解决 Windows 网络代理和管理服务器之间的连接问题
为方便您阅读,本文已使用第三方提供的机器翻译软件进行翻译,并按“原样”发布。对于这些从英语翻译而来的内容的准确性、可靠性或完整性,我们不做任何明示或暗示的保证。由于翻译软件的限制,某些内容的翻译可能不准确。如需查看英语版本,请点击此处。
显示本文涉及的应用程序和版本
- Kaspersky Security Center14.2(版本 14.2.0.26967)
- Kaspersky Security Center14(版本 14.0.0.10902)
问题
- 网络代理已成功远程安装,但目标受管设备对象未出现在管理服务器上。或者出现了该物体,但是没有任何标记表明其上安装了网络代理。
- 网络代理与应用程序包的同时远程安装以 50% 的速度运行,并在代理已成功安装的消息出现后停止。控制台界面的事件日志显示该应用程序尚未安装。
- 在旧版本上安装新版本的网络代理后,与受管设备的连接将丢失。任务会显示一条消息,提示您重新启动受管设备。
- 使用klnagchk.exe实用程序检查网络代理与管理服务器的连接最终出现错误。
- 网络代理的远程安装在出现事件“正在运行(32%)(设备无法访问)”或“安装服务正在此设备上运行”时停止。请稍等...”。
目标设备上的网络代理服务未运行,当您尝试启动任何组件时:- Windows 应用程序日志中出现有关emcat.dl和em.dll文件的事件:“信息 1603。文件 C:\Program Files (x86)\ 卡巴斯基 Lab\NetworkAgent\em.dll 正在使用中。关闭该应用程序并重试。”
- 网络代理崩溃,出现错误“错误应用程序名称:klnagent.exe,版本:14.2.0.26967,时间戳:0xa0f42d48 错误模块名称:KERNELBASE.dll,版本:6.1.7601.17514,时间戳:0x4ce7bafa <...>”。
原因
- 网络代理包或策略设置不正确。
- 网络代理服务(klnagent)失败。
- 第三方软件阻止网络代理文件。
- 网络代理和管理服务器之间没有连接。
解决办法
重新启动目标设备的操作系统并确保光盘上有足够的空间。如果问题仍然存在,还有几种解决方案。
解决方案 1。搜索未分配的设备
如果网络代理成功安装后,设备没有出现在托管设备列表中,则它可能已正确连接,但不会自动移动到托管设备组。在这种情况下:
- 右键单击管理服务器并选择“搜索” 。
- 输入屏蔽设备名称的首字母(例如comp* )或其 IP 地址,然后单击立即查找。
如果找到该设备,请手动将其添加到托管设备组。
如果您找不到该设备,或者找到的设备的“上次连接到的管理服务器”值已过期,请使用klnagchk.exe实用程序检查目标设备上的网络代理的状态和连接设置,然后尝试本文中的其他解决方案。
解决方案 2。检查任务分发的网络代理包中的连接设置
- 找出您正在使用的网络代理包的名称:
- 转到“任务”并选择“远程安装应用程序” 。
- 点击“设置” 在左侧菜单中。
您将在安装包部分找到该包的名称。
- 关闭任务,打开管理服务器的属性,选择常规并单击查看管理服务器证书。
- 关闭管理服务器的属性。在管理控制台中,转到高级→远程安装→安装包。
- 右键单击所需的包并打开其属性。
- 转至连接并执行以下操作:
- 检查使用服务器证书字段中的网络代理证书指纹是否与步骤 2 中的管理服务器证书指纹匹配。
如果证书不匹配,请从服务器上的 %ProgramData%\KasperskyLab\adminkit\1093\cert\klserver.cer 文件夹中为网络代理选择与管理服务器相同的证书。有关详情,请参见此文章。 -
- 检查在管理服务器字段中指定了正确的管理服务器名称以及设置了正确的端口。
如果选中了使用 SSL复选框并指定了正确的证书,则仅检查 SSL 端口。 - 如果您的基础架构不使用集中式 Windows 防火墙配置,并且此包用作独立安装包,请确保选中“在 Microsoft Windows 防火墙中打开网络代理端口”复选框。
- 如果您使用代理服务器连接,请确保在通过代理服务器配置连接部分中设置了正确的设置。
- 检查使用服务器证书字段中的网络代理证书指纹是否与步骤 2 中的管理服务器证书指纹匹配。
- 如果选中了使用连接网关连接到管理服务器复选框,请转至高级并验证是否指定了正确的网关地址。
解决方案 3。在操作系统过时的设备上检查 KB3063858 更新
必须在网络代理版本 14.2 或更高版本的设备的操作系统上安装 KB3063858 安全更新。它减轻了与网络代理和管理服务器之间的交互相关的安全风险。
如果您的操作系统未安装更新,网络代理服务将处于停止状态。如果您尝试运行网络代理组件,它们将会崩溃。
要解决此问题,请安装操作系统的安全更新并重新启动设备。网络代理将恢复,无需采取进一步行动。
解决方案 4。检查网络代理服务是否启动以及其文件是否被阻止
如果设备对象标记为需要重新启动并且网络代理更新任务已在 32% 处停止,则此解决方案适用。
如果在网络代理安装期间其 DLL 文件(通常是emcat.dll和em.dll )被阻止且无法覆盖它们,则可能会出现这种情况,原因如下:
- 安装期间,目标设备上打开了事件查看器MMC 管理单元。
- 基础设施使用DLP(数据丢失预防)系统或日志收集和分析系统代理(SIEM,日志收集器)。
阻止这些文件会阻止您将网络代理升级到新版本。系统将提示您重新启动操作系统,但不启动网络代理服务。仅当与设备的通信恢复后,更新任务才会继续。
要解决此问题,请找出阻止 DLL 文件的第三方软件。为此,请使用以下工具:
- Windows 资源监视器
- 微软进程资源管理器
在搜索字段中,指定网络代理的被阻止的 DLL 文件的名称。
如果您识别了该软件,请将网络代理文件添加到该软件的排除项中,或者在更新代理时暂停该软件。
如果您没有识别该软件或者此选项不适合您,则提示用户在安装网络代理时重新启动操作系统。为此,请转到任务。选择远程安装应用程序并找到安装Kaspersky Security Center管理代理任务。转到操作系统重启并选择提示用户操作单选按钮。
解决方案 5。检查网络代理是否已安装
网络代理可能已安装在目标设备上,但它被配置为与其他服务器一起工作或与管理服务器失去通信。如果设备长时间未与服务器同步,并且在主证书更新期间未能获得储备证书,则可能会发生这种情况。
要解决此问题,请删除以前安装的网络代理,然后安装相同版本或新版本。
如果目标设备没有使用连接网关或代理服务器连接到管理服务器,您可以使用klmover 实用程序配置代理与当前服务器通信,而无需重新安装代理,然后将网络代理升级到新版本。
解决方案 6。检查目标设备是否可以访问管理服务器
- 请执行下列操作:
- 使用解决方案 2中的安装程序包设置在目标设备上运行命令:
其中ksc.example.com是Kaspersky Security Center管理服务器的完全限定域名 (FQDN) 或 IP 地址(如果它对目标设备可见);13000 是网络代理的连接端口。如果在包中指定并使用了连接证书,则这是 SSL 端口;如果没有使用证书,则这是普通端口。
- 分析命令结果并按照表格解决方案列中的说明进行操作。
如果问题仍然存在该怎么办
- 确保您的设备正常工作,并且硬件没有其他问题,包括其配置、硬盘或 RAM 单元的完整性。
- 检查设备上的日期和时间。
- 如果深度数据包检测 (DPI) 或解密技术和流量分析技术 (SSL 检查) 被用作第三方保护软件的一部分,则排除检查目标设备与管理服务器和网络代理的连接。
- 使用klnagchk 实用程序执行高级诊断。
- 如果问题仍然存在,请通过卡巴斯基公司账户向卡巴斯基技术支持提交请求。
描述问题:指定您已执行的说明中的哪些步骤,并添加来自本文的诊断命令的控制台输出。附:- 问题的屏幕截图和发生的错误的文本。
- GetSystemInfo 报告来自未连接到网络代理的目标设备以及您尝试连接的管理服务器的操作系统事件。
- klnagchk 实用程序的日志文件
要获取它,请从网络代理的工作目录以管理员身份运行命令:
.\klnagchk.exe -日志文件 c:\klnagchk.log- 网络代理的安装日志。
- %ProgramFiles(x86)%\ 卡巴斯基 Lab\NetworkAgent\~dumps 的内容(如果包含文件)。