Probleme nach Update auf KSC 11 und KES 11.1

[Majo71]

Hallo, wir haben bei einem Teil unserer Kunden KSC 10 auf 11 inkl. Agent und Patch sowie KES 11 auf 11.1 aktualisiert. Bei allen diesen Kunden treten diverse Probleme auf. Die Rechner zeigen und alle an, dass die letzte Untersuchung auf Viren lange zurückliegt. Die Aufgabe für den Kurzscan läuft aber täglich mit denselben Einstellungen wie vorher, das haben wir kontrolliert. Folgende Bereiche werden dabei untersucht.

1. Kernal-Speicher
2. Aktive Prozesse und Autostart-Objekte
3. Laufwerksbootsektoren
4. %systemroot%\
5. %systemroot%\system\
6. %systemroot%\system32\
7. %systemroot%\system32\drivers\
8. %systemroot%\syswow64\
9. %systemroot%\syswow64\drivers\

Weiterhin ist das Ereignisprotokoll voll von diesen Meldungen, welche aus der Update-Aufgabe resultieren. Ereignistyp: Fehler bei der Überprüfung der Datenbanken und Programm-Module Ergebnis: Die Update-Dateien sind beschädigt. Objekt: updates/uds/unmod-uds-1313g.xml Ereignistyp: Nicht alle Komponenten wurden aktualisiert. Ereignistyp: Die Aufgabe ist fehlgeschlagen. Programm\Name: Kaspersky Endpoint Security für Windows Komponente: Adaptive Kontrolle von Anomalien Ergebnis\Beschreibung: Aufgabenstart fehlgeschlagen Objekt: Adaptive Kontrolle von Anomalien Grund: Die Lizenz unterstützt diese Komponente nicht Dann hatten wir noch das WSEE 10.1 mit eingebunden. Auf die Aufgaben und Richtlinien können wir gar nicht mehr zugreifen. Gibt es diesbezüglich Hinweise, wie diese Probleme behoben werden können? Grüße, Majo71

[alexcad]

Hallo Majo71, willkommen im neuen Forum. 1.) Schnelle Virensuche wird nicht mehr als vollständige Untersuchung gewertet: vielen Dank für den Hinweis, war mir noch nicht aufgefallen, kann ich aber so bestätigen. Nachdem ich dazu keine Infos gefunden habe - Ticket #INC000010316161 ist beim Support offen. 2.) Fehler Datenbankupdate: Bitte installiere mal Autopatch A für KSC11, siehe https://support.kaspersky.com/de/15022. 3.) Dieses Modul steht nur mit Advanced- und Total-Lizenzen zur Verfügung. Bei Select-Lizenzen einfach per Richtlinie deaktivieren. 4.) Im Zuge der Upgrade-Installation werden alle Plugins deinstalliert. Leider werden aber nur die Standard-Plugins wieder eingebunden. Einfach das Plugin für das Serverschutzprodukt nachinstallieren, dann sollten sich Aufgaben und Richtlinien wieder öffnen und bearbeiten lassen. Zudem würde cih ein Upgrade auf KS10.1.1 WS empfehlen. Grüße Alex

[Majo71]

Hallo Alex, danke für die schnelle Antwort. 2.) Das Autopatch A für KSC11 hatte ich bereits installiert. 3.) Das hatte ich übersehen. Ich habe fast nur Select-Lizenzen und habe das nun per Richtlinie deaktiviert. 4.) Das Plugin für KSWS hat sich wieder nachinstallieren lassen und funktionierte auch wieder. Ich habe auch noch vereinzelte alte KES-Versionen, die Plugins müssen ebenfalls wieder nachinstalliert werden. An das Upgrade auf KS10.1.1 WS mache ich mich dann in der nächsten Woche. Grüße und schönes Wochenende Mario

[alexcad]

Hallo Mario, 2.) dann solltest du dich an den Support wenden. Infos zum Ticket und Lösung gerne hier posten. Ich gebe dir Bescheid, wenn es bzgl. Ticket #INC000010316161 was Neues gibt. Auch dir ein schönes Wochenende Alex

[alexcad]

Gerade kam die Antwort zu #INC000010316161 vom Support: "In KES11.1 the folder „%systemroot%“, but with Subfolders included is needed to detect it as a FullScan So for KES11.1 • System Memory • Startup Objects • Disk boot sectors • %systemroot% include subfolders" Habe das bei mir erfolgreich getestet. Allerdings dauert der Scan mit diesen Einstellungen natürlich wesentlich länger. Testsystem vorher: ca. 4 Minuten Testsystem jetzt: ca. 7 Minuten Grüße Alex

[Majo71]

Hallo Alex, danke für die Info, ich werde das gleich umstellen. Das Upgrade auf KS10.1.1 WS habe ich heute auch gleich erledigt, lief relativ gut durch. Wegen den vielen Fehlern beim Update der Rechner hatte ich zuerst versucht, den Cache im KSC zu leeren. Das brachte keinen Erfolg. Ich habe nun ein Ticket geschrieben, es ist die #INC000010320926. Ich melde mich, wenn es eine Lösung gibt. Grüße, Mario

[AutoNix]

Hallo Majo71, gibt es bezüglich der Update-Fehler und deinem Ticket schon Neuigkeiten? Wir haben leider seit dem Update auf KSC11 und KES 11.1 genau die gleichen Fehler im Ereignisprotokoll...:rage: Danke für deine Rückmeldung. Grüße Sebastian

[Majo71]

Hallo Sebastian, der Support meinte, dass mehrere Anfragen zu dem Problem vorliegen und hat mich viel probieren lassen, alles leider ohne Erfolg. Nun sollte ich Traces erstellen, was ich auch getan habe, und warte auf ein Feedback. Wenn ich neue Informationen habe, schreibe ich das dann hier. Grüße, Mario

[alexcad]

... der Support meinte, dass mehrere Anfragen zu dem Problem vorliegen und hat mich viel probieren lassen, alles leider ohne Erfolg. Habt ihr die Update-Aufgabe für den Admin-Server im KSC schon neu angelegt? Das sollte eigentlich helfen. Hintergrund: "Für den KLShare - Ordner wurde ein neuer Pfad festgelegt: C:\ProgramData\KasperskyLab\adminkit\.working\share\ WICHTIG: Wenn Sie ein Upgrade durchführen, muss die Aufgabe des Administrationsservers: "Download von Updates in die Datenverwaltung" aufgrund der Pfadänderung neu erstellt werden. " Grüße Alex

[Majo71]

Hallo Alex, die Update-Aufgabe für den Admin-Server im KSC neu anlegen war das Erste, was ich machen sollte. Als wir dann weiter geschaut hatten, viel auf, dass beim KSC-Update der Pfad zum KLShare nicht geändert wurde. Ich sollte diesen auch nicht händisch ändern, wurde mir mitgeteilt. Grüße, Mario

[AutoNix]

Hallo alexcad, ich habe die Aufgabe "Download von Updates in die Datenverwaltung auf dem Administrationsserver" soeben neu erstellt. Nun habe ich alle Updates entfernt und neu herunterladen lassen. Der KES 11.1 Task "Updates installieren" wurde soeben gestartet und es erscheinen bereits die ersten neuen Fehler. Grüße Sebastian

[alexcad]

War das KSC-Update schon durch? Dauert bei Neubetankung relativ lang. U. U. müsstest du bei anhaltender Störung ebenfalls ein Ticket beim Support aufmachen https://companyaccount.kaspersky.com/account/login Bis zur Lösung sehe ich zwei mögliche Workarounds: 1.) Bei einer überschaubaren Anzahl von Clients und guter Internetleitung: Stelle in den Update-Aufgaben als Update-Quelle die Kaspersky-Lab-Update-Server ein (analog "mobiler Modus"). 2.) Lade die Updates mit dem "Kaspersky Update Utility" https://support.kaspersky.com/de/updater3 in einen neuen Share und verweise dann in den Update-Aufgaben auf diese Freigabe. Variante 2 solltest du erstmal mit ein/zwei Systemen testen, bevor du das produktiv nimmst. Grüße Alex

[Joel2015]

Das folgende Problem kann mit einem Patch behoben werden: pf7024 Problem bzw. Ereignis: Ereignistyp: Fehler bei der Überprüfung der Datenbanken und Programm-Module Ergebnis: Die Update-Dateien sind beschädigt. !!! Objekt: updates/uds/unmod-uds-1313g.xml !!! Ereignistyp: Nicht alle Komponenten wurden aktualisiert. Der Grund für das Event sind anscheinend vorhandene "UDS" Einträge in der Registry, die durch das Patch entfernt werden.

[Majo71]

Ich bin gerade zum Testen gekommen und kann auch bestätigen, dass das pf7024 das Problem löst. Der Fix entfernt u.a. UDS Einträge aus der Registry. Grüße, Mario

[Anguel]

"Für den KLShare - Ordner wurde ein neuer Pfad festgelegt: C:\ProgramData\KasperskyLab\adminkit\.working\share\

Sollte man dies aus irgendwelchen Gründen unbedingt ändern? Bei mir steht der Pfad momentan auf \\MEINSERVER\KLSHARE\Updates Grüße Anguel

[alexcad]

Sollte man dies aus irgendwelchen Gründen unbedingt ändern? Bei mir steht der Pfad momentan auf \\MEINSERVER\KLSHARE\Updates

Die Netzwerkfreigabe \\Server\KLSHARE\ ist immer gleich, egal wo der Ordner lokal auf dem Server liegt. Hier bitte UNC-Pfad und lokalen Ordnerpfad nicht verwechseln. Ich würde nichts am lokalen Pfad ändern, sofern alles störungsfrei läuft und du genügend Platz auf der Platte hast bzw. du dieser ggf. mehr Kapazität zuweisen kannst. Grüße Alex

[Anguel]

Ich bin gerade zum Testen gekommen und kann auch bestätigen, dass das pf7024 das Problem löst.

Danke Joel2015 und Majo71 ! Ich habe den pf7024 vom Support bekommen, aber der lässt sich nicht auf dem Admin-Server installieren: Das upzugradende Programm existiert nicht oder so ähnlich. Mache ich etwas falsch?

[Majo71]

Ich hatte ein Installationspaket im KSC erstellt und dieses dann verteilt. Hier die Anleitung dazu. https://support.kaspersky.com/de/14409 Grüße, Mario

[alexcad]

... aber der lässt sich nicht auf dem Admin-Server installieren: Das upzugradende Programm existiert nicht oder so ähnlich.

Ergänzend zu Marios Beitrag: der Patch PF7024 ist für die Anwendung KES11.1 und kann daher nur auf Systemen installiert werden, auf denen diese Anwendung vorhanden ist. Am besten machst du das über eine Installationsaufgabe im KSC. Vorher musst du natürlich aus dem Patch ein Installationspaket erstellen - vielen Dank an Mario für den Link zur Anleitung. Wichtige Info aus der Anleitung: beim Erstellen des Installationspaketes müssen unbedingt die Startparameter ... EULA=1 PRIVACYPOLICY=1 /qn ... mit gegeben werden. In großen Umgebungen arbeite ich hier auch gerne mit einer Geräteauswahl: Selektiere alle Systeme mit KES11.1 ohne PF7024 Grüße Alex

[Anguel]

Danke alexcad und Majo71 ! Hatte mir schon gedacht, dass der PF doch auf die Clients muss :nerd: Hab den jetzt über PDQ Deploy eingespielt und es hat funktioniert. Eigenartig, dass solche Probleme bei den Beta-Tests nicht auffallen. Spricht eigentlich etwas dagegen, bei KES 11.1 die differenziellen Update-Dateien zu aktivieren? Grüße Anguel

[alexcad]

Spricht eigentlich etwas dagegen, bei KES 11.1 die differenziellen Update-Dateien zu aktivieren?

In meinen Augen spricht nichts dagegen, Details findest du hier https://help.kaspersky.com/KSC/11/de-DE/175487.htm Allerdings funktioniert das nicht, wenn das "autonome Modell für den Download von Updates" aktiviert ist - damit ist das Kontrollkästchen "Updates und Antiviren-Datenbanken vom Administrationsserver vorab herunterladen" in der Agenten-Richtlinie in Verbindung mit dem Zeitplan "Nach dem Download von Updates in die Datenverwaltung" in der KES-Update-Aufgabe gemeint. Siehe dazu auch https://help.kaspersky.com/KSC/11/de-DE/101873.htm Von dieser Einstellung rate ich aber sowieso ab. Grüße Alex

[Anguel]

damit ist das Kontrollkästchen "Updates und Antiviren-Datenbanken vom Administrationsserver vorab herunterladen" in der Agenten-Richtlinie in Verbindung mit dem Zeitplan "Nach dem Download von Updates in die Datenverwaltung" in der KES-Update-Aufgabe gemeint. Siehe dazu auch https://help.kaspersky.com/KSC/11/de-DE/101873.htmVon dieser Einstellung rate ich aber sowieso ab.

Aha, diese Einstellung hatte ich natürlich eingeschaltet, da sie ja sogar als empfohlen angegeben ist :rolling_eyes: Wenn ich sie abschalte, hat das irgendwelche Auswirkungen auf Laptops die mal außerhalb des Firmennetzes sind, also Updates direkt von KLAB ziehen müssen? Den Hilfetext habe ich jetzt mehrmals auf Deutsch und Englisch gelesen und verstehe ihn immer noch nicht wirklich :triumph:

[alexcad]

Wenn ich sie abschalte, hat das irgendwelche Auswirkungen auf Laptops die mal außerhalb des Firmennetzes sind, also Updates direkt von KLAB ziehen müssen? Den Hilfetext habe ich jetzt mehrmals auf Deutsch und Englisch gelesen und verstehe ihn immer noch nicht wirklich :triumph:

Rechner außerhalb des Firmennetzes sind für mich das Hauptargument diese Einstellung nicht zu verwenden. Mit dem Zeitplan "Nach dem Download von Updates in die Datenverwaltung" in der KES-Update-Aufgabe passiert folgendes: Das KSC beendet seine Update-Aufgabe und sendet dann ein Trigger-Signal an die Clients (Port 15.000 UDP) damit diese wiederum ihre Update-Aufgabe starten. Bei Rechnern außerhalb das internen Netzes kommt dieses Signal natürlich nie an. Daher konfiguriere ich immer einen fixen Zeitplan, z. B. alle 2 Stunden. Ja, der Hilfetext ist etwas "schwergängig" - woran hakt es denn genau? Hast du noch Fragen zu den differenziellen Updates? Grüße Alex

[Anguel]

Bei Rechnern außerhalb das internen Netzes kommt dieses Signal natürlich nie an. Daher konfiguriere ich immer einen fixen Zeitplan, z. B. alle 2 Stunden.

Nun ich habe einige Laptops in einer separaten Gruppe und für die nutze ich eine zusätzliche Out-of-Office Richtlinie. Es ist nämlich so, dass diese Laptops mal in der Firma mal außerhalb sind. Wie kann ich da den Update-Task anpassen? Oder muss ich einen eigenen für die Laptops erstellen, der dann eben die Updates immer direkt von Kaspersky zieht?

[Anguel]

Habe jetzt gesehen, dass es in der Update-Aufgabe jeweils einen lokalen und einen mobilen Modus gibt - das scheint mein Problem mit den Laptops zu lösen. Gleichzeitig sehe ich aber hier im roten Kasten https://help.kaspersky.com/KSC/11/de-DE/102163.htm dass vom Abschalten des autonomen Modells explizit abgeraten wird.