Kaspersky
Question

Загрузка обновлений в хранилище KSC

  • 29 September 2021
  • 9 replies
  • 139 views

  • Community Citizen
  • 13 replies

Хотим создать задачу для обновление Windows машин(11.6.0.394) и Linux (10.1.1.6421) через наш KSC сервер, а остальную часть таких же машин оставить обновлять напрямую через сервера KL.

Есть 2 задачи:

Загрузка обновлений в харанилище Сервера администрирования
Загрузка обновлений в хранилища точек распространения

В чем их принципиальная разница? Какую нам выбрать?

Запуск первой задачи у нас не удается(Время ожидания истекло). В параметрах указан источник “Серверы обновлений ЛК”

Во второй задаче после запуска ничего не происходит.

Версия KSC 11


This topic has been closed for comments

9 replies

Userlevel 3
Badge +2

Конкретно вам нужен “Загрузка обновлений в харанилище Сервера администрирования”. Точками распространения обычно выступают другие ПК подключенные к серверу администрирования.

Вам надо разобраться по какой причине не может загрузить обновления ваш KSC. Проблема обычно либо в недоступности серверов ЛК с сервера где стоит KSC, либо что-то вмешивается в трафик при загрузке обновлений и KSC их отбрасывает как поврежденные.

Настройка обновлений KES на АРМ настраивается через задачу “установка обновлений” для KES.

Возможные варианты:

  1. Создать дополнительные задачи “установка обновлений” для KES и привязать их к заданным группам (я такого не делал). Количество задач “обновление баз и модулей программы” получится равным количеству групп, которых будет минимум 2 - для внешних и локальных АРМ. При создании задачи убедитесь что создаете её именно для KES. Текущую задачу сделать неактивной или удалить целиком.
  2. В имеющейся задаче  “установка обновлений” для KES приоритетным выставить обновление с серверов ЛК, второй строчкой - с KSC. На локальных к KSC АРМ в политике KES “контроль безопасности - веб-контроль” добавить правило запрета доступа к серверам ЛК (это нужно чтобы они не обновлялись с внешних серверов). Разумеется для внешних и локальных АРМ нужно будет вести отдельные политики что требует разделения на отдельные группы.

Как нам можно убедиться в доступности серверов обновлений ЛК?

Вот какие стоят настройки в задаче.
 

 

Userlevel 3
Badge +2

https://support.kaspersky.ru/common/start/6105

Список всех серверов.

команда tracert для понимания доступности пути.

 

Однако проблема может быть в том, что установленный МЭ (межсетевой экран) не дает доступ KSC к интернету, поэтому можно для начала попробовать отключить его и вручную запустить прием обновлений. если обновления не принимаются, значит пока что проблема не в МЭ, если обновления начали качаться, значит надо настраивать МЭ чтобы он не мешал KSC.

С данной машины, где KSC сделал пинг всех адресов предоставленных выше(Результат на скриншоте) Трассировка одного из них делает 15 прыжков. Получается, адреса доступны.

 

Userlevel 3
Badge +2

МЭ пробовали отключать?

В логах поподробнее посмотрите что происходит у KSC и почему он не может скачать обновления.

Userlevel 3
Badge +2

Как я понял у Вас Windows Server 2016. У вас антивирус встроенный (Windows Defender) отключен/удален перед установкой KES/KSWS? В некоторых случаях при установке стороннего антивируса Windows Defender остается активным и также может мешать нормальной работе различного ПО, при этом ещё и замедляя работу сервера в целом из-за работы двух антивирусов. Проверьте чтобы он был отключен/удален.

Как я понял у Вас Windows Server 2016. У вас антивирус встроенный (Windows Defender) отключен/удален перед установкой KES/KSWS? В некоторых случаях при установке стороннего антивируса Windows Defender остается активным и также может мешать нормальной работе различного ПО, при этом ещё и замедляя работу сервера в целом из-за работы двух антивирусов. Проверьте чтобы он был отключен/удален.

Нет, стоит 2012 r2, в нем Defender отсутствует. На этой машине установлен Легкий агент 5.1

 

В каких логах смотреть? В результатах задачи просто время истекло.

Попробовал сделать очистку хранилища обновлений - не помогло. Папка updates на данный момент пуста

Userlevel 5
Badge +2

Ну, если адреса пингуются - это еще не показатель. Может быть, на пограничном межсетевом экране/роутере только пинги и разрешены. А для загрузки обновлений - нужен доступ по http/https. Посмотрите лог задачи обновления, если куда-то не может достучаться - то там отругается. Лог лежит в C:\ProgramData\KasperskyLab\adminkit\data\log\$klakupd.log

Ну, если адреса пингуются - это еще не показатель. Может быть, на пограничном межсетевом экране/роутере только пинги и разрешены. А для загрузки обновлений - нужен доступ по http/https. Посмотрите лог задачи обновления, если куда-то не может достучаться - то там отругается. Лог лежит в C:\ProgramData\KasperskyLab\adminkit\data\log\$klakupd.log


Пока данный вопрос откладываем. Переносим сервер на другую машину под управлением Win Serv 19. Если и там возникнут проблемы - будем дальше смотреть.