Defender auf Windows Server 2016 funktioniert nicht

[Chris_30 10]

Liebes Forum,

 

ich habe hier folgendes Problem. Ein Windows Server 2016 auf dem bisher Kaspersky lief soll nun mit dem Defender auskommen. Also Kaspersky runtergeschmissen, Defender mit der Serververwaltung hinzugefügt - kein Erfolg. 

 

Dann den Weg der Wege gegangen um die aktuellste Version zu haben:

Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Features
Dism /Online /Enable-Feature /FeatureName:Windows-Defender
Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Gui

 

Genau dasselbe Ergebnis. Letztes Cummulatives Serviceupdate deinstalliert und nochmal installiert, auch kein Erfolg. 

 

Das Problem ist, dass der Defemder Dienst nicht starten kann - der Dienst will noch auf den alten Defender Pfad zugreifen (C:\Program Files\Windows Defender\MsMpEng.exe)

Dort liegen zwar noch die Defender Dateien, aber eigentlich sollte er doch auf den neuen Pfad zugreifen, dann würde er auch starten :-(

 

Hatte das schonmal jemand? 

 

Danke schonmal im vorraus.

 

Chris

[q617 1]

Warum keine moderne Cloud-Lösung?

[Chris_30 10]

Ist nicht gewünscht - ist eine Miniumgebung mit einen Fileserver/DC, soll/darf alles nix kosten :-(

Verstehe ich aber auch - sing geschrumpft auf nur noch 3 Arbeitsplätze plus den Server, läuft wohl nicht so das Geschäft.

[Sunny61 806]

Sind denn auch wirklich alle Dienste und Dateien vom Kasper ganz sicher weg? Die haben, wie alle anderen auch, vermutlich ein Cleanup Programm um die eigenen Reste zu deinstallieren, hast Du dazu schon auf deren HP geschaut? Anschließend neu starten.

Hast Du Windows Update schon mal aufgerufen und laufen lassen?

[Chris_30 10]

Ja, alles restlos beseitigt. Cleanup Tool von denen laufen lassen. Wie beschrieben auch die letzten Updates nochmal laufen lassen. Aber das ist nicht das Problem. Sondern eben dass der Dienst den alten Pfad aufrufen will, in der Registry aber die neue Version drinsteht, und dann passen eben die Daten nicht zusammen. 

[Weingeist 159]

Klingt jetzt etwas seltsam aber es gibt ja vieles. Vielleicht ist das Cleanup Script eben nicht so sauber im aufräumen.

MS hat beim Defender die glorreiche Idee gehabt, mit jeder Version auch einen neuen Pfad mit der neuen Version zu hinterlegen. Keine Ahnung wozu das gut ist, aber ist so.

Die Frage ist, ob das Problem gelöst ist, wenn Du den Pfad des Services einfach manuell auf die neue EXE umschreibt.

 

In der Registry den aktuellen Pfad der EXE eintragen, danach Service starten, allenfalls ein Reboot. Regedit mit erhöhten Rechten starten.

HKLM\SYSTEM\CurrentControlSet\Services\WinDefend\ImagePath

 

[testperson 1.680]

Hi,

 

falls es sich um VMs handelt, wäre es ggfs. ein Ansatz, alles in eine neue VM zu migrieren und den alten Server im Anschluss dann zu entsorgen.

 

Gruß

Jan

[gaijin 20]

vor 16 Stunden schrieb q617:

Warum keine moderne Cloud-Lösung?

 

Bitte erhelle mich; was ist in Deinen Augen denn hier eine moderne Cloudlösung?

Ich lerne ja immer gerne dazu.

[Chris_30 10]

vor einer Stunde schrieb Weingeist:

Klingt jetzt etwas seltsam aber es gibt ja vieles. Vielleicht ist das Cleanup Script eben nicht so sauber im aufräumen.

MS hat beim Defender die glorreiche Idee gehabt, mit jeder Version auch einen neuen Pfad mit der neuen Version zu hinterlegen. Keine Ahnung wozu das gut ist, aber ist so.

Die Frage ist, ob das Problem gelöst ist, wenn Du den Pfad des Services einfach manuell auf die neue EXE umschreibt.

 

In der Registry den aktuellen Pfad der EXE eintragen, danach Service starten, allenfalls ein Reboot. Regedit mit erhöhten Rechten starten.

HKLM\SYSTEM\CurrentControlSet\Services\WinDefend\ImagePath

 

Geht leider nicht - der neue Pfad wo das heutzutage liegen sollte ist "unvollständig"

 

Der aktuelle Pfad sollte ja eigentlich sein: %ProgramData%\Microsoft/Windows Defender\Platform\<Version>

 

Aber der Ordner Platform fehlt

 

Im alten Pfad (C:\Program Files\Windows Defender\MsMpEng.exe) läge eigentlich noch alles. Aber trotzdem mault der Dienst er kann die angegebene Datei nicht finden.

vor 51 Minuten schrieb testperson:

Hi,

 

falls es sich um VMs handelt, wäre es ggfs. ein Ansatz, alles in eine neue VM zu migrieren und den alten Server im Anschluss dann zu entsorgen.

 

Gruß

Jan

Ja, ist eine VM - aber eben nicht nur Fileserver sondern auch der einzige DC

[LK28 11]

vor 39 Minuten schrieb gaijin:

 

Bitte erhelle mich; was ist in Deinen Augen denn hier eine moderne Cloudlösung?

Ich lerne ja immer gerne dazu.

Der Kollege den du zitierst wird insgeheim von Satya Nadella bezahlt und stellt die Frage in quasi jedem Thread ;)

Also nicht ernst nehmen

[testperson 1.680]

vor 4 Minuten schrieb Chris_30:

Ja, ist eine VM - aber eben nicht nur Fileserver sondern auch der einzige DC

Die beiden Rollen lassen sich i.d.R. recht easy zusammen auf eine neue VM migrieren. Sofern es die einzige Windows VM ist, könnte man in diesem Zug auch den Fileserver vom DC trennen.

 

Wenn der Name (und IP) gleich bleiben sollen, lässt sich das an der Stelle ebenfalls recht einfach umsetzen.

[schlingo 36]

vor 2 Stunden schrieb gaijin:

was ist in Deinen Augen denn hier eine moderne Cloudlösung?

Hallo :)

 

ergänzend zu @LK28 ist @q617 hier der Forentroll, der keinerlei sinnvolle Antworten gibt, sondern ausschließlich sinnfreie Bemerkungen auf Lager hat. Schau Dir einfach mal die Liste seiner Beiträge an. Den kannst und solltest Du wirklich komplett ignorieren.

 

Gruß Ingo

bearbeitet 26. September 2023 von schlingo

[Weingeist 159]

vor einer Stunde schrieb Chris_30:

%ProgramData%\Microsoft/Windows Defender\Platform\<Version>

Naja, solange das wirklich so heisst und nicht "%ProgramData%\Microsoft\Windows Defender\Platform\<Version>" bestimmt... Spass beiseite, geht davon aus, dass du Dich vertippselt hast. ;)

 

Wie auch immer, dann weiss ich auch nicht weiter und würde auch nicht ewig dran rummachen. Entweder gibts nen Installer von MS und wenn nicht würde ich einmal neu. Wenn es VM's sind ist es ja easy. Kannst den Kram auch gleich aufteilen.

- DC/Filer herunterfahren, Cold Copy der Systemplatte auf die Seite legen (optimalerweise auch die Datenplatte, so für alle Fälle)

- Neuer DC, promoten, kontrollieren das alles repliziert wurde, alle FSMO-Rollen übertragen, den alten demoten (allenfalls vorher herunterfahren und schauen ob sich noch alle anmelden können --> Ich mache das jeweils weils eine Sache von ein paar Minuten ist, manche findens unnötig)

- Danach vom alten Server die Freigaben exporterieren (Registry)

- den alten DC/Filer abschalten

- neuen Filer installieren, gleicher Name, gleiche IP, in domäne einbinden

- Datenplatte aus dem alten Filer einbinden

- Freigaben in die Registry importieren

- Reboot

 

Am besten in einem Wartungsfenster machen. Sollte es grässlich in die Hose gehen, könntest immer noch zu Deinem aktuellen Stand zurück indem Du die alten Systemplatte wieder aktivierst.

 

Du könntest natürlich den ehamligen DC auch als Filer ohne die DC-Rolle weiterlaufen lassen und z.B. ein Inplace einer aktuellen Build der gleichen Version drüberbügeln. Dann sollten Freigaben etc. erhalten bleiben und die ganzen Windows-Systemdienste sind wieder zurückgesetzt. Ich persönlich mag es aber nicht, wenn ehemalige DC's weiterlaufen. ;)

[Chris_30 10]

vor 15 Minuten schrieb Weingeist:

Naja, solange das wirklich so heisst und nicht "%ProgramData%\Microsoft\Windows Defender\Platform\<Version>" bestimmt... Spass beiseite, geht davon aus, dass du Dich vertippselt hast. ;)

 

Wie auch immer, dann weiss ich auch nicht weiter und würde auch nicht ewig dran rummachen. Entweder gibts nen Installer von MS und wenn nicht würde ich einmal neu. Wenn es VM's sind ist es ja easy. Kannst den Kram auch gleich aufteilen.

- DC/Filer herunterfahren, Cold Copy der Systemplatte auf die Seite legen (optimalerweise auch die Datenplatte, so für alle Fälle)

- Neuer DC, promoten, kontrollieren das alles repliziert wurde, alle FSMO-Rollen übertragen, den alten demoten (allenfalls vorher herunterfahren und schauen ob sich noch alle anmelden können --> Ich mache das jeweils weils eine Sache von ein paar Minuten ist, manche findens unnötig)

- Danach vom alten Server die Freigaben exporterieren (Registry)

- den alten DC/Filer abschalten

- neuen Filer installieren, gleicher Name, gleiche IP, in domäne einbinden

- Datenplatte aus dem alten Filer einbinden

- Freigaben in die Registry importieren

- Reboot

 

Am besten in einem Wartungsfenster machen. Sollte es grässlich in die Hose gehen, könntest immer noch zu Deinem aktuellen Stand zurück indem Du die alten Systemplatte wieder aktivierst.

 

Du könntest natürlich den ehamligen DC auch als Filer ohne die DC-Rolle weiterlaufen lassen und z.B. ein Inplace einer aktuellen Build der gleichen Version drüberbügeln. Dann sollten Freigaben etc. erhalten bleiben und die ganzen Windows-Systemdienste sind wieder zurückgesetzt. Ich persönlich mag es aber nicht, wenn ehemalige DC's weiterlaufen. ;)

Jupp, vertippt.

 

Gerade bisschen dran gespielt. Versucht die fehlenden Ordner aus einem funzenden Server in den neuen Pfad reinzukopieren (Ja, Besitz übernommen, Berechtigungen durchvererbt). Jetzt wirds geil.... Ich kann im Defender Ordner beliebig Ordner erstellen und darin auch Dateien. Ich kann auch den fehlenden Ordner "Platform" erstellen. Aber ... in dem Ordner kann ich keine Dateien erstellen oder reinkopieren. Da kommt dann die Meldung Element nicht gefunden...

[Weingeist 159]

vor 6 Stunden schrieb Chris_30:

(Ja, Besitz übernommen, Berechtigungen durchvererbt)

Für das nächste Mal, Rechte von Systemprogrammen sollte man im Grundsatz beibehalten und nicht verändern. Sprich CMD oder das Tool deiner Wahl mit den notwendigen Rechten öffnen und dann kopieren damit die korrekten Rechte vorhanden sind. Ausser eben man will sie explizit anders haben.

 

Ansonsten: Mir persönlich gefällt Dein Weg nicht. Windows Defender ist eine Sicherheitskomponente, an der solllte man eigentlich nicht "rumspielen" müssen.