Перейти к содержимому


Фото
- - - - -

Установка по сети (Dr. Web ESS 11)


  • Please log in to reply
83 ответов в этой теме

#1 Александр Б.

Александр Б.

    Member

  • Posters
  • 120 Сообщений:

Отправлено 04 Декабрь 2018 - 13:13

Здравствуйте.

Пытаюсь произвести установку по сети.

 

Нахожу по диапазону адресов станции в сети:

DV0ADkF.png

 

Дальше загвоздка в синтаксисе авторизации.

Рабочие станции у нас члены домена, соответственно пишу вариации:

домен\доменный-админ, доменный-админ@домен, ДОМЕН\доменный-админ, ну и варианты с локальной записью администратора, типа, \администратор или администратор - что бы я не выбрал, всё заканчивается окном:

 

6UodRNW.png

 

Никаких подробностей ошибок не показывается (а жаль).

 

Нажатие на ссылку "ошибка подключения.." загружает на пару секунд окно:

uy6MJ8i.png

 

И дальше резкий редирект на главную страницу.

 

Все необходимые порты (для установки) в брандмауере на рабочих станциях открыты.

 

Где можно покурить подобные логи?


11.00.2 (27-02-2019 03:00:00) / Linux 4.15.18-041518-generic x86_64; Ubuntu 16.04.6 LTS; glibc 2.23 / PostgreSQL 9.5.19


#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 676 Сообщений:

Отправлено 04 Декабрь 2018 - 13:37

Вангую отключённый на целевой машине SMB v1.
Почтовый сервер Eserv тоже работает с Dr.Web

#3 Александр Б.

Александр Б.

    Member

  • Posters
  • 120 Сообщений:

Отправлено 04 Декабрь 2018 - 14:20

емнип, оное отключено на уровне заплаток у микрософта еще летом 2017 (после эпидемий wannacry/petya).

 

а можно как-то включить использование v2/v3 для этих целей?


11.00.2 (27-02-2019 03:00:00) / Linux 4.15.18-041518-generic x86_64; Ubuntu 16.04.6 LTS; glibc 2.23 / PostgreSQL 9.5.19


#4 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 04 Декабрь 2018 - 14:28

емнип, оное отключено на уровне заплаток у микрософта еще летом 2017 (после эпидемий wannacry/petya).

Таки оно включабельно.

а можно как-то включить использование v2/v3 для этих целей?

Можно, но, к сожалению, не сейчас.


Семь раз отрежь – один раз проверь

#5 navoiy88

navoiy88

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 16 Декабрь 2018 - 21:45

Возможно и здесь проблема с кириллицей при авторизации:

https://forum.drweb.com/index.php?showtopic=330313&p=857005



#6 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 19 Февраль 2019 - 14:57

Добрый день.
Удалось найти решение? У меня аналогичная проблема :-(

После обновления Dr.Web Enterprise Suite с 10 (последней) до версии 11.00.2.
Из Центра Управления при попытке установить агент на клиента по сети получаем ошибку "Ошибка подключения по SMB к станции".

Сервер Dr.Web ES 11.00.2 (12-01-2019 06:00:00) установлен на Windows Server 2012 R2 x64 (build 9600) (виртуалка на Hyper-V).
Клиенты Windows 8.1 и 10 различных версий сборок (результат не зависит от того установлен ли был ранее агент 10 версии или нет).
Сервер, как и клиент, расположены в одном домене и одной подсети (IP v4).
Доменный админ (из под учетки которого будет установка) является локальным админом на клиентах.
Брандмаеуры на клиентах и сервере отключены политиками.
Клиент пингуется с сервера (и наоборот), ресурс \\клиент\Admin$ доступен на клиенте не вводя пароль, FQD-имена "резолвятся" корректно.
Служба netbios over tcp/ip на клиентах и северах ВЫКЛЮЧЕНА.
SMB 1.0 и 2.0 в домене включен (Get-SmbServerConfiguration | Select EnableSMB1Protocol = True, Get-SmbServerConfiguration | Select EnableSMB2Protocol = True)
Время на сервере и клиенте синхронизировано.

При установке режимы "Сжатие" и "Шифрование" установлены в вариант "Возможно".

Поиск по форуму и рекомендации не помогают:
1установка шла от учетной записи corp\AdminUser (входит в группу Доменных Администраторов). CORP\ это NetBIOS имя домена corp.nashdomen.ru. Установку пробовали под обоими вариантами и corp\adminuser и adminuser@corp.nashdomen.ru - результат один и тот же.

2. имя целевого клиента указывали как в виде FQD (client.corp.nashdomen.ru) так и в виде ip-адреса.
3. "с кириллицей" (https://forum.drweb.com/index.php?showtopic=330313&p=857005) вроде все хорошо (ставим из под учетки доменного админа написанного латиницей, но в AD есть дефолтная не отключенная учетка доменного админа (Администратор))...
4. при попытке https://forum.drweb.com/index.php?showtopic=330192&page=2"подсунуть библиотеки отсюда https://kettle.dev.drweb.com/a.ankudinov/201808100.zip" перестает запускаться ЦУП :-(

При ручной установке агента на клиенте, клиент видит сервер, в ЦУ клиент отображается как установленный, НО НЕ ОБНОВЛЯЕТ БАЗЫ и невозможно доустановить компоненты по сети из ЦУ...

Переписка с саппортом пока ничего не дает кроме стандартных рекомендаций по проверкам порта 445, доступности контролера домена, DNS, фаервола,  модели общего доступа, влкюченого SMB 1.0  и т.д. Все это насроено корректно.

Более того, вплоть до оновления все РАБОТАЛО!


 



#7 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 343 Сообщений:

Отправлено 19 Февраль 2019 - 15:19

При ручной установке агента на клиенте, клиент видит сервер, в ЦУ клиент отображается как установленный, НО НЕ ОБНОВЛЯЕТ БАЗЫ и невозможно доустановить компоненты по сети из ЦУ...

 

Если ставили просто через drwinst, то 99,(9) что надо просто принять станцию из новичков.

 

Но так-то, для массового деплоя в домене настоятельно рекомендовал бы установку через групповые политики домена.

Просто, надёжно, удобно.

Больше информации: https://download.geo.drweb.com/pub/drweb/esuite/11.0.2/documentation/HTML/ru/installation_manual/install_agent_ad.htm


Сообщение было изменено Kirill Polubelov: 19 Февраль 2019 - 15:19

(exit 0)


#8 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 19 Февраль 2019 - 15:33

Из Центра Управления при попытке установить агент на клиента по сети получаем ошибку "Ошибка подключения по SMB к станции".

Сервер Dr.Web ES 11.00.2 (12-01-2019 06:00:00) установлен на Windows Server 2012 R2 x64 (build 9600) (виртуалка на Hyper-V).

Конкретно для серверов на винде временное решение скоро будет. При желании можно опробовать.

Но в домене да, правильнее раскатывать софт штатными средствами.


Семь раз отрежь – один раз проверь

#9 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 20 Февраль 2019 - 08:20

онкретно для серверов на винде временное решение скоро будет. При желании можно опробовать.

для серверов на ПЛАТФОРМЕ Windows или для установки на Windows Server (в смысле на сам server, а не workstation)?  Желание попробовать ЕСТЬ! :-)

Но в домене да, правильнее раскатывать софт штатными средствами.

Оно конечно да, но когда надо скажем, отдельному человеку доставить фаервол (например везде стоит штатный, а вот этому парню хочу доставить)… рисовать фильтры для политик или заморачиваться с OU не хочется, проще доставить через ЦУ :-)

И раз уж про AD заговорили... После установки "Утилита для изменения атрибутов у объектов Active Directory drweb-11.00.2-<сборка>-esuite-napshv-<версия_ОС>.msi" в оснастке ADUC версии x64 появляется вкладка DrWEb Authentication, а в версии x32 (%SystemRoot%\system32\dsa.msc -32) - нет.
При попытке сменить значение атрибута "User is Administrator" на любое значение кроме "not set" получаем ошибку "Требуемая операция не удовлетворяет одному или нескольким ограничениям для этого класса." При этом "Утилита для модификации схемы Active Directory drweb-11.00.2-<сборка>-esuite-aduac-<версия_ОС>.msi" расширила схему успешно.
 



#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 20 Февраль 2019 - 08:46

для серверов на ПЛАТФОРМЕ Windows или для установки на Windows Server (в смысле на сам server, а не workstation)?  Желание попробовать ЕСТЬ! :-)

Для DrWeb Server, запущенного под виндой.

Оно конечно да, но когда надо скажем, отдельному человеку доставить фаервол (например везде стоит штатный, а вот этому парню хочу доставить)… рисовать фильтры для политик или заморачиваться с OU не хочется, проще доставить через ЦУ :-)

А для этого и не нужна удалённая установка, есть страница "устанавливаемые компоненты" в ЦУ, откуда состав компонентов уже установленного агента можно изменять.


Семь раз отрежь – один раз проверь

#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 20 Февраль 2019 - 08:50

Вот библиотеки для пробы, windows only, 11.00.2.


Семь раз отрежь – один раз проверь

#12 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 20 Февраль 2019 - 09:38

Вот библиотеки для пробы, windows only, 11.00.2.

К сожалению тот же результат.
Я просто заменил drwnetwork-intranet.dll (сервер x64) в папке "C:\Program Files\DrWeb Server\bin" и рестартанул сервер...



#13 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 20 Февраль 2019 - 09:49

Тогда нужны детальные логи сервера с отличной от ничего переменной окружения DRWCSD_NETWORK_RRUNNER_DEBUG (можно выставить либо в системных переменных окружения, либо в "DrWeb Server/etc/envvars.conf", DRWCSD_NETWORK_RRUNNER_DEBUG=1, после чего перезапустить службу сервера).


Кстати, если попытка установки была на локалхост – там это может не работать после каких-то обновлений винды.


Семь раз отрежь – один раз проверь

#14 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 20 Февраль 2019 - 10:20

Тогда нужны детальные логи сервера с отличной от ничего переменной окружения DRWCSD_NETWORK_RRUNNER_DEBUG (можно выставить либо в системных переменных окружения, либо в "DrWeb Server/etc/envvars.conf", DRWCSD_NETWORK_RRUNNER_DEBUG=1, после чего перезапустить службу сервера).


Кстати, если попытка установки была на локалхост – там это может не работать после каких-то обновлений винды.

Выставил в значение = 1 следующие СИСТЕМНЫЕ переменные DRWCSD_WEBMIN_DEBUG, DRWCSD_NETWORK_SMB_DEBUG, DRWCSD_NETWORK_RRUNNER_DEBUG, сервер ребутнул целиком :-)
Логи сервера из папки "C:\Program Files\DrWeb Server\var" (zip от экспорта Журнал DrWeb сервера в ЦУ).
Все верно?
Логи можно сюда или как?



#15 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 20 Февраль 2019 - 10:37

Верно. Сюда с DRWCSD_WEBMIN_DEBUG выкладывать я б не стал, там может засветиться слишком много паролей и прочих данных. Впрочем сейчас только одна переменная интересует.

Логи можно положить сюда либо на файлообменник по вкусу со ссылкой в личку.


Семь раз отрежь – один раз проверь

#16 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 20 Февраль 2019 - 10:45

Верно. Сюда с DRWCSD_WEBMIN_DEBUG выкладывать я б не стал, там может засветиться слишком много паролей и прочих данных. Впрочем сейчас только одна переменная интересует.

Логи можно положить сюда либо на файлообменник по вкусу со ссылкой в личку.

 

Отправил ссылку в личку.



#17 VorLoc

VorLoc

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 20 Февраль 2019 - 10:50

У меня проблема аналогичная..

 

Прикрепленные файлы:

  • Прикрепленный файл  1.jpg   50,71К   0 Скачано раз
  • Прикрепленный файл  2.jpg   198,48К   0 Скачано раз

Сообщение было изменено VorLoc: 20 Февраль 2019 - 10:50


#18 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 911 Сообщений:

Отправлено 20 Февраль 2019 - 11:00

BigVal,


 

unable to add connection to …@… with password because of Logon failure: the user has not been granted the requested logon type at this computer (code=1385)

unable to add connection to …@… without password because of Logon failure: the user has not been granted the requested logon type at this computer (code=1385)

unable to add connection to @… without password because of Access is denied (code=5)

Именно этот юзер по SMB имеет право логиниться и имеет ли доступ к шаре ADMIN$? Интереснее причём в варианте с вводом пароля, чтобы не гадать, под чьим именем оно у Вас открывается в реальности. Хотя есть шанс, что net use покажет, от чьего имени что открыто.

Здесь используется нативный виндовый SMB-клиент, так что в общем случае ожидается, что вести себя виндовые средства и мы будут идентично.


Семь раз отрежь – один раз проверь

#19 BigVal

BigVal

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 20 Февраль 2019 - 11:22

Именно этот юзер по SMB имеет право логиниться и имеет ли доступ к шаре ADMIN$?

 

если имеется в виду cd \\HOST.fqdn\ADMIN$, то без проблем получаем доступ... net use под этим пользователем показывает \\host\ipc$ OK
А что имеется в виду под вариантом именно с паролем? 



#20 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 343 Сообщений:

Отправлено 20 Февраль 2019 - 11:22

Оно конечно да, но когда надо скажем, отдельному человеку доставить фаервол (например везде стоит штатный, а вот этому парню хочу доставить)… рисовать фильтры для политик или заморачиваться с OU не хочется, проще доставить через ЦУ :-)

Не надо ничего рисовать.

OU нужен только один -- для тех, кому АВ нужен в принципе.

Остальные персонализации - кому давать фаерволл, кому нет, можно и нужно делать через веб-фейс ес-сервера. Создать группы (применяются настройки первичной группы), назначить политики (в ес-вском контексте, там свои политики есть).

 

 

 

После установки "Утилита для изменения атрибутов у объектов Active Directory drweb-11.00.2-<сборка>-esuite-napshv-<версия_ОС>.msi" в оснастке ADUC версии x64 появляется вкладка DrWEb Authentication, а в версии x32 (%SystemRoot%\system32\dsa.msc -32) - нет.

napshv никак не могла создать такой вкладки. Это другая утилита.

Ну и в 11.0.2 можно обойтись без изменения схемы ADS, через простой интерфейс LDAP авторизации, если всё, что вам требуется, это авторизовать администратора, принадлежащего определенной группе.


Сообщение было изменено Kirill Polubelov: 20 Февраль 2019 - 11:25

(exit 0)



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых