3 подсети и сервер SEP 14

[Anatoliy Murtazin]

Имеется, 3 подсети. офис находится в х.х.110.х через VPN объединены  х.х.101.х и  х.х.100.х

В центральном офисе развернут сервер SEP 14,  в нем политика SEP работает.При рассылке или автономным установщиком.А вот на подсетях не хочет. Можно ли это настроить ? а то вручную разбрасывать настройки не очень удобно.

[mike 1]

Здравствуйте. А какое отношение SEP имеет к антивирусу касперского?

[Anatoliy Murtazin]

я извиняюсь, просто стоял SEP 14, перешел на KES на машинах развернуты касперский эндпоинт секюрити 11.11. развернул касперский секьюрити центр 14. 

Изменено 17 марта, 2023 пользователем Anatoliy Murtazin

[ElvinE5]

Проверьте что у вас доступен сервер KSC из сетей 100 и 101, что между сетями разрешен трафик и порты для работы Агентов администрирования (они то установлены ведь ?) ну как минимум TCP 13000 и UDP 15000

на клиенте что в сетях 100 и 101 запустите графическую утилиту ... от имени администратора

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe

 

проверьте правильность адреса сервера KSC, когда последний раз синхронизировался ... запустите проверку подключения.

  Показать контент

 

Появится окно с диагностикой подключения ...нас будет интересовать последний блок ...проверти наличие ошибок.

  Показать контент

 

Изменено 17 марта, 2023 пользователем ElvinE5

[Anatoliy Murtazin]

  В 17.03.2023 в 09:29, ElvinE5 сказал:

Проверьте что у вас доступен сервер KSC из сетей 100 и 101, что между сетями разрешен трафик и порты для работы Агентов администрирования (они то установлены ведь ?) ну как минимум TCP 13000 и UDP 15000

Показать  

Спасибо буду пробовать. обмен файлами между сетями есть, про порты не подумал. и не знал как можно затестить. в данный момент фаервол стоит керио. попробую прописать порты на пропуск из одной сети в другую. и утилиткой затестить.

попробую, по результату отпишусь.

[Anatoliy Murtazin]

сделал тест, картинка такая. это из сети х.х.х.100

FW еще не ковырял. хотя в правилах стоит что из одной сети в другую без ограничений.

 

  В 17.03.2023 в 09:29, ElvinE5 сказал:

у  Вас ip адрес отображается в текущий сервер, а у меня имя компа.  можно изменить в настройках центра каспера, имя на IP

пробую пинговать из той сети kep не проходит. а по ip идет

 

 

 

Показать  

 

 

нашел такую запись на других ветках, но на испытуемой машине нет Powershell  tnc kep -port 13000 и эта команда не работает (ip тоже пробовал)

 

[ElvinE5]

День добрый

  В 19.03.2023 в 21:26, Anatoliy Murtazin сказал:

картинка такая. это из сети х.х.х.100

Показать  

Вероятно DNS в 100 сети не работает и не может найти имя "kep" ... попробуйте на тестовом устройстве утилиту смены сервера, по тому же пути

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\

запустите cmd от админа и выполните две команды

 

cd "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent"

klmover.exe -address <ip вашего серевра>

 

агент переключится на использование IP при подключении, проверьте еще раз утилитой klcsngtgui.exe, и klnagchek - ошибки подключения.

 

  В 19.03.2023 в 23:41, Anatoliy Murtazin сказал:

нет Powershell  tnc kep -port 13000 и эта команда не работает

Показать  

tnc это сокращение от комдлета Test-NetConnection ... а какая у вас версия операционистки что нет PowerShell ?

 

 

теперь к следующему вопросу...

  В 19.03.2023 в 21:43, Anatoliy Murtazin сказал:

можно изменить в настройках центра каспера, имя на IP

Показать  

 

Можно, это делается в инсталляционном пакете Агента ПЕРЕД установкой на рабочую машину ... тут

  Показать контент

после установки такого агента устройство будет подключатся по IP

 

как исправить сейчас массово на всех устройствах ... вариантов не много ...

1. пройтись по 100 и 101 сетям и руками по запускать команду описанную выше (агент же там уже стоит), можно сделать батник что бы быстрее было ... не забывать запускать от имени админа

2. можно попробовать через KSC

- на тех устройствах что к нему подключены использовать задачу "Смена сервера администрирования" указав IP вместо DNS имени

  Показать контент

- на тех устройствах на которые агент установился но к серверу не подключились, 100 и 101 сети, использовать задачу "Удаленная установка" с инсталяционным пакетом собранным на основе bat файла (если только агенты уже расставлены на устройства)

  Показать контент

в задаче установки в качестве целевой группы можно указать например диапазон IP из подсетей 100 и 101

  Показать контент

 

Большая часть устройств переключится,  те что не смогут можно будет "добить" в ручную.

 

САМОЕ ВАЖНОЕ

При написании команды или bat файла (или настройке задачи смены сервера) НЕ ошибаться в написании IP адреса, иначе агенты опять не смогут подключится ... исправляется это конечно легко (как описано выше) но это потраченное время

 

[Anatoliy Murtazin]

спасибо буду пробовать, отпишусь по результату

 

[Anatoliy Murtazin]

Получилось переключить на сервер ip (на одной из подопотной машине). Теперь пробую перевязать чтоб клиенты цеплялись

 

[Anatoliy Murtazin]

все подцепил. все работает. Столкнулся с проблемой, на 10х нормально, на 7ках. некоторые сайты не пускает. пишет мол сертификат не установлен. сайты добавлять в доверенные, как то не удобняк. есть какое-то массовое решение.

ISRG Root X1 при добавлении этого сертификата на машину, не помогло

[oit]

Скриншот покажите.

Скорее всего, на 7ке надо обновить корневые сертификаты.

[Anatoliy Murtazin]

появится ошибка, скрин приложу.

[Anatoliy Murtazin]

спустя некоторое время обнаружил, что обновления не идут. в политиках вроде прописано что все работает, поставил каждый день.

 

поменял https на http вроде пошло

https://support.kaspersky.ru/ksc12/settings/server/15052#block3

[Anatoliy Murtazin]

почти все машины перевел и сервера, но только на одном (сервере 1с) решил поставить серверную, мол она менее прожорливая (скрин приложил) и на некоторых компах у бухов отвалились шары. тупо не пускает RDP или шары.

и настроек нет у самого клиента, куда копать.

[ElvinE5]

Нужно уточнения ...

1. не пускает только некоторых или всех ?

2. на шары и RDP этого сервер где установлен KSWS ? или куда то еще где установлен KES ?

 

в настройках политики KES есть вот такой пункт ...

  Показать контент

 

в "локальный сетях" (есть еще доверенные и публичные) практически нет ограничений на работу приложений ...однако если ваши сети не попадают в этот диапазон на приложения из этих сетей будут действовать ограничения ... например из публичных сетей доступ как раз к шарам и RDP недоступен ... по умолчанию все НЕ описанные тут сети считаются публичными ... вот моя любимая подсказка

  Показать контент

 

вы можете добавить свои сети если они не попадают в эти диапазон и сделать их локальными, или если это например VPN то доверенными

 

 

однако это только если на клиенте к которому подключается по RDP (например) стоит KES, если проблема при подключении к устройству с KSWS (у него нет какого функционала)... вероятнее всего срабатывает защита от сетевых угроз и хосты бухгалтера просто блокируется на 30 минут (по умолчанию) ...проверти события сервера 1с на наличия подобных событий

 

нужно понять что мешает.