Перейти к содержимому


Фото
- - - - -

Установка по сети (Dr. Web ESS 11)


  • Please log in to reply
101 ответов в этой теме

#81 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 12 Июль 2019 - 15:49

Здесь все проблемы так или иначе связаны с SMB, но проблема не одна, важны детали.


Семь раз отрежь – один раз проверь

#82 metzen

metzen

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 05 Сентябрь 2019 - 13:50

Как написать сообщение в личку. Хочу логи скинуть, что бы помогли, разобраться.



#83 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 05 Сентябрь 2019 - 14:48

Как написать сообщение в личку. Хочу логи скинуть, что бы помогли, разобраться.

Нужно чтобы было 3 поста, тогда откроется доступ к личке.

Можете пару раз мне ответить.  :)



#84 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 06 Сентябрь 2019 - 08:35

Логи лучше сбрасывать в техподдержку, а не в личку.

Попросили - другое дело, а вот по собственной инициативе - не надо.



#85 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 13 Ноябрь 2019 - 08:38

В связи с обновлением сервера до 12 и появлением замечательного фикса:

 

 

- Добавлена поддержка протокола SMBv2 при удаленной установке Агентов с Серверов под управлением всех поддерживаемых ОС.

 

Какие подводные камни?

 

В моей ситуации всё по прежнему:

при сканировании нахожу доменные станции без Агента, делаю попытку установки через учетку доменного администратора с различным синтаксисом (имя@домен.суффикс, домен\имя, ДОМЕН\имя и т.д.), но всё по прежнему и до аутентификации, походу, дело даже не доходит, ошибка всплывает моментом:

40j8VZf.png


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#86 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 13 Ноябрь 2019 - 08:52

В связи с обновлением сервера до 12 и появлением замечательного фикса:

 

 

- Добавлена поддержка протокола SMBv2 при удаленной установке Агентов с Серверов под управлением всех поддерживаемых ОС.

 

Какие подводные камни?

 

В моей ситуации всё по прежнему:

при сканировании нахожу доменные станции без Агента, делаю попытку установки через учетку доменного администратора с различным синтаксисом (имя@домен.суффикс, домен\имя, ДОМЕН\имя и т.д.), но всё по прежнему и до аутентификации, походу, дело даже не доходит, ошибка всплывает моментом:

40j8VZf.png

 

 

20191113.085009.05 db2 [01169 01349] wwr:4  [PgSQL/66] 1 row changed, 00.000, INSERT INTO "webmin" ("id", "data", "rkey", "created", "seq") VALUES (?, ?, ?, ?, ?) [36:"f48598bd-7755-4581-b6f3-f16b31c365c4", 54:"172.17.20.130, 172.17.20.9, 172.17.21.5, 172.17.22.133", 13:"instComputers", 17:"20191113055009047", 1:"0"]
20191113.085009.08 tr0 [01169 01352] wwr:7  [Runner] Host: 172.17.20.130
20191113.085009.08 tr0 [01169 33409] smb:85 [Discovery] Parse endpoints <172.17.20.130:445>
20191113.085009.08 tr0 [01169 33409] smb:85 [Discovery] Parse endpoint <172.17.20.130:445>
20191113.085009.08 db3 [01169 33409] smb:85 [Discovery] Got stream endpoint <tcp://172.17.20.130:445>
20191113.085009.08 tr0 [01169 33410] smb:86 [Install] tcp://172.17.20.130:445: established connection with 172.17.20.130
20191113.085009.08 db0 [01169 33410] smb:86 [SMB] tcp://172.17.20.130:445: negotiating
20191113.085009.08 db0 [01169 33416] smb:92 [SMB] tcp://172.17.20.130:445: negotiated (id: 0x0001)
20191113.085009.08 tr0 [01169 33416] smb:92 [Install] tcp://172.17.20.130:445: negotiated SMB protocol (dialect: 1.0)
20191113.085009.08 db0 [01169 33416] smb:92 [SMB] tcp://172.17.20.130:445: NTLM: negotitating
20191113.085009.08 db0 [01169 33419] smb:95 [SMB] tcp://172.17.20.130:445: NTLM: unable to negotiate (ec = 0xC00000BB)
20191113.085009.08 db0 [01169 33419] smb:95 [SMB] tcp://172.17.20.130:445: NTLM: negotitating
20191113.085009.08 db0 [01169 33411] smb:87 [SMB] tcp://172.17.20.130:445: NTLM: unable to negotiate (ec = 0xC00000BB)
20191113.085009.08 ERR [01169 33411] smb:87 [Install] tcp://172.17.20.130:445: failed to authenticate on remote host
20191113.085009.08 tr0 [01169 33411] smb:87 [Install] tcp://172.17.20.130:445/dead: connection closed
 
по телнету соединяет с 445 портом станции.

Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#87 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 13 Ноябрь 2019 - 09:12

Обратил внимание, что тут происходит попытка аутентификации через NTLM.

 

А планируется ли реализация через Kerberos? Хотя бы в случаях, когда речь идет о рабочих станциях, членах домена?


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#88 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 13 Ноябрь 2019 - 10:02

Нету. Из методов аутентификации есть только NTLMSSP, не выше. У Вас он отключен или проблема не в этом?

UPD: Хотя, SPNEGO должен быть, но под ним опять же NTLM, емнип.


Сообщение было изменено Afalin: 13 Ноябрь 2019 - 10:06

Семь раз отрежь – один раз проверь

#89 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 13 Ноябрь 2019 - 10:14

Нету. Из методов аутентификации есть только NTLMSSP, не выше. У Вас он отключен или проблема не в этом?

UPD: Хотя, SPNEGO должен быть, но под ним опять же NTLM, емнип.

 

У нас NTLM, как средство аутентификации в доменной сети, несколько лет как отключен (как устаревший), используется только Kerberos.


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#90 sneez

sneez

    Newbie

  • Posters
  • 26 Сообщений:

Отправлено 13 Ноябрь 2019 - 13:07

Это глюки сервера. У меня в 11.00.2 такие сообщения иногда появляются, но с 10-й попытки он все таки начинает устанавливать.



#91 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 13 Ноябрь 2019 - 13:10

Если у Вас 11.00.2-20190227 и винда, то там всё работает на совсем других костылях. И там таки kerberos работать может. В 12 эти костыли тоже можно включить, но опять-таки только на винде.


Семь раз отрежь – один раз проверь

#92 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 13 Ноябрь 2019 - 16:12

У нас NTLM, как средство аутентификации в доменной сети, несколько лет как отключен (как устаревший), используется только Kerberos.

В общем, себе записали проблему. Когда это может быть сделано – прогнозов не дам.

За фидбек – спасибо.


Семь раз отрежь – один раз проверь

#93 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 15 Ноябрь 2019 - 09:54

Можно еще сделать возможность сохранять введенные данные для авторизации на станциях?

 

Каждые раз вводить несколько вариантов утомляет.


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#94 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 15 Ноябрь 2019 - 10:02

4YUTyss.png

Еще было бы неплохо в окне вывода результата по найденым станциям сделать сортировку по наличию и отсутствию агента (или сделать показ только тех станций, где нет агента).

 

Определение сетевого устройства (исключить коммутаторы и принтеры из результатов сканирования) - так же было бы неплохо.

 

Ну и для большего дружелюбия интерфейса хорошо бы легенду в заголовок (рядом с ссылками на сохранение) - где агент установлен, где нет.

 

Желтые кружки без всплывающей подсказки какой-то неочевидный вариант.


Сообщение было изменено Александр Б.: 15 Ноябрь 2019 - 10:07

Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#95 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 15 Ноябрь 2019 - 10:06

Можно еще сделать возможность сохранять введенные данные для авторизации на станциях?

Каждые раз вводить несколько вариантов утомляет.

Да, такой feature request уже висит.

Сообщение было изменено Afalin: 15 Ноябрь 2019 - 10:06

Семь раз отрежь – один раз проверь

#96 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 15 Ноябрь 2019 - 10:09

Определение сетевого устройства (исключить коммутаторы и принтеры из результатов сканирования) - так же было бы неплохо.

Вот с этим кстати вопрос, как достоверно выяснить, что этот девайс не ожидает установки на него чего-то.

Кстати, в планах удалённая установка на юниксы, а там ещё сложнее отличить обычную юниксовую машину от сетевого принтера.

 

Остальное запишем.


Семь раз отрежь – один раз проверь

#97 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 15 Ноябрь 2019 - 10:29

 

Определение сетевого устройства (исключить коммутаторы и принтеры из результатов сканирования) - так же было бы неплохо.

Вот с этим кстати вопрос, как достоверно выяснить, что этот девайс не ожидает установки на него чего-то.

 

 

Можно пока полуавтомат сделать.

 

Если известны адреса, например, виртуальных шлюзов, чтобы при сканировании диапазона, типа, 172.17.11.1-172.17.30.254, исключались все .1 и .254 адреса (заранее заданные на исключение).


Сообщение было изменено Александр Б.: 15 Ноябрь 2019 - 10:29

Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#98 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 15 Ноябрь 2019 - 10:30

 

Определение сетевого устройства (исключить коммутаторы и принтеры из результатов сканирования) - так же было бы неплохо.

Вот с этим кстати вопрос, как достоверно выяснить, что этот девайс не ожидает установки на него чего-то.

Кстати, в планах удалённая установка на юниксы, а там ещё сложнее отличить обычную юниксовую машину от сетевого принтера.

 

Остальное запишем.

 

 

Ну обычно у юниксовой машины не используется 80 порт, в отличии от принтера/МФУ, где обычно какой-нибудь веб-интерфейс висит :)


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#99 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 15 Ноябрь 2019 - 11:02

Если известны адреса, например, виртуальных шлюзов, чтобы при сканировании диапазона, типа, 172.17.11.1-172.17.30.254, исключались все .1 и .254 адреса (заранее заданные на исключение).

Про исключения в списке адресов где-то были обсуждения, да.

Ну обычно у юниксовой машины не используется 80 порт, в отличии от принтера/МФУ, где обычно какой-нибудь веб-интерфейс висит

Вот на 80 порт точно плохая идея завязываться. Он-то может у кого угодно быть открытым.


Семь раз отрежь – один раз проверь

#100 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 15 Ноябрь 2019 - 12:38

Циски какие-нибудь, наверно, легко идентифицировать по MAC range, например.


(exit 0)


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых