Обновление агента администрирования и KES

[Alexey]

Добрый день. Сразу кидаю тему со старого форума с аналогичной проблемой https://forum.kaspersky.com/index.php?/topic/234265-1255-0-%D0%BF%D1%80%D0%BE%D0%B8%D0%B7%D0%BE%D1%88%D0%BB%D0%B0-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-%D1%82%D1%80%D0%B0%D0%BD%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%BD%D0%BE%D0%B3%D0%BE-%D1%83%D1%80%D0%BE%D0%B2%D0%BD%D1%8F-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%BE/ Имеется: KSC 11.0.0.1131, агент администрирования на KSC - последний 11.0.0.1131 На подчиненных устройствах стоит Агент 10.5.1781 , KES 10 и 11 Пытаюсь обновить на устройствах агент + KES задачей из KSC обновление проходит, устройство перезапускается, агент новый кес тоже, но управление устройством потеряно.... И после этого статус в KSC устройства не обновляется.. висит что установка прошла успешна требуется перезагрузка и чтобы я не делал не меняется. Пробовал:

1. Заново создавать задачу переустанавливать
2. Удалять\ставить заново
3. Локально все грохать ставить локально заново как 10.5 так и 11 агент
4. Пробовал удалять все klremover
5. пробовал использовать https://support.kaspersky.ru/13088 утилиту для очистки данных об установке агента администрирования

Что интересно - агент ставится\удаляется даже средствами винды успешно, но службу например я остановить не могу. Когда не могу остановить службу процесс удаления висит на "попытке остановить службу" Запустил утилиту по проверке связи агента c KSC все параметры ОК но в конце ошибка Произошла ошибка транспортного уровня при соединении с общая ошибка 0x4EC. Кто что порекомендует? Дополнение: утилита проверки работоспособности агента в консоли выдает информацию и тут же закрывается, не понимаю почему, паузил окно через паузу и читал что там пишется иначе сразу же мгновенное закрытие после вывода всего отчета. Не понимаю с чем это связано. И второе - при применении изменений в политиках все устройства политики успешно получают а данное устройство "ожидание применения".

[Miroslavskiy]

Есть утилита для проверки с графическим интерфейсом. Лежит в той же папке что и агент. Что она говорит. Устройство потеряно пишет, надо ждать минут 10....пробовали:neutral_face:

[Alexey]

Да сегодня целый день только и пробую.... конечно ждал и 10 минут и час и два. А как называется с графическим?

[Miroslavskiy]

klcsngtgui.exe

[Alexey]

Посмотрел, запустил пакет пульс Пишет время последнего подключения, сегодня час назад (но это видимо мои эксперименты) Защита: не установлена программа безопасности. Но это неправда, KES последний у меня стоит. Кстати ошибка не до конца высвечивалась, а тут можно полностью проследить Произошла ошибка транспортного уровня в процессе взаимодействия с http://127.0.0.1:4360 соединение было разорвано. Не понимаю причем тут локалхост, видимо какие то взаимодействия между KES и агентом чтоли....

[Miroslavskiy]

Проверьте открыты ли динамические порты, брандмауэр на стороне сервера и клиента и политики агента тоже посмотреть стоит.

[Demiad]

Alexey , я предполагаю сценарий: была новая установка сервера (не обновление поверх старого), затем импортирован сертификат сервера на сам сервер KSC, но не заменён сертификат в инсталляционном пакете Агента администрирования. Для проверки требуется сравнить отпечатки сертификата в Свойства сервера\ Посмотреть сертификат сервера и в Свойства пакета Агент администрирования Подключение\ поле Использовать сертификат Сервера. Заодно там же проверить значение "Адрес Сервера администрирования", друг там как раз указан 127.0.0.1. Ещё другой вариант, что накосячено в параметрах Подключения\ Профили соединений параметров политик Агента администрирования. Стоит проверить всё ли там нормально или по умолчанию. Порт 4360 правда такой? Стандартный 13000. Службу агента, вероятно, не даёт остановить галка в параметрах инсталляционного пакета "Защитить службу Агента администрирования от неавторизованного удаления". Ещё в параметрах пакета агента стоит проверить разделы про прокси и шлюз. Возможно, там 127.0.0.1:4360 прячутся. klnagchk.exe надо запускать из командной строки, а не кликом по EXE'шнику. Иначе он выполняется и закрывает. И для проверки хотя бы попробуй сделать команду на переключение на новый сервер через klmover, то есть на тот же сервер, но как бы как на новый подключаешь получится. Исключит вариант сетевых проблем, если всё успешно будет. Наткнулся случайно на КБшку, вдруг вариант совпадёт: https://support.kaspersky.ru/12776#block2 Заодно скажу, что лучшие практики от ЛК, да и я сам такого придерживаюсь, разделить обновление агента до новой версии и установку антивируса. Сделай выборку на старые версии агента и раскатывай на неё новую версию агента. Затем уже на выборку с новой версией агента раскатывай новую версию АВ. Так лучше получается.

[Alexey]

Demiad привет!! спрасибо за развернутый ответ.

1. Сценарий был не полная переустановка - а установка поверх. Все прошло штатно на 100% никаких вопросов. Никаких сертификатов и ключей лицензионных никуда не двигал не вставлял не перемещал. Просто по итогу обновления проверил - ключи на месте, серт на месте. Ну значит все нормально.
2. Политики обновились + обновился агент администрирования - в данной сутации на хостах остался старый агент + старый кес, но!! несмотря на это все прекрасно работает
3. Это я попробовал штатными средствами как рекомендовано сделать обновку КЕС+Агент (пакет установочный как рекомендовали на форуме что там ничего не будет не менял, использовал тот который создал сам KSC 11, точнее так, там остались созданные старые (10.5) пакеты+все эти же новые 11)
4. Сертификат проверял на самом KSC который в программ дата, ну он там как был так и остался в принципе.

Порт 4360 - в ошибке!! указан такой.. само собой я знаю про 13000 откуда это 4360.. я не понимаю. Кстати в последних моих копаниях уже ошибки не было. Но это нужно снова мне проверить. Службу агента, вероятно, не даёт остановить галка в параметрах инсталляционного пакета "Защитить службу Агента администрирования от неавторизованного удаления". - проверил и новые пакеты и старые, галка по умолчанию снята!! И у меня так же снята. Тоесть эту настройку никто не трогал. Совет по обновлению вначале агентов потом КЕС принял.. После дня долбаний с ноутом очень очень хороший совет. Еще для тех кто будет читать и мало ли столкнется. Получается такая ситуация, KSC обновлен, клиенты - нет. На KSC у нас новые политики, новый агент. Политики старые - установив патч (на старый КЕС я могу добавить) тоесть чтобы адекватно управлять новыми КЕС и старыми. Две версии политик для двух разных версий KES. А вот агент администрирования с которым работает сам KSC - он уже однозначно новый.... на клиентах - старый. И это уже никак не изменить. Хотя рекомендовано чтобы версии были одинаковые. Вот такая интересная ситуация. Ух, чем глубже в лес тем больше дров..... Я так понял сертификат сервера это свойство КСЦ\параметры подключения к серверу администрирования\сертификаты. Думаю что это имелось ввиду. И сертификаты сравнивал открывая сертификат\состав и нижний пункт "отпечаток"

1. Отпечаток сертификата KSC в сравнении с сертификатом агента администрирования новым - не совпадает
2. Решил посмотреть после этого а что в старом агенте администирования - а там пусто, не сравнить.. либо этот сертификат перебрался на новый либо я чего то не понимаю, поля не заполнены;
3. Решил посмотреть как дела у меня дома в тесте где чистый KSC 11 - там тоже не указано в меню просто написано "сертификат выпущен средствами сервера администрирования " и никаких данных. Может быть отпечаток сравнивать с самим файлом сертификата в програм дата?

Порты - все штатные Адрес сервера - везде верный Прокси - отсутствует. Что-то я закопался. Отпечатки нигде не совпадают проверил на 3-м сервере. Все работает но отпечатки другие. Сравнил с самим сертификатом в каталоге C:\ProgramData\KasperskyLab\adminkit\1103 файл klserver, отпечатки не совпадают но может так и должно быть.

[Zandatsu]

Достаточно распространенная ошибка - когда после обновления KSC "в лоб" пытаются разворачивать стандартный встроенный пакет агента, в котором нету корректного сертификата сервера. После установки такого агента он не сможет подключиться к серверу. Если сервер был установлен с нуля - тогда это неактуально, конечно.

[Alexey]

Достаточно распространенная ошибка - когда после обновления KSC "в лоб" пытаются разворачивать стандартный встроенный пакет агента, в котором нету корректного сертификата сервера. После установки такого агента он не сможет подключиться к серверу. Если сервер был установлен с нуля - тогда это неактуально, конечно.

Привет, я это все читал, тут такое дело мнение делится на 50\50. У кого то все нормально у кого то все плохо. Конкретное предложение какое? Я могу оставить автоматические созданные пакеты и создать свои на агента + кес. Zandatsu - вы помойму об этом и писали что обязательно нужно пересоздавать пакеты. Попробую тогда. Тут у меня еще момент - я удалил агента, удалил KES а статус устройства в KSC ну никак не хочет меняться. Агент установлен - да, а его давно нету. Подскажите пожалуйста обнаружение устройств не нужно заново перезапускать чтобы скажем так сбросить их и они обновились? Или должно это само произойти. Что еще интересно - при попытке подключиться по rpd через KSC появляется ошибка: транспортного уровня при соединении с localhost: общая ошибка 0x4E5 Но при простом подключении по rdp средствами windows все прекрасно работает.

[Demiad]

Alexey , давай последовательно. Пишешь много, а результата того что попросил проверить не говоришь) Zandatsu всё правильно написал, и я тебе говорю сравни отпечатки сертификата в пакете агента и сервера, выше писал где смотреть. То что хост не меняет наличие сетевого агента на нём это норма. KSC никак не проверяет его наличие на хосте, он так и будет писать о его наличии. Пока не наступит срок удаления объекта из управляемых Групп (ветка Управляемые устройства) и уже из раздела где опрос AD, сети и тп. (см. свойства Домены, там задан срок после которого объект удаляется полностью). Затем его KSC снова находит по опросу и уже без агента он окажется. Руками это дело ускоряется через поиск по всему (в корне консоли) KSC и удаление из Управляемых и из Нераспределённых. Если агент администрирования удаляется штатным установщиком из Установка/удаление программ Windows и сеть есть в этом время, то информация с KSC удалится, хост на прощание отправляет на KSC информацию об удалении. Насколько помню это так, инфа двухлетней давности в моей памяти, лучше проверить.

[Alexey]

Если агент администрирования удаляется штатным установщиком из Установка/удаление программ Windows и сеть есть в этом время, то информация с KSC удалится, хост на прощание отправляет на KSC информацию об удалении. Насколько помню это так, инфа двухлетней давности в моей памяти, лучше проверить. - этого не произошло.... не знаю почему. И в консоли и в KSC агент установлен. Из положительных результатов: создал новый инсталляционный пакет агента администрирования ииии.... агент установился и устройство стало управляемым. Ставлю KES теперь. Примечание: я сравнил 1 в 1 два инсталляционных пакета, сравнил все, начиная от отпечатков сертификата заканчивая всеми галочками настроек, портов и сервера. Абсолютно одинаковые!!!! Но один создан автоматически KSC второй мной..... чудеса какие то. Предварительный вывод - создавать только ручные пакеты. Demiad - я делал сравнение выше. Ни в каком случае отпечатки не совпадают... Вы уверены что они должны совпадать???

[Zandatsu]

Из положительных результатов: создал новый инсталляционный пакет агента администрирования ииии.... агент установился и устройство стало управляемым. Ставлю KES теперь.Примечание: я сравнил 1 в 1 два инсталляционных пакета, сравнил все, начиная от отпечатков сертификата заканчивая всеми галочками настроек, портов и сервера. Абсолютно одинаковые!!!! Но один создан автоматически KSC второй мной..... чудеса какие то. Предварительный вывод - создавать только ручные пакеты.

Я об этом много раз писал в разных темах. Повторюсь. При установке или прямом обновлении KSC он в список инсталпакетов пихает свои, дефолтные пакеты агента и антивируса. Если прямо сразу их начать использовать, то будет проблема, которую вы (и не только) описали выше - потеря связи агентов с сервером. Потому что в этих инсталпакетах не те данные, которые есть у вас на сервере. Когда вы руками создаёте с нуля инсталпакет того же самого агента такой же версии, то при формировании его мастер создания KSC сам импортирует ваш текущий сертификат и такой пакет агента будет корректно подключаться к серверу после установки. Поэтому лично я всегда после установки или обновления сразу удаляю все пакеты, которые создаёт KSC и не использую их никогда. После удаления создаю всё сам. Если вы установили KSC с нуля начисто, а потом импортировали сертификат старого сервера, то даже в этом случае я бы не стал рисковать и использовать дефолтные пакеты - тоже сношу и создаю сам руками.

[Alexey]

Zandatsu - имея это ввиду я и проверял состав пакета. Повторюсь - они полностью идентичны.... 1 в 1. Как так то.. Я решил от греха подальше не пересоздавать такой же самый пакет. В общем вывод:

1. в любом случае пересоздавать пакет агента и KES.
2. Я сравнил отпечатки но не в KSC с KSC а реальный сертификат и отпечаток тот который в агенте администрирования указан - они совпадают. Что в новом пакете что в старом. Странно что я видел обратное в ряде ситуаций.

На всякий случай путь сертификата по умолчанию: C:\ProgramData\KasperskyLab\adminkit\1103 - папки скрыты! Необходимо отображение скрытых папок.

[Zandatsu]

Zandatsu - имея это ввиду я и проверял состав пакета. Повторюсь - они полностью идентичны.... 1 в 1. Как так то.. Я решил от греха подальше не пересоздавать такой же самый пакет.

Раз у вас не заработало изначально - не такие уж они идентичные. Так что пересозданный пакет - надёжное средство от болезни различия сертификатов.

[Alexey]

Дополнение для всех тех кто следит за веткой. Попробовал - создать пакет администрирования вручную. Но KES оставить тот пакет который создал сам KSC при обновлении. В этом случае все так же успешно ставится. Тоесть получается критическим это обращение к серверу - соответственно агент.

[Zandatsu]

Дополнение для всех тех кто следит за веткой. Попробовал - создать пакет администрирования вручную. Но KES оставить тот пакет который создал сам KSC при обновлении. В этом случае все так же успешно ставится. Тоесть получается критическим это обращение к серверу - соответственно агент.

KES не содержит никаких привязок к серверу. Поэтому можно использовать и его, но я всё равно создаю руками сам так как у нас требование использовать сертифицированные версии KES. Встроенные не годятся.

[Alexey]

Спасибо за уточнение! В общем по дальнейшей ситуации буду отписываться. И можно будет финализировать тему.