Up2Ddate confused? 9.312 showing 9.311 availalbe for update

This appears to me to be an issue of things enabled without environment tuning. 

With all due respect, that is nonsense and I am tired of hearing it. 

At this point there is little "tuning" left to do, unless of course by "tuning" you mean TURNING OFF wanted or desired services.

So let me repeat: The UTM in question is a UTM 220. It serves around 25 users MAX. 5 of those user (max) behind a RED 50 on a 3Mb connection. This is WELL below even the worst case user sizing guidelines.

The UTM is on a 50/50 Mb connection. There are NO exposed services published through the UTM. IPS is turned down to reflect only attacks against windows machines and a few other needed rules. Average use is 5-6 users at the main office and 1-2 at the RED50 office.

Right only part are turned on....ram is the main issue but not all.
Nobody is holding a gun to your head and forcing you to use the appliances.  There is the per IP licensing option as well.  It seems you have made up your mind and I do not see any further willingness for constructive conversation on your end.

Just to add my opinion.

In my relatively short UTM reseller experience all of the UTM that I sold were overkill for the companies (looking later at statistics in the full production), even if they were sometimes breaking the edge of user number and active modules listed in official Sophos sizing guidelines.

What is the speed of Internet link you have at that site ?

Regarding your initial problem, just go to SSH and delete that orphaned up2date package.

I would not run a utm series that has less than 4 gigs of ram and at least a 2.0 ghz cpu if it isn't haswell or current generation based.  The codebase is too hungry for anything less.  However I did misspeak..yes they are end of sale but still supported.

Eureka!  

The UTMs (and SGs) need more RAM. Yet they do not ship with it and upgrade voids support. 

As for CPU, most of my issues are RAM based.... Sure CPU would be nice and would help, but if they would only agree RAM upgrades, then most of these devices perform 100% better.

Have a look at a few of the UTMs I manage, a view from SUM:
As noted above, EVERY ONE OF THESE UTMs is far oversized for even the worst case load scenario.  Only a few do Wireless Protection. About half do Web filtering. None do MAIL protection or WEBSERVER protection. Maybe 3-4 have Remote SSL VPNs that are rarely used. 

Note: Let's look at a few UTM220 devices in the list.

• 4th UTM in the list is a 220, running 9.312 and it has 6 users behind it with light internet usage.
  
• 5th UTM in the list is a 220, running 9.32 and is the UTM in question. 5 active users when screenshot was taken.
  
• 2nd TO LAST UTM in list is a 220 running 9.106 with ~15 users with an IPsec tunnel to a data center where all 15 users work all day in RDS, while also using their local desktops to browse, printer, etc. 
  

Note that the UTM with the most users and most traffic, is running on 2 year old firmware and while resource usage is high and browsing SUCKS and IPsec traffic is about 1.5 Mbit, it is still in FAR BETTER shape than the 2 UTMS with the latest firmware that have far fewer users and a much lighter load. 

Right only part are turned on....ram is the main issue but not all.
Nobody is holding a gun to your head and forcing you to use the appliances.  There is the per IP licensing option as well.  It seems you have made up your mind and I do not see any further willingness for constructive conversation on your end.

Not sure what the per IP licensing has to do with anything. We have a mix of "Full Guard" "Total Protect" and MSP licensing across our customer base. Don't get me started on that nightmare... same devices same services, some can upgrade, others get new hardware for almost he same price, etc.

In any case:

A gun to my head? No, but I bought into these devices by deploying them to my customers. They represent an investment in hardware, software and labor, that is directly tied to my reputation and therefore my customer trust. I expect them to perform as advertised and I expect SOPHOS as my partner, to do a (much) better job. 

William I am not attacking those of you trying to help. I am open to help and appreciate the collective knowledge here, but am darned tired of the excuses for the arrogance and incompetence displayed by SOPHOS.

I do not expect anything to be trouble free, perfect or flawless. I think these appliances could be amazing and, in fact, are unmatched by any other firewall. That said, SOPHOS has turned them into a liability, regardless of the attractive and growing feature set. My list of complaints grows when it should be shrinking.

To be patently clear, I deploy and manage numerous pieces of technology in the process of supporting my IT customers. Without exception, I spend more time managing, twiddling and supporting these devices than I do ANY other technology I currently have deployed. They have accounted for more support hours (mostly unbillable), protracted outages, complaints and customer discomfort,  than any other device or vendor I have ever dealt with.

Please Upgrade to 4GB every ASG220.
Everything will be fine.

I agree upgrade the ram. Keep the old ram around. I have seen customers do this. The only thing to make sure is keep the old ram in case you need to send the device in to support for any failure or such. If that happens put the old ram back in before sending it in. I have run a 220 with 4 gigs and it does help a lot. The newer versions do not run well in 2 gig any longer. Causes to much swap. I have a device running virtual with 4 gigs and it never swaps. I use all services on it as well.

I have one customer with a UTM220 HA pair that we chose to upgrade the RAM to 4GB (40 users, 10/10 line, 8 RED10's, Web & NetSec) and I as their partner agreed to accept the risk if the warranty was voided by my actions in upgrading the unit. Only other option was a UTM320 which was too expensive, and the SG series weren't out yet.

They run at around 5-10% CPU, 35-40% RAM, and 15% swap.

Please Upgrade to 4GB every ASG220.
Everything will be fine.

sure if you do not mind not having a hardware warranty on the unit..[:)]

Not sure what the per IP licensing has to do with anything. We have a mix of "Full Guard" "Total Protect" and MSP licensing across our customer base. Don't get me started on that nightmare... same devices same services, some can upgrade, others get new hardware for almost he same price, etc.

In any case:

A gun to my head? No, but I bought into these devices by deploying them to my customers. They represent an investment in hardware, software and labor, that is directly tied to my reputation and therefore my customer trust. I expect them to perform as advertised and I expect SOPHOS as my partner, to do a (much) better job. 

William I am not attacking those of you trying to help. I am open to help and appreciate the collective knowledge here, but am darned tired of the excuses for the arrogance and incompetence displayed by SOPHOS.

I do not expect anything to be trouble free, perfect or flawless. I think these appliances could be amazing and, in fact, are unmatched by any other firewall. That said, SOPHOS has turned them into a liability, regardless of the attractive and growing feature set. My list of complaints grows when it should be shrinking.

To be patently clear, I deploy and manage numerous pieces of technology in the process of supporting my IT customers. Without exception, I spend more time managing, twiddling and supporting these devices than I do ANY other technology I currently have deployed. They have accounted for more support hours (mostly unbillable), protracted outages, complaints and customer discomfort,  than any other device or vendor I have ever dealt with.

I cannot address your experiences but every utm I have deployed works nearly flawlessly with only minor adjustments now and then.  I continue to audition other UTM products and frankly for the price i have not found anything that detects and stops more stuff and gives more functionality than Sophos.  I've tried SW, watchguard, firebox, smoothwall(paid version).  i DO wish sophos would integrate dansguardian though.  That is a superior piece of technology to anything iv'e seen from ANY other vendor including Sophos.  The ability to look at the actual content of the page and block based on that AND by using blocklists makes DG much more effective than most other content filtering systems out there.  At one point I had built a highly modified ipcop system with several addons that incorporated dg and several other modules into my own custom UTM.  It was HIGHLY cumbersome to maintain but it was more effective than even Sophos at stopping bad stuff on the web..[[:)]]  If i had the $$$ i would try to reassemble that again but i am not a programmer and i do not have the ability at this time to manage that kind of project..[[:)]]