Résoudre les problèmes liés aux autorisations incorrectes du compte lors de l’installation à distance de l'Agent d'administration de Kaspersky Security Center
Afficher les applications et les versions auxquelles ces informations s'appliquent
- Kaspersky Security Center 14.2 (version 14.2.0.26967),
- Kaspersky Security Center 14.0 (version 14.0.0.10902).
- Kaspersky Security Center 13.2 (version 13.2.0.1511),
- Kaspersky Security Center 13.1 (version 13.1.0.8324),
- Kaspersky Security Center 13.0 (version 13.0.0.11247).
Problème
L’installation à distance de l'Agent d'administration ou d’un logiciel d’un éditeur tiers avec l’option En utilisant les ressources du système d’exploitation via le Serveur d'administration ou En utilisant les ressources du système d’exploitation via le Serveur d'administration peut échouer.
Cause
Erreur | Cause |
---|---|
« Le dossier partagé "\\192.0.2.45\admin$" n'est pas disponible pour les comptes utilisateurs suivants : svc_kavadmin@example.com, EXAMPLE\svc_kavadmin, <compte du service du Serveur d'administration> (Accès refusé) ». | Les autorisations du compte du service du Serveur d'administration sont incorrects. |
« Le point de distribution "˂nom du point de distribution˃" n'a pas réussi à démarrer l'installation à distance. Erreur du téléchargement du paquet d'installation depuis le Serveur d'administration dans le dossier partagé sur l'appareil : ˂compte du service de l’Agent d'administration de Kaspersky Security Center˃> Accès refusé). La liste des points de distribution est épuisée ». | |
« Le dossier partagé "\\192.0.2.45\admin$" n'est pas disponible pour les comptes utilisateurs suivants : <compte du service du Serveur d'administration> (Le serveur RPC n’est pas disponible) ». | L’erreur est causée par des limitations du protocole NTLM ou par l’absence de relation d’approbation entre le domaine Active Directory et l’appareil cible, le point de distribution ou le Serveur d’administration. |
« Le point de distribution "˂nom du point de distribution˃" n'a pas réussi à démarrer l'installation à distance. Erreur du téléchargement du paquet d'installation depuis le Serveur d'administration dans le dossier partagé sur l'appareil : ˂compte du service de l’Agent d'administration de Kaspersky Security Center˃ (Le serveur RPC n’est pas disponible). La liste des points de distribution est épuisée ». |
Solution
- Vérifiez le compte sous lequel le service du Serveur d'administration est lancé en utilisant la commande suivante :
- Analysez le résultat de l'exécution de la commande.
Un point qui s’affiche au lieu du nom de domaine de l’entreprise signifie que le service est lancé sous le compte utilisateur local de l’appareil hébergeant le Serveur d'administration.
Si vous avez ajouté un compte à utiliser dans les paramètres de la tâche d’installation, la tâche utilisera ce compte et le compte di Serveur d'administration pour se connecter à l’appareil cible.
- Suivez les instructions selon votre cas :
Résoudre les problèmes de type « Accès refusé »
Vérifiez ce qui suit :
- Un mot de passe correct est indiqué pour le compte dans les paramètres de la tache d’installation à distance. Retapez le mot de passe.
- Vérifiez que le compte utilisateur n’est pas bloqué ou n’a pas expiré ou que son mot de passe n’a pas expiré.
- Vérifiez que le compte utilisateur est doté des autorisations d’administrateur dans le système d’exploitation de l’appareil cible.
- Vérifiez que la méthode d’authentification classique est utilisée pour les comptes locaux :
- Appuyez sur le clavier sur les touches + R.
- Tapez secpol.msc et cliquez sur OK.
- Accédez à Paramètres de sécurité → Stratégies locales → Options de sécurité, dans le volet de droite trouvez la ligne Accès réseau : modèle de partage et de sécurité pour les comptes locaux. Pour en savoir plus, consultez le site de Microsoft.
Résoudre les problèmes de type « Le serveur RPC n’est pas disponible »
- Vérifiez que l’appareil cible, le point de distribution et le Serveur d'administration sont approuvés par le domaine Active Directory.
Pour ce fare, lancez l'invite de commandes avec les droits d'administrateur et exécutez la commande :
Si le résultat est True, l’appareil est approuvé par le domaine. Pour en savoir plus, consultez le site de Microsoft.
- Effectuez l’installation en activant l’authentification Kerberos (convient pour l'installation sur un petit nombre d'appareils) ou l’authentification NTLM si le compte utilisateur de domaine pour la connexion à l’appareil ne fait pas partie du groupe de domaine Active Directory Utilisateurs protégés (l’utilisation de NTLM est interdite) et que l'authentification Kerberos est utilisée dans l'ensemble du domaine.
Installation avec l’authentification Kerberos
- Spécifiez le nom de principal de service (SPN, Service Princical Name) pour chaque appareil cible faisant partie du domaine :
- Lancez l'invite de commandes en tant qu’utilisateur avec les droits d’écriture des attributs Active Directory.
- Exécutez la commande suivante pour chaque appareil :
setspn -s cifs/<adresse IP de l’appareil cible> <nom de l’appareil cible>où <adresse IP de l’appareil cible> est l’adresse IP de l’appareil cible pour la connexion au réseau du Serveur d'administration ou du point de distribution et <nom de l’appareil cible> est le nom de l’appareil cible.
Par exemple :
setspn -s cifs/192.0.2.45 mytestpc - Activez la prise en charge de l’authentification Kerberos via IP sur le Serveur d'administration :
- Lancez l'invite de commandes avec les droits d'administrateur.
- Exécutez la commande :
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f - Installez l’Agent d’administration sur les appareils.
- Supprimez les entrées SPN créées si les adresses IP des appareils sont temporaires. Pour en savoir plus, consultez le site de Microsoft.
Installation avec l’authentification NTLM
- Modifiez les paramètres de sécurité des stratégies de domaine Active Directory pour assurer le fonctionnement du protocole NTLM pendant le déploiement de l’Agent d’administration :
- Sur les appareils cibles faisant partie du domaine, dans la stratégie de sécurité locale accédez à Paramètres de sécurité → Stratégies locales → Options de sécurité, dans le volet de droite trouvez la stratégie Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant et définissez la valeur Autoriser tout
La stratégie Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants peut avoir la valeur Refuser tout. - Sur les contrôleurs de domaine, dans les propriétés de la stratégie Sécurité réseau : Restreindre NTLM : Auditer l'authentification NTLM dans ce domaine définissez la valeur Désactiver.
- Sur le Serveur d'administration, dans les propriétés de la stratégie Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants définissez la valeur Autoriser tout.
- Installez l’Agent d’administration sur les appareils.
- Restaurez les paramètres de sécurité du domaine autorisant uniquement l’authentification Kerberos.
- Sur les appareils cibles faisant partie du domaine, dans la stratégie de sécurité locale accédez à Paramètres de sécurité → Stratégies locales → Options de sécurité, dans le volet de droite trouvez la stratégie Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant et définissez la valeur Autoriser tout
- Si le problème persiste, dans le composant logiciel enfichable Observateur d'événements, examinez les informations de diagnostic supplémentaires sur tous les appareils cités ci-dessus dans la section Journaux des applications et des services → Microsoft → Windows → NTLM et dans la sous-section Operational. Vous pouvez également utiliser d’autres méthodes d’installation citées -ci-dessous dans la section « Que faire si le problème persiste ».
Que faire si le problème persiste
- Suivez les recommandations sur le diagnostic de la disponibilité sur le réseau et sur la configuration du système d’exploitation.
- Si la tâche d’installation à distance a réussi et que le message « L’installation a distance a réussi sur cet appareil » s’est affiché, mais que l’Agent d’administration ne se connecte pas au Serveur d’administration ou qu’il s’affiche « Non » dans la colonne L’Agent d’administration est installé dans la ligne de l’appareil; suivez ces instructions.
- Désactivez l’analyse de la connexion entre l’appareil cible avec l’Agent d’administration et le Serveur d’administration si l'inspection profonde de paquets (ou en anglais Deep Packet Inspection, abrégée IPP ou DPI) ou les technologies de déchiffrement et d’analyse du trafic (inspection SSL) dans les solutions de sécurité des éditeurs tiers sont utilisées.
- Utilisez des outils centralisés supplémentaires pour déployer l'Agent d'administration via un paquet d’installation autonome :
Si le problème persiste, déposez une demande auprès du support technique de Kaspersky via Kaspersky CompanyAccount. Dans votre demande :
- Décrivez le problème rencontré : joignez une capture d'écran de l'erreur d’installation, spécifiez quelles instructions vous avez suivies et ajoutez les résultats finaux des commandes de diagnostic citées dans cet article.
- Collectez les données pour le diagnostic du problème et joignez-les à votre demande.
Liens utiles
Résoudre les problèmes réseau lors de l’installation à distance de l’Agent d'administration de Kaspersky Security Center
Configurer le système d'exploitation pour résoudre les problèmes lors de l’installation à distance de l’Agent d'administration de Kaspersky Security Center
Déploiement forcé à l'aide d'une tâche d'installation à distance des applications de Kaspersky Security Center
Lancement de paquets autonomes créés par Kaspersky Security Center