KSC не видит агентов KSC на локальных компах в домене

[DD654]

Вообщем, есть выделенный сервер с KSC-12, изначально настроил, работал без особых проблем, своих агентов видел, KeS обновлялся. 

Прошлым летом сменил айпи на сервере, в целях упорядочения раздачи айпи. Вроде всё работало, как обычно. Потом отпуск, потом Новый год,  смотрю - а у меня три четверти компов в KSC помечены, как с отсутвующими

агентами KSC. Вернул айпишник на старый, подождал дня 2-3 - не помогло. Снова вернул айпи на новый, "упорядоченный", сделал батник с командой:

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe -address ksc.domain.local -silent  /точнее, вначале вместо полного имени сервак с KSC указал его айпи/,

запустил задачей средствами ксц, пишет - отработало успешно в обоих случаях /с айпи и днс-именем/,  - но - не помогло. KSC все равно не видит агентов KSC на локальных компах.

Вычитал на форуме про проблему с сертификатами,  с KSC экспортировал сертификат KeS и раздал его политикой домена на локальные компы. Подождал ночь, чтоб компы перезагрузились через

выключение/включение - не помогло. Своих агентов КСЦ на локальных компах не видит всё равно. А они есть, как и КеС.

В чем беда, не подскажете, уважаемые? Может, надо базу sqlexpress отрихтовать каким-то образом? Похоже, там прописалась в нескольких местах всякая инь-янь-хрень...

Да, КСЦ Версия: 12.2.0.4376, агенты соответственно тоже, КеС версия 11.6.0.394, переустанавливал и вместе через задачу, и по-отдельности, и просто тупо удаленно с пары локальных компов с КЛ-шары из пакаджест,

после установки/переустановки -пишет всё встало хорошо, просто замечательно, перезагружаешься - а ксц всё равно своих агентов с кес не видит...

 Может, кто-то сталкивался с аналогичным?

 

 

[oit]

А они в нераспределенных не висят?

[DD654]

13 минут назад, oit сказал:

А они в нераспределенных не висят?

 - да, именно! - а были в управляемых.  Пробовал пару компов оттуда перенести в управляемые, переустановить и агента ксц и кес - не помогло... Вернул их обратно в нераспределённые.

 

 

Изменено 24 января, 2022 пользователем DD654

[oit]

Удалите все эти компы и из нераспределенных тоже.

Те, которые появятс в нераспределенных - перенести в нужные группы

[DD654]

14 часов назад, oit сказал:

Удалите все эти компы и из нераспределенных тоже.

Те, которые появятс в нераспределенных - перенести в нужные группы

Да, уже пробовал, не помогло. Сейчас проделаю это же самое, но немного изменив, "расширенно", так сказать. 

 

 - Только что залез в групповые политики и поудалял все записи касперского на установку агентов ксц и кес. Таких записей было около десятка, это я когда пытался их переустановить через ад, да с разных айпишников сервака с ксц. Имхо - в этом безпорядке и могла "привязка" агентов ксц "глючить". Ещё четыре записи удалил в "ад юзерс и компьютерс" в расширенном режиме. 

Потом gpupdate /force.

 

 - Сейчас думаю, удалить из нераспределённых все компы, что там есть.  Потом перезагружу сервак с ксц и, думаю, заново задам задачу на перезапись агента ксц на все компы в нераспределённых, причем, именно с перезаписью, не смотря на то, что агенты там есть, да и сам кес тоже есть. 

У меня только вопрос к Вам - что посоветуете?: 

 - перезаписать/установить  только агентов кес на все компы в нераспределенных?

 - или перезаписать/переустановить связку агенты ксц и сам собственно кес на все компы в нераспределенных?

Установку/перезапись назначу через ад, заново, благо все предыдущие попытки удалил.

Логичным выглядит перезаписать/переустановить связку агент ксц+кес, но не избыточно ли это? Может, хватит только агентов переустановить?

Переустановленный только агент ксц,  ведь сможет подхватить управление над уже ранее установленным кес_ом, правильно? 

Вообщем, что посоветуете?

 

[oit]

Кес не трогайте. Пусть работает.

Только агент

[DD654]

22 минуты назад, oit сказал:

Кес не трогайте. Пусть работает.

Только агент

Понял, спасибо! - после 9-00, займусь.  И да - перезагрузил сервак с ксц, в нераспределённых всё как и было, без изменений. 

Сейчас запущу задачу установки агента ксц на компы в нераспределенных, через ад, с перезаписью/переустановкой. Результат только завтра будет известен, принудительную перезагрузку или оповещение включать не буду, сами вечером выключат, а утром включат - вот и перезагрузка.

Вообщем, завтра будет видно, помогло или нет. 

 

 - ну вот, запустил задачу установки агента ксц на компы в нераспределенных через ад без принудительной перезагрузки. 

Ставится, - пойду перекурю это дело.

 

Изменено 25 января, 2022 пользователем DD654
добавление событий

[Sandor]

Обычно для установки и начала функционирования Агента перезагрузка не нужна.

[DD654]

8 часов назад, Sandor сказал:

Обычно для установки и начала функционирования Агента перезагрузка не нужна.

О!, тогда где-то ближе к обеду и результат будет виден! - сообщу обязательно!

 

 

Вообщем, не выходит каменный цветочек. Установщик пишет: "Удаленная установка на устройстве завершена успешно."

А воз и ныне там - как были эти компы в нераспределенных, мол агент ксц не установлен - так и остались...

На трех компах такая вот ошибка выскочила: " Удаленная установка на устройстве завершена с ошибкой: Во время установки произошла неустранимая ошибка. (Parameter with name "86" not exist.)"

 Интересно, что это за "параметр виз найм 86"? - это не папка винды "Програм файлз (х86)" случаем? 

Вообщем, что ещё может мешать связи агента ксц с самим ксц? - локальные файрволлы на компах? - так там касперский сам правила прописывает не по айпи:порт, а по приложение:порт, т.е. файрволлы блокировать  не должны.

Остается экспрессэскуэль. Знать бы там значения полей, относящихся к агенту ксц. Или сделать пустую чистую базу для касперского,  без переустановки самого КСЦ. 

Вообщем, имхо, остается попробовать поковыряться в скуле, или тупо снести и с ноля поставить КСЦ. Новый сертификат раздам политиками.

Или, может, ещё что-то есть, какие-то варианты?

...

Грустно всё...

 

 

 

А можно как-то достоверно определить, на чьей стороне проблемы "невидимости" агентов ксц - на стороне самого ксц, или на стороне локальных компов - самих агентов?

А то КСЦ что-то видит, но большинство агентов не видит.

Есть какая-то утилитка для проверки связи сервер КСЦ - агент КСЦ?

 

 

[oit]

26 минут назад, DD654 сказал:

А можно как-то достоверно определить, на чьей стороне проблемы "невидимости" агентов ксц - на стороне самого ксц, или на стороне локальных компов - самих агентов?

А то КСЦ что-то видит, но большинство агентов не видит.

Есть какая-то утилитка для проверки связи сервер КСЦ - агент КСЦ?

 

 

Посмотрите статью

https://support.kaspersky.ru/12776

[DD654]

4 часа назад, oit сказал:

Посмотрите статью

https://support.kaspersky.ru/12776

Спасибо! - пошел читать/курить бамбук, мануалы - это рулёз! - шучу.

Спасибо.

 

 

Похоже всё же с сертификатом проблема, утилита klnagchk на ближайшем компе пожаловалась на невозможность связи по ssl, пишет - из-за сертификата, поэтому агент и недоступен. 

Но КАКОЙ сертификат, она не сказала. 

Уже легче, хоть что-то определенное появилось. Хотя странности есть.

Самый главный вопрос, Уважаемые! - на серваке с КСЦ в локальном хранилище сертификатов в доверенных корневых центрах есть сертификат только от Касп.ЕндПойнтСекурити, а от Касп.Секкюр.Центра  - нет, не нашёл, не вижу. Это правильно, так и быть должно, что используется сертификат от КЕС, а сертификата от КСЦ вообще нет?

Потому, что, на клиентском компе аж два сертификата от КЕС, один видимо при первой установке кес_а был прописан, а второй я политиками намедни раздал.

Ладно, сравню сертификаты, без проблем, самое главное, что используются  только сертификаты от КЕС, а сертификатов от КСЦ вообще нет,  и не было, так ведь?

Подтвердите, пожалуйста, это, кто может, тогда дальше пойду.

 

 

 

[oit]

У вас порт 13000 открыт? В свойствах ксц и в политиках агента подключение через ssl 13000 указано?

[DD654]

10 минут назад, oit сказал:

У вас порт 13000 открыт? В свойствах ксц и в политиках агента подключение через ssl 13000 указано?

Порт да, открыт, телнетится.  В политиках агента подключение явно порт 13000 не указано, просто - ssl, редактирование запрещено, так что там всё по умолчанию должно быть.

Вот, на всякий случай,  вывод утилитки с локального компа:

 

Запуск утилиты klnagchk...
Проверка параметров командной строки...OK
Инициализация базовых библиотек...OK
Текущее устройство 'клиент.домен.локал'
Версия Агента администрирования '12.2.0.4376 (12_2)'

Чтение параметров...OK
Проверка параметров...OK
Параметры Агента администрирования:
  Адрес Сервера администрирования: 'ксц.домен.локал.ru'
  Использовать SSL: 1
  Сжимать трафик: 1
  Номера SSL-портов Сервера администрирования: '13000'
  Номера портов Сервера администрирования: '14000'
  Использовать прокси-сервер: 0
  Сертификат Сервера администрирования: доступно
  Открывать UDP-порт: 1
  Номера UDP-портов: '15000'

  Период синхронизации (мин): 15
  Тайм-аут соединения (сек): 30
  Тайм-аут отправки/приема (сек): 180
  Идентификатор устройства: dd2617f6-0b07-4e67-adea-b4d4efc7e7bb

Попытка соединения с Сервером администрирования...Произошла ошибка транспортного уровня при соединении с http://ксц.домен.локал:13000: не прошла аутентификация SSL, неверный или просроченный сертификат.

Попытка отправки ICMP-пакета Серверу администрирования
Отправка ICMP-пакета ксц.домен.локал [192.168.16.9]...OK
Отправлено = 1, Получено = 1

Попытка соединения с Агентом администрирования...OK
Агент администрирования запущен.
Получение статистики Агента администрирования...OK
  Статистика Агента администрирования:
  Всего запросов на синхронизацию: 0
  Успешных запросов на синхронизацию: 0
  Всего синхронизаций: 0
  Успешных синхронизаций: 0
  Дата/время последнего запроса на синхронизацию:30.04.2021 4:32:57 GMT (30.04.2021 7:32:57)

Деинициализация базовых библиотек...OK

 

...

Блин, удалил второй не совпадающий сертификат, на клиенте, перезагрузил его - всё равно в нераспределённых остался...

 

[oit]

Сертификат ксц не истёк?

[DD654]

3 часа назад, oit сказал:

Сертификат ксц не истёк?

Нет, оба /у клиента/ до 32 года, аж с 12_го.

 

Обратил внимание - политика агента применяется где-то на половине локальных компов, про остальные ничего не сказано, и как явно указать, на какие компы её применять, тоже явно не указано.

Как то странно это, это ведь я должен указать ей /политике/ на какие компы применяться, а не она сама выбирать, где применяться, а где нет. 

Блин, а как же её указать, что она должна применяться на все компы домена?

В свойствах политики этого явно нет. Странно это.