Beheben von Fehlern wegen inkorrekter Konfiguration der Kontoberechtigungen bei einer Remote-Installation des Kaspersky Security Center Administrationsagenten
Der Artikel bezieht sich auf folgende Anwendungsversionen:
- Kaspersky Security Center 14.2 (Version 14.2.0.26967)
- Kaspersky Security Center 14 (Version 14.0.0.10902)
- Kaspersky Security Center 13.2 (Version 13.2.0.1511)
- Kaspersky Security Center 13.1 (Version 13.1.0.8324)
- Kaspersky Security Center 13 (Version 13.0.0.11247)
Problem
Wenn Sie versuchen, die Aufgabe zur Remote-Installation des Administrationsagenten oder eines benutzerdefinierten Installationspakets mit dritter Software Unter Nutzung von Betriebssystemressourcen durch den Administrationsserver oder Unter Nutzung von Betriebssystemressourcen durch Verteilungspunkte auszuführen, können Fehler auftreten.
Ursache
Fehler | Ursache |
---|---|
„Der freigegebene Ordner "\\192.0.2.45\admin$" steht für folgende Benutzerkonten nicht zur Verfügung: svc_kavadmin@example.com, EXAMPLE\svc_kavadmin, ˂Aktuelles Benutzerkonto für Dienst des Administrationsservers˃ (Zugriff verweigert)“. | Die Berechtigungen des Kontos, unter dem der Administrationsserver ausgeführt wird, sind nicht korrekt konfiguriert. |
„Der Verteilungspunkt "<DP_name>“ konnte die Remote-Installation nicht starten. Das Download des Installationspakets vom Administrationsserver in den freigegebenen Ordner auf dem Gerät wurde mit Fehler abgeschlossen: ˂Benutzerkonto des Dienstes des Kaspersky Security Center 14.2 Administrationsagenten> (Zugriff verweigert.) Die Liste der Verteilungspunkte ist erschöpft.“ | |
„Der freigegebene Ordner "\\192.0.2.45\admin$" steht für folgende Benutzerkonten nicht zur Verfügung: ˂Aktuelles Benutzerkonto für Dienst des Administrationsservers˃ (RPC-Server nicht verfügbar)“. | Es bestehen Einschränkungen des NTLM-Protokolls, oder die Vertrauensstellungen zwischen dem Zielgerät, einem Verteilungspunkt bzw. dem Administrationsserver und der Active Directory-Domäne sind gestört. |
„Der Verteilungspunkt "<DP_name>“ konnte die Remote-Installation nicht starten. Das Download des Installationspakets vom Administrationsserver in den freigegebenen Ordner auf dem Gerät wurde mit Fehler abgeschlossen: ˂Benutzerkonto des Dienstes des Kaspersky Security Center 14.2 Administrationsagenten> (RPC-Server nicht verfügbar.) Die Liste der Verteilungspunkte ist erschöpft.“ |
Lösung
- Prüfen Sie, unter welchem Konto der Dienst Administrationsserver ausgeführt wird, mithilfe des folgenden Befehls:
- Analysieren Sie das Ergebnis der Ausführung des Befehls.
Wenn ein Punkt anstelle des Domänennamens des Unternehmens steht, bedeutet dies, dass der Dienst unter einem lokalen Benutzerkonto des Betriebssystems des Administrationsservers läuft.
Wenn in den Einstellungen der Installationsaufgabe ein Konto hinzugefügt wurde, wird die Verbindung zum Zielgerät unter diesem Konto und dem Konto des Administrationsservers hergestellt.
- Folgen Sie den Anweisungen unten, um das Problem in folgenden Situationen zu lösen:
Behebung des Fehlers „Zugriff verweigert“
Stellen Sie folgendes sicher:
- Das in der Aufgabe zur Remote-Installation angegebene Kennwort für das Benutzerkonto ist korrekt. Geben Sie dieses Kennwort erneut ein.
- Das Konto ist weder gesperrt noch abgelaufen. Stellen Sie sicher, dass keine Kennwortänderung erforderlich ist.
- Das Konto verfügt über Administratorrechte auf dem Zielgerät.
- Ob die grundlegende Authentifizierungsmethode für die Benutzerkonten festgelegt ist:
- Drücken Sie die Tasten + R.
- Tippen Sie „secpol.msc“ ein und klicken Sie auf OK.
- Im Fenster Lokale Sicherheitsrichtlinie, gehen Sie zu Lokale Richtlinien → Sicherheitsoptionen und stellen Sie sicher, dass der Wert Klassisch – lokale Benutzer authentifizieren sich als sie selbst für die Richtlinie Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten festgelegt ist. Genauere Informationen finden Sie auf der Website von Microsoft.
Behebung des Fehlers „RPC-Server ist nicht verfügbar“
- Überprüfen Sie die Vertrauensstellungen zwischen dem Domänengerät, einem Verteilungspunkt bzw. dem Administrationsserver und der Active Directory-Domäne.
Öffnen Sie dazu die Eingabeaufforderung als Administrator und geben Sie folgende Befehle ein:
Wenn das Ergebnis des Befehls „True“ ist, bedeutet dies, dass die Vertrauensstellungen bestehen. Genauere Informationen zu diesem Befehl finden Sie auf der Website von Microsoft.
- Installieren Sie den Administrationsagenten unter Verwendung von Kerberos (für die benutzerdefinierte Installation auf einer geringen Anzahl von Geräten) oder unter Verwendung von NTLM, wenn das Domänenkonto für die Geräteverbindung nicht in der Gruppe Geschützte Benutzer im Active Directory enthalten ist (d. h. die Verwendung von NTML ist verboten) und Kerberos in der gesamten Domäne verwendet wird.
Installation unter Verwendung von Kerberos
- Geben Sie den Service Principal Name für jedes Zielgerät in der Domäne ein:
- Öffnen Sie die Eingabeaufforderung als Benutzer mit Schreibrechten für Active Directory-Attribute.
- Führen Sie den folgenden Befehl für jedes Gerät aus:
<target_host_ip> steht für die IP-Adresse der Verbindung zum Netzwerk des Administrationsservers oder zum Verteilungspunkt des Zielgeräts für die Installation des Administrationsagenten. <Zielcomputer_Hostname> steht für einen Gerätenamen.
z. B.:
setspn -s cifs/192.0.2.45 mytestpc - Aktivieren Sie die Unterstützung von Kerberos über IP im Betriebssystem des Administrationsservers:
- Öffnen Sie die Eingabeaufforderung als Administrator.
- Geben Sie den folgenden Befehl ein:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f - Verteilen Sie den Administrationsagenten auf den Geräten.
- Löschen Sie zuvor erstellte SPN-Einträge, wenn die IP-Adressen der Geräte temporär sind. Genauere Informationen finden Sie auf der Website von Microsoft.
Installation unter Verwendung von NTLM
- Ändern Sie die Sicherheitseinstellungen der Active Directory-Domänenrichtlinien, um den Betrieb des NTLM-Protokolls während der Verteilung des Administrationsagenten zu ermöglichen.
- Wählen Sie die Option Alle zulassen in der Richtlinie Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr aus.
In der Richtlinie Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern ist die Option Alle verweigern zugelassen. - Auf den Domänencontrollern wählen Sie die Option Deaktivieren in der Richtlinie Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen aus.
- Auf dem Administrationsserver wählen Sie die Option Alle zulassen in der Richtlinie Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern aus.
- Verteilen Sie den Administrationsagenten auf den Geräten.
- Nur für Kerberos: Stellen Sie die ursprünglichen Sicherheitseinstellungen der Domäne wieder her.
- Wählen Sie die Option Alle zulassen in der Richtlinie Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr aus.
- Wenn das Problem weiterhin besteht, überprüfen Sie erweiterte Diagnosedaten aller aufgelisteten Geräte über das Betriebssystem-Snap-In: Öffnen Sie die Ereignisanzeige und gehen Sie auf Anwendungs- und Dienstprotokolle → Microsoft → Windows → NTLM → Operational. Sie können auch die Installationsmethoden verwenden, die im vierten Punkt des Blocks „Was tun, wenn das Problem weiterhin besteht“ angegeben sind.
Vorgehensweise, wenn das Problem weiterhin besteht
- Nutzen Sie weitere Empfehlungen zur Netzwerkdiagnose aus diesem Artikel und zur Konfiguration des Betriebssystems aus diesem Artikel.
- Wenn die Installation erfolgreich abgeschlossen wurde und die Meldung „Die Remote-Installation wurde auf dem Gerät erfolgreich abgeschlossen“ angezeigt wird, der Administrationsagent jedoch nicht verfügbar ist oder auf dem Geräteobjekt nicht angezeigt wird, lesen Sie die Empfehlungen in diesem Artikel.
- Wenn ein DPI-System (Deep Packet Inspection) oder Technologien zur Entschlüsselung und Analyse des Datenverkehrs (Verwendung der SSL-Untersuchung) als Teil von dritten Sicherheitslösungen in Ihrer Infrastruktur verwendet werden, versuchen Sie, eine Ausnahme für die Untersuchung der Verbindung zwischen dem Administrationsagenten auf dem verwalteten Zielgerät und dem Administrationsserver hinzuzufügen.
- Verwenden Sie zusätzliche zentralisierte Mittel zur Verteilung des Administrationsagenten:
- mithilfe der Gruppenrichtlinien von Active Directory
- über die Integration in ein Referenz-Betriebssystemabbild
- mithilfe von Dritthersteller-Tools zur zentralisierten Verteilung von Anwendungen
Wenn das Problem weiterhin besteht, senden Sie eine Anfrage an den technischen Support via Kaspersky CompanyAccount. In Ihrer Anfrage:
- Beschreiben Sie das Problem, hängen Sie Screenshots des Installationsfehlers an, geben Sie an, welche Schritte der Anleitung Sie durchgeführt haben, und stellen Sie die Ausgabe der Diagnosebefehle aus diesem Artikel bereit.
- Erfassen Sie Diagnoseinformationen anhand dieser Anleitung und hängen Sie erstellte Dateien an Ihre Anfrage an.
Nützliche Hinweise
Beheben von Netzwerkfehlern bei einer Remote-Installation des Kaspersky Security Center Administrationsagenten
Konfigurieren des Betriebssystems zur Behebung von Fehlern bei einer Remote-Installation des Kaspersky Security Center Administrationsagenten
Erzwungene Bereitstellung mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center
Start der von Kaspersky Security Center gebildeten autonomen Pakete