Jump to content
Anguel

KSC "verliert" PCs

Recommended Posts

Hallo,

dieses Problem tritt alle paar Wochen / Monate auf und ist sehr nervend. Wir haben z.B. einen PC, nennen wir ihn MEIN-PC, der im KSC verwaltet wird. Alles läuft über Wochen / Monate gut, dann verliert aber der KSC diesen PC plötzlich und der PC wird als nicht mehr erreichbar angezeigt, es werden auch keine Richtlinien mehr angewandt.

Wenn man nun nach der IP sucht, taucht dieser MEIN-PC dann nochmal als Phantom auf, z.B. als "MEIN-PC ~~ 1234" oder so ähnlich, und dieses Phantom ist erreichbar. Ich lösche dann MEIN-PC und das Phantom, dann füge ich MEIN-PC wieder hinzu - immer noch keine Verbindung im KSC.

Dann finde ich neben MEIN-PC plötzlich auch einen mein-pc.MEINEDOMAIN.local. Wenn ich diesen wiederum dem KSC zufüge läuft plötzlich wieder alles und der KSC kann normal darauf zugreifen. MEIN-PC ist jetzt aber als mein-pc.MEINEDOMAIN.local im KSC gelistet.

Das Problem tritt mit einzelnen PCs auf. Habt ihr Ideen woran das liegen könnte? Danke im Voraus.

Grüße

Anguel

Share this post


Link to post

Hier ein Update und mein Workaround, um den PC wieder "normal" einzubinden:

1. Alle Varianten des PCs (MEIN-PC, MEIN-PC~~12345 (Phantom), mein-pc.MEINEDOMAIN.local) aus allen "Managed Devices" (inkl. Untergruppen) löschen
2. Alle Varianten des PCs auch aus "Unassigned Devices" löschen!!! Das hatte ich vorhin vergessen.
3. Evtl. hilfreich: Unter Polling nur Active Directory Polling aktivieren (Windows Network Polling deaktivieren)
4. Den über Active Directory Polling wiedergefundenen PC "MEIN-PC" dann der gewünschten "Managed Devices" Untergruppe (z.B. Workstations) erneut zufügen
5. Client PC ggf. neu starten, wenn die PC-Verbindung bzw. laufende KES-Komponenten immer noch nicht erkannt werden

Info: Anscheinend ist der Phantom PC auch der Grund, warum Remote Installs hängen bleiben.

Übrigens musste ich dabei auf dem Client-PC keine Komponenten neu installieren.

Mich würde trotzdem interessieren, warum es seit Jahren immer wieder zu dem Fehler kommt.

Grüße

Anguel

Edited by Anguel

Share this post


Link to post

Hallo Anguel,

diese "Dubletten" kommen in der Regel vor, wenn Systeme mit bereits installiertem Agent geklont werden. Nachträglich lässt sich das mit "klmover -dupfix" gerade ziehen.

image.png


Weiterhin würde ich dir  (mind.) eine Verschieberegel empfehlen, die dir Systeme mit kommunizierendem Agent automatisch in die Verwaltung verschiebt. Findest du unter "Erweitert" - "Netzwerkabfrage" - "Regeln für das Verschieben ..."

image.png

Damit kannst du solche "Phantome" automatisch einfangen. Ich arbeite generell mit Verschieberegeln, um so auch nach System-Klasse differenziert in die Verwaltung zu sortieren/verschieben.

Eine Besonderheit stellen Systeme dar, die Teil einer "Virtual Desktop Infrastructure" sind, wie z. B. bei "Citrix Provisioning Services": diese Systeme starten alle von einem Image, was ja dem Klonen entspräche.
Hierfür gibt es im Installationspaket des Agenten die Möglichkeit den "Dynamischen Modus für VDI" zu aktivieren - aber auch hier muss ich Verschieberegeln dagegen setzen.
Siehe https://help.kaspersky.com/KSC/SP3/de-DE/67243.htm

Grüße
Alex

 

Share this post


Link to post

Hallo alexcad,

danke dir für die Infos. Geklont habe ich eigentlich nichts. Habe mich aber gerade erinnert, dass ich gestern Hyper-V wegen Virtualbox per bcdedit /set hypervisorlaunchtype off deaktivert hatte. Kann es evtl. das sein?

Ich habe nicht ganz verstanden, zu welchem Zeitpunkt man den klmover -dupfix ausführen soll. Nachdem ein Phantom-PC auftaucht? Oder eher nach einem Klonen.

Verstehe ich richtig, dass die Verschieberegel nur hilft, dass man die Phantome schneller in der Verwaltung entdeckt?

Edited by Anguel

Share this post


Link to post

So, ich habe jetzt weiter getestet und konnte die Entstehung des Phantom-PCs reproduzieren. Es entsteht tatsächlich durch die Änderung des Hypervisortypen via bcdedit. Nach dem Neustart erkennt Kaspersky den PC als neuen Phantom-PC, wahrscheinlich so ähnlich wie bei VDI . Danke für den Hinweis alexcad ! Eine Rückänderung des Hypervisortypen kehrt aber nicht zu dem ursprünglichen PC zurück sondern generiert immer neue Phantome, nur der letzte ist dann aktiv. Über PC-Suche kann man dann alle dieser Phantome finden und löschen. Dann kann man den "normalen" PC wieder hinzufügen und nach einem Client-Neustart ist alles wieder in Ordnung.

Ein klmover -dupfix bewirkt soweit ich getestet habe nichts. Die Verschieberegel habe ich erstellt. Da ich nach Server, Desktops und Notebooks unterscheide, lasse ich die Regel nach Active Directoy Organisationseinheit filtern, so landen die Phantome in die richtige KSC-Gruppe.

Noch eine Frage: Wäre ein einfaches Umbenennen des zuletzt aktiven Phantoms zu dem alten PC-Namen möglich, oder hat das Nachteile? Wenn das geht, bleiben wahrscheinlich alte Eventlogs etc. bestehen, da man den alten PC ja nicht löschen bräuchte.

Grüße

Anguel

Share this post


Link to post
vor 2 Stunden schrieb Anguel:

... gestern Hyper-V wegen Virtualbox per bcdedit /set hypervisorlaunchtype off deaktivert hatte. Kann es evtl. das sein?
... zu welchem Zeitpunkt man den klmover -dupfix ausführen soll. 
... die Verschieberegel nur hilft, dass man die Phantome schneller in der Verwaltung entdeckt?

Daran kann es absolut liegen - Virtualisierung kann durchaus dazu führen, dass ein neuer Identifier erzeugt wird.

klmover -dupfix ist eine Hilfe, wenn dieses Phantom-Problem bei einem System immer wieder auftritt und sich durch andere Maßnahmen nicht eingrenzen/beseitigen lässt. Auf jeden Fall muss klmover -dupfix ausgeführt werden, wenn man doch mal ein System mit vorhandenem Agent geklont hat - und sei es nur durch das Kopieren einer VM , wenn dabei ein neuer VM-Identifier erzeugt wurde.

Bzgl. Verschieberegeln : Ja
- Zitat aus dem anderen Topic: "Damit verhindere ich zwar nicht die Dubletten, aber ich sorge zumindest dafür, dass ich alle Systeme in meiner Verwaltung habe - eben auch die Rechner, die sich mit veränderter Bezeichnung erneut/ immer wieder melden."

Die Verschieberegeln sind eine tolle Sache  - unbedingt einsetzen.

Grüße
Alex

 

Share this post


Link to post
vor 5 Minuten schrieb Anguel:

Ein klmover -dupfix bewirkt soweit ich getestet habe nichts. Die Verschieberegel habe ich erstellt. Da ich nach Server, Desktops und Notebooks unterscheide, lasse ich die Regel nach Active Directoy Organisationseinheit filtern, so landen die Phantome in die richtige KSC-Gruppe.
Noch eine Frage: Wäre ein einfaches Umbenennen des zuletzt aktiven Phantoms zu dem alten PC-Namen möglich, oder hat das Nachteile? Wenn das geht, bleiben wahrscheinlich alte Eventlogs etc. bestehen, da man den alten PC ja nicht löschen bräuchte.

Jetzt habe wir gleichzeitig geschrieben ;)

klmover -dupfix lässt den Agent einen neuen Identifier erzeugen. Nur daran erkennt das KSC ein System. IP-Adresse, Hostname, etc. sind dagegen austauschbare/dynamische Eigenschaften.

Nochmal ein Zitat aus dem anderen Topic: "In der Ergebnisliste lösche ich alle Systeme, bis auf das zuletzt aktive (Spalte "Verbindung mit dem Server"). Ggf. ist es erforderlich die Suche einmal zu aktualisieren, um wirklich alles zu erwischen. Anschließend lässt sich das verbliebene Systeme einfach umbenennen."

Grüße
Alex

Share this post


Link to post
vor 3 Minuten schrieb alexcad:

Daran kann es absolut liegen - Virtualisierung kann durchaus dazu führen, dass ein neuer Identifier erzeugt wird.

Ja, wobei ich hier nochmal betonen möchte, dass es sich in meinem Fall um einen physischen PC handelt. Es wird aber die Bootkonfiguration geändert und somit wohl auch der Identifier. Ich weiß ehrlich gesagt nicht, ob dieses "Problem" Kaspersky Lab so bekannt ist, da es doch sehr speziell ist.

Danke für den Hinweis mit der Umbenennung!

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.