Перейти к содержанию

Проблема со связкой KSC - KES


Рекомендуемые сообщения

Всем доброго времени суток.

Есть проблема со связкой KSC - KES.

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

Есть 3 удаленных офиса объединенных VPN.

VPN построен с использованием PON, модемов HUAWEI EchoLife HG8245H и KerioControl.

KerioControl используется как маршрутизатор и фаервол, т.е. kerio держит VPN туннели между офисами и является шлюзом в интернет для каждого из офисов.

Так же имеем один внешний статичный IP для организации внешних подключений.

Сервер KSC у нас один и расположен в одном из офисов.

 

Для агентов стационарных компов (находящихся в корпоративной сети всех трех офисов) в качестве адреса сервера KSC мы указываем доменное имя сервера KSC.

С ними проблем нет.

 

Для агентов на ноутах в качестве адреса сервера KSC мы указываем внешний IP.

 

Теперь суть проблемы.

     1. Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

     2. Из сетей других офисов - агенты видят сервер KSC и ими можно управлять (удаленно запускать задачи и т.п.). Т.е. всё работает корректно.

     3. Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

 

На kerio создали правило:

Источник: LAN

Назначение: наш внешний IP, протокол: TCP 13000,14000   UDP 15000

Действие: мапить пакеты на локальный IP KSC

 

где LAN – сеть того офиса, где расположен сервер KSC

 

Это было сделано для того, чтобы исправить ситуацию из п.1 (недоступность сервера KSC из офиса той же локации). Проблема решилась, но, ИМХО, это костыль.

 

А вот ситуация из п.3 остается актуальной.

 

Прошу посоветовать, как решить нашу проблему.

Облака KES прошу не предлагать

post-52609-0-01225900-1547735785_thumb.jpg

Изменено пользователем Bird
Ссылка на комментарий
Поделиться на другие сайты

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11.

 

 

Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

а для них профиль подключения настроили в свойствах агента?

я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

 

 

Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

опять же профиль подключения нужно настроить, только теперь для кспд-сети. Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений. И еще может быть проблема как раз в версионности KSC - KES

 

Покажите: свойства политики агента - Сеть - Подключения

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

Большое спасибо за ответ.

 

@oitэто уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11

Вот и я тоже об этом подумал.

 

@oitа для них профиль подключения настроили в свойствах агента?

@oitя так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

Никаких доп. настроек агента не делал.

На ноутах, при инсталляции агента, указываю в качестве шлюза внешний IP.

 

@oitопять же профиль подключения нужно настроить, только теперь для кспд-сети.

@oitИли наоборот, если профиль настроен, то стоит галочка использовать только для обновлений.

Если честно, то я не совсем понимаю о чем Вы :|

Не могли бы Вы пояснить более подробно по настройке профилей.

Все правила у нас созданы на kerio. Я считал, что этого должно быть достаточно.

 

@oitИ еще может быть проблема как раз в версионности KSC - KES

Я, пожалуй, сначала обновлю версию KSC

 

@oitПокажите: свойства политики агента - Сеть - Подключения

В аттаче.

post-52609-0-73182800-1547800871_thumb.jpg

Изменено пользователем Bird
Ссылка на комментарий
Поделиться на другие сайты

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Спасибо за совет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Совух белобокий
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • ZOLkinA
      От ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
    • androv
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • tav
      От tav
      Всех приветствую !
       
      Поднял пока что тестовый KSC последний на Alt Linux.
      Версия KSC Linux PF 15.1.0.12199 и версия KESL PF 12.1.0.1543.
      В настройках политики установил распространять ключ через KSC и на самой лицензии галка стоит.
      Клиент работает не в режиме легкого агента.
       
      В итоге клиент виндовый подхватывает ключ с сервера KSC, клиент линуксовый при установке автоматом ставит тестовую/пробную лицензию и ни как не хочет цеплять автоматом лицензию.
      Если я создаю задачу для линуксовой группы/клиента сменить ключ, то все ок клиенты по задаче меняют ключ тестовый на корпоративный.
      Не понимаю почему именно линуксовые клиенты автоматом не тащат ключ. Настройки как я понимаю правильные.


    • pacificae
      От pacificae
      Доброго времени. Исходные данные - на клиентском ПК отключил вручную защиту KES бессрочно. Вопрос - можно ли через KSC (в моем случае 13) включить защиту удалённо?
×
×
  • Создать...