Jump to content

vpsa

Members
  • Content Count

    760
  • Joined

  • Last visited

4 Followers

About vpsa

  • Rank
    Test Engineering Team Lead
  1. Добрый день! нужны новые трассировки+экспорт истории задачи. Остановите ВСЕ задачи уд. установки которые применяются к клиенту, на клиенте включите трассировку сетевого агента и перезапустите службу сетевого агента(трассировка нужна с момента старта сетевого агента), включите трассировку сервера, запустите задачу.
  2. Добрый день! Тут очень интересно: экспорт истории задачи, трейсы сервера с момента запуска задачи +20мин(больше ждать не нужно, если у Вас период синхронизации по дефолту -15 мин) и синхронные с трейсами сервера трейсы с сетевого агента проблемной машины(одной из) Сделайте сначала как просит Николай. если результата не будет, то тогда: Запустите klnagchk на любом из этих компьютеров(с подписью недоступен), результат сюда. И аналогично, трейсы сервера и сетевого агента на одном из компов с момента запуска задачи +20 мин. Попробуйте ещё на проблемных хостах несколько раз подряд запустить в командной строке: nslookup Kav2015srv.ion.ru. Всегда ли резолв идёт на нужный айпишник?
  3. Добрый день! У Вас я так понимаю больше 100 компьютеров? попробуйте сделать следующее: зайти в свойства сервера администрирования, вкладка "параметры", снять галку "автоматически назначать агентов обновления" , после этого зайти в свойства группы/групп и убедится что агентов обновления не задано. После этого сделать пробную установку на ряд компьютеров. По результатам отпишитесь.
  4. Добрый день! Абсолютно верно, наличие файла klmon.sys в %SYSTEMROOT%\system32\drivers говорит об установленности компонента. если в командной строке запустить "sc query klnetmon" - можно посмотреть состояние драйвера. Портал авторизации - это сервис klnsacwsrv. Он запускается автоматически, если заданы правила для авторизации на портале. Сам портал авторизации - это часть системы NAC-энфорсмента. И он устанавливается и работает там, где работает драйвер. Проверить его путём прямого доступа по ссылке не получится, портал авторизации общается только с драйвером, и принимает трафик только от него. В чём собственно проблема на хосте, который должен перенаправлятся на CP? не открывается страница CP вместо внешней или открывается внешняя страница(на которую идёт изначальный запрос). В текущей версии Windows 8 и выше не поддерживаются компонентом NAC(инсталлер не ставит драйвер если видит что винда 8 версии, вне зависимости от выбора пользователя). Поддержка будет добавлена в 10.2 зы. В текущей версии не поддерживается работа более 1 энфорсера в 1 физическом сегменте сети.
  5. Thanks. Yep, it is only begining and we are really interested in customers feedback. I hope we can make much more smoothy deployment in next release. ARP enforcement isn't best thing for fully functional NAC sollution, not only by "religion" issues, but also because it can be easily bypassed by "qualified bad guy". But in this version NAC isn't fully functional powerful protection system - first of all it is network inventoring tool, with possibility to provide soft restriction to unwanted users. What about best practices, first of all, use "emulation mode" for first time in network. In this case driver doesn't perform ARP enforcement to computers, but put in log information that it would do it in normal scenario. You can find in log file all taken actions to them and ensure that created rules works as you expected, and doesn't enforce critical computers. It is not necessary though, but can save nerves if rule behavior will differ from your exceptations. Also, at this moment we doesn't support "network service address" and "redirect to captive portal" for same objects. You can specify both them for a same object, but only Captive Portal rule will be worked(it have bigger priority) Another one - one enforcer per network segment, and each enforcer should be connected to the switch port mirror.
  6. look like as an issue, we need installer traces to verify it. But, other systems as Enforcers are working fine. Fine Can you please confirm -- how can we revoke authentication once the end-user has authenticated on the Authentication Page? We haven't such option in this release, but working on it in the future version Also, some computers are identified as Unknown and policies for the device type as Computer does not work on them. By some reasons NMAP scanning wasn't able to scan such computers successfully(it has "last polling" date and time?). Usually it is because of firewall on a host. I tried blocking Operating System (Machines which have XP installed) -- but the rule did not work. Is it possible to block specific Operating Systems in the Software option? Unfortunately, we have an issue, predefined strings in GUI doesn't match with string from NMAP scanning, as result this rule doesn't apply. as example, NMAP returns "Microsoft Windows Vista SP0 or SP1, Server 2008 SP1, or Windows 7" for Windows Server 2008. So, to match it, you should specify "Server 2008" instead of predefined "Microsoft Server 2008", or specify "Microsoft * Server 2008". Which string should you use you can see in details of device properties in network devices node. Can you please share best or recommended practices for implementation of KL-NAC? Actually it depend on what you want. I've suggest to add to white list all devices which should be excluded from enforcement(at least all your network devices, servers, and critical workstations)
  7. Hi! It will work on both network interfaces simultaneously. Please also run cmd.exe and execute "sc query klnetmon" on machine where is enforcer installed.
  8. Hello! To check this please run cmd.exe and type "sc query klnetmon"
  9. Hello! How do you setup NAC enforcer on target computer? You have runned installer locally, or setup checkbox in package properties?(please refer to screenshot - http://vvcap.net/db/hv2RY09AkBdDtAj1A8Xp.htp)
  10. Hello! Host with Enforser runs on physical network or virtual network? if virtual, which type? also, we need special traces, which can be found inside $klnagent-1103.log, after enabling it by attached regfiles (it has different parameters, not as usual network agent reg file or remote diagnostic utility which enables traces, so please use it regardless of enabled/disabled network agent tracing) after apply regfile "NACtrcon" please restart network agent, wait 2 minutes, apply "NACtrcoff" and provide here $klnagent-1103.log from network agent folder nactraces.zip
  11. Hello all! Unfortunatelly, we are failed to reproduce problem with hang on "waiting for connection". As far as I understand scenario, it appears for each machine in the task, right? We kindly ask you to provide traces for problem reproduction in your environment. We need: server tracefile($klserver-1093.log), network agent tracefile from client computer($klnagent-1103.log), which one is hangs in "waiting for connection", as well as task history for this computer and following files from system temp folder of client computer: $klriwrp.txt, $klrbtagt.txt, $klriwrp.bak, $klrbtagt.bak. (these files is always creates, no need to turn them on) To export task history open task history, select problem computer, and than select item in bottom part of window and click right mouse button and select "export". This link will help you to get server and nagent trace files: http://support.kaspersky.com/ksc9/error?qid=208285361
  12. Добрый день! Alex Chirkin, нужны трейсы $klserver.log, $klwnstman.log с момента запуска задачи(появятся после включения трассировки сервера), и все файлы вида klri* из системного темпа клиента.
  13. Выполните пожалуйста на подчинённом сервере скрипт из аттача, результаты сюда query_del_tsk.rar
  14. Добрый день! попробуйте пересоздать отношения между главным и подчинёным сервером.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.