Dieses Szenario beschreibt, wie Sie verwaltete Geräte, die sich außerhalb des Hauptnetzwerks befinden, mit dem Administrationsserver verbinden.
Erforderliche Vorrausetzungen
Für dieses Szenario müssen die folgenden Voraussetzungen erfüllt sein:
Schritte
Das Szenario verläuft in Stufen:
Das Gerät wird als Verbindungs-Gateway verwendet. Das von Ihnen ausgewählte Gerät muss den Anforderungen an ein Verbindungs-Gateway entsprechen.
Für die Installation des Administrationsagenten auf dem ausgewählten Gerät wird eine lokale Installation empfohlen.
Standardmäßig befindet sich die Installationsdatei unter: \\<Servername>\KLSHARE\PkgInst\NetAgent_<Versionsnummer>
Wählen Sie im Installationsassistenten des Administrationsagenten im Fenster Verbindungs-Gateway die Option Administrationsagenten als Verbindungs-Gateway in der demilitarisierten Zone verwenden. Dieser Modus aktiviert die Rolle als Verbindungs-Gateway und unterweist gleichzeitig den Administrationsagenten, auf Verbindungen vom Administrationsserver zu warten, anstelle Verbindungen zum Administrationsserver herzustellen.
Alternativ können Sie den Administrationsagent auf einem Linux-Gerät installieren und so konfigurieren, dass er als Verbindungs-Gateway fungiert, sollten dabei aber die Liste der Einschränkungen von Administrationsagenten auf Linux-Geräten beachten.
Um sicherzustellen, dass sich der Administrationsserver tatsächlich mit dem Verbindungs-Gateway in der DMZ verbinden kann, erlauben Sie Verbindungen zu TCP-Port 13000 in allen Firewalls zwischen dem Administrationsserver und dem Verbindungsgateway.
Wenn das Verbindungs-Gateway keine echte IP-Adresse im Internet besitzt, sich aber stattdessen hinter einer Network Address Translation (NAT) befindet, konfigurieren Sie eine Regel für das Forwarding von Verbindungen über NAT.
Erstellen Sie eine neue Gruppe unter der Gruppe Verwaltete Geräte. Diese neue Gruppe wird die externen verwalteten Geräte enthalten.
Das von Ihnen konfigurierte Verbindungs-Gateway wartet auf eine Verbindung vom Administrationsserver. Der Administrationsserver zeigt das Gerät mit dem Verbindungs-Gateway jedoch nicht unter den verwalteten Geräten an. Das liegt daran, dass das Verbindungs-Gateway noch nicht versucht hat, eine Verbindung mit dem Administrationsserver herzustellen. Es ist daher eine spezielle Vorgehensweise notwendig, um sicherzustellen, dass der Administrationsserver eine Verbindung zum Verbindungs-Gateway initiiert.
Führen Sie folgende Schritte aus:
Das Verbindungs-Gateway ist verbunden und konfiguriert.
In der Regel werden externe Desktop-Computer nicht in den Perimeter hinein bewegt. Daher müssen Sie die Geräte während der Installation des Administrationsagenten so konfigurieren, dass sie sich über das Verbindungs-Gateway mit dem Administrationsserver verbinden.
Wenn die Updates der Sicherheitsanwendungen so konfiguriert sind, dass sie vom Administrationsserver heruntergeladen werden, laden sich externe Computer die Updates über den Verbindungs-Gateway herunter. Das hat zwei Nachteile:
Führen Sie folgende Schritte aus:
Reiselaptops befinden sich manchmal innerhalb und manchmal außerhalb des Netzwerks. Um deren Verwaltung effizient zu gestalten, müssen sich diese Geräte, abhängig von deren Standort, auf unterschiedliche Weise mit dem Administrationsserver verbinden. Für effizienten Traffic müssen die Geräte ebenfalls in Abhängigkeit von ihrem Standort Updates aus verschiedenen Quellen beziehen.
Sie müssen Regeln für mobile Benutzer konfigurieren: Verbindungsprofile und Beschreibungen der Standorte im Netzwerk. Jede Regel gibt an, mit welcher Instanz eines Administrationsservers sich die Reiselaptops in Abhängigkeit ihres Standortes verbinden müssen und von welcher Instanz eines Administrationsservers sie ihre Updates beziehen müssen.