Scenariusz: Podłączanie urządzeń mobilnych przez bramę połączenia

W tym scenariuszu opisano sposób podłączania zarządzanych urządzeń znajdujących się poza siecią główną z Serwerem administracyjnym.

Wymagania wstępne

Scenariusz ma następujące wymagania wstępne:

Etapy

Ten scenariusz przebiega etapami:

  1. Wybieranie urządzenia kliencka w DMZ

    To urządzenie zostanie użyte jako brama połączenia. Urządzenie, które wybrałeś, musi spełniać wymagania dla bram połączenia.

  2. Instalowanie Agenta sieciowego w roli bramy połączenia

    Do zainstalowania Agenta sieciowego na wybranym urządzeniu zalecane jest używanie instalacji lokalnej.

    Domyślnie plik instalacyjny znajduje się w następującym miejscu: \\<nazwa serwera>\KLSHARE\PkgInst\NetAgent_<numer wersji>

    W oknie Brama połączenia Kreatora instalacji Agenta sieciowego wybierz Użyj Agenta sieciowego jako bramy połączenia w DMZ. Ten tryb jednocześnie aktywuje rolę bramy połączenia i nakazuje Agentowi sieciowemu czekać na połączenia z Serwera administracyjnego zamiast nawiązywać połączenia z Serwerem administracyjnym.

    Alternatywnie możesz zainstalować Agenta sieciowego na urządzeniu z systemem Linux i skonfigurować Agenta sieciowego do pracy jako brama połączenia, ale zwróć uwagę na listę ograniczeń Agenta sieciowego działającego na urządzeniach z systemem Linux.

  3. Zezwalanie na połączenia w zaporach sieciowych w bramie połączenia

    Aby upewnić się, że Serwer administracyjny może faktycznie połączyć się z bramą połączenia w strefie DMZ, zezwolić na połączenia z portem TCP o numerze 13000 we wszystkich zaporach ogniowych między Serwerem administracyjnym a bramą połączenia.

    Jeśli brama połączenia nie ma rzeczywistego adresu IP w Internecie, ale zamiast tego znajduje się poza NAT (Network Address Translation — translacja adresów sieciowych), skonfiguruj regułę, aby przekazywać połączenia przez NAT.

  4. Tworzenie grupy administracyjnej dla urządzeń zewnętrznych

    Utwórz nową grupę w grupie Zarządzane urządzenia. Ta nowa grupa będzie zawierała zewnętrzne zarządzane urządzenia.

  5. Podłączanie bramy połączenia do Serwera administracyjnego

    Brama połączenia, którą skonfigurowałeś, oczekuje na połączenie z Serwera administracyjnego. Jednakże Serwer administracyjny nie wyświetla urządzenia z bramą połączenia wśród zarządzanych urządzeń. Dzieje się tak ponieważ brama połączenia nie próbowała nawiązać połączenia z Serwerem administracyjnym. Dlatego też należy przeprowadzić specjalną procedurę w celu zapewnienia, że Serwer administracyjny zainicjuje połączenie z bramą połączenia.

    Wykonaj następujące czynności:

    1. Dodaj bramę połączenia jako punkt dystrybucji.
    2. Przenieś bramę połączenia z grupy Nieprzypisane urządzenia do grupy utworzonej dla urządzeń zewnętrznych.

    Brama połączenia została podłączona i skonfigurowana.

  6. Podłączanie zewnętrznych komputerów stacjonarnych do Serwera administracyjnego

    Zwykle zewnętrzne komputery stacjonarne nie są przenoszone wewnątrz obwodu. Dlatego musisz skonfigurować je tak, aby łączyły się z Serwerem administracyjnym przez bramę podczas instalowania Agenta sieciowego.

  7. Konfigurowanie aktualizacji dla zewnętrznych komputerów stacjonarnych

    Jeśli aktualizacje aplikacji zabezpieczających są skonfigurowane do pobierania z Serwera administracyjnego, komputery zewnętrzne pobierają aktualizacje przez bramę połączenia. Ma to dwie wady:

    • To niepotrzebny ruch, który zajmuje przepustowość kanału komunikacji internetowej firmy.
    • Niekoniecznie jest to najszybszy sposób uzyskiwania aktualizacji. Jest bardzo prawdopodobne, że pobieranie aktualizacji z serwerów aktualizacji Kaspersky byłoby tańsze i szybsze.

    Wykonaj następujące czynności:

    1. Przenieś wszystkie komputery zewnętrzne do oddzielnej grupy administracyjnej, którą utworzyłeś wcześniej.
    2. Wyklucz grupę z urządzeniami zewnętrznymi z zadania aktualizacji.
    3. Utwórz osobne zadanie aktualizacji dla grupy z urządzeniami zewnętrznymi.
  8. Podłączanie przenośnych laptopów do Serwera administracyjnego

    Przenośne laptopy są czasami w sieci, a czasami poza nią. W celu efektywnego zarządzania należy połączyć je z Serwerem administracyjnym w różny sposób w zależności od ich lokalizacji. Aby efektywnie wykorzystywać ruch sieciowy, muszą również pobierać uaktualnienia z różnych źródeł w zależności od ich lokalizacji.

    Należy skonfigurować reguły dla użytkowników mobilnych: profile połączeń i opisy lokalizacji sieciowych. Każda reguła definiuje instancję Serwera administracyjnego, z którym muszą łączyć się przenośne laptopy w zależności od ich lokalizacji oraz instancji Serwera administracyjnego, z którego muszą pobierać aktualizacje.

Zobacz również:

Dostęp do internetu: Agent sieciowy jako brama połączenia w strefie zdemilitaryzowanej

Przejdź do góry