Bird 1 Опубликовано 17 января, 2019 Share Опубликовано 17 января, 2019 (изменено) Всем доброго времени суток. Есть проблема со связкой KSC - KES. Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781 Есть 3 удаленных офиса объединенных VPN. VPN построен с использованием PON, модемов HUAWEI EchoLife HG8245H и KerioControl. KerioControl используется как маршрутизатор и фаервол, т.е. kerio держит VPN туннели между офисами и является шлюзом в интернет для каждого из офисов. Так же имеем один внешний статичный IP для организации внешних подключений. Сервер KSC у нас один и расположен в одном из офисов. Для агентов стационарных компов (находящихся в корпоративной сети всех трех офисов) в качестве адреса сервера KSC мы указываем доменное имя сервера KSC. С ними проблем нет. Для агентов на ноутах в качестве адреса сервера KSC мы указываем внешний IP. Теперь суть проблемы. 1. Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п. 2. Из сетей других офисов - агенты видят сервер KSC и ими можно управлять (удаленно запускать задачи и т.п.). Т.е. всё работает корректно. 3. Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен. На kerio создали правило: Источник: LAN Назначение: наш внешний IP, протокол: TCP 13000,14000 UDP 15000 Действие: мапить пакеты на локальный IP KSC где LAN – сеть того офиса, где расположен сервер KSC Это было сделано для того, чтобы исправить ситуацию из п.1 (недоступность сервера KSC из офиса той же локации). Проблема решилась, но, ИМХО, это костыль. А вот ситуация из п.3 остается актуальной. Прошу посоветовать, как решить нашу проблему. Облака KES прошу не предлагать Изменено 17 января, 2019 пользователем Bird Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 17 января, 2019 Share Опубликовано 17 января, 2019 (изменено) Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781 это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11. Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п. а для них профиль подключения настроили в свойствах агента? я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес? Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен. опять же профиль подключения нужно настроить, только теперь для кспд-сети. Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений. И еще может быть проблема как раз в версионности KSC - KES Покажите: свойства политики агента - Сеть - Подключения Изменено 17 января, 2019 пользователем oit Цитата Ссылка на сообщение Поделиться на другие сайты
Bird 1 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 (изменено) Добрый день. Большое спасибо за ответ. @oit, это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11 Вот и я тоже об этом подумал. @oit, а для них профиль подключения настроили в свойствах агента? @oit, я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес? Никаких доп. настроек агента не делал. На ноутах, при инсталляции агента, указываю в качестве шлюза внешний IP. @oit, опять же профиль подключения нужно настроить, только теперь для кспд-сети. @oit, Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений. Если честно, то я не совсем понимаю о чем Вы :| Не могли бы Вы пояснить более подробно по настройке профилей. Все правила у нас созданы на kerio. Я считал, что этого должно быть достаточно. @oit, И еще может быть проблема как раз в версионности KSC - KES Я, пожалуй, сначала обновлю версию KSC @oit, Покажите: свойства политики агента - Сеть - Подключения В аттаче. Изменено 18 января, 2019 пользователем Bird Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 (изменено) @Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А Изменено 18 января, 2019 пользователем oit Цитата Ссылка на сообщение Поделиться на другие сайты
Bird 1 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 @Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А Спасибо за совет. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.