Client-Aufgbabe manuell vom Server aus starten geht nicht.

[SecAdmin]

Hallo,

 

folgendes Problem:

Ein Client hat Agent Version 10.5.1781 installiert. Bei diesem kann ich über die Serverkonsole eine lokale Aufgabe starten.

Auf dem anderen Client ist der neuste Agent 12.2.0.4376 installiert. Hier geht das nicht mehr. Die Start/Stopp-Buttons sind ausgegraut.

 

 

Bisher war das nur der Fall, wenn die Clients extern über den Verbindungsgateway verbunden waren.

Kennt einer das Problem?

 

Danke schonmal.

Gruß Thomas

[ak01]

ist der Rechner sicher eingeschaltet, pingbar?

kurz nach dem Herunterfahren (oder Energiesparmodus) kann es sein, dass der Rrchner noch als online angezeigt wird aber schon nicht mehr erreichbar ist.

 

über Verbindungsgateway geht es auch, wenn man vorher den Haken zum “nicht Trennen der Verb.” (siehe Allg.) anhakt und max. 15 Min (bis zur Sync.) wartet. Dies erzeugt aber sehr viel Serverlast, daher sollten nicht mehr als 100 Clients diesen Haken aktiv haben...

[SecAdmin]

Nein, der ist eingeschaltet. Mit dem alten Agent funktioniert das ja immer zuverlässig.

Das mit dem Haken ist mir bekannt, das möchte ich aus den von dir genannten Gründen auch nicht aktivieren.

[ak01]

wichtig ist auch, dass die UDP Rückrichtung in der Agent policy aktiviert ist und dass der KSC UDP Port 15000 Meldungen zum Client schicken kann/darf….

[SecAdmin]

Alle bekommen die gleiche Richtlinie. Mit dem alten Agent geht’s, mit dem neuen nicht.

[alexcad]

Das beantwortet nicht die Frage nach Port 15.000 UDP.
Stehen die Rechner in unterschiedlichen Netzwerksegmenten? Wenn ja: In 99,9% aller Fälle muss dann Port 15.000 UDP noch vom Admin-Server Richtung Teilnetz frei geben werden.

Grüße
Alex

[SecAdmin]

Hallo Alex,

ich werde das nochmal überprüfen und gebe dann hier bescheid.

 

Gruß

Thomas

 

[alexcad]

Hallo Thomas,

vielen Dank für die Rückmeldung.
Hier findest du (teilweise etwas komplexe) Netzwerkschemata der Kaspersky-Ports:

https://support.kaspersky.com/ksc/12/de-DE/183039.htm

Auf das Wesentliche runtergebrochen sieht das so aus (Auszug aus einer meiner Folien):

 

Grüße
Alex

[SecAdmin]

Ich habe alle Ports nochmal manuell in die Firewall eingetragen, habe die Firewall auch ausgeschaltet. Keine Veränderung. Die Aufgaben lassen sich nicht starten oder stoppen.

Das Problem besteht erst, seit ich den Verbindungs-Gateway mit Verteilpunkt eingerichtet habe.

Wir hatten vorher schon einen Verbindungs-Gateway, der war aber nicht im KSC konfiguriert. Hat bis Version 10 einwandfrei funktioniert.

[alexcad]

Hallo Thomas,

wenn Systeme über einen Verbindungsgateway von extern verbunden sind kann Port 15.00 UDP nicht durchgehen - da ist es normal, dass sich Aufgaben nicht triggern lassen.
Für interne Systeme oder dauerhaft angebundene Niederlassungen (Site2site-VPN, MPLS, ...) wird kein Verbindungsgateway benötigt - hier genügt ein Verteilungspunkt (und ist auch die bessere Lösung).

Falls du ein externes System diagnostizieren musst: In den Client-Eigenschaften lässt sich eine dauerhafte Verbindung einstellen - die Übernahme kann aber bis zu 15 Minuten dauern (Standardintervall für die Agentenkommunikation) und sollte im Anschluss wieder deaktiviert werden.

Grüße
Alex

[SecAdmin]

Ja das ist mir schon klar. Aber bei den internen Clients funktioniert’s ja auch nicht mehr.

Aber apropos Verteilungspunkte. Muss ich für die internen Clients auch einen Verteilungspunkt definieren oder ist das automatisch der KSC-Server?

 

Gruß

Thomas

[alexcad]

“...Aber bei den internen Clients funktioniert’s ja auch nicht mehr.”

Das ist extrem seltsam. Ist der Port 15.000 UDP vielleicht in der Richtlinie deaktiviert?
 

Verteilungspunkte für interne Systeme können bzgl. Lastausgleich zwischen Netzwerksegmenten sinnvoll sein. Wenn zwischen den Segmenten eine UTM Appliance sitzt (was wünschenswert ist)  lässt sich mit Verteilungspunkten der Traffic auf den UTM-Schnittstellen reduzieren.
Andererseits benötigt man dann in jedem Netzwerksegment ein (Server-)System mit entsprechenden Ressourcen.

Grüße
Alex

[SecAdmin]

Hallo,

bin jetzt einen Schritt weiter. Es liegt nicht an den Ports. Bei den internen Clients funktioniert es sporadisch. Ich bin aber noch nicht dahinter gekommen warum. Mache noch ein paar Tests.

[SecAdmin]

Hallo,

 

ich habe die Lösung:

bei der Definition des Verteilungspunktes hatte ich im Abschnitt “Bereich” zwei Gruppen hinzugefügt. Und genau bei den Clients dieser Gruppen war das Problem aufgetreten. Ich habe jetzt statt den Gruppen den Netzwerkstandort “extern” (der im Agent-Profil definiert ist) ausgewählt, da ja nur Clients, die sich nicht in der Firma befinden über den Connection-Gateway bzw. Verbindungspunkt auf den Administrationsserver zugreifen sollen.

Kleiner Fehler - große Wirkung.