Kaspersky Security Center umożliwia ręczne wskazanie urządzeń do pełnienia roli punktów dystrybucji.
Zalecane jest automatyczne przypisywanie punktów dystrybucji. W tym przypadku, Kaspersky Security Center sam wybierze urządzenia, które mają być punktami dystrybucji. Jednakże, jeśli z jakiegoś powodu musisz zrezygnować z automatycznego przypisywania punktów dystrybucji (na przykład, jeśli chcesz korzystać ze specjalnie wybranych serwerów), możesz ręcznie przypisać punkty dystrybucji po obliczeniu ich liczby i konfiguracji.
Urządzenia pełniące rolę punktów dystrybucji muszą być chronione, włączając w to ochronę fizyczną, przed wszelkim nieautoryzowanym dostępem.
W celu ręcznego wskazania urządzenia jako punktu dystrybucji:
W menu aplikacji kliknij ikonę ustawienia () obok nazwy żądanego Serwera administracyjnego.
Zostanie otwarte okno właściwości Serwera administracyjnego.
Na zakładce Ogólne wybierz sekcję Punkty dystrybucji.
Wybierz opcję Ręcznie przypisz punkty dystrybucji.
Kliknij przycisk Przypisz.
Wybierz urządzenie, które ma być punktem dystrybucji.
Podczas wybierania urządzenia pamiętaj o zasadach działania punktów dystrybucji i wymaganiach ustawionych dla urządzenia pełniącego rolę punktu dystrybucji.
Wybierz grupę administracyjną, którą chcesz uwzględnić w obszarze wybranego punktu dystrybucji.
Kliknij przycisk OK.
Dodany punkt dystrybucji będzie wyświetlany na liście punktów dystrybucji, w sekcji Punkty dystrybucji.
Na liście kliknij nowo dodany punkt dystrybucji, aby otworzyć jego okno właściwości.
Skonfiguruj punkt dystrybucji w oknie właściwości:
Sekcja Ogólne zawiera ustawienie interakcji pomiędzy punktem dystrybucji a urządzeniami klienckimi:
Jeśli ta opcja jest włączona, multicasting IP będzie używany do automatycznego rozsyłania pakietów instalacyjnych na urządzenia klienckie w obrębie grupy.
Multiemisja IP zmniejsza czas wymagany do zainstalowania aplikacji z pakietu instalacyjnego w grupie urządzeń klienckich, ale zwiększa czas instalacji, gdy instalujesz aplikację na jednym urządzeniu klienckim.
Domyślnym numerem portu jest 15001. Jeśli jako punkt dystrybucji określono urządzenie, na którym działa Serwer administracyjny, domyślnie dla połączenia SSL używany jest port 13001.
Aktualizacje są dystrybuowane na zarządzane urządzenia z następujących źródeł:
Ten punkt dystrybucji, jeśli ta opcja jest włączona.
Inne punkty dystrybucji, Serwer administracyjny lub serwery aktualizacji Kaspersky, jeśli ta opcja jest wyłączona.
Jeśli używasz punktów dystrybucji do wdrażania aktualizacji, możesz zmniejszyć ruch, ponieważ zmniejszasz liczbę pobrań. Możesz także odciążyć Serwer administracyjny i przenieść obciążenie między punktami dystrybucji. Możesz obliczyć liczbę punktów dystrybucji w Twojej sieci w celu optymalizacji ruchu i obciążenia.
Jeśli wyłączysz tę opcję, liczba pobrań aktualizacji i obciążenia Serwera administracyjnego mogą wzrosnąć. Domyślnie opcja ta jest włączona.
Pakiety instalacyjne są dystrybuowane na zarządzane urządzenia z następujących źródeł:
Ten punkt dystrybucji, jeśli ta opcja jest włączona.
Inne punkty dystrybucji, Serwer administracyjny lub serwery aktualizacji Kaspersky, jeśli ta opcja jest wyłączona.
Jeśli używasz punktów dystrybucji do wdrażania pakietów instalacyjnych, możesz zmniejszyć ruch, ponieważ zmniejszasz liczbę pobrań. Możesz także odciążyć Serwer administracyjny i przenieść obciążenie między punktami dystrybucji. Możesz obliczyć liczbę punktów dystrybucji w Twojej sieci w celu optymalizacji ruchu i obciążenia.
Jeśli wyłączysz tę opcję, liczba pobrań pakietów instalacyjnych i obciążenie Serwera administracyjnego może wzrosnąć. Domyślnie opcja ta jest włączona.
W Kaspersky Security Center punkt dystrybucji może działać jako serwer push dla urządzeń zarządzanych za pośrednictwem protokołu mobilnego oraz zarządzanych za pośrednictwem agenta sieciowego. Na przykład, serwer push musi być włączony, jeśli chcesz mieć możliwość wymuszenia synchronizacji urządzeń KasperskyOS z Serwerem administracyjnym. Serwer push posiada ten sam obszar zarządzanych urządzeń jako punkt dystrybucji, na którym włączono serwer push. Jeśli posiadasz kilka punktów dystrybucji przypisanych dla tej samej grupy administracyjnej, możesz włączyć serwer push na każdym punkcie dystrybucji. W tym przypadku Serwer administracyjny rozkłada obciążenie między punkty dystrybucji.
Numer portu serwera push. Możesz określić numer dowolnego zajętego portu.
W sekcji Zakres określ obszar, w jakim punkt dystrybucji będzie rozsyłał uaktualnienia (grupy administracyjne i/lub lokalizacja sieciowa).
Tylko urządzenia działające pod kontrolą systemu operacyjnego Windows mogą determinować swoją lokalizację sieciową. Lokalizacja sieciowa nie może zostać określona dla urządzeń z zainstalowanymi innymi systemami operacyjnymi.
Jeżeli punkt dystrybucji działa na komputerze innym niż Serwer administracyjny, w sekcji Źródło aktualizacji możesz wybrać źródło aktualizacji dla punktu dystrybucji:
Wybierz źródło uaktualnień dla punktu dystrybucji:
Aby zezwolić punktowi dystrybucji na pobieranie uaktualnień z Serwera administracyjnego, zaznacz opcję Pobierz z Serwera administracyjnego.
Aby umożliwić punktowi dystrybucji otrzymywanie aktualizacji za pomocą zadania, wybierz Użyj zadania pobierania aktualizacji, a następnie określ zadanie Pobierz aktualizacje do repozytoriów punktów dystrybucji:
Jeśli takie zadanie już istnieje na urządzeniu, wybierz zadanie z listy.
Jeśli takie zadanie jeszcze nie istnieje na urządzeniu, kliknij łącze Utwórz zadanie, aby utworzyć zadanie. Zostanie uruchomiony Kreator tworzenia nowego zadania. Postępuj zgodnie z instrukcjami kreatora.
Usługa KSN proxy jest uruchamiana na urządzeniu, które jest używane jako punkt dystrybucji. Użyj tej funkcji do redystrybucji i optymalizacji ruchu w sieci.
Punkt dystrybucji wysyła statystyki KSN, które zostały wymienione w Oświadczeniu Kaspersky Security Network, do Kaspersky. Domyślnie, Oświadczenie KSN znajduje się w %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Domyślnie opcja ta jest wyłączona. Włączenie tej opcji działa, jeśli opcje Użyj Serwera administracyjnego jako serwera proxy i Zgadzam się na korzystanie z Kaspersky Security Network zostały włączone w oknie właściwości Serwera administracyjnego.
Możesz przypisać węzeł klastra aktywny-pasywny do punktu dystrybucji i włączyć serwer proxy KSN na tym węźle.
Punkt dystrybucji przesyła żądania KSN z zarządzanych urządzeń do chmury KSN lub KPSN. Żądania KSN wygenerowane na samym punkcie dystrybucji są także wysyłane bezpośrednio do chmury KSN lub KPSN.
Punkty dystrybucji, na których jest zainstalowany Agent sieciowy w wersji 11 (lub wcześniejszej), nie mogą uzyskać bezpośredniego dostępu do KPSN. Jeśli chcesz ponownie skonfigurować punkty dystrybucji do wysyłania żądań KSN do KPSN, włącz opcję Przesyłaj żądania KSN do Serwera administracyjnego dla każdego punktu dystrybucji.
Punkty dystrybucji, na których jest zainstalowany Agent sieciowy w wersji 12 (lub późniejszej), mogą uzyskać bezpośredni dostęp do KPSN.
Włącz tę opcję, jeśli skonfigurowałeś ustawienia serwera proxy we właściwościach punktu dystrybucji lub w zasadzie Agenta sieciowego, ale architektura Twojej sieci wymaga bezpośredniego korzystania z KPSN. W przeciwnym razie, żądania z zarządzanych aplikacji nie będą mogły dotrzeć do KPSN.
Ta opcja jest dostępna, jeśli wybierzesz opcję Dostęp do KSN Cloud/KPSN bezpośrednio przez Internet.
Jeśli chcesz, żeby zarządzane urządzenia nawiązywały połączenie z serwerem KSN proxy poprzez port UDP, włącz opcję Użyj portu UDP i określ numer portu UDP. Domyślnie opcja ta jest włączona.
Numer portu UDP, którego zarządzane urządzenia będą używały do nawiązywania połączenia z serwerem KSN proxy. Domyślny port UDP do nawiązywania połączenia z serwerem KSN Proxy to 15111.
Jeżeli punkt dystrybucji działa na komputerze innym niż Serwer administracyjny, w sekcji Brama połączenia możesz skonfigurować punkt dystrybucji tak, aby działał jako brama dla połączenia między instancjami Agenta sieciowego a Serwerem administracyjnym:
Jeżeli bezpośrednie połączenie między Serwerem administracyjnym a Agentami sieciowymi nie może zostać nawiązane z powodu organizacji Twojej sieci, możesz użyć punktu dystrybucji, aby działał jako brama połączenia między Serwerem administracyjnym a Agentami sieciowymi.
Włącz tę opcję, jeśli chcesz, aby punkt dystrybucji działał jako brama połączenia między Agentami sieciowymi a Serwerem administracyjnym. Domyślnie opcja ta jest wyłączona.
Jeżeli Serwer administracyjny znajduje się poza strefą zdemilitaryzowaną (DMZ), w sieci lokalnej, Agenty sieciowe zainstalowane na zdalnych urządzeniach nie mogą łączyć się z Serwerem administracyjnym. Możesz użyć punktu dystrybucji jako bramy połączenia z odwrotną łącznością (Serwer administracyjny nawiązuje połączenie z punktem dystrybucji).
Włącz tę opcję, jeśli chcesz połączyć Serwer administracyjny z bramą połączenia w strefie DMZ.
Włącz tę opcję, jeśli chcesz, aby brama połączenia w strefie DMZ otwierała port konsoli internetowej znajdujący się w strefie DMZ lub w Internecie. Określ numer portu, który będzie używany do połączenia z konsoli internetowej do punktu dystrybucji. Domyślny numer portu to 13299.
Ta opcja jest dostępna, jeśli włączysz opcję Nawiąż połączenie z bramą z poziomu Serwera administracyjnego (jeśli brama znajduje się w DMZ).
Podczas podłączania urządzeń mobilnych do Serwera administracyjnego za pośrednictwem punktu dystrybucji pełniącego funkcję bramy połączenia można włączyć następujące opcje:
Włącz tę opcję, jeśli potrzebujesz, aby brama połączenia otwierała port dla urządzeń mobilnych i określała numer portu, którego będą używać urządzenia mobilne do łączenia się z punktem dystrybucji. Domyślny numer portu to 13292. Urządzenie mobilne sprawdzi certyfikat Serwera administracyjnego. Podczas nawiązywania połączenia uwierzytelniany jest tylko Serwer administracyjny.
Włącz tę opcję, jeśli potrzebujesz bramy połączenia, aby otworzyć port, który będzie używany do dwukierunkowej autoryzacji Serwera administracyjnego i urządzeń mobilnych. Urządzenie mobilne sprawdzi certyfikat Serwera administracyjnego, a Serwer administracyjny sprawdzi certyfikat urządzenia mobilnego. Określ następujące parametry:
Numer portu, którego urządzenia mobilne będą używać do łączenia się z punktem dystrybucji. Domyślny numer portu to 13293.
Nazwy domen DNS bramy połączenia, które będą używane przez urządzenia mobilne. Oddziel nazwy domen przecinkami. Określone nazwy domen zostaną uwzględnione w certyfikacie punktu dystrybucji. Jeśli nazwy domen używane przez urządzenia mobilne nie są zgodne z nazwą wspólną w certyfikacie punktu dystrybucji, urządzenia mobilne nie łączą się z punktem dystrybucji.
Domyślną nazwą domeny DNS jest nazwa FQDN bramy połączenia.
W obu przypadkach certyfikaty są sprawdzane wyłącznie podczas nawiązywania sesji TLS w punkcie dystrybucji. Certyfikaty nie są przesyłane do sprawdzenia przez Serwer administracyjny. Po nawiązaniu sesji TLS z urządzeniem mobilnym punkt dystrybucji używa certyfikatu serwera administracyjnego w celu utworzenia tunelu umożliwiającego synchronizację między urządzeniem mobilnym a Serwerem administracyjnym. Jeśli otworzysz port dla dwukierunkowego uwierzytelniania SSL, jedynym sposobem na dystrybucję certyfikatu urządzenia mobilnego będzie użycie pakietu instalacyjnego.
Skonfiguruj przeszukiwanie domen Windows, Active Directory i zakresów IP przez punkt dystrybucji:
Możesz włączyć przeszukiwanie sieci dla Active Directory i ustawić terminarz dla przeszukiwania.
Jeśli korzystasz z punktu dystrybucji systemu Windows, możesz wybrać jedną z następujących opcji:
Przeszukaj bieżącą domenę Active Directory.
Przeszukaj las domen Active Directory.
Przeszukaj tylko wybrane domeny Active Directory. Jeśli wybierzesz tę opcję, dodaj jedną lub kilka domen Active Directory do listy.
Jeśli korzystasz z punktu dystrybucji systemu Linux z zainstalowanym Agentem sieciowym w wersji 15, możesz odpytywać tylko domeny Active Directory, dla których określisz adres i poświadczenia użytkownika. Sondowanie bieżącej domeny Active Directory i lasu domeny Active Directory nie jest dostępne.
Możesz włączyć wykrywanie urządzeń dla kontrolerów domeny.
Jeśli wybierzesz opcję Włącz przeszukiwanie sterowników domeny, możesz wybrać kontrolery domeny do odpytywania, a także określić terminarz ich przeszukiwania.
Jeśli korzystasz z punktu dystrybucji systemu Linux, w sekcji Przeszukaj określone domeny kliknij opcję Dodaj, a następnie określ adres i dane uwierzytelniające użytkownika kontrolera domeny.
Jeśli korzystasz z punktu dystrybucji systemu Windows, możesz wybrać jedną z następujących opcji:
Jeśli włączysz opcję Użyj Zeroconf do przeszukiwania sieci IPv6, punkt dystrybucji automatycznie odpytuje sieć IPv6 za pomocą zero-configuration networking (zwany również Zeroconf). W takim przypadku określone zakresy adresów IP są ignorowane, ponieważ punkt dystrybucji przeszukuje całą sieć. Opcja Użyj Zeroconf do przeszukiwania sieci IPv6 jest dostępna, jeśli w punkcie dystrybucji działa system Linux. Aby korzystać z odpytywania Zeroconf IPv6, musisz zainstalować narzędzie avahi-browse w punkcie dystrybucji.
W sekcji Zaawansowane określ folder, którego punkt dystrybucji musi używać do przechowywania rozsyłanych danych:
Jeśli wybierzesz tę opcję, w polu poniżej możesz określić ścieżkę dostępu do wybranego folderu. Może to być folder lokalny na urządzeniu działającym jako punkt dystrybucji lub folder na dowolnym urządzeniu w obrębie sieci korporacyjnej.
Konto użytkownika używane na urządzeniu działającym jako punkt dystrybucji do uruchamiania Agenta sieciowego musi mieć uprawnienia do odczytu/zapisu określonego folderu.
Kliknij przycisk OK.
Wybrane urządzenia będą pełnić rolę punktów dystrybucji.