SEP (Symantec Endpoint Protection) クライアントを含むベースイメージのクローンを作成して、複数の Windows コンピュータ (仮想マシンまたは物理コンピュータ) を配備しているが、SEPM (Symantec Endpoint Protection Manager) データベースでクライアント ID が重複し、クローンコンピュータが同一のクライアントとして SEPM に報告されてしまう。

さらに、SEPM のレポートで、1 つのクライアント名で複数のマシンからの脅威が表示される場合がある。これにより、ローカルのクライアントログに表示されるよりも多くの検出があると認識される可能性がある。

ベースイメージでクローンを作成する準備ができていない場合に、Symantec Endpoint Protection クライアントの ID が重複します。詳しくは クライアントのクローンを作成する を参照してください。

SEP 14.0 MP1 以降のマネージャとクライアントでは、conf.properties のオプションのパラメータを使用して重複 ID を自動的に修正できます。

注: これらの手順は、SEP 14.2 クライアントおよび Endpoint Protection Manager では機能しません。クライアントの登録ロジックが変更されたため、以下に説明する修復が動作しません。この問題は、Symantec Endpoint Protection 14.2 RU1 で修正されています。

conf.properties ファイルに適切な行を追加する

1. SEPM サービスを停止します。
2. 以下に移動します。
   C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\etc
3. conf.properties ファイルを編集します。
4. ファイルに以下の行を追加します。
   
   • scm.duplicatedhwkey.fix.enabled=true
   • scm.duplicatedhwkey.fix.client.csnreset.count=3
   • scm.duplicatedhwkey.fix.client.csnreset.time.range=86400000
5. conf.properties ファイルを閉じて保存します。
6. SEPM サービスを開始します。

追加情報

SEP 14.0 MP1 以降での重複したハードウェア ID (HWID) の検出メカニズムは、SEPM の conf.properties に「scm.duplicatedhwkey.fix.enabled = true」を追加すると有効になります。 デフォルトは count=3、range=86400000 (ミリ秒単位で 24 時間) です。つまり、SEPM の応答コード 468 が特定のクライアントで 24 時間以内に 3 回トリガーされると、そのクライアントは重複しているとみなされ、470 の応答コードが返されます。 バージョン 14.0 MP1 以降のクライアントは、470 応答コードを受信すると自動的に ID を再生成してから、SEPM に登録を再試行します。

注: この設定は、重複が解消しベースイメージの問題が修正されるまでの間、一時的に使用してください。潜在的な副作用については Excessive duplicate clients appear in Endpoint Protection Manager を参照してください。この機能は、macOS や Linux クライアントには機能しません。

SEP 14.0 RTM:

古いバージョンの SEP では、重複するクライアント ID の修復には、大まかに 3 つの手順が必要です (上記のとおり、以下の手順は SEP 14 MP1 以降では不要です) 。

1. クライアントの特定
2. クライアントの修復
3. Symantec Endpoint Protection Manager のクライアントビューのクリーンアップ

ステップ 1: クライアントの特定

この問題の影響を受けるシステムの IP アドレスまたは名前がわかっている場合は、このステップをスキップしてステップ 2 に進むことができます。複数の SEPM が存在する場合は、SEPM 間の複製関係を無効にして各 SEPM で以下の手順を実行します。 複製を再度有効化する前に、すべてのサーバーでこのプロセスを実行してください。

1. Symantec Endpoint Protection Manager サービスと Symantec Endpoint Protection Manager Web サーバーサービスを停止します。これらのサービスが停止したら、バックアップを作成してからクライアント接続ログファイル (＜Symantec Endpoint Protection Manager のインストールフォルダ＞\data\inbox\log\ersecreg.log) を削除します。
   • 注: 14.2 以降では、ersecreg.log は ersecreg-a.log に名前が変更されました。後続のログは、-1 が追加されて ersecreg-a-1.log のようになります。
   • 14.3 以降では Java がバージョン 11 に変更されています。java のバージョンを反映させるためにスクリプトを調整してください。 
   • SEPMRepairTool_v3 には、この変更に対応するためにバッチスクリプトを更新する手順が含まれています。
2. ログファイルを削除したら、サービスを再開します。
3. ハートビート間隔の 1 回分を待機すると、SEPM にクライアントを再び接続できます。通信設定でハートビートを 30 分に設定している場合は、少なくとも 30 分待機します。Symantec Endpoint Protection Manager の [クライアント] - [ポリシー] - [通信の設定] で、ハートビートを設定できます。
4. ReadMe.txt の手順に従って SEPM Repair Tool を実行します。 SEPM Repair Tool の出力ファイルは、ID の重複問題の影響を受けるクライアントリストです。このファイルを保存します。

ステップ 2: クライアントの修復

以下に挙げる前半のいくつかの手順で、対象のクライアントの SMC パスワード保護を無効にします。SMC パスワード保護を有効にしていない場合は、このセクションのステップ 4 までスキップします。

1. SEPM Repair Tool の出力リストを使用して Symantec Endpoint Protection Manager で対象のクライアントを見つけ、見つけたクライアントを新規に作成した一時グループに移動します。
2. クライアントの SMC パスワード保護を無効にします。
   •  [クライアント] - [ポリシー] - [全般の設定] - [セキュリティの設定] で、 [クライアントサービスを停止するときにパスワードを要求する] のチェックマークをはずす (SEP 12.1 RU4 MP1 以前の SEPM) 
   •  [クライアント] - [ポリシー] - [パスワード設定] で、 [クライアントサービスを停止するときにパスワードを要求する] のチェックマークをはずす (SEP 12.1 RU5 以降の SEPM) 。
3. 各クライアントのポリシーが更新されるように、ハートビート間隔の 1 回分を待機します。
4. SEPM を実行するコンピュータに RepairClonedImage.exe をコピーします。
5. RepairClonedImage.exe の名前を Setup.exe に変更します。
6. クライアント配備ウィザードで、SEPM Repair Tool の出力ファイルをクライアントリストとして使用し、対象のクライアントに先ほど名前を変更したツール (.exe ファイル) を配備します。
   クライアント配備ウィザードを使用しない場合は、各自で選んだ任意のソフトウェア配備方法を使用することも、配備先コンピュータで手動でツールを実行することもできます。 クライアント配備ウィザードを使用しない場合は、ツールの実行時に管理者権限が必要です。
   デフォルトでは、RepairClonedImage ツールは成否のレスポンスを返さずにサイレントに実行されます。 -v コマンドラインオプションを指定すると、成否の通知を表示できます。
7. ツールを配備すると、SEPM コンソールにクライアントがそれぞれオンラインであることが示されるはずです。
   クライアントを一時グループに移動していた場合は、この時点でオンラインのクライアントすべてを一時グループから元のグループに戻すことができます。

ステップ 3: Symantec Endpoint Protection Manager のクライアントビューのクリーンアップ

クライアント ID をリセットすると、SEPM のクライアントビューにオフラインの無効なクライアントが表示されたままになります。 これにより、ライセンス付与やレポートの作成に影響を与えることがあります。クライアントを削除する方法は 2 つあります。

1. SEPM サイトの経過期間の条件に従って、クライアントがタイムアウトするのを待つ。 デフォルトの設定は 30 日です。
2. クライアントビューのページからオフラインのクライアントを手動で削除します。

文中に記載がある Readme.txt, SEPM Repair Tool, RepairClonedImage.exe, DuplicateHwIDFix.bat は 英語版技術文書 よりダウンロードしてください。

[英語文書] Repair duplicate client IDs on cloned Endpoint Protection clients