Probleme mit der Verbindung zwischen dem Administrationsagenten für Windows und dem Administrationsserver
Der Artikel bezieht sich auf folgende Anwendungsversionen:
- Kaspersky Security Center 14.2 (Version 14.2.0.26967)
- Kaspersky Security Center 14 (Version 14.0.0.10902)
- Kaspersky Security Center 13.2 (Version 13.2.0.1511)
- Kaspersky Security Center 13.1 (Version 13.1.0.8324)
- Kaspersky Security Center 13 (Version 13.0.0.11247)
Problem
- Die Remote-Installation des Administrationsagenten wurde erfolgreich abgeschlossen, aber das verwaltete Remote-Gerät wird auf dem Administrationsserver jedoch nicht angezeigt. Oder das Objekt ist zwar vorhanden, aber es fehlt die Markierung, dass der Administrationsagent darauf installiert ist.
- Gleichzeitige Remote-Installation des Administrationsagenten und des Antivirenprogramms wird bis zu 50 Prozent ausgeführt und dann gestoppt, wobei die Meldung angezeigt wird, dass der Administrationsagent erfolgreich installiert wurde. Das Ereignisprotokoll in der Verwaltungskonsole ergibt, dass das Antivirenprogramm nicht installiert wird.
- Die Verbindung zum verwalteten Gerät wurde nach der Installation der neuesten Version des Administrationsagenten über die vorherige Version abgebrochen. In der Aufgabe wird die Meldung angezeigt, dass das verwaltete Gerät neu gestartet werden muss.
- Die Prüfung der Verbindung des Administrationsagenten zum Administrationsserver mithilfe des Tools klnagchk.exe wird mit einem Fehler abgeschlossen.
- Die Remote-Installation des Administrationsagenten hängt mit dem Status „Wird ausgeführt (32%) (Gerät nicht verfügbar)“ oder „Auf dem gerät wurde der Installationsdienst gestartet. Bitte, warten Sie...“.
Dabei wird der Dienst des Administrationsservers auf dem Zielgerät nicht ausgeführt und der Start einer beliebigen Komponente verursacht folgendes:- Im Anwendungsverlauf von Windows wird ein Eintrag über die Dateien emcat.dl und em.dll angezeigt: „Information 1603. Die Datei C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\em.dll wird verwendet. Schließen Sie das Programm und versuchen Sie es erneut“.
- Der Administrationsagent wird unerwartet mit dem folgenden Fehler beendet: „Name der fehlerhaften Anwendung: klnagent.exe, Version: 14.2.0.26967, Zeitstempel: 0xa0f42d48 Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel 0x4ce7bafa <...>“.
Ursache
- In den Eigenschaften des Installationspakets oder der Richtlinie für den Administrationsagenten werden inkorrekte Einstellungen verwendet.
- Es ist ein Fehler des Dienstes des Administrationsagenten (klnagent) aufgetreten.
- Die Dateien des Administrationsagent sind durch dritte Software blockiert.
- Es kann keine Verbindung zwischen dem Administrationsagenten und dem Administrationsserver aufgebaut werden.
Lösung
Die oben aufgeführten Probleme können anhand mehrerer Methoden behoben werden. Die ersten zwei Methoden zur Problembehandlung werden auf dem Administrationsserver verwendet, weitere Methoden werden auf den verwalteten Geräten verwendet.
Lösung 1. Führen Sie eine Suche in nicht zugeordneten Geräten aus
Wenn der Administrationsagent auf einem Gerät erfolgreich installiert wurde, aber das Gerät in der Liste verwalteter Geräte nicht angezeigt wird, ist es möglicherweise korrekt verbunden, ohne dass es automatisch in die Gruppe Verwaltete Geräte verschoben wurde. In diesem Fall gehen Sie wie folgt vor:
- Öffnen Sie das Kontextmenü des Administrationsservers und klicken Sie auf Suchen.
- Tippen Sie die ersten Buchstaben des Gerätenamens mit der Maske (z. B. „comp*“) oder die IP-Adresse des Geräts ein und klicken Sie auf Suchen.
Wenn das Gerät gefunden wird, verschieben Sie es manuell in die Gruppe Verwaltete Geräte.
Lösung 2. Prüfen Sie die Verbindungseinstellungen im Installationspaket des Administrationsagenten, der über eine Installationsaufgabe verteilt wird
- Ermitteln Sie den Namen des verwendeten Installationspakets des Administrationsagenten:
- Gehen Sie auf Aufgaben und öffnen Sie die Aufgaben Remote-Installation eines Programms.
- Gehen Sie auf Einstellungen.
Der Name des Installationspakets wird im Feld Installationspakete angezeigt.
- Öffnen Sie die Eigenschaften des Administrationsservers und im Abschnitt Allgemein klicken Sie auf Zertifikat des Administrationsservers anzeigen., um den Fingerabdruck des Zertifikats zu prüfen.
- Öffnen Sie den Knoten Erweitert und gehen Sie auf Remote-Installation → Installationspakete.
- Finden Sie das benötigte Installationspaket und öffnen Sie seine Eigenschaften über das Kontextmenü.
- Gehen Sie auf Verbindung und prüfen Sie folgendes:
- Der Fingerabdruck des Zertifikats im Installationspaket des Administrationsagenten im Feld Zertifikat des Servers verwenden stimmt mit dem Fingerabdruck des Zertifikats des Administrationsservers aus dem Schritt 2.
Wenn sich die Fingerabdrücke unterscheiden, wählen Sie in den Eigenschaften des Installationspakets des Administrationsagenten dasselbe Zertifikat, das vom Administrationsserver verwendet wird, aus dem Ordner %ProgramData%\KasperskyLab\adminkit\1093\cert\klserver.cer aus. Genauere Informationen finden Sie in der Onlinehilfe. - Im Feld Administrationsserver sind der korrekte Name des Administrationsservers und korrekt Ports angegeben.
Wenn das Kontrollkästchen SSL verwenden aktiviert ist und das korrekte Zertifikat ausgewählt ist, überprüfen Sie nur den SSL-Port. - Wenn zentralisierte Verwaltung der Windows-Firewall in Ihrem Netzwerk nicht verwendet wird und dieses Installationspaket als autonomes Installationspaket verteilt wird, prüfen Sie, dass das Kontrollkästchen Ports des Administrationsagent in der Windows-Firewall öffnen.
- Wenn die Verbindung über einen Proxyserver hergestellt wird, überprüfen Sie die Einstellungen im Abschnitt Verbindung über Proxyserver konfigurieren.
- Der Fingerabdruck des Zertifikats im Installationspaket des Administrationsagenten im Feld Zertifikat des Servers verwenden stimmt mit dem Fingerabdruck des Zertifikats des Administrationsservers aus dem Schritt 2.
- Ist im Abschnitt Erweitert das Kontrollkästchen Verbindung mit dem Administrationsserver über ein Verbindungs-Gateway herstellen, prüfen Sie, dass die Adresse des Verbindungs-Gateways korrekt ist.
Lösung 3. Prüfen Sie, dass das Update KB3063858 auf Geräten mit veralteten Betriebssystemen installiert ist
Auf Geräten mit dem Administrationsagenten Version 14.2 und höher muss das Sicherheitsupdate KB3063858 installiert sein. Es reduziert Sicherheitsrisiken der Verbindung zwischen dem Administrationsagenten und dem Administrationsserver.
Ist das Update nicht installiert, wird der Status Angehalten dem Dienst des Administrationsagenten zugewiesen. Wenn Sie die Komponenten des Administrationsagenten zu starten versuchen, werden sie unerwartet beendet.
Um das Problem zu beheben, installieren Sie das Sicherheitsupdate für Ihr Betriebssystem und starten Sie das Gerät neu. Die Funktionsfähigkeit des Administrationsagenten wird wiederhergestellt.
Lösung 4. Prüfen Sie, dass der Dienst des Administrationsagenten ausgeführt und seine Dateien nicht blockiert sind
Die Lösung gilt nur für Situationen, wenn dem Gerät das Tag Neustart erforderlich zugewiesen wurde und die Aufgabe zum Update des Administrationsagenten bei 32% hängt.
Solche Situationen können auftreten, wenn DLL-Dateien des Administrationsagenten (normalerweise emcat.dll und em.dll) aus folgenden Gründen blockiert wurden, ohne dass diese Dateien neu geschrieben werden können:
- Während der Installation wurde das MMC-Snap-in Ereignisanzeige auf dem Zielgerät geöffnet.
- In der Infrastruktur werden DLP-Systeme (Data Loss Prevention) oder Agenten von Systemen zur Erfassung und Analyse von Logs (SIEM, Log collector) verwendet.
Wenn diese Dateien blockiert sind, kann der Administrationsagent auf die neueste Version nicht aktualisiert werden. Es wird die Meldung angezeigt, dass das Betriebssystem neu gestartet werden muss, ohne dass die Dienste des Administrationsagenten gestartet werden. Die Aufgabe zum Update wird fortgesetzt, nachdem die Verbindung zum Gerät wiederhergestellt worden ist.
Um das Problem zu beheben Sie, ermitteln Sie, welche dritte Software die DLL-Dateien blockiert. Verwenden Sie dazu folgende Tools:
- Ressourcenmonitor von Windows
- Microsoft Process Explorer
Geben Sie Namen der blockierten DLL-Dateien des Administrationsagenten ins Suchfeld ein.
Wenn Sie die Software ermitteln konnten, passen Sie eine Ausnahme für Dateien des Administrationsagenten oder beenden Sie vorübergehend diese Software, bis der Administrationsagent aktualisiert worden ist.
Wenn die Software nicht ermittelt werden konnte oder diese Variante Ihnen nicht passt, passen Sie Optionen für einen Neustart des Betriebssystems bei der Installation des Administrationsagenten in den Eigenschaften der Aufgabe zur Remote-Installation im Abschnitt Neustart des Betriebssystems.
Lösung 5. Prüfen Sie, dass der Administrationsagent vorher nicht installiert wurde
Möglicherweise ist der Administrationsagent auf dem Zielgerät bereits installiert, wurde jedoch für die Arbeit mit einem anderen Server konfiguriert, oder die Verbindung zum Administrationsserver wurde abgebrochen. Dies kann passieren, wenn das Gerät seit langem mit dem Administrationsserver nicht synchronisiert wurde und kein Reservezertifikat während der Verlängerung des allgemeinen Zertifikats erhalten hat.
In dieser Situation raten wir von folgendem ab:
- Den Administrationsagenten erneut installieren oder die neueste Version über die alte zu installieren.
Eine solche Installation kann nicht die Einstellungen des bereits installierten Pakets des Administrationsagenten ändern. Auch die aktivierten Optionen Anwendung nicht neu installieren, wenn sie bereits installiert ist und Auf allen Geräten installieren kann das Problem nicht beheben. - Den Administrationsagenten mithilfe des Tools klmover umschalten, wenn das Zielgerät mit dem Administrationsserver über ein Verbindungs-Gateway oder einen Proxyserver verbunden ist.
Um das Problem zu beheben, entfernen sie den vorher installierten Administrationsagenten und dann installieren Sie dieselbe oder die neueste Version des Administrationsagenten.
Wenn das Zielgerät weder ein Verbindungs-Gateway noch einen Proxyserver für die Verbindung mit dem Administrationsserver verwendet, können Sie statt einer Neuinstallation ihn für die Interaktion mit dem aktuellen Administrationsserver mithilfe des Tools klmover konfigurieren. Danach können Sie den Administrationsagenten auf die neueste Version aktualisieren.
Lösung 6. Prüfen Sie, dass die Verbindung zum Administrationsserver auf dem Zielgerät aufgebaut werden kann
- Stellen Sie folgendes sicher:
- Es besteht Zugriff auf den Administrationsserver auf dem verwalteten Gerät.
- Die Adressen des Administrationsservers werden in IP-Adressen auf dem verwalteten Gerät korrekt umgewandelt.
- Die Einstellungen für die Netzwerkhardware und Mittel zur Abschirmung des Netzwerks sowie Einstellungen für das Betriebssystem des Administrationsserver und die des verwalteten Gerät sind korrekt.
- Es gibt keine Fehler auf dem Proxyserver, wenn die Verbindung zum Administrationsserver über einen Proxyserver hergestellt wird.
- Das Verbindungs-Gateway ist verfügbar, wenn die Verbindung zum Administrationsserver über ein Verbindungs-Gateway hergestellt wird.
- Die Einstellungen für Verbindungsprofile in der Richtlinie für den Administrationsagenten auf dem Administrationsserver sind korrekt.
Insbesondere, wenn der Administrationsagent die Verbindung zum Administrationsserver nach der ersten Synchronisierung abbricht. Genauere Informationen über die Verbindung des Administrationsagenten zum Administrationsserver finden im Artikel.
- Verwenden Sie die Einstellungen für das Installationspaket aus der Lösung 2, um das folgende Kommando auf dem verwalteten Gerät auszuführen:
Ksc.example.com steht für den FQDN-Namen oder für die IP-Adresse des Administrationsservers, wenn dieser für das verwaltete Gerät sichtbar ist. 13000 steht für den Verbindungsport des Administrationsagenten. Dabei geht es entweder um einen SSL-Port, wenn ein Verbindungszertifikat im Installationspaket festgelegt ist und verwendet wird, oder um einen normalen Port, wenn kein Verbindungszertifikat verwendet wird.
- Analysieren Sie die Ausgabe des Befehls und folgen Sie Tipps in der Spalte „Lösung“ in dieser Tabelle.
Vorgehensweise, wenn das Problem weiterhin besteht
- Starten Sie das Betriebssystem des verwalteten Zielgeräts neu und prüfen Sie, dass es genug freien Festplattenspeicher gibt.
- Wenn ein DPI-System (Deep Packet Inspection) oder Technologien zur Entschlüsselung und Analyse des Datenverkehrs (Verwendung der SSL-Untersuchung) als Teil von dritten Sicherheitslösungen in Ihrer Infrastruktur verwendet werden, fügen Sie eine Ausnahme für die Untersuchung der Verbindung zwischen dem Administrationsagenten auf dem verwalteten Zielgerät und dem Administrationsserver.
- Führen Sie eine erweiterte Diagnose mithilfe des Tools klnagchk aus.
- Wenn das Problem weiterhin besteht, senden Sie eine Anfrage an den technischen Support via Kaspersky CompanyAccount.
In Ihrer Anfrage beschreiben Sie das Problem, geben Sie an, welche Schritte zur Selbstdiagnose Sie ausprobiert haben und stellen Sie die Konsolenausgabe der Diagnosebefehle aus diesem Artikel zur Verfügung. Darüber hinaus hängen Sie folgendes an Ihre Anfrage an:- Einen Screenshot des Problems und den Fehlertext;
- Berichte des Tools GetSystemInfo mit Ereignissen des Betriebssystems sowohl auf dem Zielgerät, auf dem das Verbindungsproblem des Administrationsagenten auftritt, als auch auf dem Administrationsserver, zu dem Sie die Verbindung herzustellen versuchen;
- Einen Bericht des Tools klnagchk.
Dazu führen Sie das folgende Kommando aus dem Arbeitsverzeichnis des Administrationsagenten aus:
.\klnagchk.exe -logfile c:\klnagchk.log- Installationsprotokolle des Administrationsagenten;
- Dateien aus dem Ordner %ProgramFiles(x86)%\Kaspersky Lab\NetworkAgent\~dumps (falls vorhanden).