Загрузка обновлений в хранилище KSC

[freq]

Хотим создать задачу для обновление Windows машин(11.6.0.394) и Linux (10.1.1.6421) через наш KSC сервер, а остальную часть таких же машин оставить обновлять напрямую через сервера KL.

Есть 2 задачи:

Загрузка обновлений в харанилище Сервера администрирования
Загрузка обновлений в хранилища точек распространения

В чем их принципиальная разница? Какую нам выбрать?

Запуск первой задачи у нас не удается(Время ожидания истекло). В параметрах указан источник “Серверы обновлений ЛК”

Во второй задаче после запуска ничего не происходит.

Версия KSC 11

[Kommunist7304]

Конкретно вам нужен “Загрузка обновлений в харанилище Сервера администрирования”. Точками распространения обычно выступают другие ПК подключенные к серверу администрирования.

Вам надо разобраться по какой причине не может загрузить обновления ваш KSC. Проблема обычно либо в недоступности серверов ЛК с сервера где стоит KSC, либо что-то вмешивается в трафик при загрузке обновлений и KSC их отбрасывает как поврежденные.

Настройка обновлений KES на АРМ настраивается через задачу “установка обновлений” для KES.

Возможные варианты:

1. Создать дополнительные задачи “установка обновлений” для KES и привязать их к заданным группам (я такого не делал). Количество задач “обновление баз и модулей программы” получится равным количеству групп, которых будет минимум 2 - для внешних и локальных АРМ. При создании задачи убедитесь что создаете её именно для KES. Текущую задачу сделать неактивной или удалить целиком.
2. В имеющейся задаче  “установка обновлений” для KES приоритетным выставить обновление с серверов ЛК, второй строчкой - с KSC. На локальных к KSC АРМ в политике KES “контроль безопасности - веб-контроль” добавить правило запрета доступа к серверам ЛК (это нужно чтобы они не обновлялись с внешних серверов). Разумеется для внешних и локальных АРМ нужно будет вести отдельные политики что требует разделения на отдельные группы.

[freq]

Как нам можно убедиться в доступности серверов обновлений ЛК?

Вот какие стоят настройки в задаче.
 

 

[Kommunist7304]

https://support.kaspersky.ru/common/start/6105

Список всех серверов.

команда tracert для понимания доступности пути.

 

Однако проблема может быть в том, что установленный МЭ (межсетевой экран) не дает доступ KSC к интернету, поэтому можно для начала попробовать отключить его и вручную запустить прием обновлений. если обновления не принимаются, значит пока что проблема не в МЭ, если обновления начали качаться, значит надо настраивать МЭ чтобы он не мешал KSC.

[freq]

С данной машины, где KSC сделал пинг всех адресов предоставленных выше(Результат на скриншоте) Трассировка одного из них делает 15 прыжков. Получается, адреса доступны.

 

[Kommunist7304]

МЭ пробовали отключать?

В логах поподробнее посмотрите что происходит у KSC и почему он не может скачать обновления.

[Kommunist7304]

Как я понял у Вас Windows Server 2016. У вас антивирус встроенный (Windows Defender) отключен/удален перед установкой KES/KSWS? В некоторых случаях при установке стороннего антивируса Windows Defender остается активным и также может мешать нормальной работе различного ПО, при этом ещё и замедляя работу сервера в целом из-за работы двух антивирусов. Проверьте чтобы он был отключен/удален.

[freq]

Как я понял у Вас Windows Server 2016. У вас антивирус встроенный (Windows Defender) отключен/удален перед установкой KES/KSWS? В некоторых случаях при установке стороннего антивируса Windows Defender остается активным и также может мешать нормальной работе различного ПО, при этом ещё и замедляя работу сервера в целом из-за работы двух антивирусов. Проверьте чтобы он был отключен/удален.

Нет, стоит 2012 r2, в нем Defender отсутствует. На этой машине установлен Легкий агент 5.1

 

В каких логах смотреть? В результатах задачи просто время истекло.

Попробовал сделать очистку хранилища обновлений - не помогло. Папка updates на данный момент пуста

[Katbert]

Ну, если адреса пингуются - это еще не показатель. Может быть, на пограничном межсетевом экране/роутере только пинги и разрешены. А для загрузки обновлений - нужен доступ по http/https. Посмотрите лог задачи обновления, если куда-то не может достучаться - то там отругается. Лог лежит в C:\ProgramData\KasperskyLab\adminkit\data\log\$klakupd.log

[freq]

Ну, если адреса пингуются - это еще не показатель. Может быть, на пограничном межсетевом экране/роутере только пинги и разрешены. А для загрузки обновлений - нужен доступ по http/https. Посмотрите лог задачи обновления, если куда-то не может достучаться - то там отругается. Лог лежит в C:\ProgramData\KasperskyLab\adminkit\data\log\$klakupd.log

Пока данный вопрос откладываем. Переносим сервер на другую машину под управлением Win Serv 19. Если и там возникнут проблемы - будем дальше смотреть.