Jump to content
wlad_by

Остановка работы сети из-за Касперского ?

Recommended Posts

Добрый день. По непонятной причине сегодня после очередного  обновления баз касперского на серверах получил большие проблемы.

Сервер KSC (10.4.3027) впал в кому, а за ним рабочие сервера (KES 10.2.6.3733 и KES 10.3.0.6294)  с сетевыми шарами (RDP тож не работал, но пинги шли); сервера и рабочие станции (W7 x64) вообще отказывались прогружаться в рабочий стол (черный экран после ввода пароля и усе).

После трудного запуска сервера с КSC, выяснилось что связь с серваками потеряна (агенты 10.4.343 SF1). Решено было перезапустить все сервера. По указанной ранее причине спасал только ресет. Ну и далее вроде бы все начало работать. В логах откопал интересную запись.

Product integration failure (freeze) occured! Product: 'Kaspersky Endpoint Security 10 для Windows'. Restaring. А после этого пошли "грабли". Теперь вопросы.

1. Что за хрень была?

2. Как себя обезопасить на будущее от такого сюрприза? KSC упал и от него упало всё :(  Не есть хорошо.

Спасибо всем за советы. Если нужно, то логи и прочую инфу предоставлю. Ну а если повторится, то CompanyAccount придется писать.

 

p.s. седых волос прибавилось

 

Share this post


Link to post

У нас сейчас после обновления баз, по отваливались машины, половина со статусом требуется перезагрузка, половина не включена защита, там где не включена защита не одна задача не выполняется, при попытке запустить задачу, пишет запуск не возможен, не запущена программа защиты, захожу в программы, антивирус запущен.

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему ответу отчет GSi с одной из машин где наблюдалась эта проблема.

Спасибо!

Share this post


Link to post
1 час назад, Nikolay Arinchev сказал:

Здравствуйте,

Пожалуйста, приложите к своему ответу отчет GSi с одной из машин где наблюдалась эта проблема.

Спасибо!

Николай. Это обоим или Кокеру???

 

Share this post


Link to post
6 минут назад, wlad_by сказал:

Николай. Это обоим или Кокеру???

 

У себя обнаружил такое же событие после обновления Product integration failure (freeze) occured! Product: 'Kaspersky Endpoint Security 10 для Windows'. Restaring

Share this post


Link to post

Аналогично, на некоторых компьютерах с KES 10.2.5 и KES 10.3.0 высвечивается "Требуется перезагрузка", а на некоторых "Не включена защита" и в логе несколько событий Product integration failure (freeze) occured! Product: 'Kaspersky Endpoint Security 10 для Windows'. Restaring

Обновление выкатывается как-то порционно. Всего у нас штук 750 компьютеров под этими версиями KES, вчера около 20 из них запросили перезагрузку, а 10 перешли в статус "Не включена защита". И сегодня также - прилетело обновление, видимо на 30 штук, 20 просят перезагрузку и около 10 - "Не включена защита".

Share this post


Link to post
15 минут назад, purple_rain сказал:

Аналогично, на некоторых компьютерах с KES 10.2.5 и KES 10.3.0 высвечивается "Требуется перезагрузка", а на некоторых "Не включена защита" и в логе несколько событий Product integration failure (freeze) occured! Product: 'Kaspersky Endpoint Security 10 для Windows'. Restaring

Обновление выкатывается как-то порционно. Всего у нас штук 750 компьютеров под этими версиями KES, вчера около 20 из них запросили перезагрузку, а 10 перешли в статус "Не включена защита". И сегодня также - прилетело обновление, видимо на 30 штук, 20 просят перезагрузку и около 10 - "Не включена защита".

подтверждаю информацию касаемо порционности, из 600 компьютеров тоже 40 не включена защита, 30 требуется перезагрузка

Share this post


Link to post

Отпишусь в этой же теме. Примерно в 11.30 по Москве начались звонки. Не могли зайти на сервера удаленно внутри локальной сети (через rdp). Лично попробовал удаленно подключиться к шарам, в шары пускало, на некоторые сервера мог зайти удаленно, на некоторые нет. Попытался через радмин, но он завис при подключении. Помогла только перезагрузка.

Share this post


Link to post

Вангую в базы запихнули лишнего. Все как обычно :( Кто-то не досмотрел, не проконтролировал. А дядя Касперский не виноват.

Share this post


Link to post

Спасибо. За сутки от сотрудников ЛК ни одного совета. Тему можно закрывать. Рейтинг помощи укажу.

Share this post


Link to post

Между тем, обновления продолжают порционно прилетать, некоторые компьютеры продолжают повисать со статусом "Не включена защита". Сегодня тоже.

Нельзя ли прекратить выкатывать эти обновления до их исправления? Потому что если уж оно неудачно прилетело, то единственный выход - перезагрузка компьютера.

Share this post


Link to post

Думаю ничего секретного нет в данной информации
 Необходимо собрать информацию по следующему сценарию:
1 Загрузите Process Monitor http://support.kaspersky.ru/10935
2 Отключите самозащиту антивируса. Настройка - Дополнительные параметры
3 Включите логирование Process Monitor. http://support.kaspersky.ru/general/dumps/10935#block1
4 Включите трассировку антивируса http://support.kaspersky.ru/9343
5 Убедитесь, что проблема воспроизвелась во время сбора трассировок
6 Отключите сбор трассировок.
7 Заархивируйте папки %PROGRAMDATA%\Kaspersky Lab\KES*\Data и %PROGRAMDATA%\Kaspersky Lab\KES*\Bases\ с проблемного хоста.
8 Предоставьте политику или файл конфигурации антивируса.
9 Полученную информацию (трассировка антивируса, трассировка procmon, архив с папками, политику или конфигурационный файл) отправьте мне для анализа.

Задал вопрос в инциденте, задам и здесь, как мне выполнять эти рекомендации, если я не знаю на каком компьютере произойдет сбой, и произойдет ли, так как на большей части обновление проходит без проблем

Share this post


Link to post
19 minutes ago, purple_rain said:

Между тем, обновления продолжают порционно прилетать, некоторые компьютеры продолжают повисать со статусом "Не включена защита". Сегодня тоже.

Нельзя ли прекратить выкатывать эти обновления до их исправления? Потому что если уж оно неудачно прилетело, то единственный выход - перезагрузка компьютера.

Добрый день.

Проблема в настоящий момент исследуется. Если возможно воспроизведение, пожалуйста, соберите данные для диагностики по инструкции, опубликованной пользователем kooker, и приложите в отдельный инцидент.

Можно попробовать собрать трассировку KES на машинах, где сбой имеет место в данный момент (и по возможности выделить одну такую машину в отдельную группу, не получающую дальнейших обновлений и не выполняющих перезагрузку).

Спасибо.

Share this post


Link to post

Аналогично - невозможно предсказать машины, на которые прилетит обновление, чтобы включить на них трассировку. На машинах, где сбой имеет место в данный момент, собрать ничего нереально - KES на них в зависшем и неотмирающем состоянии.

Share this post


Link to post

С 1000+ компов (KES 10.3.0.6294) в работе, обновление баз раз в 3 часа, все нормально. Проблем, на сейчас, не наблюдаем.

Может те, у кого проблемы, попробуют сделать аналитику: почему именно эти компы или почему у вас. Проблема избирательная.

Либо информация от ЛК, когда она появится, о предполагаемых причинах, чтоб предотвратить проблему.

Share this post


Link to post

Та же проблема, после установки обновлений часть серверов повисла. Сначала перестает отвечать служба Касперского, потом начинают отваливаться сетевые службы. После перезагрузки все начинает работать нормально. Сервера которые перезагружать критично спасал удалением Касперского, запуск удаления отключает самозащиту и можно снять процесс службы. Сервера самые разные, 2 шт. Lenovo x3550 M5 - оба зависли, 3 шт. IBM x3620 M3 - завис только один из трех, из 8 виртуальных зависли 3. Связи с железом не вижу.

Share this post


Link to post

У нас повисали простые пользовательские машины с Windows 7 SP1 (как x86, так и x64). По железу самые разные, процессоры всех поколений за последние лет 8-9. Зависания хватали и Intel 6го поколения, и Core 2 Duo. Тоже не вижу связи с железом. С обновлениями Windows тоже никакой связи не прослеживается, так как они у нас устанавливаются на рядовые компьютеры по одинаковой схеме. По функциональному использованию и набору установленных программ компьютеры тоже самые разные.

Share this post


Link to post
2 hours ago, purple_rain said:

Аналогично - невозможно предсказать машины, на которые прилетит обновление, чтобы включить на них трассировку. На машинах, где сбой имеет место в данный момент, собрать ничего нереально - KES на них в зависшем и неотмирающем состоянии.

Возможно ли собрать в такой машины в момент зависания дампы процессов avp, klnagent с помощью утилиты kldumper?

Спасибо.

Share this post


Link to post
1 час назад, Kirill Tsapovsky сказал:

Возможно ли собрать в такой машины в момент зависания дампы процессов avp, klnagent с помощью утилиты kldumper?

Спасибо.

Я честно старался, и у меня не получается. После сбоя машины неживые, приложения не стартуют, либо стартуют очень медленно, файлы с них не копируются. На одной через psexec вроде получилось запустить kldumper, но после этого все зависло, дамп так и не собрался. На другой вообще ничего не запускается. До третьей просто даже не достучаться - пинг идет, а больше ничего не доступно.

Заметил, что на всех без исключения машинах, куда прилетает обновление, в папке C:\Program Files\Kaspersky Lab\NetworkAgent\~dumps уже лежат дампы, видимо, которые пытались создастся в момент сбоя. Дампы есть и на зависших машинах, и на тех, где вроде успешно прошло (статус "Требуется перезагрузка"). Дампов обычно 4-5 штук, и часть из них 0 kb, то есть пустые. Я нашел на нескольких машинах непустые, в ближайшее время создам инцидент и приложу их.

Dumps_klnagent.jpg

 

UPD: создал инцидент INC000008779670, приложил найденные дампы klnagent.exe

Edited by purple_rain

Share this post


Link to post
38 minutes ago, purple_rain said:

Я честно старался, и у меня не получается. После сбоя машины неживые, приложения не стартуют, либо стартуют очень медленно, файлы с них не копируются. На одной через psexec вроде получилось запустить kldumper, но после этого все зависло, дамп так и не собрался. На другой вообще ничего не запускается. До третьей просто даже не достучаться - пинг идет, а больше ничего не доступно.

Заметил, что на всех без исключения машинах, куда прилетает обновление, в папке C:\Program Files\Kaspersky Lab\NetworkAgent\~dumps уже лежат дампы, видимо, которые пытались создастся в момент сбоя. Дампы есть и на зависших машинах, и на тех, где вроде успешно прошло (статус "Требуется перезагрузка"). Дампов обычно 4-5 штук, и часть из них 0 kb, то есть пустые. Я нашел на нескольких машинах непустые, в ближайшее время создам инцидент и приложу их.

Dumps_klnagent.jpg

 

UPD: создал инцидент INC000008779670, приложил найденные дампы klnagent.exe

Проявляется ли проблема с более новым (актуальным) набором обновлений? Судя по всему, известные случаи, помимо того, что носят единичный характер, не воспроизводятся с актуальными наборами обновлений. Нет воспроизведения в лаборатории; новые запросы в техническую поддержку также отсутствуют.

Спасибо.

Share this post


Link to post
34 минуты назад, Kirill Tsapovsky сказал:

Проявляется ли проблема с более новым (актуальным) набором обновлений? Судя по всему, известные случаи, помимо того, что носят единичный характер, не воспроизводятся с актуальными наборами обновлений. Нет воспроизведения в лаборатории; новые запросы в техническую поддержку также отсутствуют.

Вот буквально только что прилетело обновление на следующую партию, и в ней также есть компьютеры с такой проблемой. Так что проблема сохраняется.

Share this post


Link to post
1 hour ago, purple_rain said:

Вот буквально только что прилетело обновление на следующую партию, и в ней также есть компьютеры с такой проблемой. Так что проблема сохраняется.

Информацию получили, на основе предоставленных данных заведена ошибка и направлена разработчикам. Возможно ли с проблемной машины снять дамп памяти (или по меньшей мере дамп ядра)? Если воспроизведение есть на виртуальной машине VMWare, можно конвертировать ее снапшот в дамп памяти.

Спасибо.

Share this post


Link to post

Добрый день!

Большая просьба дополнительно прислать экспорт отчета задачи обновления из локального интерфейса продукта с одного из хостов, на котором наблюдалась проблема.

Спасибо!

 

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.