181 ответов в этой теме

[IlyaS]

Да, про него.

[IlyaS]

Потом, когда раскусите проблему, может быть, интересно будет почитать.

Вкратце, надо избавиться от устаревших LM&NTLM в домене.

Сообщение было изменено IlyaS: 07 Апрель 2016 - 17:43

[IlyaS]

А если так на сервере и клиенте:
1) в локальной политике установить "Отправлять только NTLMv2-ответ и отказывать LM и NTLM"
2) перегрузить машину и сервер
3) убедиться, что в реестре обеих машин:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v LMCompatibilityLevel

параметр LMCompatibilityLevel равен 5
4) проверить с psexec -s -e ...

Время на станции не отличается от времени на сервере?

Тут много всего.

Сообщение было изменено IlyaS: 07 Апрель 2016 - 18:02

[Konstantin Yudin]

Потом, когда раскусите проблему, может быть, интересно будет почитать.
Вкратце, надо избавиться от устаревших LM&NTLM в домене.

И от XP

[IlyaS]

Разве в новых системах стало проще с авторизацией? (;

Разве что анонимус по-умолчанию отключен.

[Kirill Polubelov]

Я, всё же, продолжаю считать, что мы пропустили какую-то важную мелочь. Всё просто должно быть. Нужна перезагрузка проблемы )

 

Самый простой вариант перезагрузки:

1. Вынуть проблемный ПК из домена (в WORKGROUP)

2. Ребут

3. Добавить проблемный ПК в домен.

4. Ребут

5. Убедиться, что проблемный ПК в ADS -> Domain Computers

5.1. Если это не так, то добавить, через оснастку, это ПК в группу Domain Computers.

Дело в том, что при добавлении таких ПК в домен с собственно добавляемой машины, она не всегда попадает в computers.

6. Добавить проблемный ПК в OU с GP для установки Dr.Web

7. Ну и для надежности, выполнить на проблемном ПК gpupdate /Boot и ребут.

И вот тогда внимательно просмотреть event-ы в журнале событий проблемного ПК и в журнале контроллера домена.

Сообщение было изменено Kirill Polubelov: 08 Апрель 2016 - 10:00

[IlyaS]

Нужна перезагрузка проблемы )

Отличный термин! Согласен, всё как-то замусорилось на данный момент.

[IlyaS]

Все ж таки нтересно, что покажет на XP:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa|findstr REG_|sort

после перезагрузки проблемы.

[Сергей Липецк]

Скажите такое.

Был ES6, агенты ставил через GPO.

Обновил сервер до ESS10, агенты почти все обновились сами.

Выключать политику или совсем удалять MSI-пакет в политике установки программ не стал.

Т.к. сервер ESS10 - это рядовой сервер, а пакеты ставятся контроллером AD, мне кажется, что могут быть конфликты.

Ведь КД не знает, что агенты обновились. Он их не удаляет из-за того, что у него прописалась успешная установка.

Как будет с новой установкой клиентской ОС - не знаю пока, надо экспериментировать.

Может быть, поставится 6-ой агент, а потом сам обновится до 10-го. ХЗ...

 

И вот ещё. Нужно ли мне добавить адм. пакет уже 10-го агента как обновляющий 6-ой пакет?

[Yury Vovk]

Скажите такое.

Был ES6, агенты ставил через GPO.

Обновил сервер до ESS10, агенты почти все обновились сами.

Выключать политику или совсем удалять MSI-пакет в политике установки программ не стал.

Т.к. сервер ESS10 - это рядовой сервер, а пакеты ставятся контроллером AD, мне кажется, что могут быть конфликты.

Ведь КД не знает, что агенты обновились. Он их не удаляет из-за того, что у него прописалась успешная установка.

Как будет с новой установкой клиентской ОС - не знаю пока, надо экспериментировать.

Может быть, поставится 6-ой агент, а потом сам обновится до 10-го. ХЗ...

 

И вот ещё. Нужно ли мне добавить адм. пакет уже 10-го агента как обновляющий 6-ой пакет?

Начнёт устанавливаться 6-й агент, но процесс этот не завершится успешно, он не сможет получить с сервера необходимые для установки компоненты (Ведь сервер уже обновлён на 10-ю версию ES).

Если у вас в сети нет ES6 сервера и не будут разворачиваться 6-е агенты, то вы можете смело убить политику развертывания 6-го агента в GPO и произвести соответствующую настройку для развёртывания адм. пакета 10-ой версии агента.

В противном случаи эту ситуацию вам придётся разруливать средствами GPO и WMI что бы на разные ПК устанавливались разные ES агенты.

Сообщение было изменено Yury Vovk: 05 Май 2016 - 18:17

[Сергей Липецк]

Если у вас в сети нет ES6 сервера и не будут разворачиваться 6-е агенты, то вы можете смело убить политику развертывания 6-го агента в GPO и произвести соответствующую настройку для развёртывания адм. пакета 10-ой версии агента.

 

Спасибо за ответ!

А как мне прибить политику?

Есть вариант отключить её - путём убирания галки "Связь включена".

Есть вариант удаления пакета вообще внутри политики: или "Немедленное удаление с компьютеров всех пользователей", или "Разрешить использовать уже установленного, но запретить новую установку".

[Yury Vovk]

Есть вариант удаления пакета вообще внутри политики: или "Немедленное удаление с компьютеров всех пользователей", или "Разрешить использовать уже установленного, но запретить новую установку".

"Разрешить использовать уже установленного, но запретить новую установку" - это то что вам нужно.

Затем просто выполните административную установку пакета и создайте новую политику в GPO (Или модифицируйте уже имеющуюся).

Повторная попытка установки производиться не будет, так как все пакеты имеют одинаковые ProductCode и UpdateCode для всех MSI пакетов.

Сообщение было изменено Yury Vovk: 05 Май 2016 - 18:48

[Сергей Липецк]

"Разрешить использовать уже установленного, но запретить новую установку" - это то что вам нужно.

Затем просто выполните административную установку пакета и создайте новую политику в GPO (Или модифицируйте уже имеющуюся).

Значит, надо удалить старый пакет MSI с указанной выше опцией, а потом добавить новый сформированный от 10-ой версии?

[Yury Vovk]

 

"Разрешить использовать уже установленного, но запретить новую установку" - это то что вам нужно.

Затем просто выполните административную установку пакета и создайте новую политику в GPO (Или модифицируйте уже имеющуюся).

Значит, надо удалить старый пакет MSI с указанной выше опцией, а потом добавить новый сформированный от 10-ой версии?

 

Да 

[DarKGryphon]

 У меня похожая проблема (

Не могу установить клиент через AD. все делаю по инструкции, лезет ошибка "Не удалось установить приложение Dr.Web Agent из политики Antivirus. Ошибка: %%1603".

Есть логи в ProgramData\Doctor Web\Logs es-agent-setup.log и setup-starter.log

Шара развернута на сетевом хранилище (не на контроллере AD), доступ вообще ВСЕМ.

 

Машина на которой проверяю отработку политики установлена на виртуалке, в домен вошла хорошо, проблем не наблюдал. Win7 32.

 Подскажите что делаю не так ?

Прикрепленные файлы:

•  es-agent-setup.log   117,41К   3 Скачано раз
•  setup-starter.log   8,3К   1 Скачано раз

[Kirill Polubelov]

Не нашли открытый ключ.

[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: PrevEnterpriseProductsFindFunction module function completed.
[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: FindPublicKeyFunction module function starting...
[1616|1632] [ERROR] 10:11:29 - {MODULE_FUNCTION}: Public key not found.
[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: FindPublicKeyFunction module function canceled the installation (by setup).
[1616|1632] [INFO] 10:11:29 - {CommonData}: CommonData::SetReturnCode(7) started.
[1616|1632] [INFO] 10:11:29 - {CommonData}: Return code set.
[1616|1632] [INFO] 10:11:29 - {CommonData}: CommonData::SetReturnCode(7) completed.

[DarKGryphon]

Это я уже понял )

Вопрос в дургом. Почему он его не находит?) При сборке MSI путь к ключу указывал, после отработки сборки ключ ложится рядом как и должен. 

НО... на машине к которой применяю политику, в папке Windows\temp\{временная папка} лежит одиноко инсталятор антивируса (рядом ключа нет). методом наусного тыка выяснил :  если подложить туда ключ и снова перезагрузить - все чудесно устанавливается!

ВОПРОС: он что, не может сам туда ключ кинуть? Что ему мешает ?

Не нашли открытый ключ.

[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: PrevEnterpriseProductsFindFunction module function completed.
[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: FindPublicKeyFunction module function starting...
[1616|1632] [ERROR] 10:11:29 - {MODULE_FUNCTION}: Public key not found.
[1616|1632] [INFO] 10:11:29 - {PRE_INSTALL_API}: FindPublicKeyFunction module function canceled the installation (by setup).
[1616|1632] [INFO] 10:11:29 - {CommonData}: CommonData::SetReturnCode(7) started.
[1616|1632] [INFO] 10:11:29 - {CommonData}: Return code set.
[1616|1632] [INFO] 10:11:29 - {CommonData}: CommonData::SetReturnCode(7) completed.

[Kirill Polubelov]

При сборке MSI путь к ключу указывал

Путь указывали в сетевом формате?

[DarKGryphon]

 

При сборке MSI путь к ключу указывал

Путь указывали в сетевом формате?

 

Разобрался, но возможно это костыли...

Указывал сетевой адрес ключа в виде ip адрес\путь.

Рядом с msi файлом на шаре ложится конфигурационный файл, в котором путь к ключу прописался с доменным именем вместо ip адреса. заменил имя на адрес и все поперло. 

Почему не прокатило имя? ДНСы на машине все настроены, да без них она бы и в домен не вошла... 

Короче, не ясно .

[Afalin]

А имя это через DNS резолвится? Или может быть оно только через NBNS?