Перейти к содержанию

Проблема со связкой KSC - KES


Рекомендуемые сообщения

Всем доброго времени суток.

Есть проблема со связкой KSC - KES.

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

Есть 3 удаленных офиса объединенных VPN.

VPN построен с использованием PON, модемов HUAWEI EchoLife HG8245H и KerioControl.

KerioControl используется как маршрутизатор и фаервол, т.е. kerio держит VPN туннели между офисами и является шлюзом в интернет для каждого из офисов.

Так же имеем один внешний статичный IP для организации внешних подключений.

Сервер KSC у нас один и расположен в одном из офисов.

 

Для агентов стационарных компов (находящихся в корпоративной сети всех трех офисов) в качестве адреса сервера KSC мы указываем доменное имя сервера KSC.

С ними проблем нет.

 

Для агентов на ноутах в качестве адреса сервера KSC мы указываем внешний IP.

 

Теперь суть проблемы.

     1. Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

     2. Из сетей других офисов - агенты видят сервер KSC и ими можно управлять (удаленно запускать задачи и т.п.). Т.е. всё работает корректно.

     3. Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

 

На kerio создали правило:

Источник: LAN

Назначение: наш внешний IP, протокол: TCP 13000,14000   UDP 15000

Действие: мапить пакеты на локальный IP KSC

 

где LAN – сеть того офиса, где расположен сервер KSC

 

Это было сделано для того, чтобы исправить ситуацию из п.1 (недоступность сервера KSC из офиса той же локации). Проблема решилась, но, ИМХО, это костыль.

 

А вот ситуация из п.3 остается актуальной.

 

Прошу посоветовать, как решить нашу проблему.

Облака KES прошу не предлагать

post-52609-0-01225900-1547735785_thumb.jpg

Изменено пользователем Bird
Ссылка на сообщение
Поделиться на другие сайты

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11.

 

 

Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

а для них профиль подключения настроили в свойствах агента?

я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

 

 

Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

опять же профиль подключения нужно настроить, только теперь для кспд-сети. Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений. И еще может быть проблема как раз в версионности KSC - KES

 

Покажите: свойства политики агента - Сеть - Подключения

Изменено пользователем oit
Ссылка на сообщение
Поделиться на другие сайты

Добрый день.

Большое спасибо за ответ.

 

@oitэто уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11

Вот и я тоже об этом подумал.

 

@oitа для них профиль подключения настроили в свойствах агента?

@oitя так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

Никаких доп. настроек агента не делал.

На ноутах, при инсталляции агента, указываю в качестве шлюза внешний IP.

 

@oitопять же профиль подключения нужно настроить, только теперь для кспд-сети.

@oitИли наоборот, если профиль настроен, то стоит галочка использовать только для обновлений.

Если честно, то я не совсем понимаю о чем Вы :|

Не могли бы Вы пояснить более подробно по настройке профилей.

Все правила у нас созданы на kerio. Я считал, что этого должно быть достаточно.

 

@oitИ еще может быть проблема как раз в версионности KSC - KES

Я, пожалуй, сначала обновлю версию KSC

 

@oitПокажите: свойства политики агента - Сеть - Подключения

В аттаче.

post-52609-0-73182800-1547800871_thumb.jpg

Изменено пользователем Bird
Ссылка на сообщение
Поделиться на другие сайты

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Изменено пользователем oit
Ссылка на сообщение
Поделиться на другие сайты

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Спасибо за совет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...