Устранение ошибок из-за некорректной настройки прав учетной записи при удаленной установке Агента администрирования Kaspersky Security Center
Показать приложения и версии, для которых применима статья
- Kaspersky Security Center 14.2 (версия 14.2.0.26967);
- Kaspersky Security Center 14 (версия 14.0.0.10902);
- Kaspersky Security Center 13.2 (версия 13.2.0.1511);
- Kaspersky Security Center 13.1 (версия 13.1.0.8324);
- Kaspersky Security Center 13 (версия 13.0.0.11247).
Проблема
При попытке выполнить задачу удаленной установки Агента администрирования или пользовательского пакета со сторонним ПО Средствами операционной системы с помощью Сервера администрирования или Средствами операционной системы с помощью точек распространения могут возникать ошибки.
Причина
Ошибка | Причина |
---|---|
«Общая папка "\\192.0.2.45\admin$" недоступна для следующих учетных записей: svc_kavadmin@example.com, EXAMPLE\svc_kavadmin, <Текущая учетная запись службы Сервера администрирования> (Отказано в доступе.)». | Неправильно настроены права учетной записи, под которой работает Сервер администрирования. |
«Точке распространения "<DP_name>" не удалось запустить удаленную установку. Загрузка инсталляционного пакета с Сервера администрирования в папку общего доступа на устройстве завершилась с ошибкой: <Учетная запись службы Агента администрирования Kaspersky Security Center 14.2> (Отказано в доступе.) Список точек распространения исчерпан». | |
«Общая папка "\\192.0.2.45\admin$" недоступна для следующих учетных записей: <Текущая учетная запись службы Сервера администрирования> (Сервер RPC недоступен.)». | Есть ограничения протокола NTLM или нарушены доверительные отношения между целевым устройством, точкой распространения или Сервером администрирования и доменом Active Directory. |
«Точке распространения "<DP_name>" не удалось запустить удаленную установку. Загрузка инсталляционного пакета с Сервера администрирования в папку общего доступа на устройстве завершилась с ошибкой: <Учетная запись службы Агента администрирования Kaspersky Security Center 14.2> (Сервер RPC недоступен.) Список точек распространения исчерпан». |
Решение
- Проверьте учетную запись, от которой работает служба Сервера администрирования, с помощью команды:
- Проанализируйте результат выполнения команды.
Если вместо имени домена компании вы увидите точку, значит служба работает от имени локального пользователя операционной системы (далее ОС) Сервера администрирования.
Если в параметры задачи установки была добавлена учетная запись, то подключение к целевому устройству будет выполняться под ней и учетной записью Сервера администрирования.
- Следуйте инструкциям ниже, чтобы устранить проблему, если:
- сохраняется ошибка «Отказано в доступе» при подключении под правильной учетной записью;
- возникает ошибка «Сервер RPC недоступен».
Решение проблем при отказе в доступе
Убедитесь, что:
- В задаче удаленной установки указан корректный пароль для учетной записи. Введите его еще раз.
- Учетная запись не заблокирована, не имеет истекший срок использования, не требуется сменить пароль.
- Учетная запись имеет права администратора в ОС целевого устройства.
- Для учетных записей установлен обычный метод проверки подлинности:
- Нажмите + R на клавиатуре.
- Введите secpol.msc и нажмите OK.
- Убедитесь, что в окне Локальная политика безопасности: Локальные политики\ Параметры безопасности\ Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей установлено значение Обычная – локальные пользователи удостоверяются как они сами. Подробнее на сайте Microsoft.
Решение проблем при недоступности сервера RPC
- Проверьте доверительные отношения доменного устройства, точки распространения или Сервера администрирования с доменом Active Directory.
Для этого запустите командную строку от имени администратора и выполните команду:
Если результат выполнения команды True, значит доверительные отношения присутствуют. Подробнее о команде смотрите на сайте Microsoft.
- Выполните установку с Kerberos (для точечной установки на небольшое количество устройств) или установку с NTLM, если доменная учетная запись для подключения к устройству не состоит в группе Active Directory Защищенные пользователи (то есть применение NTLM запрещено) и повсеместно используется Kerberos в домене.
Установка с Kerberos
- Пропишите Service Princical Name для каждого доменного целевого устройства:
- Запустите командную строку от имени пользователя с правами записи атрибутов Active Directory.
- Выполните команду для каждого устройства:
setspn -s cifs/<target_host_ip> <target_pc_hostname>Где <target_host_ip> — IP-адрес подключения к сети Сервера администрирования или точки распространения целевого устройства установки Агента администрирования; а <target_pc_hostname> — имя устройства.
Например:
setspn -s cifs/192.0.2.45 mytestpc - Задействуйте поддержку Kerberos через IP в ОС Сервера администрирования:
- Запустите командную строку от имени администратора.
- Выполните команду:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f - Выполните развертывание Агента администрирования на устройства.
- Удалите ранее созданные SPN-записи, если IP-адреса устройств являются временными. Подробнее на сайте Microsoft.
Установка с NTLM
- Измените параметры безопасности доменных политик Active Directory, чтобы обеспечить работу протокола NTLM на период развертывания Агента администрирования:
- Задайте на целевых доменных устройствах значение Разрешить все в политике Сетевая безопасность: ограничения NTLM: входящий трафик NTLM.
Допускается значение Запретить все в политике Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам. - Задайте на контроллерах домена значение Отключить в политике Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене.
- Задайте на Сервере администрирования значение Разрешить все в политике Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам.
- Выполните развертывание Агента администрирования на устройства.
- Верните параметры безопасности домена в исходный режим — только Kerberos.
- Задайте на целевых доменных устройствах значение Разрешить все в политике Сетевая безопасность: ограничения NTLM: входящий трафик NTLM.
- Если проблема сохраняется, изучите дополнительные диагностические данные на всех перечисленных устройствах в оснастке ОС Просмотр событий, раздел Журналы приложений и служб/Microsoft/Windows/NTLM и журнал Operational. Вы также можете использовать иные методы установки, которые указаны в четвертом пункте блока Что делать, если решение не помогло.
Что делать, если решение не помогло
- Воспользуйтесь дополнительными рекомендациями по диагностике сетевой доступности из статьи и по настройке конфигурации ОС из статьи.
- Если задача установки успешно завершилась и появилось сообщение «Удаленная установка на устройстве завершена успешно», но Агент администрирования не выходит на связь или на объекте устройства не появляется отметка о его наличии, смотрите рекомендации в статье.
- Попробуйте исключить проверку соединений между целевым устройством и Сервером администрирования, если в вашей инфраструктуре используется система DPI (Deep Packet Inspection) или технологии расшифровки и анализа трафика (применение SSL-инспекции) в составе сторонних решений безопасности.
- Используйте дополнительные централизованные средства развертывания Агента администрирования:
- с помощью групповых политик Active Directory;
- встраивание в эталонный установочный образ ОС;
- сторонние средства централизованного развертывания приложений.
Если проблема все равно актуальна, создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount. В запросе:
- Опишите проблему: приложите скриншоты с ошибкой установки, укажите какие шаги самодиагностики пробовали выполнить и приведите вывод диагностических команд из этой статьи.
- Соберите диагностическую информацию по инструкции и приложите к запросу созданные файлы.
Полезные ссылки:
Устранение ошибок из-за сетевых проблем при удаленной установке Агента администрирования Kaspersky Security Center
Настройка конфигурации операционной системы для устранения ошибок при удаленной установке Агента администрирования Kaspersky Security Center
Принудительное развертывание с помощью задачи удаленной установки приложений Kaspersky Security Center
Запуск автономных пакетов, сформированных Kaspersky Security Center