In Kaspersky Security Center haben Sie die Möglichkeit, Geräte manuell zu Verteilungspunkten zu bestimmen.
Es wird empfohlen, die Verteilungspunkte automatisch zu bestimmen. In diesem Fall wählt Kaspersky Security Center die Geräte, die zu Verteilungspunkten bestimmt werden, selbständig aus. Wenn Sie jedoch aus bestimmten Gründen auf die automatische Bestimmung der Verteilungspunkte verzichten möchten (beispielsweise wenn Sie speziell ausgewählte Server verwenden wollen), können Sie die Verteilungspunkte manuell bestimmen, nachdem Sie deren Anzahl und Konfiguration berechnet haben.
Geräte, die als Verteilungspunkte fungieren, müssen vor unberechtigtem Zugriff (auch physischer Natur) geschützt werden.
Um ein Gerät manuell zum Verteilungspunkt zu bestimmen, gehen Sie wie folgt vor:
Klicken Sie im Hauptmenü neben dem Namen des benötigten Administrationsservers auf das Einstellungen-Symbol ().
Das Eigenschaftenfenster des Administrationsservers wird geöffnet.
Wählen Sie auf der Registerkarte Allgemein den Abschnitt Verteilungspunkte aus.
Wählen Sie die Option Verteilungspunkte manuell zuweisen aus.
Klicken Sie auf die Schaltfläche Zuweisen.
Wählen Sie das Gerät aus, das Sie zu einem Verteilungspunkt machen möchten.
Berücksichtigen Sie bei der Auswahl des Geräts die Besonderheiten des Verteilungspunkts und die Anforderungen an das Gerät, das die Rolle des Verteilungspunkts übernehmen soll.
Wählen Sie die Administrationsgruppe aus, die zum Gültigkeitsbereich des ausgewählten Verteilungspunkts gehören soll.
Klicken Sie auf die Schaltfläche OK.
Der hinzugefügte Verteilungspunkt wird in der Liste der Verteilungspunkte im Abschnitt Verteilungspunkte angezeigt.
Klicken Sie den hinzugefügten Verteilungspunkt in der Liste an, um sein Eigenschaftenfenster zu öffnen.
Passen Sie im Eigenschaftenfenster die Einstellungen des Verteilungspunkts an:
Der Abschnitt Allgemein enthält die Einstellung für die Interaktion des Verteilungspunkts mit den Client-Geräten:
Wenn diese Option aktiviert ist, werden die Installationspakete automatisch mithilfe von IP-Multicasting an die Client-Geräte innerhalb einer Gruppe verteilt.
IP-Multicasting erhöht die Dauer für die Installation einer Anwendung aus einem Installationspaket in eine Gruppe von Client-Geräten. Dagegen reduziert es die Installationsdauer, wenn Sie eine Anwendung auf einem einzelnen Client-Gerät installieren.
Standardmäßig wird Port 15001 verwendet. Wenn als Verteilungspunkt ein Gerät angegeben wurde, auf dem der Administrationsserver installiert ist, wird für die Verbindung mit dem SSL-Protokoll standardmäßig Port 13001 verwendet.
Aus den folgenden Quellen werden Updates an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Updates Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Update-Downloads und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
Aus den folgenden Quellen werden Installationspakete an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Installationspaketen Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Downloads von Installationspaketen und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
In Kaspersky Security Center kann ein Verteilungspunkt als Push-Server für Geräte fungieren, die über das mobile Protokoll oder über den Administrationsagenten verwaltet werden. Ein Push-Server muss beispielsweise aktiviert sein, wenn Sie die erzwungene Synchronisierung von KasperskyOS-Geräten mit dem Administrationsserver verwenden möchten. Ein Push-Server besitzt denselben Umfang verwalteter Geräte wie der Verteilungspunkt, auf dem der Push-Server aktiviert ist. Wenn Sie mehrere Verteilungspunkte derselben Administrationsgruppe zugewiesen haben, können Sie den Push-Server auf jedem der Verteilungspunkte aktivieren. In diesem Fall verteilt der Administrationsserver die Last zwischen den Verteilungspunkten.
Die Portnummer des Push-Servers. Sie können die Nummer eines beliebigen unbelegten Ports angeben.
Geben Sie im Abschnitt Bereich den Bereich an, auf den der Verteilungspunkt die Updates verteilen soll (Administrationsgruppen und/oder Netzwerkspeicherort).
Nur Geräte unter der Verwaltung von Windows können ihren Netzwerkspeicherort ermitteln. Die Bestimmung des Netzwerkspeicherorts ist für Geräte unter der Verwaltung anderer Betriebssysteme nicht verfügbar.
Wenn der Verteilungspunkt auf einem anderen Computer als dem Administrationsserver ausgeführt wird, können Sie im Abschnitt Update-Quelle eine Updatequelle für den Verteilungspunkt auswählen:
Wählen Sie eine Update-Quelle für den Verteilungspunkt aus:
Damit der Verteilungspunkt die Updates vom Administrationsserver erhält, wählen Sie Vom Administrationsserver beziehen.
Damit Verteilungspunkte Updates anhand einer Aufgabe beziehen können, wählen Sie Aufgaben zum Update-Download verwenden aus und geben Sie anschließend eine Aufgabe vom Typ Download von Updates in die Datenverwaltung der Verteilungspunkte an:
Wenn eine solche Aufgabe bereits auf dem Gerät vorhanden ist, wählen Sie die Aufgabe in der Liste aus.
Wenn auf dem Gerät noch keine derartige Aufgabe vorhanden ist, klicken Sie auf den Link Aufgabe erstellen, um eine Aufgabe zu erstellen. Der Assistent für das Erstellen einer Aufgabe wird gestartet. Folgen Sie den Anweisungen des Assistenten.
Kennwort des Benutzerkontos, unter dessen Namen die Aufgabe gestartet wird.
Im Abschnitt KSN Proxy können Sie die Anwendung anpassen, um den Verteilungspunkt zum Weiterleiten von KSN-Anfragen von den verwalteten Geräten zu verwenden:
Der KSN Proxy-Service wird auf dem Gerät ausgeführt, das als Verteilungspunkt verwendet wird. Verwenden Sie diese Funktion, um Datenverkehr im Netzwerk neu zu verteilen und zu optimieren.
Der Verteilungspunkt sendet die KSN-Statistik, die in der Erklärung zu Kaspersky Security Network aufgeführt sind, an Kaspersky. Standardmäßig befindet sich die KSN-Erklärung unter %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Diese Option ist standardmäßig deaktiviert. Die Aktivierung dieser Option wird erst wirksam, wenn im Fenster mit den Eigenschaften des Administrationsservers die Optionen Administrationsserver als Proxyserver verwenden und Ich akzeptiere die Nutzungsbedingungen für Kaspersky Security Networkaktiviert sind.
Sie können dem Knoten eines aktiv-passiven Clusters die Rolle als Verteilungspunkt zuweisen und den KSN-Proxyserver auf diesem Knoten aktivieren.
Der Verteilungspunkt leitet KSN-Anfragen von den verwalteten Geräten an die KSN Cloud oder an Private KSN weiter. KSN-Anfragen, die der Verteilungspunkt selbst generiert, werden ebenso direkt an KSN Cloud oder Private KSN gesendet.
Verteilungspunkte, auf denen der Administrationsagent der Version 11 (oder niedriger) installiert ist, können nicht direkt auf Private KSN zugreifen. Um die Verteilungspunkte so anzupassen, dass KSN-Anfragen an Private KSN gesendet werden, aktivieren Sie die Option KSN-Anfragen an Administrationsserver weiterleiten für jeden Verteilungspunkt.
Verteilungspunkte, auf denen der Administrationsagent der Version 12 (oder höher) installiert ist, können direkt auf Private KSN zugreifen.
Aktivieren Sie diese Option, wenn Sie die Proxyserver-Einstellungen in den Eigenschaften des Verteilungspunkts oder in der Richtlinie des Administrationsagenten angepasst haben, aber Ihre Netzwerkarchitektur eine direkte Verwendung von Private KSN erfordert. Andernfalls können von den verwalteten Anwendungen gesendete Anfragen Private KSN nicht erreichen.
Diese Option ist verfügbar, wenn Sie die Option Direkt über das Internet auf KSN Cloud/Private KSN zugreifen auswählen.
Die Nummer des TCP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Standardmäßig wird Portnummer 13111 verwendet.
Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen UDP-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert.
Die Nummer des UDP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Der standardmäßige UDP-Port für die Verbindung zum KSN-Proxyserver ist 15111.
Wenn der Verteilungspunkt auf einem anderen Computer als dem Administrationsserver ausgeführt wird, können Sie im Abschnitt Verbindungs-Gateway den Verteilungspunkt so konfigurieren, dass er als Gateway für die Verbindung zwischen den Instanzen der Administrationsagenten und dem Administrationsserver fungiert:
Wenn aufgrund der Organisation Ihres Netzwerks keine direkte Verbindung zwischen dem Administrationsserver und den Administrationsagenten hergestellt werden kann, können Sie den Verteilungspunkt als Verbindungs-Gateway zwischen Administrationsserver und Administrationsagenten verwenden.
Aktivieren Sie diese Option, wenn der Verteilungspunkt als Verbindungs-Gateway zwischen den Administrationsagenten und dem Administrationsserver fungieren soll. Diese Option ist standardmäßig deaktiviert.
Wenn sich der Administrationsserver außerhalb der demilitarisierten Zone (DMZ) in einem lokalen Netzwerk befindet, können auf Remote-Geräten installierte Administrationsagenten keine Verbindung zum Administrationsserver herstellen. Sie können einen Verteilungspunkt als Verbindungs-Gateway mit Reverse Connectivity verwenden (der Administrationsserver stellt eine Verbindung zum Verteilungspunkt her).
Aktivieren Sie diese Option, wenn Sie den Administrationsserver mit dem Verbindungs-Gateway in der DMZ verbinden müssen.
Aktivieren Sie diese Option, wenn Sie das Verbindungs-Gateway in der DMZ benötigen, um einen Port für die Web Console zu öffnen, der sich in der DMZ oder im Internet befindet. Geben Sie die Portnummer an, die für die Verbindung von der Web Console zum Verteilungspunkt verwendet wird. Standardmäßig wird Portnummer 13299 verwendet.
Diese Option ist verfügbar, wenn Sie die Option Verbindung zum Gateway ausgehend vom Administrationsserver herstellen (falls sich das Gateway in der DMZ befindet) aktivieren.
Wenn Sie mobile Geräte über den Verteilungspunkt, der als Verbindungs-Gateway fungiert, mit dem Administrationsserver verbinden, können Sie die folgenden Optionen aktivieren:
Aktivieren Sie diese Option, wenn das Verbindungs-Gateway einen Port für mobile Geräte öffnen soll, und geben Sie die Portnummer an, die mobile Geräte für die Verbindung zum Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13292 verwendet. Das mobile Gerät überprüft das Zertifikat des Administrationsservers. Beim Verbindungsaufbau wird nur der Administrationsserver authentifiziert.
Aktivieren Sie diese Option, wenn Sie ein Verbindungs-Gateway benötigen, um einen Port zu öffnen, der für die bidirektionale Authentifizierung des Administrationsservers und mobiler Geräte verwendet wird. Das mobile Gerät überprüft das Zertifikat des Administrationsservers und der Administrationsserver überprüft das Zertifikat des mobilen Geräts. Geben Sie die folgenden Parameter an:
Portnummer, die mobile Geräte für die Verbindung mit dem Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13293 verwendet.
DNS-Domänennamen des Verbindungs-Gateways, die von mobilen Geräten verwendet werden. Trennen Sie Domänennamen durch Kommas. Die angegebenen Domänennamen werden in das Zertifikat des Verteilungspunkts aufgenommen. Wenn die von den mobilen Geräten verwendeten Domänennamen nicht mit dem allgemeinen Namen im Verteilungspunktzertifikat übereinstimmen, stellen die mobilen Geräte keine Verbindung zum Verteilungspunkt her.
Standardmäßig entspricht der DNS-Domänenname dem FQDN-Namen des Verbindungsgateways.
In beiden Fällen werden die Zertifikate nur während des Aufbaus der TLS-Sitzung auf dem Verteilungspunkt überprüft. Die Zertifikate werden nicht zur Prüfung durch den Administrationsserver weitergeleitet. Nachdem eine TLS-Sitzung mit dem mobilen Gerät hergestellt wurde, verwendet der Verteilungspunkt das Zertifikat des Administrationsservers, um einen Tunnel für die Synchronisierung zwischen dem mobilen Gerät und dem Administrationsserver herzustellen. Wenn Sie den Port für die bidirektionale SSL-Authentifizierung öffnen, kann das Zertifikat für mobile Geräte nur mithilfe eines Installationspakets verteilt werden.
Passen Sie die Einstellungen für die Abfrage der Windows-Domänen, des Active Directory oder des IP-Bereichs für den Verteilungspunkt an:
Sie können für Active Directory die Netzwerkabfrage erlauben und den Zeitplan für die Abfrage festlegen.
Wenn Sie einen Windows-Verteilungspunkt verwenden, können Sie eine der folgenden Optionen auswählen:
Aktuelle Domäne des Active Directory abfragen.
Domänengesamtstruktur des Active Directory abfragen.
Angegebene Domänen des Active Directory abfragen. Wenn Sie diese Option auswählen, fügen Sie eine oder mehrere Active Directory-Domänen zur Liste hinzu.
Wenn Sie einen Linux-Verteilungspunkt mit installiertem Administrationsagenten Version 15 verwenden, können Sie nur Active Directory-Domänen abfragen, für die Sie die Adresse und die Anmeldeinformationen des Benutzers angeben. Die Abfrage der aktuellen Active Directory-Domäne und der Active Directory-Domänen-Gesamtstruktur ist nicht verfügbar.
Wenn Sie die Option Zeroconf zum Abfragen von IPv6-Netzwerken verwenden aktiviert haben, fragt der Verteilungspunkt das IPv6-Netzwerk automatisch unter Verwendung von Zero-configuration Networking (auch als Zeroconf bezeichnet) ab. In diesem Fall werden angegebene IP-Bereiche ignoriert, da der Verteilungspunkt das gesamte Netzwerk abfragt. Für Verteilungspunkte mit Linux ist die Option Zeroconf zum Abfragen von IPv6-Netzwerken verwenden verfügbar. Um die Zeroconf IPv6-Abfrage verwenden zu können, müssen Sie das Tool "avahi-browser" auf dem Verteilungspunkt installieren.
Geben Sie im Abschnitt Erweitert den Ordner an, den der Verteilungspunkt zum Speichern der zu verteilenden Daten verwenden soll:
Bei Auswahl dieser Option können Sie im unteren Feld den Pfad zum Ordner angeben. Dabei können Sie einen lokalen Ordner des Verteilungspunkts oder einen Ordner auf einem beliebigen, sich im Unternehmensnetzwerk befindlichen Remote-Gerät angeben.
Das Benutzerkonto, unter dem der Administrationsagent auf dem Verteilungspunkt gestartet wird, muss über die Lese- und Schreibberechtigungen für den angegebenen Ordner verfügen.
Klicken Sie auf die Schaltfläche OK.
Daraufhin übernehmen die ausgewählten Geräte die Rolle des Verteilungspunkts.