手动分配分发点

Kaspersky Security Center 允许您手动指定设备做为分发点。

我们建议您自动分配分发点。此种情况下，Kaspersky Security Center 将自行选择哪个设备要被分配为分发点。然后，如果您由于一些原因必须不自动分配分发点（例如，如果您要使用单独分配的服务器），您可以在计算数量和配置后手动分配分发点。

作为分发点的设备必须被保护，包括物理保护，以防范非授权的访问。

要手动指派设备做为分发点：

在主菜单，单击所需的管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
在“常规”选项卡上，选择“分发点”区域。
选择“手动分配分发点”选项。
单击“分配”按钮。
选择您要制作分发点的设备。
选择设备时，请牢记分发点的操作功能以及设备做为分发点的需求。
选择您要包含在所选分发点范围的管理组。
单击“确定”按钮。
您添加的分发点将显示在“分发点”区域的分发点列表中。
在列表中单击新添加的分发点以打开其属性窗口。
在属性窗口中配置分发点：
- “常规”区域中包含用于设定分发点与客户端设备进行交互的设置：
  - SSL 端口
    客户端设备与分发点之间，使用 SSL 进行安全连接的 SSL 端口号。
    
    默认情况下使用端口 13000。
  - 使用多点传送
    如果启用此选项，将使用 IP 多点传送自动向组内的客户端设备上分发安装包。
    
    IP 多点传送减少了将应用程序从安装包安装到一组客户端设备所需的时间，但是增加了在将应用程序安装到单个客户端设备时的安装时间。
  - IP 多点传送地址
    用于多点传送的 IP 地址。您可以定义范围是 224.0.0.0 – 239.255.255.255 的 IP 地址
    
    默认情况下，Kaspersky Security Center 自动分配一个在给定范围内的唯一 IP 多播地址。
  - IP 多点传送端口号
    IP 多点传送的端口号。
    
    默认情况下，端口号指定为 15001。如果运行管理服务器的设备指定为分发点，端口 13001 默认用于 SSL 连接。
  - 远程设备的分发点地址
    远程设备连接到分发点所用的 IPv4 地址。
  - 部署更新
    更新被从以下来源分发到受管理设备：
    - 此分发点（如果启用此选项）。
    - 其他分发点、管理服务器或 Kaspersky 更新服务器（如果禁用此选项）。
    如果您使用分发点来部署更新，则可以节省流量，因为您减少了下载次数。此外，您可以减轻管理服务器上的负载并在分发点之间重新定位负载。你可以计算分发点的数量以便网络优化流量和负载。
    
    如果禁用此选项，管理服务器上的更新下载和加载次数可能会增加。默认情况下已启用该选项。
  - 部署安装包
    安装包被从以下来源分发到受管理设备：
    - 此分发点（如果启用此选项）。
    - 其他分发点、管理服务器或 Kaspersky 更新服务器（如果禁用此选项）。
    如果使用分发点部署安装包，您可以节省流量，因为减少了下载次数。此外，您可以减轻管理服务器上的负载并在分发点之间重新定位负载。你可以计算分发点的数量以便网络优化流量和负载。
    
    如果禁用此选项，管理服务器上的安装包下载和加载次数可能会增加。默认情况下已启用该选项。
  - 运行推送服务器
    在 Kaspersky Security Center 中，分发点可以用作通过移动协议管理的设备和由网络代理管理的设备的推送服务器。例如，如果您希望能强制 KasperskyOS 设备与管理服务器同步，则必须启用推送服务器。推送服务器与启用该推送服务器的分发点具有相同的受管理设备范围。如果为同一个管理组分配了多个分发点，则可以在每个分发点上都启用推送服务器。在这种情况下，管理服务器会平衡分发点之间的负载。
  - 推送服务器端口
    推送服务器的端口号。您可以指定任何未占用的端口号。
- 在“范围”区域，指定分发点发布更新的范围（管理组和/或网络定位）。
  仅运行 Windows 操作系统的设备可以定义网络位置。网络位置无法定义在运行其他操作系统的设备上。
- 如果分发点在管理服务器以外的机器上运行，则在“更新源”区域中，可以选择分发点的更新源：
  - 更新源
    选择分发点的更新源：
    - 要允许分发点从管理服务器接收更新，请选择“从管理服务器检索”。
    - 要允许分发点使用任务接收更新，请选择“使用更新下载任务”，然后指定“将更新下载至分发点存储库”任务：
      如果设备上已存在此类任务，请在列表中选择该任务。
      如果设备上尚不存在此类任务，请单击“创建任务”链接创建任务。“新任务向导”启动。遵照向导的说明操作。
  - 下载差异文件
    该选项启用下载 diff 文件功能。
    
    默认情况下已启用该选项。
- 在互联网连接设置子区域，您可以指定互联网连接设置：
  - 使用代理服务器
    如果选择该选框，您可以在输入字段中配置代理服务器连接。
    
    默认情况下已清除该选框。
  - 代理服务器地址
    代理服务器地址。
  - 端口号
    用于连接的端口号。
  - 对本地地址不使用代理服务器
    如果启用此选项，将不使用代理服务器连接本地网络的设备。
    
    默认情况下已禁用该选项。
  - 代理服务器身份验证
    如果选择该选框，您可以在输入字段中为代理服务器身份验证指定凭证。
    
    默认情况下已清除该选框。
  - 用户名
    建立连接代理服务器的用户账户。
  - 密码
    任务运行时使用的账户的密码。
- 在“KSN 代理”区域，您可以配置应用程序使用分发点从受管理设备转发 KSN 请求：
  - 在分发点端启用 KSN 代理
    KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。
    
    分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。默认下，KSN 声明位于 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。
    
    默认情况下已禁用该选项。启用该选项仅在使用管理服务器作为代理服务器和我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。
    
    您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。
  - 转发 KSN 请求到管理服务器
    分发点从受管理设备转发 KSN 请求到管理服务器。
    
    默认情况下已启用该选项。
  - 通过互联网直接访问 KSN 云/KPSN
    分发点从受管理设备转发 KSN 请求到 KSN 云或 KPSN。分发点本身上生成的 KSN 请求也直接发送到 KSN 云或 KPSN。
    
    安装了网络代理版本 11（或更早版本）的分发点不能直接访问 KPSN。如果要重新配置分发点以将 KSN 请求发送到 KPSN，请为每个分发点启用“转发 KSN 请求到管理服务器”选项。
    
    安装了网络代理版本 12（或更高版本）的分发点可以直接访问 KPSN。
  - 当连接到 KPSN 时忽略代理服务器设置
    如果您在分发点属性或网络代理策略中配置了代理服务器设置，但您的网络架构要求您直接使用 KPSN，则启用此选项。否则，从受管理应用程序的请求无法到达 KPSN。
    
    如果您选择“通过互联网直接访问 KSN 云/KPSN”选项，则此选项可用。
  - 端口
    受管理设备将用于连接到 KSN 代理服务器的 TCP 端口号。默认端口号是 13111。
  - 使用 UDP 端口
    如果需要受管理设备通过 UDP 端口连接到 KSN 代理，则启用“使用 UDP 端口”选项并指定 UDP 端口号。默认情况下已启用该选项。
  - UDP 端口
    受管理设备将用于连接到 KSN 代理服务器的 UDP 端口号。连接到 KSN 代理的默认 UDP 端口是 15111。
- 如果分发点在管理服务器以外的机器上运行，则在“连接网关”区域中，可以配置分发点，充当网络代理实例和管理服务器之间连接的网关：
  - 连接网关
    如果由于您的网络组织而无法在管理服务器和网络代理之间建立直接连接，您可以使用分发点作为管理服务器和网络代理之间的连接网关。
    
    如果您需要分发点充当网络代理和管理服务器之间的连接网关，请启用此选项。默认情况下已禁用该选项。
  - 从管理服务器建立连接到网关(如果网关位于 DMZ 中)
    如果管理服务器位于隔离区域 (DMZ) 之外，在局域网中，安装在远程设备上的网络代理无法连接到管理服务器。您可以使用分发点作为具有反向连接的连接网关（管理服务器建立到分发点的连接）。
    
    如果您需要将管理服务器连接到 DMZ 中的连接网关，请启用此选项。
  - 为 Kaspersky Security Center Web Console 打开本地端口
    如果您需要 DMZ 中的连接网关为位于 DMZ 中或互联网上的 Web Console 打开一个端口，请启用此选项。指定将用于从 Web Console 连接到分发点的端口号。默认端口号是 13299。
    
    如果启用“从管理服务器建立连接到网关(如果网关位于 DMZ 中)”选项，则此选项可用。
  当通过充当连接网关的分发点将移动设备连接到管理服务器时，您可以启用以下选项：
  - 为移动设备打开端口(仅管理服务器 SSL 身份验证)
    如果您需要连接网关为移动设备打开一个端口并指定移动设备将用于连接到分发点的端口号，请启用此选项。默认端口号是 13292。移动设备将检查管理服务器证书。建立连接时，仅对管理服务器进行身份验证。
  - 为移动设备打开端口(双向 SSL 身份验证)
    如果您需要连接网关打开一个端口，该端口将用于管理服务器和移动设备的双向身份验证，请启用此选项。移动设备将检查管理服务器证书，管理服务器也将检查移动设备证书。指定以下参数：
    - 移动设备将用于连接到分发点的端口号。默认端口号是 13293。
    - 移动设备将使用的连接网关的 DNS 域名。用逗号分隔域名。指定的域名将包含在分发点证书中。如果移动设备使用的域名与分发点证书中的通用名称不匹配，则移动设备不会连接到分发点。
      默认 DNS 域名是连接网关的 FQDN 名称。
  在这两种情况下，仅在分发点上建立 TLS 会话期间检查证书。证书不会被转发供管理服务器检查。与移动设备建立 TLS 会话后，分发点使用管理服务器证书创建移动设备和管理服务器之间的同步隧道。如果打开双向 SSL 身份认证的端口，则分发移动设备证书的唯一方式是通过安装包。
- 通过分发点配置 Windows 域、活动目录和 IP 范围的轮询：
  - Windows 域
    您可以启用 Windows 域设备发现并为发现设置计划。
  - 域控制器
    您可以启用活动目录域网络轮询并为轮询设置计划。
    
    如果使用 Windows 分发点，则可以选择以下选项之一：
    - 轮询当前活动目录域。
    - 轮询活动目录域森林。
    - 仅轮询所选活动目录域。如果您选择该选项，添加一个或更多活动目录域到列表。
    如果您使用安装了网络代理版本 15 的 Linux 分发点，则只能轮询为其指定地址和用户凭据的 Active Directory 域。当前 Active Directory 域和 Active Directory 域林的轮询不可用。
    您可以对域控制器启用设备发现。
    
    如果选择启用域控制器轮询选项，则可以选择要轮询的域控制器并为其指定轮询计划。
    
    如果使用 Linux 分发点，请在轮询指定域部分中单击添加，然后指定域控制器的地址和用户凭据。
    
    如果使用 Windows 分发点，则可以选择以下选项之一：
    - 轮询当前域
    - 轮询整个域森林
    - 轮询指定域
  - IP 范围
    您可以针对 IPv4 范围和 IPv6 网络启用设备发现。
    
    如果启用“启用范围轮询”选项，则可以添加扫描范围并为其设置计划。您可以添加 IP 范围到已扫描范围列表。
    
    如果启用“使用 Zeroconf 轮询 IPv6 网络”选项，分发点将使用零配置网络（也称为 Zeroconf）自动轮询 IPv6 网络。在这种情况下，指定的 IP 范围将被忽略，因为分发点会轮询整个网络。如果分发点运行 Linux，则使用 Zeroconf 轮询 IPv6 网络选项可用。要使用 Zeroconf IPv6 轮询，您必须在分发点上安装 avahi-browse 实用程序。
- 在高级区域，指定分发点必须使用以存储发布数据的文件夹：
  - 使用默认的文件夹
    如果您选择此选项，应用程序使用分发点上的网络代理安装文件夹。
  - 使用指定的文件夹
    如果您选择该选项，则可以在下面的字段中指定该文件夹的路径。它可以是分发点上的本地文件夹，也可以是企业网络中任何设备上的目录。
    
    分发点上用于运行网络代理的用户账户必须具有对指定文件夹的访问权限以进行读写操作。
单击“确定”按钮。

所选设备作为分发点运行。

另请参阅：

方案：定期更新 Kaspersky 数据库和应用程序

页顶