解决远程安装Kaspersky Security Center网络代理时因账户权限配置不正确而导致的错误
上次更新时间: 2024年8月7日
ID: 16028
为方便您阅读,本文已使用第三方提供的机器翻译软件进行翻译,并按“原样”发布。对于这些从英语翻译而来的内容的准确性、可靠性或完整性,我们不做任何明示或暗示的保证。由于翻译软件的限制,某些内容的翻译可能不准确。如需查看英语版本,请点击此处。
显示本文涉及的应用程序和版本
- Kaspersky Security Center14.2(版本 14.2.0.26967)
- Kaspersky Security Center14(版本 14.0.0.10902)
- Kaspersky Security Center 13.2 (版本 13.2.0.1511)
- Kaspersky Security Center 13.1 (版本 13.1.0.8324)
- Kaspersky Security Center 13 (版本 13.0.0.11247)
问题
尝试通过管理服务器使用操作系统资源或通过分发点使用操作系统资源运行网络代理或第三方软件的远程安装任务时可能会遇到错误。
原因
错误 | 原因 |
---|---|
“共享文件夹“\\192.0.2.45\admin$”不适用于以下帐户:svc_kavadmin@example.com、EXAMPLE\svc_kavadmin、<Current Administration Server service account> (拒绝访问。)” | 管理服务器运行时的帐户权限配置不正确。 |
“分发点“˂DP_name˃”无法启动远程安装。从管理服务器下载安装包到设备上的共享文件夹时返回错误:“Kaspersky Security Center14.2 网络代理服务帐户”(拒绝访问。)未找到更多分发点。” | |
以下帐户无法使用共享文件夹“\\192.0.2.45\admin$”:<Current Administration Server service account> (RPC服务器不可用)”。 | 存在 NTLM 协议限制,或者目标设备、分发点或管理服务器与 Active Directory 域之间的信任关系中断。 |
“分发点“˂DP_name˃”无法启动远程安装。从管理服务器下载安装包到设备上的共享文件夹时返回错误:“Kaspersky Security Center14.2 网络代理服务帐户”(RPC 服务器不可用。)未找到更多分发点。” |
解决办法
- 使用以下命令检查管理服务器服务正在运行的帐户:
wmic 服务,其中'name =“kladminserver”'获取启动名称
默认情况下,远程安装任务在具有运行管理服务器的帐户权限的设备上启动。
- 检查命令执行结果。
如果有句点而不是公司域名,则表示该服务在安装管理服务器的操作系统 (OS) 的本地用户下运行。
如果在安装任务设置中添加了账户,则将在该账户和管理服务器账户下进行与目标设备的连接。
- 请按照以下指南解决以下情况下的问题:
排除错误:访问被拒绝
验证以下内容:
- 远程安装任务中指定的账号密码是否正确。重新输入此密码。
- 账户是否未被锁定或过期。确保不需要更改密码。
- 该帐户是否具有目标设备的管理员权限。
- 是否为账户设置了基本认证方式:
- 按 + 键盘上的 R。
- 输入secpol.msc并单击确定。
- 在打开的本地安全策略窗口中,转到本地策略→安全选项,并确保网络访问:本地帐户的共享和安全模型设置为经典 - 本地用户以自己身份进行身份验证。有关详细信息,请参阅Microsoft 网站。
解决错误:RPC 服务器不可用
- 检查域设备、分发点或管理服务器与 Active Directory 域之间的信任关系。
为此,以管理员身份打开命令提示符并运行以下命令:
powershell 测试计算机安全通道
如果命令结果为 True,则该设备受到域信任。有关该命令的更多详细信息,请参阅Microsoft 网站。
使用 Kerberos 安装
- 为每个域目标设备输入服务主体名称:
- 以具有写入 Active Directory 属性权限的管理员身份打开命令提示符。
- 对每个设备运行命令:
setspn-s cifs/<target_host_ip><target_pc_hostname>在哪里<target_host_ip>是连接到管理服务器网络或网络代理安装目标设备的分发点的 IP 地址。<target_pc_hostname>是设备名称。
例如:
setspn -s cifs/192.0.2.45 mytestpc - 在管理服务器的操作系统中通过 IP 支持 Kerberos 。
- 以管理员身份打开命令提示符。
- 运行以下命令:
reg 添加“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters”/v TryIPSPN /t REG_DWORD /d 1 /f - 在设备上部署网络代理。
- 如果设备的 IP 地址是临时的,请删除以前创建的 SPN 记录。有关详细信息,请参阅Microsoft 网站。
使用 NTLM 安装
- 更改 Active Directory 域策略安全设置,以在部署网络代理期间提供 NTLM 协议的操作。
- 在目标域设备上,设置网络安全:限制 NTLM:传入 NTLM 流量为允许所有。
网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量策略设置可以设置为全部拒绝。 - 设置网络安全:限制 NTLM:此域中的 NTLM 身份验证设置,在域控制器上禁用。
- 在管理服务器上,将网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量策略设置设置为允许所有。
- 在设备上部署网络代理。
- 仅适用于 Kerberos:将域安全设置重置为初始模式。
- 在目标域设备上,设置网络安全:限制 NTLM:传入 NTLM 流量为允许所有。
- 如果问题仍然存在,请通过操作系统管理单元查看所有列出的设备的其他诊断数据:打开事件查看器→应用程序和服务日志→ Microsoft → Windows → NTLM →操作日志。您还可以使用“如果问题仍然存在该怎么办”块中第四项中指定的安装方法。
如果问题仍然存在该怎么办
- 使用有关解决网络访问问题和配置操作系统的其他建议。
- 如果安装任务成功完成并出现消息“远程安装已在此设备上成功完成。”,但网络代理不可用或未出现在设备对象上,请参阅文章中的建议。
- 如果深度数据包检测 (DPI) 或解密和流量分析技术 (SSL 检查) 被用作第三方保护软件的一部分,则尝试排除检查目标设备与管理服务器的连接。
- 使用额外的集中工具部署网络代理:
- 使用Active Directory 组策略
- 集成到参考操作系统安装映像中
- 用于集中应用程序部署的第三方工具
如果问题仍然存在,请通过卡巴斯基公司账户向卡巴斯基技术支持提交请求。在您的请求中:
- 描述问题:附上安装错误的屏幕截图,指定您执行了说明中的哪些步骤,并提供本文中诊断命令的输出。
- 收集诊断信息并将创建的文件附加到您的请求。