域控制器轮询

扩展所有 | 折叠所有

Kaspersky Security Center 支持轮询 Microsoft Active Directory 域控制器和 Samba 域控制器。

Kaspersky Security Center 仅允许您使用 Linux 分发点轮询 Samba 域控制器。对于 Samba 域控制器， Samba 4 用作 Active Directory 域控制器。

当您轮询域控制器时，管理服务器或分发点会检索有关域中包含的设备的域结构、用户账户、安全组和 DNS 名称的信息。

如果所有联网设备都是域的成员，我们建议使用域控制器轮询。如果某些联网设备未包含在域中，则域控制器轮询无法发现这些设备。

先决条件

轮询域控制器之前，请确保允许通过防火墙或代理服务器连接到域控制器。还要确保域控制器上启用了以下协议：

轻量级目录访问协议 (LDAP)
简单身份验证和安全层 (SASL)
如果使用 SASL 身份验证建立与域控制器的连接，则使用此协议。管理服务器和分发点仅支持 DIGEST-MD5 机制。
安全套接字层上的轻量级目录访问协议 (LDAPS)
如果您需要通过加密连接来连接到域控制器，则使用此协议。

确保域控制器设备上的以下端口可用：

389 表示 LDAP 协议和简单身份验证（包括 SASL）
636 表示 LDAPS 协议

使用管理服务器进行域控制器轮询

您使用管理服务器仅可轮询 Microsoft Active Directory 域控制器。

要使用管理服务器轮询域控制器：

在主菜单中，转到发现和部署 → 发现 → 域控制器。
单击轮询设置。
域控制器轮询设置窗口将打开。
选择启用域控制器轮询选项。
在高级设置部分中，指定轮询范围：
- 轮询当前域
  选择此选项可以轮询 Kaspersky Security Center 所属的域。
- 轮询整个域森林
  选择此选项可以轮询 Kaspersky Security Center 所属的域森林。
- 轮询指定域
  选择此选项可以轮询具有指定地址和用户凭据的域。
如果必要，指定轮询计划：默认间隔是一小时。下次轮询接收的数据会完全替换旧数据。
有以下轮询计划选项可用：
- 每 N 天
  轮询定期运行，按照指定天数间隔，从指定的日期和时间开始。
  
  默认下，轮询每天运行一次，从当前系统日期和时间开始。
- 每 N 分钟
  轮询定期运行，按照指定分钟间隔，从指定的时间开始。
- 按星期中的天数
  轮询定期运行，在指定星期的指定时间。
- 每个月在所选周的指定天
  轮询定期运行，在指定月日的指定时间。
- 运行错过的任务
  如果在计划轮询期间管理服务器被切换掉或不可用，管理服务器可以在切换回来后立即启动轮询，或者等待下次计划轮询。
  
  如果启用该选项，管理服务器在它切换回来后立即启动轮询。
  
  如果禁用该选项，管理服务器等待下一次计划轮询。
  
  默认情况下已禁用该选项。
如果您更改域安全组中的用户账户，这些更改将在您轮询域控制器一小时后显示在 Kaspersky Security Center 中。
单击保存以应用更改。
如果您要立即执行轮询，请单击“开始轮询”按钮。

使用分发点进行域控制器轮询

您还可以使用分发点轮询 Microsoft Active Directory 域控制器和 Samba 域控制器。基于 Windows 或 Linux 的受管理设备可以充当分发点。

对于 Linux 分发点，支持对 Microsoft Active Directory 域控制器和 Samba 域控制器进行轮询。
对于 Windows 分发点，仅支持 Microsoft Active Directory 域控制器的轮询。
使用 Mac 分发点进行轮询不受支持。

要使用分发点配置域控制器轮询：

打开分发点属性。
选择域控制器轮询部分。
选择启用域控制器轮询选项。
选择要轮询的域控制器。
如果您使用 Linux 分发点，请在轮询指定域部分中单击添加，然后指定域控制器的地址和用户凭据。
如果您使用 Windows 分发点，则可以选择以下选项之一：
- 轮询当前域
- 轮询整个域森林
- 轮询指定域
如果需要，单击设置轮询计划按钮以指定轮询计划选项。
轮询仅根据指定的时间表开始。无法手动启动轮询。

轮询完成后，域结构将显示在域控制器部分。

如果设置并启用了设备移动规则，则新发现的设备将自动包含在“受管理设备”组中。如果未启用移动规则，新发现的设备将自动包含在“未分配的设备”组。

发现的用户账户可用于Kaspersky Security Center Web Console 中的域身份验证。

另请参阅：

身份验证和连接到域控制器

页顶