Jump to content
Vadimon

KSC, агент и преименование рабочих станций [В процессе]

Recommended Posts

Здравствуйте. Проблема следующая.

Имеется Active Directory + KSC10 + компьютеры с агентом и KES10.

Часто случается такое, что учётные записи компьютеров переименовываются (у нас в имени компьютера кодируется номер комнаты, поэтому при перемещении переименовываем), либо удаляются и создаются заново (при переустановке системы).

Во всех таких случаях в KSC остаётся висеть старая учётка с нормальными именем вида 1234-01 и новая, с именем вида 1234-01~AABBCC. Если просто удалить уже ненужную 1234-01, то переименовать 1234-01~AABBCC в 1234-01 не удаётся, учётка с таким именем висит в нераспределенных компьютерах, призодится искать там, удалять, делать синхронизвацию с AD и по-новой распеределять компьютер в нужную группу. Я так понимаю учётка в KSC привязана к sid учётной записи компьютера. Получается, что из-за переуставновки ОС и установке на компьютер того же имени появляется новая учётка и компьютер выпадает из под действия политик.

Однако даже после манипуляций с повторным распределением компьютера часто оказыватся, что связь не установилсь, и компьютер значится в списке как компьютер без агента/антивируса и всех сведений.

В таких ситуациях делаю следующее. Беру автономный пакет агента, запускаю его установку даже если он уже установлен, и в момент "Проверка соединения с сервером" в KSC появляются корректные сведения об агенте/антивирусе. При этом даже если делалать переустановка учётки, то подхватывается правильное имя без создания дубликатов.

Полагаю, что тоже самое можно происходит при отправке пульс-пакета, как описано здесь http://support.kaspersky.ru/9319

 

Подскажите, как форсировать соединение агента с сервером из командной строки, чтобы я мог, например, прописать это действие в скрипт автозагрузки?

Как сделать, чтобы компьютер идентифицировался в KSC по полному имени и считалось, что если имена компьютеров совпадают, значит это тот же самый компьютер.

Как правильно делать переименование и переуставновку учётных записей компьютеров в AD, чтобы изменения максимально быстро отражались в AD?

Share this post


Link to post

НА самом деле не понимаю, как это вообще сломали

В 8ой версии все работало нормально, компьютеры спокойно переименовывались и оставались в группе, в 10ой же, постоянно вылетает из нее

Share this post


Link to post
Здравствуйте. Проблема следующая.

Имеется Active Directory + KSC10 + компьютеры с агентом и KES10.

Часто случается такое, что учётные записи компьютеров переименовываются (у нас в имени компьютера кодируется номер комнаты, поэтому при перемещении переименовываем), либо удаляются и создаются заново (при переустановке системы).

Во всех таких случаях в KSC остаётся висеть старая учётка с нормальными именем вида 1234-01 и новая, с именем вида 1234-01~AABBCC. Если просто удалить уже ненужную 1234-01, то переименовать 1234-01~AABBCC в 1234-01 не удаётся, учётка с таким именем висит в нераспределенных компьютерах, призодится искать там, удалять, делать синхронизвацию с AD и по-новой распеределять компьютер в нужную группу. Я так понимаю учётка в KSC привязана к sid учётной записи компьютера. Получается, что из-за переуставновки ОС и установке на компьютер того же имени появляется новая учётка и компьютер выпадает из под действия политик.

Однако даже после манипуляций с повторным распределением компьютера часто оказыватся, что связь не установилсь, и компьютер значится в списке как компьютер без агента/антивируса и всех сведений.

В таких ситуациях делаю следующее. Беру автономный пакет агента, запускаю его установку даже если он уже установлен, и в момент "Проверка соединения с сервером" в KSC появляются корректные сведения об агенте/антивирусе. При этом даже если делалать переустановка учётки, то подхватывается правильное имя без создания дубликатов.

Полагаю, что тоже самое можно происходит при отправке пульс-пакета, как описано здесь http://support.kaspersky.ru/9319

 

Подскажите, как форсировать соединение агента с сервером из командной строки, чтобы я мог, например, прописать это действие в скрипт автозагрузки?

Как сделать, чтобы компьютер идентифицировался в KSC по полному имени и считалось, что если имена компьютеров совпадают, значит это тот же самый компьютер.

Как правильно делать переименование и переуставновку учётных записей компьютеров в AD, чтобы изменения максимально быстро отражались в AD?

 

Здравствуйте,

 

Уточните, пожалуйста, полные версии установленных продуктов.

 

Спасибо!

Share this post


Link to post
Уточните, пожалуйста, полные версии установленных продуктов.

Windows Server 2008R2, Kaspersky Securite Center 10.1.249

На рабочих станциях Windows XP, Windows 7, Windows 8.1, Агенты администрирования 10.1.249, Kaspersky EndPoint Secrity 10.2.1.23

Но ситуация не изменилась по сравнению с прежними версиями продуктов 10-й линейки

Share this post


Link to post
Windows Server 2008R2, Kaspersky Securite Center 10.1.249

На рабочих станциях Windows XP, Windows 7, Windows 8.1, Агенты администрирования 10.1.249, Kaspersky EndPoint Secrity 10.2.1.23

Но ситуация не изменилась по сравнению с прежними версиями продуктов 10-й линейки

 

А что если вместо командной строки, как Вы упомянули, вы для одного из таких хостов включите опцию не разрывать соединение с сервером адм-я в свойствах хоста в консоли KSC, помогает ли?

 

Спасибо!

Share this post


Link to post

:hi:

Подтверждаю наличие проблемы. С той лишь разницей, что к компу (в некоторых случаях!) появляется парный:

1. <имя_пк>

2. <имя_пк>.<имя_домена>

 

Об этой проблеме я тоже уже писал, жалуясь на то, что инструмент оповещения о дубликатах работает как-то странно, а порой не работает вовсе.

Edited by Zandatsu

Share this post


Link to post
А что если вместо командной строки, как Вы упомянули, вы для одного из таких хостов включите опцию не разрывать соединение с сервером адм-я в свойствах хоста в консоли KSC, помогает ли?

 

Спасибо!

Это применимо для небольших сеток, а в случае с сеткой где компов более 100 это уже становится проблематично.

Share this post


Link to post
:hi:

Подтверждаю наличие проблемы. С той лишь разницей, что к компу (в некоторых случаях!) появляется парный:

1. <имя_пк>

2. <имя_пк>.<имя_домена>

 

Об этой проблеме я тоже уже писал, жалуясь на то, что инструмент оповещения о дубликатах работает как-то странно, а порой не работает вовсе.

 

Вы не создавали запрос по этой проблеме?

Share this post


Link to post
Вы не создавали запрос по этой проблеме?

 

Создавал топик, получил несколько советов, но какого-то стройного решения все равно нету. Нету автоматизации. А детекция дубликатов работает так редко и странно, что можно считать, что не работает.

Share this post


Link to post
Windows Server 2008R2, Kaspersky Securite Center 10.1.249

На рабочих станциях Windows XP, Windows 7, Windows 8.1, Агенты администрирования 10.1.249, Kaspersky EndPoint Secrity 10.2.1.23

Но ситуация не изменилась по сравнению с прежними версиями продуктов 10-й линейки

 

Пожалуйста, уточните, устанавливались ли патчи.

Проверьте, решается ли проблема после установки патча C.

Share this post


Link to post
Пожалуйста, уточните, устанавливались ли патчи.

Проверьте, решается ли проблема после установки патча C.

Сходил перечитал статейку про патч С и ничего не нашел похожего на проблему в топике. :unsure: И да, у нас стоят все последние патчи, но проблема все равно присутствует.

Share this post


Link to post
Сходил перечитал статейку про патч С и ничего не нашел похожего на проблему в топике. :unsure: И да, у нас стоят все последние патчи, но проблема все равно присутствует.

 

В этом случае стоит создать инцидент.

Share this post


Link to post
В этом случае стоит создать инцидент.

 

Чтобы создать вопроизводимый инцидент нужно создавать тестовую подсетку минимум из трёх компов с AD, Windows-клиентами, сервером касперского и клиентами, после чего разбираться с каждым отдельным из следующих вариантов:

1. Одна и та же физическая машина была не в домене, зашла в домен

2. Одна и та же физическая машина была в домене, переименовалась

3. Одна и та же физическая машина была в домене, была пересоздана её учетная запись и машина была перезаведена в доменн

4. Одна физическая машина была в домене, была выведена из него, на её места была поставлена другая машина, ей было дано то же самое имя, она была введена в домен.

Что в каждом из этих случаев будет происходить в KSC?

Чтобы оттестировать это всё для создания инцидента необходимо несколько кропотливых дней работы, которых нет.

А главное, для создания инцидента необходимо, чтобы результат тестов отличался от ожидаемого эффекта, описанного в документации к системе.

Поэтому и создал этут тему. Скажите, где описано, какие имеено параметры KSC сравнивает при сопоставление машин?

Edited by Vadim Dvorovenko

Share this post


Link to post
Здравствуйте,

 

Ознакомтесь, пожалуйста, со статьей - http://support.kaspersky.ru/9299

К сожалению, автоматизировать процесс по переименовыванию ПК не получится.

 

Спасибо. То, что нужно. Формально все эти проблемы не баг, а фича.

 

Подскажите, а можно как-то настроить автоматическое удаление из KSC компьютеров, которые не проявляют себя, например, больше месяца? Тогда глючные компы со временем будут сами отлетать.

Всё-таки, как форсировать регистрацию агента на сервере, как это делается при установке агента из пакета автономной установки? У меня при этом действии всегда в KSC проявляется правильная учётка, но как это дейтсвие прописать через скрипт?

Share this post


Link to post
Спасибо. То, что нужно. Формально все эти проблемы не баг, а фича.

 

Подскажите, а можно как-то настроить автоматическое удаление из KSC компьютеров, которые не проявляют себя, например, больше месяца? Тогда глючные компы со временем будут сами отлетать.

Всё-таки, как форсировать регистрацию агента на сервере, как это делается при установке агента из пакета автономной установки? У меня при этом действии всегда в KSC проявляется правильная учётка, но как это дейтсвие прописать через скрипт?

 

В свойствах каждой группы управления в Консоли администрирования (в том числе в подгруппах Нераспределенных), на вкладке "Подчиненные компьютеры" есть параметр "Удалять компьютер из группы, если он неактивен более N дней".

По поводу "форсирования" - уточните, пожалуйста, что имеется в виду.

Share this post


Link to post
По поводу "форсирования" - уточните, пожалуйста, что имеется в виду.

 

В таких ситуациях делаю следующее. Беру автономный пакет агента, запускаю его установку даже если он уже установлен, и в момент "Проверка соединения с сервером" в KSC появляются корректные сведения об агенте/антивирусе. При этом даже если делалать переустановка доменной учётки компьютера, то подхватывается правильное имя без создания дубликатов.

Полагаю, что тоже самое можно происходит при отправке пульс-пакета, как описано здесь http://support.kaspersky.ru/9319

 

Как это можно сделать из командной строки?

Share this post


Link to post
Здравствуйте,

 

Ознакомтесь, пожалуйста, со статьей - http://support.kaspersky.ru/9299

К сожалению, автоматизировать процесс по переименовыванию ПК не получится.

:bt:

Ну хорошо, если нету автоматического переименования, то доделайте, пожалуйста, детекцию таких машин чтобы она работала корректно. Я уже два раза в разных топиках упоминал, что сейчас она работает очень... ммм... своебразно. Хочет детектит, а хочет - не детектит.

 

Вот запрос, INC000003518597.

Share this post


Link to post
Спасибо. То, что нужно. Формально все эти проблемы не баг, а фича.

 

Подскажите, а можно как-то настроить автоматическое удаление из KSC компьютеров, которые не проявляют себя, например, больше месяца? Тогда глючные компы со временем будут сами отлетать.

Всё-таки, как форсировать регистрацию агента на сервере, как это делается при установке агента из пакета автономной установки? У меня при этом действии всегда в KSC проявляется правильная учётка, но как это дейтсвие прописать через скрипт?

:bt:

По моим наблюдениям может быть такое, что глючные компы не отлетают даже если задано удаление. А еще может быть такое, что даже глючный комп будет удален, то комп с конфликтным именем все равно останется, KSC ничего с ним не сделает. Приходится искать руками, удалять руками и распределять после обнаружения тоже руками. У меня есть запросы-пожелания по более тесной интеграции KSC с AD чтобы можно было гибче настраивать обнаружение или удаление управляемых ПК, но когда (и если) все это будет реализовано - неизвестно.

Share this post


Link to post
:bt:

По моим наблюдениям может быть такое, что глючные компы не отлетают даже если задано удаление. А еще может быть такое, что даже глючный комп будет удален, то комп с конфликтным именем все равно останется, KSC ничего с ним не сделает. Приходится искать руками, удалять руками и распределять после обнаружения тоже руками. У меня есть запросы-пожелания по более тесной интеграции KSC с AD чтобы можно было гибче настраивать обнаружение или удаление управляемых ПК, но когда (и если) все это будет реализовано - неизвестно.

Пожелания по этому вопросу Вы можете описать в в этом топике.

Спасибо.

Share this post


Link to post
Пожелания по этому вопросу Вы можете описать в в этом топике.

Спасибо.

У меня есть запросы в CA на эту тему. По одному заведено пожелание номер 1256, по другому запросу (INC000003273670) с июля нет ответа.

Share this post


Link to post
У меня есть запросы в CA на эту тему. По одному заведено пожелание номер 1256, по другому запросу (INC000003273670) с июля нет ответа.

На запрос нет ответа с июля?

Share this post


Link to post
На запрос нет ответа с июля?

Верно, история переписки совершенно пустая. И я не знаю кто-то обратил внимание на запрос или нет. Обычно присылают какие-то уточняющие вопросы или номера в системе сбора пожеланий по функционалу. А пожелание, кстати, очень важное. Было бы дико круто если бы его реализовали в KSC 10 SP1. Уверен, что многие бы обрадовались. :rolleyes:

Share this post


Link to post
Верно, история переписки совершенно пустая. И я не знаю кто-то обратил внимание на запрос или нет. Обычно присылают какие-то уточняющие вопросы или номера в системе сбора пожеланий по функционалу. А пожелание, кстати, очень важное. Было бы дико круто если бы его реализовали в KSC 10 SP1. Уверен, что многие бы обрадовались. :rolleyes:

О Вашем инциденте передана информация специалистам.

Спасибо за терпение.

Share this post


Link to post
О Вашем инциденте передана информация специалистам.

Спасибо за терпение.

А попросите их написать потом в кейсе. Какой-нибудь номер дать пожеланию. :rolleyes:

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.