEVERE> WinHttpSendRequest: 12175: A security error occurred
この問題は、TLS 1.1 および 1.2 のサポートを提供する Microsoft update がないことが原因で発生します。
この問題を解決するには、Microsoft update: KB3140245 をインストールします。詳細については、次を参照してください。
クライアントが Endpoint Threat Defense for AD 用に更新されたポリシーを受信した後も、Symantec Endpoint Protection Manager に「配備が進行中」と引き続き表示される [14.2 RU1 MP1 以降]
これは正常な動作です。Endpoint Threat Defense for AD 3.3 ポリシーは、バージョン 14.2 RU1 MP1 以降のクライアントでのみサポートされます。
Symantec Endpoint Threat Defense for Active Directory 3.3 のポリシーをグループに適用します。このグループには、Symantec Endpoint Protection 14.2 RU1 以前のバージョンを実行するクライアントが含まれています。これらのクライアントはポリシーを予期したとおりに受信して適用しますが、Symantec Endpoint Protection Manager で状態に「配備が進行中」のメッセージが引き続き表示されます。
Windows、Mac、Linux クライアントの問題
問題
説明と解決策
サポート対象外の言語のクライアントを英語に自動的にアップグレードした場合、クライアントは引き続き英語で定義の日付設定を表示する [14.3 RU1 以降]
この問題を回避するには、レガシ クライアントをアンインストールし、新しい英語のクライアント インストール パッケージを手動でインストールします。また、自動的にアップグレードされたクライアントに対する修正が予定されています。[SEP-72481]
スタンドアロン Symantec WSS Agent は、WSS エージェントと同じコンピュータに SEP をインストールする場合、Symantec Endpoint Protection クライアントのインストールをブロックする
Network Traffic Redirection (NTR)コンポーネントは、スタンドアロン Symantec WSS Agent (WSSA)と同じファイルを使用します。NTR は、デフォルトで Symantec Endpoint Protection と Symantec Endpoint Security クラウドコンソールの両方にインストールされます。NTR 機能がエンドポイントにインストールされている場合、WSSA はインストールできません。同様に、WSSA がインストールされている場合、NTR 機能はインストールできません。
以下のいずれかの方法を使って、クライアント全体をアンインストールすることなく、既存のエンドポイントから Network Traffic Redirection 機能を削除できます。
  • Symantec Endpoint Protection Manager で、NTR を含まないクライアント インストール機能セットを作成してエンドポイントに適用します。
  • 次のコマンド ライン オプションは、クライアントのインストール ファイルを使用して NTR を削除します:
    setup.exe /s /v" REMOVE=NTR /qn"
クリーン インストールに使用されるアップグレード インストール パッケージでデフォルト機能セットがインストールされる。[14.3 RU1 MP1 以前]
[更新時に既存のクライアント機能を維持する]
オプションをオンにしてアップグレード インストール パッケージを作成し、このパッケージを使ってクリーン インストールを行うと、デフォルト機能セットがクライアント デバイスにインストールされます。
カスタム機能セットをインストールする場合は、クリーン インストール用に個別のインストール パッケージを作成する必要があります。
サポート対象外のアップグレード パスを指定すると、クラウド コンソールに重複したデバイスが作成される。[14.3 RU1]
Symantec Agent for Mac を 14.2/14.3 から 14.3 RU1 にアップグレードする前に、macOS を 10.15 から 11.0 にアップグレードすると、クラウド コンソールに重複したデバイスが作成されます。
重複を回避するには、オペレーティング システムをアップグレードする前にクライアントをアップグレードする必要があります(例: Symantec Agent for Mac を 14.2/14.3 から 14.3 RU1 にアップグレードしてから macOS を 10.15 から 11.0 にアップグレードする)。
Linux 用 Symantec Agent のインストーラ ログに誤ったメッセージが記録される。[14.3 RU1]
エージェントインストーラによって、一致しないドライババージョンに関連する不正なメッセージや、再起動が必要であることを示すメッセージがログに記録される場合があります。
これらのメッセージは、エージェントの機能には影響しません。
SuSe Linux デバイス上で、zypper が「at」パッケージの削除時に SEP Linux クライアント パッケージを削除する。[14.3 RU1]
SuSe Linux デバイス上では、「at」パッケージが必須依存パッケージとして追加され、zypper コマンドが未使用の依存関係を持つパッケージとして SEP クライアントパッケージ「sdcss-kmod」および「sdcss-sepagent」を自動的に削除しようとするため、「zypper remove at」コマンドを実行すると SEP Linux クライアントパッケージが削除されます。
回避策:
「at」パッケージを削除する場合は、コマンド「rpm -e --nodeps at」を実行します。
macOS 10.15 以降でのアップグレードの問題 [14.3 MP1]
macOS 10.15 以降では、クライアント配備ウィザードの
[リモートコンピュータに Symantec Endpoint Protection をインストール]
機能で、古いバージョンからバージョン 14.3 MP1 への Symantec Endpoint Protection クライアントのアップグレードが失敗します。
回避策:
macOS 10.15 以降では、
Symantec Endpoint Protection Manager の自動更新
を使用して Symantec Endpoint Protection クライアントの更新を実行します。
最初に SHA-2 サポートをインストールしないと、Symantec Endpoint Protection 14.3 Windows クライアントのインストールに失敗することがある [14.3]
レガシーオペレーティングシステムのバージョン (Windows 7 RTM または SP1、Windows Server 2008 R2 または R2 SP1 または R2 SP2) を実行している場合、2019 年 7 月以降にリリースされた Windows アップデートをインストールするには、デバイスに SHA-2 コードサイニングサポートをインストールする必要があります。SHA-2 をサポートしていない場合、Windows クライアントのインストールに失敗することがあります。クライアントを初めてインストールする場合でも、以前のリリースから自動的にアップグレードする場合でも、インストールが失敗することがあります。 [SEP-61175/61403]
Microsoft が適用した SHA-2 コードサイニングサポートを取得するには、以下を参照してください。
Windows および WSUS の 2019 SHA-2 コードサイニングサポートの要件
Windows 10 1803 で UWF が有効な場合、Symantec Endpoint Protection Windows クライアントが動作しない [14.3]
統合書き込みフィルタ (UWF) が有効で、Windows クライアントがインストールされているドライブを保護しているときに、Symantec Endpoint Protection クライアントを Windows 10 RS4 1803 32 ビットオペレーティングシステムで実行する場合、クライアントは正常に動作しません。この Windows オペレーティングシステムには、Windows クライアントを実行できない UWF 障害が含まれています。
この問題を回避する方法。
WSS トラフィックリダイレクトが有効な Mac クライアントで LiveUpdate にカスタムプロキシ設定を適用できない [14.2 RU1 MP1 以降]
Symantec Endpoint Protection 14.2 RU1 MP1 の管理対象 Mac クライアントで、外部通信設定を通じて LiveUpdate にカスタムプロキシ設定を使用するように設定しました。しかし、Symantec Endpoint Protection Manager ポリシーを使用して Mac クライアントの WSS トラフィックリダイレクト (WTR) を有効にすると、LiveUpdate トラフィックにカスタムプロキシ設定が適用されていないことに気付きました。代わりに、LiveUpdate は直接接続を試行しています。
この問題を回避するには、WSS トラフィックリダイレクトが無効になっているときにのみ、LiveUpdate でカスタムプロキシ設定を使用します。
強化が有効な状態で Microsoft Edge が PDF のダウンロードを予期せず許可する [14.2 RU1 MP1 以降]
Symantec Endpoint Protection クライアントでアプリケーション強化が有効な状態で Microsoft Edge ブラウザを使用すると、予期せず PDF ファイルをダウンロードできてしまいます。PDF ファイルのダウンロードの禁止は、他のブラウザでは想定どおりに機能します。
この問題は今後のリリースで修正される予定です。
Symantec Enterprise Protection が正式に Broadcom の一員になったという発表に伴い、シマンテックはマニュアルを Broadcom Symantec Security Tech Docs Portal に移行しました。
Endpoint Protection のマニュアルを見つけるには、[
Symantec Security Software
]タブをクリックし、[
Endpoint Security and Management
] > [
Endpoint Protection
]をクリックします。
マニュアルの問題
問題
説明と解決策
操作方法の記事の有効期限が切れている。
Symantec Endpoint Protection Manager ヘルプのトピックと重複していた操作方法の記事は、Endpoint Protection サイトに再公開され、URL が変更しました。
記事を検索するには、[
検索フィールド
]を使用します。
PDF ファイル
Symantec は DOC 記事にすべての PDF ファイルを掲載していました。これらのページは有効期限が切れました。
PDF ファイルの最新バージョンのリリースを検索するには、「関連ドキュメント」ページに移動します。今後、Broadcom はレガシー PDF ファイルや翻訳した PDF ファイルを追加していく予定です。
解決済みの問題は、以下を参照してください