В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.
Предварительные требования
Сценарий имеет следующие предварительные требования:
Этапы
Этот сценарий состоит из следующих этапов:
Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.
Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.
По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.
В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.
Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.
Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.
Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.
Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.
Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.
Выполните следующие действия:
Шлюз соединения подключен и настроен.
Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.
Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:
Выполните следующие действия:
Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.
Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.