Jump to content
Kaspersky Support Forum

Диагностирование проблемы с удаленной установкой KES

The_Immortal
 Share
Go to solution Solved by durtuno,

Recommended Posts

The_Immortal

The_Immortal

Posted
Posted

Здравствуйте!

Обращался с данным инцидентом в ТП, но та уже довольно долго молчит, и есть вероятность, что проблему не решит. Хотя проблема вовлекает, на мой взгляд, некорректную работу KSC, так что не знаю как это обработается с их стороны.

Создана задача с такими параметрами для конкретного устройства по удаленной установке KES с предварительной установкой Network Agent, параллельно никаких задач с таким типом не выполняется.
По результатам выполнения видно, как Network Agent успешно устанавливается, а далее установка KES не происходит. При этом проходит более суток  и более с момента последнего шага, статус "Выполняется (50%)" не меняется.
Дело в том, что в качестве таймаута для задачи указаны дефолтные 60 мин., но как-то KSC это дело игнорирует, потому как, видимо, получает информацию, что клиент отвечает. 


Нашел подобную проблему:

Однако в моем случае с целевого компьютера доступ к серверу администрирования имеется - каталог \\kaspsrv\KLSHARE\Packages\KES_12.4.0.467\ доступен. Более того проблема проявляется и на ряде других машин (но не на всех) - понять в чем ними разница я не могу.

Вопрос: каким образом продиагностировать в чем проблема на целевом ПК?

Спасибо!

 

P.S. Прилагаю GSI-отчет, вдруг чем-то поможет.

Link to comment
Share on other sites
Friend

Friend

Posted
Posted

Добрый день, @The_Immortal,
Если правильно понял, то вы пытаетесь установить поверх старой версии: Kaspersky Endpoint Security для Windows (11.8.0.384) новую: 21.5.11.384
Если предварительно удалить старую версию, перезагрузить компьютер и потом установить новую, сохранится ли проблема?
У агента кажется какие-то проблемы с сертификатом: 

EventsProcessorProxy: #1271 Произошла ошибка транспортного уровня при соединении с http://newavsrv:13000: не прошла аутентификация SSL, неверный или просроченный сертификат.

 

  • Like 1
Link to comment
Share on other sites
durtuno

durtuno

Posted
Posted
17 часов назад, The_Immortal сказал:

Создана задача с такими параметрами

Имхо, при работающем агенте лучше его одного и указывать в разделе загрузки инсталляционного пакета;

18 часов назад, The_Immortal сказал:

При этом проходит более суток  и более с момента последнего шага, статус "Выполняется (50%)" не меняется.

Не исключено, что система требует перезагрузки, после чего на клиентах что-то происходит и задача далее не выполняется (иногда "темпы" автоматически подираются и прочее);

18 часов назад, The_Immortal сказал:

P.S. Прилагаю GSI-отчет, вдруг чем-то поможет.

При возникновении подобных ситуаций, как по Мне, лучше изучать логи установщика в системной temp-директории, смотреть те же коды выходов оного.

  • Like 1
Link to comment
Share on other sites
durtuno

durtuno

Posted
Posted
14 часов назад, Demiad сказал:

Судя по описанию у вас неверный сертификат в пакете Агента администрирования.

Вариант возможный, но в этом случае не сходится:

В 17.02.2024 в 00:04, The_Immortal сказал:

Более того проблема проявляется и на ряде других машин (но не на всех)

Тем более, если предположить, что в пакете неверный сертификат, то эти клиенты, после установки агента с неверным сертификатом, должны будут отвалиться от "KSC".

Link to comment
Share on other sites
Demiad

Demiad

Posted
Posted

@durtuno, на устройствах где проблемы нет, вероятно, ранее был установлен Агент администрирования с корректным сертификатом, установка поверх не заменяет сертификат Сервера администрирования. Поэтому там KES ставится успешно. Остановка процесса установки сразу после установки Агента администрирования на 50% является признаком ошибочного сертификата в пакете Агента администрирования. Конечно, не исключаю полностью другие причины, но начал бы с проверки этой.

Link to comment
Share on other sites
The_Immortal

The_Immortal

Posted
  • Author
Posted

@Demiad, здравствуйте.

В 17.02.2024 в 23:04, Demiad сказал:

Судя по описанию у вас неверный сертификат в пакете Агента администрирования.

Сертификаты на сервере администрирования и в пакете Агента администрирования идентичные.

Единственное я не очень понимаю по самому сертификату. По %ProgramData%\KasperskyLab\adminkit\1093\cert\klserver.cer выдается "Недостаточно информации для проверки этого сертификата" (срок действия сертификата при этом с 03.08.2023 по 03.09.2024*. Это нормально?

А при обращении к веб-консоли, которая находится вместе с сервером администрирования, выдается вот такое (см. приложение). Через установщик веб-консоли изменял параметры подключения и Далее-Далее-Далее. Но это не меняет картину. Но это, как я понимаю, к проблеме отношения не имеет.

*P.S. Если это важно, то я в этом месяце апгрейдил KSC и после установки новой версии KSC восстанавливал данные из резервной копии. Насколько помню, то сертификат раньше создавался во время установки KSC, а, судя по срокам действиям текущего klserver.cer, сертификат остался старым. Может ли с этим быть как-то связана проблема?

image.thumb.png.22f168260c5d23714ff184e0d599de47.png

Link to comment
Share on other sites
Demiad

Demiad

Posted
Posted

@The_Immortal, сертификаты Сервера администрирования и сертификат Веб-консоли разные. Тот и тот судя по описанию у сам являются самоподписанные, то есть автоматически сгенерированными при установке решения.

Если бы вы использовали сертификат Удостоверяющего центра, например, свой организации, то знали бы точно, процедура не в пару кликов.

На примере моего стенда, "Кому выдан" и "Кем выдан" совпадает, значит это самоподписанный сертификат, предупреждение о "Недостаточно информации" в данном случае нормально:

image.thumb.png.6f6f2e3e5d445337bdab5678acc8a710.png

 

На Сервере администрирования и пакете Агента администрирования говорите идентичные, но давайте ещё проверим что будет на проблемном устройстве. Отройте сертификат на устройстве и сравните отпечаток с сертификатом Сервера администрирования:

%ProgramData%\KasperskyLab\adminkit\1103\klserver.cer

image.thumb.png.410a2162d4fa4dc60c72c2826fb325bf.png

 

  • Like 1
Link to comment
Share on other sites
The_Immortal

The_Immortal

Posted
  • Author
Posted

@Demiad,

9 часов назад, Demiad сказал:

Отройте сертификат на устройстве и сравните отпечаток с сертификатом Сервера администрирования:

А вот на проблемном устройстве сертификат с Сервером администрирования не совпадает...

Можно ли это как-то исправить в централизованном формате?

Link to comment
Share on other sites
  • Solution
durtuno

durtuno

Posted
  • Solution
Posted (edited)
1 hour ago, The_Immortal said:

Можно ли это как-то исправить в централизованном формате?

Любым доступным способом отработать эту инструкцию, "Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover":

Quote

После замены сертификата Сервера администрирования вам необходимо установить SSL-соединение между Агентами администрирования и Сервером администрирования, так как соединение разорвано.

Чтобы указать новый сертификат Сервера администрирования и восстановить соединение:

В командной строке выполните следующую команду:

klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

 

Edited by Demiad
был ошибочный URL на эту же тему, поправил на online-help.
  • Like 1
  • Thanks 1
Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...