klserver.cer

[VeshUragan]

Здравствуйте!
По определенным причинам необходимо перенести KSC с одного сервера на другой. У этих серверов разные имена, т.е. разные адреса подключения. Подскажите необходимо ли перевыпускать сертификат агента администрирования с новым именем или он сам по истечении срока поменяется на новый? C:\ProgramData\KasperskyLab\adminkit\1093\cert\klserver.cer.
Если перевыпуск необходим подскажите как это сделать и что вообще необходимо поменять в настройках. Заранее спасибо.

[Demiad]

Добрый день.

Вот тут в статье описаны все сценарии по переносу https://support.kaspersky.ru/13920

Важно под каким адресом подключаются устройства. Надо чтоб не потерялось управление.

Перевыпускать сертификат не требуется, аутентификации Сервера администрирования по имени из сертификата нет. Ознакомьтесь со статьёй, далее готов ответить на доп.вопросы.

[VeshUragan]

13 часов назад, Demiad сказал:

Добрый день.

Вот тут в статье описаны все сценарии по переносу https://support.kaspersky.ru/13920

Важно под каким адресом подключаются устройства. Надо чтоб не потерялось управление.

Перевыпускать сертификат не требуется, аутентификации Сервера администрирования по имени из сертификата нет. Ознакомьтесь со статьёй, далее готов ответить на доп.вопросы.

Спасибо!
По поводу сертификатов:
1) Подскажите какие сертификаты автоматически обновляются, а какие в ручную? 
2) В сертификатах так и останется старое имя после продления или изменится на новое? 
Не будет ли в дальнейшем проблем? Срок истечения сертификата в начале 2025, поэтому волнуют эти вопросы.

[VeshUragan]

3)Еще интересно, вы написали "аутентификации Сервера администрирования по имени из сертификата нет", а как тогда происходит аутентификация?
4)Под адресом (адрес подключения) имеется ввиду dns-имя устройства? 

[Demiad]

1) Сертификат Сервера администрирования продлевается сам. Главное чтоб устройства выходили на связь и получили резервный (новый) сертификат заранее. См https://support.kaspersky.ru/ksc/14.2/3322

Сертификаты для управления мобильными устройствами надо руками инициировать продление, см https://support.kaspersky.ru/ksc/14.2/206479

Сертификат Веб-консоли требуется тоже обновлять после истечения, и обновлять сертификат Сервера администрирования для неё, см. https://support.kaspersky.ru/15964

2) Не будет проблем. В конце статьи в ограничениях мы рекомендуем ничего не трогать после изменения имени устройства Сервера администрирования https://support.kaspersky.ru/16024 Эту же статью вы можете использовать для изменения имени, но я бы рекомендовал отложить вопрос наведения красоты на период, когда вы станете уверены, что все устройства точно управляются новым Сервером администрирования. Не стоит совмещать задачи перемещения и переименования, что-то не учёте, запутаетесь, лучше не надо.

Когда срок сертификата Сервера администрирования истечёт, новый сертификат будет содержать уже новое имя устройства Сервера администрирования (hostname):

3) Я говорил, что проверки имени Сервера администрирования нет, т.е. если у вас в сертификате имя, а подключаетесь вы по IP, то проблемы не будет. У вас в составе инсталляционного пакета Агента администрирования есть сертификат Сервера администрирования, он сразу используется для подключения. Обычно это так, но если вы ставите Агента администрирования без сертификата Сервера администрирования, то сертификат Сервера администрирования будет получен при первом подключении к нему. Если вдруг на месте/по адресу текущего Сервера администрирования окажется другой Сервер администрирования с иным сертификатом, то успешного подключения и получения настроек от него не произойдёт.

4) См. вывод команды утилиты klnagchk, в статьях она упоминается и в справке. Адрес сервера у вас указан в параметрах инсталляционных пакетов Агента администрирования, например. Но лучше см. статью из п.2, там все места где имя используется и допускается изменение указаны.

[VeshUragan]

по 3.п в том то и дело, что подключение идёт по имени (скрин из инсталляционного пакета)

 

Edited October 9 by VeshUragan

[Demiad]

 @VeshUragan, когда вы замените устройство Сервера администрирования, вы на нём поднимете резервную копию от старого Сервера администрирования и имя устройства (hostname) будут совпадать со старым устройством? Если так, то проблем нет. Но проверьте хотя бы выборочно через klnagchk, что у вас управляемые устройства подключены точно по имени, вдруг где-то IP. Тогда еще IP надо сохранить.

[VeshUragan]

16 минут назад, Demiad сказал:

 @VeshUragan, когда вы замените устройство Сервера администрирования, вы на нём поднимете резервную копию от старого Сервера администрирования и имя устройства (hostname) будут совпадать со старым устройством? Если так, то проблем нет. Но проверьте хотя бы выборочно через klnagchk, что у вас управляемые устройства подключены точно по имени, вдруг где-то IP. Тогда еще IP надо сохранить.

Нет, в том то и дело, это две разных виртуалки, с разными именами и ip 

Имя текущего - win-dq5u0biqjr7

Имя будущего - ir-v-012.intr.local

Edited October 9 by VeshUragan

[Demiad]

@VeshUragan, тогда резервную копию переносите всё равно, затем надо чтоб одновременно работали старый и новый серверы, надо будет переключить устройства со старого сервера на новый.

В статье для этого рекомендация https://support.kaspersky.ru/13920#block7

Цитата

• Чтобы переключиться между разными работающими инсталляциями KSC, используйте задачу Смена устройства Сервера администрирования на управляемых устройствах сервера.

Ещё можно переключить через правило переключения https://support.kaspersky.ru/ksc/14.2/10419

Но этот способ я бы использовал как дополнительный, когда у вас останется как-то незначительно кол-во устройств, которые не успели появиться в сети и вы их ждете.

С правилами надо очень аккуратно и не ошибиться. Протестируйте в начале на отдельных устройствах работу правила, только затем применяйте на все.

Если через Х месяцев окажутся устройства, которые не были переключены, то локально на них выполните команду переключения через klmover.

[VeshUragan]

Спасибо! Про перенос понял.

"Я говорил, что проверки имени Сервера администрирования нет, т.е. если у вас в сертификате имя, а подключаетесь вы по IP, то проблемы не будет."

а вот про сертификат так и не понял, так как имена и ip у устройств разные, будут проблемы или нет? нужно что-то делать?

 

[Demiad]

@VeshUragan, проблем не будет.

Я лично сделал бы в вашем случае следующим образом. Раз адрес подключения будет новый, то сразу после новой чистой установки KSC, я бы выполнил резервное копирование только сертификата Сервера администрирования (утилита в пуске). Затем импортировал резервную копию от старого Сервера администрирования, обязательно выждал чтоб БД инициализировалась, т.е. консоль должна начать работать. Следом импортировал сертификат Сервера администрирования, который только что экспортировал сразу после установки (т.к. при импорте он был заменен старым). Так у вас будет сертификат сразу с новым именем и на клиентах в папке %Programdata% будет можно легко отличить какой сертификат используется (имя новое).

Прошёлся бы по элементам интерфейса не которые обращают внимание в статье https://support.kaspersky.ru/16024 проверил, что указано новое имя (с учтём рекомендаций статьи где менять и нет!).

Инициировал переключение со старого Сервера администрирования по схеме из моего предыдущего сообщения.

[VeshUragan]

@Demiad, Огромное спасибо!