L’Agent d’administration ne se connecte pas au Serveur d'administration
Afficher les applications et les versions auxquelles ces informations s'appliquent
- Kaspersky Security Center 14.2 (version 14.2.0.26967),
- Kaspersky Security Center 14.0 (version 14.0.0.10902).
- Kaspersky Security Center 13.2 (version 13.2.0.1511),
- Kaspersky Security Center 13.1 (version 13.1.0.8324),
- Kaspersky Security Center 13.0 (version 13.0.0.11247).
Problème
- L’installation à distance du paquet d’installation de l’Agent d’administration a réussi mais l’appareil cible n’apparaît pas dans les appareils administrés sur le Serveur d'administration. Il se peut également que l’appareil ait été ajouté mais il est indiqué que l’Agent d’administration n’est pas installé.
- L’installation à distance simultanée de l’Agent d’administration et d’une application de protection s’arrête à 50 % après le message notifiant que l’installation de l’Agent d’administration a réussi. Vous pouvez voir dans le journal des événements dans l’interface de la Console d’administration que l’installation de l’application de protection n’a pas été effectuée.
- La connexion à l’appareil a été intterompue après l’installation d’une nouvelle version de l'Agent d'administration par-dessus la version précédente. Un message sur la nécessité du redémarrage de l’appareil administré apparaît dans la tâche.
- La vérification de la connexion de l’Agent d’administration au Serveur d'administration à l’aide de l’utilitaire klnagchk.exe échoue.
- L’installation à distance de l’Agent d’administration s’arrête à l’état : « En cours d’exécution (32 %) (Appareil inaccessible) » ou « Le service d’installation est lancé sur l’appareil. Veuillez patienter... ».
Le service de l’Agent d’administration sur l’appareil cible n’est pas démarré et l’un des comportements suivants est observé à une tentative de lancer n’importe quel module :- Un événement avec les fichiers emcat.dl et em.dll apparaît dans le journal des applications de Windows : « Information 1603. Le fichier C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\em.dll est utilisé. Fermez cette application et réessayez ».
- L’Agent d’administration se plante en affichant le message d’erreur suivant : « Nom de l’application défaillante : klnagent.exe, version : 14.2.0.26967, horodatage : 0xa0f42d48. Nom du module défaillant : KERNELBASE.dll, version : 6.1.7601.17514, horodatage 0x4ce7bafa... ».
Cause
- Les paramètres non valides sont utilisés dans les propriétés du paquet d’installation de l’Agent d’administration ou de sa stratégie.
- Le service de l’Agent d’administration a échoué.
- Les fichiers de l’Agent d’administration sont bloqués par un logiciel tiers.
- Il existe un problème de communication entre l’Agent d’administration et le Serveur d'administration.
Solution
Il existe plusieurs solutions des problèmes cités. Les deux premières solutions permettent de résoudre les problèmes du côté du Serveur d'administration, les solutions restantes résolvent les problèmes du côté des appareils administrés cibles.
Solution 1. Effectuez la recherche dans les appareils non définis
Si l’installation de l’Agent d’administration a réussi mais que l’appareil ne s’affiche pas dans les appareils administrés, il se peut qu’il ait été correctement connecté mais n’ait pas été déplacé dans le groupe « Appareils administrés ». Dans ce cas :
- Cliquez avec le bouton droit de la souris sur le Serveur d'administration et dans le menu contextuel sélectionnez Recherche.
- Entrez le nom ou la partie du nom de l’appareil en utilisant les « * » pour remplacer n’importe quel(s) caractère(s) ou entrez l’adresse IP de l’appareil. Cliquez sur Rechercher.
Si l’appareil s’affiche dans les résultats de la recherche, ajoutez-le manuellement dans le groupe Appareils administrés.
Solution 2. Vérifiez les paramètres de connexion dans l’Agent d’administration dans le paquet d’installation utilisé
- Consultez le nom du paquet d’installation de l’Agent d’administration utilisé :
- Accédez à Tâches et ouvrez la tâche d’installation à distance en question.
- Accédez à la section Paramètres.
Le nom du paquet d’installation s’affiche dans le champ Paquets d'installation.
- Ouvrez les propriétés du Serveur d'administration et dans la section Général cliquez sur Afficher le certificat du Serveur d'administration en bas de la fenêtre.
- Accédez à Avancé → Installation à distance → Paquets d’installation.
- Trouvez le paquet d'installation utilisé et ouvrez ces propriétés.
- Accédez à la section Connexion et vérifiez :
- que l’empreinte du certificat dans le champ Utiliser le certificat serveur est identique à l’empreinte du certificat dans les propriétés du Serveur d'administration (étape 2).
Si les empreintes diffèrent, dans le paquet d’installation de l’Agent d’administration sélectionnez le certificat utilisé par le Serveur d'administration. Le certificat se trouve dans le répertoire suivant sur le Serveur d'administration : %ProgramData%\KasperskyLab\adminkit\1093\cert\klserver.cer Pour en savoir plus, consultez l'aide. - que le nom du Serveur d'administration indiqué dans le champ Serveur d'administration et les ports sont corrects.
Si la case Utiliser SSL est cochée et que le certificat correct est sélectionné, vérifiez uniquement le port SSL. - que la case Ouvrir les ports de l’Agent d’administration dans le pare-feu Microsofr Windows est cochée si a configuration centralisée du pare-feu Windows n’est pas utilisée dans votre infrastructure et que ce paquet d’installation est utilisé en tant que paquet autonome.
- que les paramètres spécifiés dans la section Configurer la connexion via le serveur proxy sont correct si un serveur proxy est utilsé.
- que l’empreinte du certificat dans le champ Utiliser le certificat serveur est identique à l’empreinte du certificat dans les propriétés du Serveur d'administration (étape 2).
- Accédez à la section Avancé et vérifiez que l’adresse de la passerelle de connexion indiquée est correcte si la case Se connecter au Serveur d’administration au moyen d’une passerelle de connexion.
Solution 3. Vérifiez que la mise à jour KB3063858 est installée sur les appareils avec les systèmes d'exploitation obsolètes.
La mise à jour de sécurité KB3063858 du système d’exploitation doit être installée sur les appareils hébergeant l’Agent d’administration version 14.2 ou suivante. Elle minimise les risques liés à la sécurité de l’interaction de l’Agent d’administration et du Serveur d'administration.
Si la mise à jour n’est pas installée, après l’installation de l’Agent d’administration, son service aura l’état Arrêté. Si vous essayez de lancer les modules de l’Agent d’admnistration, ces derniers se plantent.
Pour éliminer le problème, installez la mise à jour de sécurité pour votre système d’exploitation et redémarrer-le. L’Agent d’administration sera lancé, aucune action supplémentaire n’est requise.
Solution 4. Vérifiez si le service de l’Agent d’administration est en cours d’exécution et si ses fichiers ne sont pas bloqués
Utilisez cette solution si l’objet de l’appareil possède l’état Redémarrage requis et que la tâche de la mise à jour de l’Agent d’administration s’est arrêtée à 32 %.
Le problème survient si lors de l’installation de l'Agent d'administration ses fichiers DDL ont été bloqués sans qu'il soit possible de les écraser. Le plus souvent se sont les fichiers emcat.dll et em.dll. Le problème survient dans les cas suivants :
- Le composant logiciel enfichable de la console MMC Observateur d’événements a été ouvert sur l’appareil cible pendant l’installation.
- Les systèmes DLP (Data Loss Prevention) ou les agents des système de collecte et d’analyse des journaux (SIEM, Log collector) sont utilisés dans l’infrastructure.
Ces fichiers verrouillés empêchent la mise à niveau de l’Agent d’administration vers la nouvelle version. Une notification s’affiche qu’il est indispensable de redémarrer le système d’exploitation sans démarrage des services de l’Agent d’administration. La mise à jour sera reprise une fois que la connexion à l’appareil est retablie.
Pour éliminer le problème, identifiez le logiciel tiers qui bloque les fichiers DLL. Pour ce faire, utilisez :
- l’utilitaire système de Windows Moniteur de ressources,
- l’utilitaire Microsoft Process Explorer.
Dans le champ de recherche tapez les noms des fichiers DLL bloqués de l’Agent d’administration.
Si vous avez réussi à identifier le logiciel, ajoutez-y une exclusion pour les fichiers de l’Agent d’administration ou arrêtez-le pendant la mise à jour de l’Agent d’administration.
Si vous n’avez pas réussi à identifier le logiciel bloquant les fichiers ou que cette solution ne vous convient pas, activez le redémarrage du système d’exploitation lors de l'installation de l'Agent d'administration dans la section Redémarrage du système d'exploitation des propriétés de la tâche d'installation à distance de l’Agent d’administration.
Solution 5. Vérifiez que l’Agent d’administration n’a pas été installé précédemment
Il se peut que l’Agent d’administration soit installé sur l’appareil cible mais qu’il soit connecté à un autre Serveur d'administration ou que la connexion au Serveur d'administration soit interrompue. Cela peut se produire si la synchronisation avec le Serveur d’administration n’a pas été effectuée depuis longtemps et que l’appareil n’a pas reçu le certificat de réserve pendant la période du renouvellement du certificat principal.
Il est inutile de faire ce qui suit :
- Réinstaller l’Agent d’administration par-dessus la version précédente.
Une telle installation ne remplacera pas les paramètres de l’Agent d’administration installé. Activer l’option Ne pas réinstaller l’application si elle est déjà installée et Installer sur tous les appareils. - Reconnecter l’Agent d’administration à l’aide de l’utilitaire klmover si l’appareil cible utilise une passerelle de connexion ou un serveur proxy pour se connecter au Serveur d’administration.
Pour résoudre le problème, supprimez l’Agent d’administration installé précédemment et réinstallez-le en utilisant la même ou une nouvelle version.
Si l’appareil cible n’utilise pas une passerelle de connexion ou un serveur proxy pour se connecter au Serveur d’administration, vous pouvez garder l’Agent d’administration installé en modifiant ses paramètres pour la connexion au Serveur d'administration à l’aide de l’utilitaire klmover. Après avoir modifier les paramètres, mettez l’Agent d’administration à niveau vers la nouvelle version.
Solution 6. Vérifiez si le Serveur d'administration est accessible depuis l’appareil en question
- Vérifiez que :
- le Serveur d'administration est accessible depuis l’appareil en question,
- les adresses du Serveur d'administration sont correctement résolues en adresses IP sur l’appareil client,
- les paramètres du matériel réseau et du pare-feu, ainsi que les paramètres du système d'exploitation de l’appareil hébergeant le Serveur d'administration et de l’appareil cible sont corrects,
- il n’y a pas d’erreurs de connexion du côté du serveur proxy si ce dernier est utilisé pour la connexion au Serveur d'administration,
- la passerelle de connexion est accessible si cette dernière est utilisée pour la connexion au Serveur d'administration,
- les paramètres des profils de connexion dans la stratégie de l’Agent d’administration sur le Serveur d’administration sont corrects.
Il est particulièrement important de le vérifier si l’Agent d’administration se déconnecte du Serveur d’administration après la première synchronisation. En savoir plus sur la connexion de l’Agent d’administration au Serveur d’administration
- Utilisez les paramètres du paquet d’installation de la solution 2 pour exécuter la commande suivante sur l’appareil cible :
où ksc.exemple.com est le nom FQDN ou l’adresse IP du Serveur d'administration Kaspersky Security Center s’il est visible sur le réseau pour l’appareil cible, 13000 est le port de connexion de l’Agent d’administration. C’est le port SSL si un certificat de connexion est spécifié et utilisé dans le paquet d’installation, ou le port normal si le certificat n’est pas utilisé.
- Analysez le résultat d'exécution de la commande et suivez les instructions dans la colonne Solution.
Que faire si le problème persiste
- Redémarrez l’appareil cibble et vérifiez s’il y a assez d’espace disque.
- Désactivez l’analyse de la connexion entre l’appareil cible avec l’Agent d’administration et le Serveur d’administration si l'inspection profonde de paquets (ou en anglais Deep Packet Inspection, abrégée IPP ou DPI) ou les technologies de déchiffrement et d’analyse du trafic (inspection SSL) dans les solutions de sécurité des éditeurs tiers sont utilisées.
- Effectuez le diagnoctic détaillé à l’aide de l’utilitaire klnagchk.
- Si le problème persiste, déposez une demande auprès du support technique de Kaspersky via Kaspersky CompanyAccount.
Dans votre demande, décrivez le problème rencontré, les étapes de diagnostic que avez suivies et joignez les résultas de l’exécutions des commandes citées dans cet article. Joignez également :- des captures d’écran de l’erreur et le texte de l’erreur,
- rapport créé à l’aide de l’utilitaire Getsysteminfo avec l'option Include Windows event logs activée sur l’appareil posant le problème et sur le Serveur d'administration auquel la connexion doit être établie,
- journal de l’utilitaire klnagchk.
Pour l’enregistrer dans un fichier, exécutez la commande en tant qu’administrateur en utilisant le répertoire d’installation de l’Agent d’administration :
.\klnagchk.exe -logfile c:\klnagchk.log- journaux d'installation de l'Agent d'administration,
- le contenu du répertoire %ProgramFiles(x86)%\Kaspersky Lab\NetworkAgent\~dumps s’il n’est pas vide.