Kaspersky Security Center Network Agent のリモートインストール中、アカウント権限の構成が誤っていることが原因で発生しているエラーのトラブルシューティングを行う
更新日: 2024年3月25日
Article ID: 16028
本記事の対象となるアプリケーションとバージョンを表示する
- Kaspersky Security Center 14.2(バージョン 14.2.0.26967)
- Kaspersky Security Center 14(バージョン 14.0.0.10902)
- Kaspersky Security Center 13.2(バージョン 13.2.0.1511)
- Kaspersky Security Center 13.1(バージョン 13.1.0.8324)
- Kaspersky Security Center 13(バージョン 13.0.0.11247)
問題
管理サーバーを介してオペレーティングシステムのリソースを使用している か、ディストリビューションポイントを介してオペレーティングシステムのリソースを使用している ネットワークエージェントまたはサードパーティー製ソフトウェアの リモートインストールタスク を実行しようとすると、エラーが発生する場合があります。
原因
エラー | 原因 |
---|---|
「共有フォルダー "\\192.0.2.45\admin$" は次のアカウントで使用できません:svc_kavadmin@example.com、EXAMPLE\svc_kavadmin、<現在の管理サーバーのサービスアカウント> (アクセスが拒否されました。)」 | 管理サーバーが実行されているアカウントのアクセス権限が正しく構成されていません。 |
「ディストリビューションポイント "˂DP_名˃” はリモートインストールを開始できませんでした。管理サーバーからデバイス上の共有フォルダーへのインストールパッケージのダウンロード中にエラーが発生しました:˂Kaspersky Security Center 14.2 ネットワークエージェントのサービスアカウント˃ (アクセス拒否) 別のディストリビューションポイントが見つかりませんでした。」 | |
「共有フォルダー "\\192.0.2.45\admin$" は次のアカウントで使用できません:<現在の管理サーバーのサービスアカウント> (RPC サーバーを使用できません。)」 | NTLM プロトコル制限があるか、ターゲットデバイス、ディストリビューションポイント、または管理サーバーと Active Directory ドメイン間の信頼関係が正しく構築されていません。 |
「ディストリビューションポイント "˂DP_名˃” はリモートインストールを開始できませんでした。管理サーバーからデバイス上の共有フォルダーへのインストールパッケージのダウンロード中にエラーが発生しました:˂Kaspersky Security Center 14.2 ネットワークエージェントのサービスアカウント˃ (RPC サーバーを使用できません。) 別のディストリビューションポイントが見つかりませんでした。」 |
解決方法
- 管理サーバーサービスが実行されているアカウントを確認するために、次のコマンドを使用します:
wmic service where 'name = "kladminserver"' get startname
デフォルトでは、管理サーバーが実行されているアカウントの権限を使用して、デバイス上でリモートインストールタスクが開始されます。
- コマンドの実行結果を確認します。
自社のドメイン名の代わりにピリオドが表示される場合は、管理サーバーがインストールされているオペレーティングシステム(OS)のローカルユーザーの下でサービスが機能しています。
アカウントが インストールタスク設定 に追加されている場合は、ターゲットデバイスへの接続はこのアカウントと管理サーバーアカウントの下で行われます。
- 次の状況で発生した問題を解決するには、以下のガイドに従います:
エラーのトラブルシューティング:アクセス拒否
以下を確認します:
- リモートインストールタスクで指定されているアカウントパスワードが正しいかどうか。パスワードを再度入力します。
- アカウントがロックされているか有効期限が切れているかどうか。パスワードの変更が不要であることを確認します。
- アカウントがターゲットデバイスで管理者権限を持っているかどうか。
- アカウントに対して基本認証方法が設定されているかどうか:
- キーボードで + R キーを押します。
- 「 secpol.msc 」と入力して「 OK 」をクリックします。
- 開いた [ローカルセキュリティポリシー] のウィンドウで、[ ローカルポリシー ] → [ セキュリティオプション] と移動し、[ ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル ] を [ クラシック:ローカルユーザーがローカルユーザーとして認証する ] 設定します。詳しくは、Microsoft の Web サイト (英語) をご覧ください。
エラーのトラブルシューティング:RPC サーバーが使用できない
- ドメインデバイス、ディストリビューションポイント、または管理サーバーと Active Directory ドメインとの間の信頼関係を確認します。
そのためには、コマンドプロンプトを管理者として開き、次のコマンドを実行します:
powershell Test-ComputerSecureChannel
コマンドの結果が True の場合、デバイスはドメインから信頼されています。コマンドの詳細については、Microsoft の Web サイト を参照してください。
Kerberos を使用したインストール
- 各ドメインターゲットデバイスのサービスプリンシパル名を入力します:
- Active Directory 属性を書き込む権限を持つ管理者としてコマンドラインを開きます。
- 各デバイスに対するコマンドを実行します:
setspn -s cifs/<target_host_ip> <target_pc_hostname><target_host_ip> は、管理サーバーネットワークへの接続、またはネットワークエージェントのインストール対象のターゲットデバイスのディストリビューションポイントへの接続に使用される IP アドレスです。<target_pc_hostname> はデバイス名です。
例:
setspn -s cifs/192.0.2.45 mytestpc - 管理サーバーの OS で IP 経由の Kerberos に対応するようにします。
- 管理者としてコマンドラインを開きます。
- 以下のコマンドを実行します:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f - デバイス上でネットワークエージェントを導入します。
- デバイスの IP アドレスが一時的なものである場合は、以前作成した SPN レコードを削除します。詳しくは、Microsoft の Web サイト をご覧ください。
NTLM を使用したインストール
- ネットワークエージェントの導入中に、NTLM プロトコルの運用ログを提供するように Active Directory ドメインポリシーセキュリティ設定を変更します。
- ターゲットデバイスで [ ネットワークセキュリティ:NTLM 制限:受信 NTLM トラフィック] を [ すべて許可] に設定します。
[ ネットワークセキュリティ:NTLM 制限:リモートサーバーへの発信 NTLM トラフィック] ポリシー設定を [ すべて拒否] に設定することもできます。 - ドメインコントローラーで [ ネットワークセキュリティ:NTLM 制限:このドメインでの NTLM 認証] 設定を [ 無効] に設定します。
- 管理サーバーで、[ ネットワークセキュリティ:NTLM 制限:リモートサーバーへの発信 NTLM トラフィック ] ポリシー設定を [ すべて許可] に設定します。
- デバイス上でネットワークエージェントを導入します。
- Kerberos の場合のみ:ドメインセキュリティ設定を元々のモードにリセットします。
- ターゲットデバイスで [ ネットワークセキュリティ:NTLM 制限:受信 NTLM トラフィック] を [ すべて許可] に設定します。
- 問題が続く場合は、OS スナップインでリストされているすべてのデバイスの追加の診断データを確認します:[ イベントビューアー ] → [ アプリケーションとサービスログ ] → [ Microsoft] → [ Windows ] → [ NTLM ] → [ Operational(運用) ] ログを開きます。「 解決しない場合 」ブロックの 4 番目の項目で説明されているインストール方法を使用することもできます。
解決しない場合
- ネットワークアクセスのトラブルシューティング と OS の構成 に関する追加の推奨事項を使用します。
- インストールタスクが正常に完了し、メッセージ「このデバイスでリモートインストールが正常に完了しました」が表示されたのに、ネットワークエージェントを使用できないかネットワークエージェントがデバイスオブジェクトに表示されない場合は、こちらの 記事 の推奨事項を参照してください。
- サードパーティ製の保護ソフトウェアの中で、ディープパケットインスペクション(DPI)または復号技術とトラフィック分析技術(SSL インスペクション)が使用されている場合は、対象デバイスから管理サーバーへの接続をチェック対象から除外してみてください。
- ネットワークエージェントの導入用に追加の一元化ツール を使用します。
- Active Directory グループポリシー の使用
- リファレンス OS インストールイメージ への統合
- アプリケーションの導入を一元化するための サードパーティ製ツール
問題が解決されない場合は、カスペルスキーカンパニーアカウント 経由でカスペルスキーテクニカルサポートへお問い合わせください。お問い合わせに記載する情報:
- 問題の詳細について記載します。インストールエラーのスクリーンショットを添付し、実施した手順を記載し、こちらの記事の診断コマンドの出力を提供してください。
- 診断情報を収集 し、作成されたファイルをリクエストに添付してください。