gurlov

Не работает KSN в удалённых подразделениях [В процессе]

18 posts in this topic

Здравствуйте.

У меня по всей видимости не функционирует KSN на файловых серверах (KSWS 10.0.0.486), расположенных в удалённых подразделениях. Сервер KSC настроен как прокси KSN. Подозреваю, что причина в том, что на удалённых серверах (так же как и на локальных) в настройках KSC указанно "Адрес сервера: ADS2.mydomen.local" (см. скрин), а в удалённых подразделениях это FQDN-имя не резолвится.

post-538053-1489657100.png

Вопрос:

как можно изменить адрес сервера KSN для части серверов (в политиках не нашёл такого функционала)?

или

можно ли заставить функционал KSN взаимодействовать с сервером KSC (прокси KSN) через агентов обновлений (которые уже настроены и функционируют и в которых указан IPадрес а не FQDN-имя)?

 

Share this post


Link to post
Share on other sites
Здравствуйте.

У меня по всей видимости не функционирует KSN на файловых серверах (KSWS 10.0.0.486), расположенных в удалённых подразделениях. Сервер KSC настроен как прокси KSN. Подозреваю, что причина в том, что на удалённых серверах (так же как и на локальных) в настройках KSC указанно "Адрес сервера: ADS2.mydomen.local" (см. скрин), а в удалённых подразделениях это FQDN-имя не резолвится.

________________________.png

Вопрос:

как можно изменить адрес сервера KSN для части серверов (в политиках не нашёл такого функционала)?

или

можно ли заставить функционал KSN взаимодействовать с сервером KSC (прокси KSN) через агентов обновлений (которые уже настроены и функционируют и в которых указан IPадрес а не FQDN-имя)?

 

Здравствуйте.

 

При включении использования KSC как KSN-прокси в политике на KSC-сервере, в качестве адреса всегда используется адрес этого сервера, заданный при его установке.

Агенты обновлений нельзя использовать в качестве KSN-прокси, однако в версии KSC SP2 MR1 появится возможность направлять KSN-запросы от подчиненных серверов KSC через главный.

 

Спасибо.

Share this post


Link to post
Share on other sites

Posted (edited)

При включении использования KSC как KSN-прокси в политике на KSC-сервере, в качестве адреса всегда используется адрес этого сервера, заданный при его установке.

Т. е., если KSC-сервер имеет внутренний адрес для головного подразделения и внешний адрес для удалённых подразделений то KSN в удалённых подразделениях не будет работать (сервера в удалёнках без интернета)?

Также, как я понимаю, у меня такая же проблема должна быть не только с KSWS но и с KES. Подскажите, как в KSC посмотреть статистику KSN для клиентов с KES?

Edited by Gurlov

Share this post


Link to post
Share on other sites
Т. е., если KSC-сервер имеет внутренний адрес для головного подразделения и внешний адрес для удалённых подразделений то KSN в удалённых подразделениях не будет работать (сервера в удалёнках без интернета)?

Также, как я понимаю, у меня такая же проблема должна быть не только с KSWS но и с KES. Подскажите, как в KSC посмотреть статистику KSN для клиентов с KES?

 

И на хостах с KSWS, и с KES необходимо убедиться, что Сетевой агент вообще может подключаться к Серверу администрирования (это можно сделать с помощью утилиты klnagchk).

Просмотр статистики KSN для отдельных машин, к сожалению, не предусмотрен. Однако в случае недоступности KSN это можно распознать по наличию соответствующих событий ("Сервера KSN недоступны" в KES, "Ошибка отправки запроса в KSN" в KSWS).

 

Спасибо.

Share this post


Link to post
Share on other sites

Posted (edited)

И на хостах с KSWS, и с KES необходимо убедиться, что Сетевой агент вообще может подключаться к Серверу администрирования (это можно сделать с помощью утилиты klnagchk).

Просмотр статистики KSN для отдельных машин, к сожалению, не предусмотрен. Однако в случае недоступности KSN это можно распознать по наличию соответствующих событий ("Сервера KSN недоступны" в KES, "Ошибка отправки запроса в KSN" в KSWS).

Тогда всё очень странно:

- На всех хостах в удалённых подразделениях сетевой агент работает нормально - подключается к серверу администрирования через агента обновления

- все рассматриваемые хосты в удалённом подразделении не имеют выхода в интернет.

- что для хостов с KES что для хостов с KSWS, сервер администрирования доступен только по внешнему IP адресу (ни по внутреннему, ни по FQDN-имени им до него не добраться)

- при этом "Ошибка отправки запроса в KSN" сыпятся тольrо на хостах с KSWS

получается, что хосты с KES до проксиKSN(он же KSC) добираются как-то иначе нежели хосты с KSWS?

Edited by Gurlov

Share this post


Link to post
Share on other sites
Тогда всё очень странно:

- На всех хостах в удалённых подразделениях сетевой агент работает нормально - подключается к серверу администрирования через агента обновления

- все рассматриваемые хосты в удалённом подразделении не имеют выхода в интернет.

- что для хостов с KES что для хостов с KSWS, сервер администрирования доступен только по внешнему IP адресу (ни по внутреннему, ни по FQDN-имени им до него не добраться)

- при этом "Ошибка отправки запроса в KSN" сыпятся тольrо на хостах с KSWS

получается, что хосты с KES до проксиKSN(он же KSC) добираются как-то иначе нежели хосты с KSWS?

 

В настройках KSC-прокси оставьте только TCP 13111 и снимите галку UDP.

Share this post


Link to post
Share on other sites
Тогда всё очень странно:

- На всех хостах в удалённых подразделениях сетевой агент работает нормально - подключается к серверу администрирования через агента обновления

- все рассматриваемые хосты в удалённом подразделении не имеют выхода в интернет.

- что для хостов с KES что для хостов с KSWS, сервер администрирования доступен только по внешнему IP адресу (ни по внутреннему, ни по FQDN-имени им до него не добраться)

- при этом "Ошибка отправки запроса в KSN" сыпятся тольrо на хостах с KSWS

получается, что хосты с KES до проксиKSN(он же KSC) добираются как-то иначе нежели хосты с KSWS?

 

Здравствуйте,

 

создайте новый пакет установки сетевого агента, где сервер KSC будет указан адресом, а не именем.

Распространите этот пакет на машины с KSWS.

Спасибо.

Share this post


Link to post
Share on other sites
В настройках KSC-прокси оставьте только TCP 13111 и снимите галку UDP.

У меня так изначально

создайте новый пакет установки сетевого агента, где сервер KSC будет указан адресом, а не именем.

Распространите этот пакет на машины с KSWS.

Так же, у меня изначально создано два пакета - один для внутренних клиентов (с внутренним IP сервера) а другой для внешних подразделений (с внешним IP сервера). Так что это тоже уже давно сделано.

 

Share this post


Link to post
Share on other sites
У меня так изначально

 

Так же, у меня изначально создано два пакета - один для внутренних клиентов (с внутренним IP сервера) а другой для внешних подразделений (с внешним IP сервера). Так что это тоже уже давно сделано.

Здравствуйте,

 

Можете собрать трассировку KSWS10 с момента старта задачи KSN и с несколькими запросами в KSN Proxy?

 

Share this post


Link to post
Share on other sites
Можете собрать трассировку KSWS10 с момента старта задачи KSN и с несколькими запросами в KSN Proxy?

Вот: облако mail

 

Share this post


Link to post
Share on other sites

Спасибо.

 

Резолв адреса вроде проходит нормально:

 

12:05:51.483 62c 18f0 info [wp] KsnService: resolved KsnProxy host name ' ADS2.p91.local', to adddress '10.145.150.19'

12:05:51.483 62c 18f0 info [wp] KsnService: use KsnProxy(Global): 'ADS2.p91.local', '10.145.150.19'

 

Но при этом коннект на этот адрес отваливается по тайм-ауту:

 

12:06:07.088 62c 98c warning [eka] tpprov [ConnectionTmpl.h:118] Connect timeout

12:06:07.088 62c 98c debug [eka] tpprov [PosixSyncSocketBase.h:159] ~PosixSyncSocketBase()

12:06:07.088 62c 98c debug [eka] tpprov [PosixSyncSocketBase.h:74] Connection close 1 1

12:06:07.088 62c 98c debug [eka] ksnclnt CreateTransport finished with error Operation timeout

 

Вы уверены, что есть связь с этим адресом с той машины?

 

Также, сообщите, пожалуйста, версию сервера KSC - я знаю, что для последней версии недавно выходил патч, который в том числе чинил обращения к KSN Proxy. Также стоит попробовать с патчем для KSWS10 - может, ситуация улучшится:

 

https://forum.kaspersky.com/index.php?showtopic=366323

 

Share this post


Link to post
Share on other sites

Posted (edited)

Спасибо.

Резолв адреса вроде проходит нормально:

Но при этом коннект на этот адрес отваливается по тайм-ауту:

 

Вы уверены, что есть связь с этим адресом с той машины?

 

Также, сообщите, пожалуйста, версию сервера KSC - я знаю, что для последней версии недавно выходил патч, который в том числе чинил обращения к KSN Proxy. Также стоит попробовать с патчем для KSWS10 - может, ситуация улучшится:

 

https://forum.kaspersky.com/index.php?showtopic=366323

Резолвиться стало нормально, потому что я вынужденно прописал это имя в DNS удалённого подразделения. Пока как временный вариант, да и для того, чтобы найти причину проблемы.

Ваше сообщение натолкнуло меня, кажется, на решение проблемы. Для сервера KSC не был проброшен порт tcp/13111. Исправил - завтра гляну результат.

В любом случае остаётся вопрос - я могу как-то уйти от FQDN-имён в настройках прокси-KSC на IP-адреса?

Также, сообщите, пожалуйста, версию сервера KSC - я знаю, что для последней версии недавно выходил патч, который в том числе чинил обращения к KSN Proxy.

Написано внизу каждого моего сообщения :rolleyes:

Edited by Gurlov

Share this post


Link to post
Share on other sites
У меня так изначально

 

Так же, у меня изначально создано два пакета - один для внутренних клиентов (с внутренним IP сервера) а другой для внешних подразделений (с внешним IP сервера). Так что это тоже уже давно сделано.

 

Здравствуйте,

 

вы в первом посте указали, что у вас указано имя сервера - ADS2.mydomen.local - а не адрес.

Спасибо.

 

Share this post


Link to post
Share on other sites

Posted (edited)

Для сервера KSC не был проброшен порт tcp/13111. Исправил - завтра гляну результат.

Да, проблем была видимо в этом. так как теперь ошибок передачи нет ни одной.

 

вы в первом посте указали, что у вас указано имя сервера - ADS2.mydomen.local - а не адрес.

Это то, что я увидел в настройках на локальной машине. Эту настройку я не делал, в политике для KSWS такого параметра ни где нет. Откуда на локальной машине появился именно ADS2."mydomen".local??? из какого места он его взял??

Edited by Gurlov

Share this post


Link to post
Share on other sites

Posted (edited)

Что, ни кто не знает откуда KSWS (под действием политики) берёт значение "Адрес сервера" для прокси-KSC??

Edited by Gurlov

Share this post


Link to post
Share on other sites
Что, ни кто не знает откуда KSWS (под действием политики) берёт значение "Адрес сервера" для прокси-KSC??

 

Из свойств агента администрирования KSC.

Share this post


Link to post
Share on other sites
Что, ни кто не знает откуда KSWS (под действием политики) берёт значение "Адрес сервера" для прокси-KSC??

 

Здравствуйте,

 

вам верно указали, что сервер администрирования указывается в свойствах сетевого агента.

Спасибо.

 

Share this post


Link to post
Share on other sites

Posted (edited)

вам верно указали, что сервер администрирования указывается в свойствах сетевого агента.

Из свойств агента администрирования KSC.

Откуда именно??, я везде указывал IPадрес. Ни в политике Агента администрирования, ни в инсталяционном пакете агента администрирования я ни где не указывал FQDN-имя

Edited by Gurlov

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now