Проблема:
Консоль администрирования Kaspersky Security Center неожиданно затребовала принятия сертификата при попытке подключения к серверу KES. Выбрал предложенный сертификат, подключился (правда, не с первого раза) и увидел, что большая часть клиентских компьютеров находится в статусе «отключенные» («неуправляемые»).
При проверке пульса c сервером KES с таких компьютеров утилитой klcsngtgui.exe из комплекта поставки Kaspersky Network Agent получаем ошибку:
1259 произошла ошибка транспортного уровня
При попытке проверить связь утилитой klnagchk.exe ошибка:
Попытка соединения с Сервером администрирования...Произошла ошибка транспортного уровня при соединении с http://ксц.домен.локал:13000: не прошла аутентификация SSL, неверный или просроченный сертификат.
Очевидно, что на сертификат, сохраненный на клиенте не совпадает с текущим сертификатом сервера.
Для справки:
Согласно официальной информации Kaspersky:
Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.
Сертификат Сервера администрирования действителен пять лет. Новый сертификат доставляется на Сервер администрирования за 90 дней до срока окончания действия текущего сертификата. Затем новый сертификат автоматически замещает текущий сертификат за один день до окончания его срока действия. Все Агенты администрирования на клиентских устройствах автоматически настраиваются на аутентификацию с Сервером администрирования с использованием нового сертификата.
Для чего нужен Сертификат Сервера администрирования:
Две операции, аутентификация Сервера администрирования при подключении к нему Консоли администрирования и обмен информацией с устройствами, осуществляются на основании сертификата Сервера администрирования. Сертификат используется также для аутентификации, когда главные Серверы администрирования подключены к подчиненным Серверам администрирования.
Задание сертификата Сервера администрирования
При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, вы можете использовать утилиту klmover.
Решение:
Почему не отработал механизм автоматической замены сертификатов в моем случае - непонятно.
Сертификат Сервера Администрирования удалось восстановить путем отката Сервера Администрирования к резервной копии (восстановление сервера администрирования утилитой klbackup, расположенной в папке установки Kaspersky Security Center)
Далее, согласно официальной документации остается только запустить на клиентских компьютерах утилиту klmover.
-
Для 64-х разрядных версий Windows:
Код: Выделить всё
"c:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address srv_kasper.domain.local
Или при запуске с удаленного компьютера:
Код: Выделить всё
wmic /node:"Remote_Comp" process call create "cmd /c ""c:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe"" -address srv_kasper.domain.local"
-
Для 32-х разрядных версий Windows:
Код: Выделить всё
"c:\Program Files\Kaspersky Lab\NetworkAgent\klmover.exe" -address srv_kasper.domain.local
Или при запуске с удаленного компьютера:
Код: Выделить всё
wmic /node:"Remote_Comp" process call create "cmd /c ""c:\Program Files\Kaspersky Lab\NetworkAgent\klmover.exe"" -address srv_kasper.domain.local"
-
Для AstraLinux (Orel):
Код: Выделить всё
sudo /opt/kaspersky/klnagent64/bin/klmover -address srv_kasper.domain.local