Neues Serverzertifikat nach Serverumzug

[dirkstolle]

KSC: 11.0.0.1131

 

Hallo,

 

ich habe nach dem Umzug des KSC auf einen neuen Server (neuer FQDN und neu IP),

das Serverzertifikat neu ausstellen lassen.

Wo finde ich nun diese Zertifikatsdatei, damit ich sie beispielsweise in einer Aufgabe zum Serverwechsel mitgeben kann?

 

In dem Standardpfad C:\ProgramData\KasperskyLab\adminkit\1093\cert befindet sich weiterhin die alte Zertifikatsdatei. 

 

Wenn ich mir allerdings über Administrationsserver → Verbindungseinstellungen für Administrationsserver → Zertifikate das Zertifikat anzeigen lasse, sehe ich jedoch das neue Zertifikat.

 

VG

Dirk

 

[alexcad]

In dem Standardpfad C:\ProgramData\KasperskyLab\adminkit\1093\cert befindet sich weiterhin die alte Zertifikatsdatei. 

 

Hallo Dirk,

wie genau bist du vorgegangen? Kann es ein, dass du auf dem neuen Server ein Backup des alten KSC eingespielt hast? Das würde das falsche Zertifikat erklären.

Grüße
Alex
 

[dirkstolle]

Hallo Alex,

ja das habe ich (aus dem Backup wieder hergestellt).

Anschließend habe ich ein neues Zertifikat ausstellen lassen.
Ich war davon ausgegangen, dass damit das alte ersetzt wird.

[alexcad]

Anschließend habe ich ein neues Zertifikat ausstellen lassen.
Ich war davon ausgegangen, dass damit das alte ersetzt wird.

Du hast recht, sollte man denken. Da müsstest du mal beim Support anfragen.

Allerdings rate ich generell davon ab auf einem neuen Server mit einer neuen IP / einem neuen FQDN ein altes Backup einzuspielen.
Hier würde ich empfehlen: Neuen Server parallel hochziehen, Struktur neu anlegen, Konfig per Export/Import übertragen und dann die verwalteten Systeme per Aufgabe “Adminserver wechseln” umziehen.
 

Grüße
Alex
 

[dirkstolle]

Gut, ich eröffne dazu mal ein Ticket über unseren company account, mal schauen was raus kommt.

Danke für die Info und den Tipp.

[ewi]

hallo dirkstolle,

wurde dein Problem gelöst?

ich stehe gerade vor dem gleichen Problem...

[alexcad]

Hallo ewi,

willkommen im Forum.

In der Regel ist es nicht sinnvoll so alte Beiträge, die sich zumal auf veraltete Produktversionen beziehen wieder aufzuwärmen.
Falls du mal wieder so was hast würde ich dir empfehlen statt dessen lieber eine neue Frage zu posten und dich darin ggf. auf ältere Beiträge zu beziehen.

Kannst du bitte noch schreiben, was genau du gemacht hast und welche Produkte/Versionen dabei involviert sind/waren? 

Grüße
Alex

[ewi]

Hallo alexcad,

hätte ich auch nicht gemacht, wenn es nicht genau das gleiche Problem wie beschrieben betroffen hätte.

Ich habe die KSC-Übersiedelung auf einen neuen Server (neuer FQDN, neue IP) laut Anleitung durchgeführt, zuerst das KSC am alten Server auf die aktuelle Version (13.0.0.11247) aktualisiert.

Nach der Installation habe ich das Backup vom alten Server eingespielt und dann die Clients mit einer Aufgabe am Alten Server auf den neuen Server verschoben.

So weit so gut, bis hierhin hat alles geklappt.

Dann habe ich das KSC am alten Server deinstalliert.

Wenn ich jetzt am neuen Server eine Remote-Installation starte, wird nur der Administrationsagent installiert, bei 50% bleibt die Aufgabe einfach stehen (mehrere Tage gewartet).

Am betroffenen Client (komplett neu, frisches Win10) habe ich dann den Verbindungstest mit klnagchk.exe gemacht und siehe da: der Client will sich zum alten Server verbinden!

Dann habe ich mit klmover.exe die Verbindung zum neuen Server hergestellt: klappt wunderbar, Remoteinstallation funktioniert sofort problemlos.

Jetzt will ich noch erreichen, dass zukünftige Remoteinstallationen auch wieder funktionieren, ohne dass ich zuvor klmover.exe anwenden muss.

Scheinbar liegt das Problem am Zertifikat des Administrationsservers, welches immer noch die Daten und den FQDN des alten Servers aufweist.

[alexcad]

Vermutlich ist im Installationspaket des Netzwerkagenten auf dem neuen Server noch der alte Server eingetragen. Schau bitte mal hier:

 

Hast du auf dem neuen Server das Backup des alten Servers eingespielt?

Grüße
Alex​​​​​​​

[ewi]

danke, da war wirklich noch die alte IP hinterlegt.

Ja, ich habe das Backup vom alten Server eingespielt, daher wahrscheinlich das Zertifikat-Problem.

Kann man das Zertifikat nicht neu erstellen lassen am neuen Server?

Ich finde nur eine Anleitung zum Zertifikattausch mit dem Befehl klsetsrvcert.exe, da muss man aber selber ein Zertifikat generieren.

ich möchte ein Zertifikat verwenden, das der Administrationsserver erstellt.

[alexcad]

Wenn du ein Backup des neuen Servers vor dem Restore der alten Datenbank hast kannst du das korrekte Zertifikat wiederherstellen.
Bitte denke dann auch daran das korrekte Zertifikat ins Installationspaket des Netzwerkagenten einzuspielen.

Sonst müsstest du dich bitte an den Support wenden:
https://companyaccount.kaspersky.com/account/login

Grüße
Alex

[ewi]

ok, danke für die Unterstützung.

Backup vom neuen Server vor dem Restore habe ich leider keines.

Ich habe den Support kontaktiert.

[alexcad]

Wenn sich eine Lösung findet: Gerne hier posten, dann haben alle was davon.

Grüße
Alex