L’Agent d’administration ne se connecte pas au Serveur d'administration
Afficher les applications et les versions auxquelles ces informations s'appliquent
- Kaspersky Security Center 14.2 (version 14.2.0.26967),
- Kaspersky Security Center 14.0 (version 14.0.0.10902).
- Kaspersky Security Center 13.2 (version 13.2.0.1511),
- Kaspersky Security Center 13.1 (version 13.1.0.8324),
- Kaspersky Security Center 13.0 (version 13.0.0.11247).
Problème
- L’installation à distance du paquet d’installation de l’Agent d’administration a réussi mais l’appareil cible n’apparaît pas dans les appareils administrés sur le Serveur d'administration. Il se peut également que l’appareil ait été ajouté mais il est indiqué que l’Agent d’administration n’est pas installé.
- L’installation à distance simultanée de l’Agent d’administration et d’une application de protection s’arrête à 50 % après le message notifiant que l’installation de l’Agent d’administration a réussi. Vous pouvez voir dans le journal des événements dans l’interface de la Console d’administration que l’installation de l’application de protection n’a pas été effectuée.
- La connexion à l’appareil a été intterompue après l’installation d’une nouvelle version de l'Agent d'administration par-dessus la version précédente. Un message sur la nécessité du redémarrage de l’appareil administré apparaît dans la tâche.
- La vérification de la connexion de l’Agent d’administration au Serveur d'administration à l’aide de l’utilitaire klnagchk.exe échoue.
- L’installation à distance de l’Agent d’administration s’arrête à l’état : « En cours d’exécution (32 %) (Appareil inaccessible) » ou « Le service d’installation est lancé sur l’appareil. Veuillez patienter... ».
Le service de l’Agent d’administration sur l’appareil cible n’est pas démarré et l’un des comportements suivants est observé à une tentative de lancer n’importe quel module :- Un événement avec les fichiers emcat.dl et em.dll apparaît dans le journal des applications de Windows : « Information 1603. Le fichier C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\em.dll est utilisé. Fermez cette application et réessayez ».
- L’Agent d’administration se plante en affichant le message d’erreur suivant : « Nom de l’application défaillante : klnagent.exe, version : 14.2.0.26967, horodatage : 0xa0f42d48. Nom du module défaillant : KERNELBASE.dll, version : 6.1.7601.17514, horodatage 0x4ce7bafa... ».
Cause
- Les paramètres non valides sont utilisés dans les propriétés du paquet d’installation de l’Agent d’administration ou de sa stratégie.
- Le service de l’Agent d’administration a échoué.
- Les fichiers de l’Agent d’administration sont bloqués par un logiciel tiers.
- Il existe un problème de communication entre l’Agent d’administration et le Serveur d'administration.
Solution
Redémarrez l'appareil cible et vérifiez que l'espace disque est suffisant. Si le problème persiste, il existe plusieurs solutions des problèmes cités.
Solution 1. Effectuez la recherche dans les appareils non définis
Si l’installation de l’Agent d’administration a réussi mais que l’appareil ne s’affiche pas dans les appareils administrés, il se peut qu’il ait été correctement connecté mais n’ait pas été déplacé dans le groupe « Appareils administrés ». Dans ce cas :
- Cliquez avec le bouton droit de la souris sur le Serveur d'administration et dans le menu contextuel sélectionnez Recherche.
- Entrez le nom ou la partie du nom de l’appareil en utilisant les « * » pour remplacer n’importe quel(s) caractère(s) ou entrez l’adresse IP de l’appareil. Cliquez sur Rechercher.
Si l’appareil s’affiche dans les résultats de la recherche, ajoutez-le manuellement dans le groupe Appareils administrés.
Si l'appareil n'a pas été détecté ou qu'il s'est connecté au Serveur d'administration il y a longtemps, vérifiez l'état et les paramètres de connexion de l'Agent d'administration sur l'appareil cible à l'aide de l'utilitaire klnagchk.exe et puis essayez d'autres solutions de cet article.
Solution 2. Vérifiez les paramètres de connexion dans l’Agent d’administration dans le paquet d’installation utilisé
- Consultez le nom du paquet d’installation de l’Agent d’administration utilisé :
- Accédez à Tâches et ouvrez la tâche d’installation à distance en question.
- Accédez à la section Paramètres.
Le nom du paquet d’installation s’affiche dans le champ Paquets d'installation.
- Fermez les propriétés de la tâche et ouvrez les propriétés du Serveur d'administration et dans la section Général cliquez sur Afficher le certificat du Serveur d'administration en bas de la fenêtre.
- Fermez les propriétés du Serveur d'administration et accédez à Avancé → Installation à distance → Paquets d’installation.
- Trouvez le paquet d'installation utilisé et ouvrez ces propriétés.
- Accédez à la section Connexion et vérifiez :
- que l’empreinte du certificat dans le champ Utiliser le certificat serveur est identique à l’empreinte du certificat dans les propriétés du Serveur d'administration (étape 2).
Si les empreintes diffèrent, dans le paquet d’installation de l’Agent d’administration sélectionnez le certificat utilisé par le Serveur d'administration. Le certificat se trouve dans le répertoire suivant sur le Serveur d'administration : %ProgramData%\KasperskyLab\adminkit\1093\cert\klserver.cer Pour en savoir plus, consultez l'aide. -
- que le nom du Serveur d'administration indiqué dans le champ Serveur d'administration et les ports sont corrects.
Si la case Utiliser SSL est cochée et que le certificat correct est sélectionné, vérifiez uniquement le port SSL. - que la case Ouvrir les ports de l’Agent d’administration dans le pare-feu Microsofr Windows est cochée si a configuration centralisée du pare-feu Windows n’est pas utilisée dans votre infrastructure et que ce paquet d’installation est utilisé en tant que paquet autonome.
- que les paramètres spécifiés dans la section Configurer la connexion via le serveur proxy sont correct si un serveur proxy est utilsé.
- que l’empreinte du certificat dans le champ Utiliser le certificat serveur est identique à l’empreinte du certificat dans les propriétés du Serveur d'administration (étape 2).
- Accédez à la section Avancé et vérifiez que l’adresse de la passerelle de connexion indiquée est correcte si la case Se connecter au Serveur d’administration au moyen d’une passerelle de connexion.
Solution 3. Vérifiez que la mise à jour KB3063858 est installée sur les appareils avec les systèmes d'exploitation obsolètes.
La mise à jour de sécurité KB3063858 du système d’exploitation doit être installée sur les appareils hébergeant l’Agent d’administration version 14.2 ou suivante. Elle minimise les risques liés à la sécurité de l’interaction de l’Agent d’administration et du Serveur d'administration.
Si la mise à jour n’est pas installée, après l’installation de l’Agent d’administration, son service aura l’état Arrêté. Si vous essayez de lancer les modules de l’Agent d’admnistration, ces derniers se plantent.
Pour éliminer le problème, installez la mise à jour de sécurité pour votre système d’exploitation et redémarrer-le. L’Agent d’administration sera lancé, aucune action supplémentaire n’est requise.
Solution 4. Vérifiez si le service de l’Agent d’administration est en cours d’exécution et si ses fichiers ne sont pas bloqués
Utilisez cette solution si l’objet de l’appareil possède l’état Redémarrage requis et que la tâche de la mise à jour de l’Agent d’administration s’est arrêtée à 32 %.
Le problème survient si lors de l’installation de l'Agent d'administration ses fichiers DDL ont été bloqués sans qu'il soit possible de les écraser. Le plus souvent se sont les fichiers emcat.dll et em.dll. Le problème survient dans les cas suivants :
- Le composant logiciel enfichable de la console MMC Observateur d’événements a été ouvert sur l’appareil cible pendant l’installation.
- Les systèmes DLP (Data Loss Prevention) ou les agents des système de collecte et d’analyse des journaux (SIEM, Log collector) sont utilisés dans l’infrastructure.
Ces fichiers verrouillés empêchent la mise à niveau de l’Agent d’administration vers la nouvelle version. Une notification s’affiche qu’il est indispensable de redémarrer le système d’exploitation sans démarrage des services de l’Agent d’administration. La mise à jour sera reprise une fois que la connexion à l’appareil est retablie.
Pour éliminer le problème, identifiez le logiciel tiers qui bloque les fichiers DLL. Pour ce faire, utilisez :
- l’utilitaire système de Windows Moniteur de ressources,
-
l’utilitaire Microsoft Process Explorer
.
Dans le champ de recherche tapez les noms des fichiers DLL bloqués de l’Agent d’administration.
Si vous avez réussi à identifier le logiciel, ajoutez-y une exclusion pour les fichiers de l’Agent d’administration ou arrêtez-le pendant la mise à jour de l’Agent d’administration.
Si vous n’avez pas réussi à identifier le logiciel bloquant les fichiers ou que cette solution ne vous convient pas, activez le redémarrage du système d’exploitation lors de l'installation de l'Agent d'administration :
- Accédez à Tâches.
- Dans le groupe de tâches Installation à distance d'une application trouvez la tâche Installation à distance de l'Agent d'administration et ouvrez-la.
- Accédez à la section Redémarrage du système d'exploitation et activez l'option Confirmer l'action auprès de l'utilisateur.
Solution 5. Vérifiez que l’Agent d’administration n’a pas été installé précédemment
Il se peut que l’Agent d’administration soit installé sur l’appareil cible mais qu’il soit connecté à un autre Serveur d'administration ou que la connexion au Serveur d'administration soit interrompue. Cela peut se produire si la synchronisation avec le Serveur d’administration n’a pas été effectuée depuis longtemps et que l’appareil n’a pas reçu le certificat de réserve pendant la période du renouvellement du certificat principal.
Pour résoudre le problème, désinstallez l'Agent d'administration et puis installez à nouveau la même version ou une version plus récente.
Ne réinstallez pas et ne mettez pas à niveau l'Agent d'administration par-dessus la version existante. Dans ce cas, les paramètres de l'Agent d'administration installé ne seront pas modifiés. Il est également inutile d'activer les options Ne pas réinstaller l’application si elle est déjà installée et Installer sur tous les appareils.
Si l’appareil cible n’utilise pas une passerelle de connexion ou un serveur proxy pour se connecter au Serveur d’administration, vous pouvez garder l’Agent d’administration installé en modifiant ses paramètres pour la connexion au Serveur d'administration à l’aide de l’utilitaire klmover. Après avoir modifier les paramètres, mettez l’Agent d’administration à niveau vers la nouvelle version.
Solution 6. Vérifiez si le Serveur d'administration est accessible depuis l’appareil en question
- Vérifiez que :
- le Serveur d'administration est accessible depuis l’appareil en question,
- les adresses du Serveur d'administration sont correctement résolues en adresses IP sur l’appareil client,
- les paramètres du matériel réseau et du pare-feu, ainsi que les paramètres du système d'exploitation de l’appareil hébergeant le Serveur d'administration et de l’appareil cible sont corrects,
- il n’y a pas d’erreurs de connexion du côté du serveur proxy si ce dernier est utilisé pour la connexion au Serveur d'administration,
- la passerelle de connexion est accessible si cette dernière est utilisée pour la connexion au Serveur d'administration,
- les paramètres des profils de connexion dans la stratégie de l’Agent d’administration sur le Serveur d’administration sont corrects.
Il est particulièrement important de le vérifier si l’Agent d’administration se déconnecte du Serveur d’administration après la première synchronisation. En savoir plus sur la connexion de l’Agent d’administration au Serveur d’administration
- Utilisez les paramètres du paquet d’installation de la solution 2 pour exécuter la commande suivante sur l’appareil cible :
où ksc.exemple.com est le nom FQDN ou l’adresse IP du Serveur d'administration Kaspersky Security Center s’il est visible sur le réseau pour l’appareil cible, 13000 est le port de connexion de l’Agent d’administration. C’est le port SSL si un certificat de connexion est spécifié et utilisé dans le paquet d’installation, ou le port normal si le certificat n’est pas utilisé.
- Analysez le résultat d'exécution de la commande et suivez les instructions dans la colonne Solution.
Que faire si le problème persiste
- Vérifiez que l'appareil cible est en bon état de fonctionnement et qu'il ne présente aucun problème de configuration matérielle, d'intégrité du disque dur ou de cellules de mémoire vive.
- Vérifiez la date et l'heure sur l'appareil cible.
- Désactivez l’analyse de la connexion entre l’appareil cible avec l’Agent d’administration et le Serveur d’administration si l'inspection profonde de paquets (ou en anglais Deep Packet Inspection, abrégée IPP ou DPI) ou les technologies de déchiffrement et d’analyse du trafic (inspection SSL) dans les solutions de sécurité des éditeurs tiers sont utilisées.
- Effectuez le diagnoctic détaillé à l’aide de l’utilitaire klnagchk.
- Si le problème persiste, déposez une demande auprès du support technique de Kaspersky via Kaspersky CompanyAccount.
Dans votre demande, décrivez le problème rencontré, les étapes de diagnostic que avez suivies et joignez les résultas de l’exécutions des commandes citées dans cet article. Joignez également :- des captures d’écran de l’erreur et le texte de l’erreur,
- rapport créé à l’aide de l’utilitaire Getsysteminfo avec l'option Include Windows event logs activée sur l’appareil posant le problème et sur le Serveur d'administration auquel la connexion doit être établie,
- journal de l’utilitaire klnagchk.
Pour l’enregistrer dans un fichier, exécutez la commande en tant qu’administrateur en utilisant le répertoire d’installation de l’Agent d’administration :
.\klnagchk.exe -logfile c:\klnagchk.log- journaux d'installation de l'Agent d'administration,
- le contenu du répertoire %ProgramFiles(x86)%\Kaspersky Lab\NetworkAgent\~dumps s’il n’est pas vide.