symantec endpoint protection 12.1.xにてブルースクリーン発生

いきなり、エグいバグひいた。
あるエリアの端末だけ使用してたらいきなりブルースクリーンになって再起動した。
とのこと。

 調べてたらsymantec endpoint protection 12.1.xがインストールされている端末でブルースクリーンが発生してた

2019/11/14 PM16:30～17:30の間(日本時間)
OSはwindows10、Windows7問わず
32bit、64bit問わず
SEPM管理、管理外問わず

Windows10の鎮静化後のログみてると
2019/11/14r19のパターンファイルが214MBの容量あったから
これが原因でOSがフリーズしたのかと思ってた。ら、、

2019/11/15の深夜に英語版でバグと公表されてた。

https://support.symantec.com/us/en/article.TECH256861.html

現象が起きた端末のログに
Bug Check エラー 0x50出てたから間違いないと思う。

トリガーは公表されてないけど、
version 20191113.r20に更新した時点で端末に負荷かかってた。じゃないかな？
ログみたら使用者はみんなJMPやらSPSSやら重いアプリでなんやかんやしてたみたいだから 。

ドメイン外のWindowsサーバーからログをドメイン内のファイルサーバーに転送するバッチがdomain\administratorのパスワード変更後、失敗する

.net使ったpowershellで書いたイベントビューワーのログを転送するプログラムをbatで叩いてタスクスケジューラーで管理していた。

運用の定例でActiveDirectoryのドメインアドミニストレーターのパスワード変更後、手動でバッチを叩くと成功するがタクススケジューラー上で実行すると失敗する。

エラー内容
"4" 個の引数を指定して "ExportLogAndMessages" を呼び出し中に例外が発生しました: "ユーザー名またはパスワードが正しくありません。

対応ログ
１、タスクスケジューラーの変更時に入力するパスワードを入れ直す→×
#タスクマネージャーの権限ではない？
２、タスクスケジューラーを作り直す(XMLをインポートしただけ)→×
 #タスクマネージャーの問題ではない？
３、cmdを起動後、その上でbat内容を実施する→○
#batの問題ではない？
４、 ソースサーバーには特にエラーでない、ターゲットにはエラーがでていた
　　　→イベントID4625
#パスワードが異なることが原因らしい　
 ５、ソースにて「エクスプローラ」上または「ファイルを指定して実行する」上にて
PATHを記載してターゲットサーバー(FQDN)を指定するとIDとパスワードを求められた
#共有フォルダにパスワードが異なることでアクセスできなくなっている？
６、ソースのコンパネ＞アカウント＞windows資格情報にてpowershellにPATHとして明記されているホスト名で資格情報を作り直す
そして、タスクスケジューラーで実行するとエラーなく動いた

windows7からWindows10へのバージョンアップのための端末イメージ配信

固定プロファイルにしたほうがよい

環境保護あり
→SEPやウィルスバスターとの相性を気にする必要あり

GHOSTブートCD
WINPEブートCD
バージョンが何かではなく、そもそもCDよりDVDにしたほうがWinPEの起動が早い

7→10はたいがい最初にブルースクリーンになる。

環境保護(瞬快とか)はアンインストールして
イメージ配信し、その後一斉操作などで環境保護ツールをインストールしないいけない

→クローン配信時にwindowsブートの順番が変わったりする

MBR初期化コマンドが必要になる

WSUSについて

環境保護をかけるのが早いとWSUS上に端末が認識されにくい

 イメージ作成端末用のIDがイメージ配信によりそのまま複製されているので
ID等を配信後に削除する必要がある