Перейти к содержанию

KSC не видит агентов KSC на локальных компах в домене


Рекомендуемые сообщения

Вообщем, есть выделенный сервер с KSC-12, изначально настроил, работал без особых проблем, своих агентов видел, KeS обновлялся. 

Прошлым летом сменил айпи на сервере, в целях упорядочения раздачи айпи. Вроде всё работало, как обычно. Потом отпуск, потом Новый год,  смотрю - а у меня три четверти компов в KSC помечены, как с отсутвующими

агентами KSC. Вернул айпишник на старый, подождал дня 2-3 - не помогло. Снова вернул айпи на новый, "упорядоченный", сделал батник с командой:

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe -address ksc.domain.local -silent  /точнее, вначале вместо полного имени сервак с KSC указал его айпи/,

запустил задачей средствами ксц, пишет - отработало успешно в обоих случаях /с айпи и днс-именем/,  - но - не помогло. KSC все равно не видит агентов KSC на локальных компах.

Вычитал на форуме про проблему с сертификатами,  с KSC экспортировал сертификат KeS и раздал его политикой домена на локальные компы. Подождал ночь, чтоб компы перезагрузились через

выключение/включение - не помогло. Своих агентов КСЦ на локальных компах не видит всё равно. А они есть, как и КеС.

В чем беда, не подскажете, уважаемые? Может, надо базу sqlexpress отрихтовать каким-то образом? Похоже, там прописалась в нескольких местах всякая инь-янь-хрень...

Да, КСЦ Версия: 12.2.0.4376, агенты соответственно тоже, КеС версия 11.6.0.394, переустанавливал и вместе через задачу, и по-отдельности, и просто тупо удаленно с пары локальных компов с КЛ-шары из пакаджест,

после установки/переустановки -пишет всё встало хорошо, просто замечательно, перезагружаешься - а ксц всё равно своих агентов с кес не видит...

 Может, кто-то сталкивался с аналогичным?

 

 

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, oit сказал:

А они в нераспределенных не висят?

 - да, именно! - а были в управляемых.  Пробовал пару компов оттуда перенести в управляемые, переустановить и агента ксц и кес - не помогло... Вернул их обратно в нераспределённые.

 

 

Изменено пользователем DD654
Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, oit сказал:

Удалите все эти компы и из нераспределенных тоже.

Те, которые появятс в нераспределенных - перенести в нужные группы

Да, уже пробовал, не помогло. Сейчас проделаю это же самое, но немного изменив, "расширенно", так сказать. 

 

 - Только что залез в групповые политики и поудалял все записи касперского на установку агентов ксц и кес. Таких записей было около десятка, это я когда пытался их переустановить через ад, да с разных айпишников сервака с ксц. Имхо - в этом безпорядке и могла "привязка" агентов ксц "глючить". Ещё четыре записи удалил в "ад юзерс и компьютерс" в расширенном режиме. 

Потом gpupdate /force.

 

 - Сейчас думаю, удалить из нераспределённых все компы, что там есть.  Потом перезагружу сервак с ксц и, думаю, заново задам задачу на перезапись агента ксц на все компы в нераспределённых, причем, именно с перезаписью, не смотря на то, что агенты там есть, да и сам кес тоже есть. 

У меня только вопрос к Вам - что посоветуете?: 

 - перезаписать/установить  только агентов кес на все компы в нераспределенных?

 - или перезаписать/переустановить связку агенты ксц и сам собственно кес на все компы в нераспределенных?

Установку/перезапись назначу через ад, заново, благо все предыдущие попытки удалил.

Логичным выглядит перезаписать/переустановить связку агент ксц+кес, но не избыточно ли это? Может, хватит только агентов переустановить?

Переустановленный только агент ксц,  ведь сможет подхватить управление над уже ранее установленным кес_ом, правильно? 

Вообщем, что посоветуете?

 

Ссылка на сообщение
Поделиться на другие сайты
22 минуты назад, oit сказал:

Кес не трогайте. Пусть работает.

Только агент

Понял, спасибо! - после 9-00, займусь.  И да - перезагрузил сервак с ксц, в нераспределённых всё как и было, без изменений. 

Сейчас запущу задачу установки агента ксц на компы в нераспределенных, через ад, с перезаписью/переустановкой. Результат только завтра будет известен, принудительную перезагрузку или оповещение включать не буду, сами вечером выключат, а утром включат - вот и перезагрузка.

Вообщем, завтра будет видно, помогло или нет. 

 

 - ну вот, запустил задачу установки агента ксц на компы в нераспределенных через ад без принудительной перезагрузки. 

Ставится, - пойду перекурю это дело.

 

Изменено пользователем DD654
добавление событий
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Sandor сказал:

Обычно для установки и начала функционирования Агента перезагрузка не нужна.

О!, тогда где-то ближе к обеду и результат будет виден! - сообщу обязательно!

 

 

Вообщем, не выходит каменный цветочек. Установщик пишет: "Удаленная установка на устройстве завершена успешно."

А воз и ныне там - как были эти компы в нераспределенных, мол агент ксц не установлен - так и остались...

На трех компах такая вот ошибка выскочила: " Удаленная установка на устройстве завершена с ошибкой: Во время установки произошла неустранимая ошибка. (Parameter with name "86" not exist.)"

 Интересно, что это за "параметр виз найм 86"? - это не папка винды "Програм файлз (х86)" случаем? 

Вообщем, что ещё может мешать связи агента ксц с самим ксц? - локальные файрволлы на компах? - так там касперский сам правила прописывает не по айпи:порт, а по приложение:порт, т.е. файрволлы блокировать  не должны.

Остается экспрессэскуэль. Знать бы там значения полей, относящихся к агенту ксц. Или сделать пустую чистую базу для касперского,  без переустановки самого КСЦ. 

Вообщем, имхо, остается попробовать поковыряться в скуле, или тупо снести и с ноля поставить КСЦ. Новый сертификат раздам политиками.

Или, может, ещё что-то есть, какие-то варианты?

...

Грустно всё...

 

 

 

А можно как-то достоверно определить, на чьей стороне проблемы "невидимости" агентов ксц - на стороне самого ксц, или на стороне локальных компов - самих агентов?

А то КСЦ что-то видит, но большинство агентов не видит.

Есть какая-то утилитка для проверки связи сервер КСЦ - агент КСЦ?

 

 

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, DD654 сказал:

А можно как-то достоверно определить, на чьей стороне проблемы "невидимости" агентов ксц - на стороне самого ксц, или на стороне локальных компов - самих агентов?

А то КСЦ что-то видит, но большинство агентов не видит.

Есть какая-то утилитка для проверки связи сервер КСЦ - агент КСЦ?

 

 

Посмотрите статью

https://support.kaspersky.ru/12776

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, oit сказал:

Посмотрите статью

https://support.kaspersky.ru/12776

Спасибо! - пошел читать/курить бамбук, мануалы - это рулёз! - шучу.

Спасибо.

 

 

Похоже всё же с сертификатом проблема, утилита klnagchk на ближайшем компе пожаловалась на невозможность связи по ssl, пишет - из-за сертификата, поэтому агент и недоступен. 

Но КАКОЙ сертификат, она не сказала. 

Уже легче, хоть что-то определенное появилось. Хотя странности есть.

Самый главный вопрос, Уважаемые! - на серваке с КСЦ в локальном хранилище сертификатов в доверенных корневых центрах есть сертификат только от Касп.ЕндПойнтСекурити, а от Касп.Секкюр.Центра  - нет, не нашёл, не вижу. Это правильно, так и быть должно, что используется сертификат от КЕС, а сертификата от КСЦ вообще нет?

Потому, что, на клиентском компе аж два сертификата от КЕС, один видимо при первой установке кес_а был прописан, а второй я политиками намедни раздал.

Ладно, сравню сертификаты, без проблем, самое главное, что используются  только сертификаты от КЕС, а сертификатов от КСЦ вообще нет,  и не было, так ведь?

Подтвердите, пожалуйста, это, кто может, тогда дальше пойду.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, oit сказал:

У вас порт 13000 открыт? В свойствах ксц и в политиках агента подключение через ssl 13000 указано?

Порт да, открыт, телнетится.  В политиках агента подключение явно порт 13000 не указано, просто - ssl, редактирование запрещено, так что там всё по умолчанию должно быть.

Вот, на всякий случай,  вывод утилитки с локального компа:

 

Запуск утилиты klnagchk...
Проверка параметров командной строки...OK
Инициализация базовых библиотек...OK
Текущее устройство 'клиент.домен.локал'
Версия Агента администрирования '12.2.0.4376 (12_2)'


Чтение параметров...OK
Проверка параметров...OK
Параметры Агента администрирования:
  Адрес Сервера администрирования: 'ксц.домен.локал.ru'
  Использовать SSL: 1
  Сжимать трафик: 1
  Номера SSL-портов Сервера администрирования: '13000'
  Номера портов Сервера администрирования: '14000'
  Использовать прокси-сервер: 0
  Сертификат Сервера администрирования: доступно
  Открывать UDP-порт: 1
  Номера UDP-портов: '15000'

  Период синхронизации (мин): 15
  Тайм-аут соединения (сек): 30
  Тайм-аут отправки/приема (сек): 180
  Идентификатор устройства: dd2617f6-0b07-4e67-adea-b4d4efc7e7bb


Попытка соединения с Сервером администрирования...Произошла ошибка транспортного уровня при соединении с http://ксц.домен.локал:13000: не прошла аутентификация SSL, неверный или просроченный сертификат.

Попытка отправки ICMP-пакета Серверу администрирования
Отправка ICMP-пакета ксц.домен.локал [192.168.16.9]...OK
Отправлено = 1, Получено = 1


Попытка соединения с Агентом администрирования...OK
Агент администрирования запущен.
Получение статистики Агента администрирования...OK
  Статистика Агента администрирования:
  Всего запросов на синхронизацию: 0
  Успешных запросов на синхронизацию: 0
  Всего синхронизаций: 0
  Успешных синхронизаций: 0
  Дата/время последнего запроса на синхронизацию:30.04.2021 4:32:57 GMT (30.04.2021 7:32:57)


Деинициализация базовых библиотек...OK

 

...

Блин, удалил второй не совпадающий сертификат, на клиенте, перезагрузил его - всё равно в нераспределённых остался...

 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, oit сказал:

Сертификат ксц не истёк?

Нет, оба /у клиента/ до 32 года, аж с 12_го.

 

Обратил внимание - политика агента применяется где-то на половине локальных компов, про остальные ничего не сказано, и как явно указать, на какие компы её применять, тоже явно не указано.

Как то странно это, это ведь я должен указать ей /политике/ на какие компы применяться, а не она сама выбирать, где применяться, а где нет. 

Блин, а как же её указать, что она должна применяться на все компы домена?

В свойствах политики этого явно нет. Странно это.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Dor
      От Dor
      Hi there!  Антивирусная система нашего предприятия сконфигурирована таким образом, что общая (единая) политика наследуется на подчинённые серверы с главного сервера верхнего уровня. Наследуемая политика заблокирована от редактирования на подчинённых серверах. Но появилась необходимость на подчинённом сервере добавить USB доверенное устройство. Так как политика заблокирована добавить устройство непосредственно на подчинённом сервере возможности нет. А в политике на главном сервере (где есть возможность редактирования) также нельзя добавить USB доверенное устройство по причине того, что на главном сервере не видны компьютеры с нужными устройствами подчиненного сервера куда подключается доверенное устройство. Каким образом можно добавить доверенное устройство на подчинённый сервер?
       
      Да, можно создать отдельную редактируемую политику и назначить её на нужную группу на подчинённом сервере, но это не решение, так как это полностью убивает общую стратегию и принцип управления общей структурой сервиса. 
    • homyak23
      От homyak23
      Добрый день, коллеги!
      На всех серверах в компании (порядка 150) было запущено сканирование портов, соответственно Kaspersky Security for Windows Servers (версия 11.0.1), который на них установлен, начал кричать, что "Обнаружен объект:  Scan.Generic.PortScan.TCP".
      По этому поводу админам начала сыпаться гора писем с информацией об этом с KSC (версия 13.2). Сканирование давно закончилось, а вот письма никак не угомонятся.
      Если на сервере KSC остановить службу  "Сервер администрирования Kaspersky Security Center" (kladminserver) поток приостанавливается, но возобновляется с включением службы.
      Вопрос: куда KSC складывает письма перед отправкой и как всё оттуда вычистить?
      Спасибо огромное!  
    • sovius
      От sovius
      После обновления KSC с 12 на 13ю версию стал недоступен порт 13000, следовательно пропало управление всеми устройствами. По локалхосту порт открыт и доступен. Брандмауер отключен. Мониторинг лисенинг портов показывает, что 13000 порт стоит на прослушке для любого интерфейса и для любого входящего адреса.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
    • website9527633
      От website9527633
      Добрый день! У меня выходит ошибка при создании автономного пакета, переустанавливал KSC с базой с нуля не помогает
       

      Пересоздавал с нуля установочный пакет он проходит без ошибок, но после того как создаю автономный пакет заново всплывает ошибка все версии kes и на агент тоже также на весь инсталляционный пакет
    • website9527633
      От website9527633
      Добрый день! Как можно закрыть доступ RDP всем по сети, открыть доступ только определенным айпи адресам в KSWS?
      По политикам настроил KES и все работает четко, да и настройки понятны в KES политиках, захожу в политики KSWS непонятно как блокировать и разрешать некоторым? Можете подсказать или шаблон скрин настройки в KSWS?
      В пункт зашел уже network activity control, а дальше вижу rules, но в нем как прописать запрет и разрешение непонятно
×
×
  • Создать...