Szenario: Erstellen einer Hierarchie von Administrationsservern, die durch Kaspersky Security Center Cloud Console verwaltet wird

Alle erweitern | Alles ausblenden

In diesem Szenario werden die Abläufe beschrieben, die Sie ausführen müssen, um eine Hierarchie von Administrationsservern zu erstellen, die durch Kaspersky Security Center Cloud Console verwaltet wird. Kaspersky Security Center Cloud Console übernimmt somit die Rolle des primären Administrationsservers. Diese Hierarchie kann anschließend für die Migration verwalteter Geräte und Objekte von Kaspersky Security Center auf Kaspersky Security Center Cloud Console, sowie für die Verwaltung von sekundären Administrationsservern und Geräten durch Kaspersky Security Center Cloud Console verwendet werden.

Kaspersky Security Center Cloud Console kann nur als primärer Administrationsserver fungieren, während lokal ausgeführte Administrationsserver nur als sekundäre Administrationsserver fungieren können. Andere hierarchische Strukturen sind nicht verfügbar.

Erforderliche Vorrausetzungen

Stellen Sie vor dem Beginn sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Der lokal ausgeführte Administrationsserver wurde auf Version 12 oder höher aktualisiert.
• Die Kaspersky Security Center Web Console wurde auf dem lokalen Administrationsserver installiert.
• Die Web-Plug-ins, für die Programme, die Sie durch Kaspersky Security Center Cloud Console verwalten möchten, wurden installiert.
• Die verwalteten Programme wurden auf Versionen aktualisiert, die von Kaspersky Security Center Cloud Console unterstützt werden.
• Stellen Sie sicher, dass in der Aufgabe zum "Download von Updates in die Datenverwaltung des Administrationsservers" auf dem lokal ausgeführten Administrationsserver nicht der primäre Administrationsserver als Update-Quelle zugewiesen ist. Ändern Sie gegebenenfalls die Aufgabeneinstellungen entsprechend.

Nach dem Erstellen der Hierarchie werden die in Kaspersky Security Center Cloud Console wirksamen Richtlinien und Aufgaben auf den sekundären Administrationsserver angewendet, wodurch dessen vorhandenen Richtlinien und Aufgaben ersetzt werden. Wenn Sie dieses Verhalten vermeiden möchten, löschen Sie in Kaspersky Security Center Cloud Console alle Richtlinien und Aufgaben, bevor Sie die Hierarchie erstellen. Alternativ können Sie den Status jeder Richtlinie in Kaspersky Security Center Cloud Console in ihren Einstellungen auf Inaktiv ändern, und in den Einstellungen für jede Aufgabe in Kaspersky Security Center Cloud Console die Option An sekundäre und virtuelle Administrationsserver verteilen deaktivieren.

Falls notwendig, ist das Löschen Ihrer Hierarchie von Administrationsservern jederzeit möglich.

Schritte der Hierarchieerstellung

Das Basisszenario sieht einen sekundären Administrationsserver vor, auf den nicht über das Internet zugegriffen werden kann. Die Vorgänge in einigen der unten beschriebenen Schritte können jedoch davon abweichen, wenn auf den sekundären Administrationsserver über das Internet zugegriffen werden kann. Außerdem müssen in diesem Fall einige Schritte übersprungen werden.

Die Erstellung einer Hierarchie von Administrationsservern umfasst die folgenden Schritte:

1. Abrufen des Zertifikats des sekundären Administrationsservers

   Wenn der sekundäre Administrationsserver über das Internet erreichbar ist, überspringen Sie diesen Schritt.

   Öffnen Sie in der lokal ausgeführten Kaspersky Security Center Web Console die Eigenschaften des Administrationsservers und öffnen Sie auf der Registerkarte Allgemein den Abschnitt Allgemein. Klicken Sie auf den Link Zertifikat des Administrationsservers anzeigen. Die Zertifikatsdatei wird im cer-Format automatisch in dem Ordner gespeichert, der in den Einstellungen Ihres Browsers angegeben ist.

2. Abrufen der Verbindungseinstellungen und Zertifikate von der Kaspersky Security Center Cloud Console

   Wenn der sekundäre Administrationsserver über das Internet erreichbar ist, überspringen Sie diesen Schritt.

   Öffnen Sie in Kaspersky Security Center Cloud Console die Eigenschaften des Administrationsservers und öffnen Sie auf der Registerkarte Allgemein den Abschnitt Hierarchie der Administrationsserver. Die folgenden Verbindungseinstellungen werden angezeigt:

   • HDS-Adresse

     Zeigt die Webadresse an, die für die Verbindung mit dem Hosted Discovery Service (HDS) verwendet wird.

   • HDS-Port

     Zeigt die Nummer des Ports an, der für die Verbindung mit HDS verwendet wird.

   Zusätzlich sind in dem Abschnitt zwei Links enthalten:

   • Zertifikat des Administrationsservers anzeigen

     Durch Klicken auf diesen Link wird der öffentliche Schlüssel des Instanz-Zertifikats von Kaspersky Security Center Cloud Console heruntergeladen.

   • HDS Root CA-Zertifikat

     Durch Klicken auf diesen Link wird die Datei im pem-Format heruntergeladen, die eine Liste von durch Zertifizierungsstellen (Root Certificate Authorities - CA) ausgestellten vertrauenswürdigen Stamm-Zertifikaten enthält. Diese Datei ist für die Verwendung durch den sekundären Administrationsserver vorgesehen: Dieser muss das HDS-Zertifikat überprüfen.

   Kopieren Sie die Verbindungseinstellungen manuell – mithilfe der Zwischenablage oder auf eine beliebige andere Weise – und speichern Sie diese in einer Datei in einem beliebigen Format. Klicken Sie auf den Link Zertifikat des Administrationsservers anzeigen und warten Sie, bis die Zertifikatdatei heruntergeladen wurde. Klicken Sie auf den Link HDS Root CA-Zertifikat und warten Sie, bis die Datei mit den durch Zertifizierungsstellen ausgestellten vertrauenswürdigen Stamm-Zertifikaten heruntergeladen wurde. Beide Dateien werden in dem Ordner gespeichert, der in Ihren Browsereinstellungen angegebenen ist.

3. Auswählen des sekundären Administrationsservers für die Verbindung

   Wechseln Sie in den Eigenschaften des Administrationsservers auf die Registerkarte Administrationsserver. Aktivieren Sie in der Hierarchie der Administrationsgruppen das Kontrollkästchen neben der Administrationsgruppe, die den sekundären Administrationsserver mit all seinen verwalteten Geräten enthalten soll. Klicken Sie auf die Schaltfläche Sekundären Administrationsserver verbinden.

   Geben Sie auf der sich öffnenden Seite im Feld Anzeigename des sekundären Administrationsservers den Namen an, unter dem der sekundäre Administrationsserver in der Hierarchie angezeigt werden soll. Dies dient nur der Zugänglichkeit und daher kann der Name bei Bedarf vom tatsächlichen Namen des sekundären Administrationsservers abweichen. Klicken Sie auf die Schaltfläche Weiter.

   Wenn der sekundäre Administrationsserver über das Internet erreichbar ist, müssen Sie die Adresse des sekundären Administrationsservers zusätzlich im Feld Adresse des sekundären Administrationsservers (optional) angeben.

   Klicken Sie auf der nächsten Seite auf die Schaltfläche Durchsuchen und geben Sie die pem-Datei an, die Sie vom sekundären Administrationsserver heruntergeladen haben. Klicken Sie auf die Schaltfläche Weiter.

4. Proxyserver aktivieren und konfigurieren

   Die in diesem Schritt beschriebenen Aktionen sind optional. Führen Sie diese nur aus, wenn für Ihre Verbindung ein Proxyserver erforderlich ist.

   Klicken Sie auf die Schaltfläche Weiter. Auf der Seite Verbindungseinstellungen des sekundären Administrationsservers mit dem primären Administrationsserver festlegen können Sie die Verwendung von Proxy-Servern konfigurieren, falls notwendig. Aktivieren Sie das Kontrollkästchen Proxyserver verwenden und geben Sie die folgenden Einstellungen an:

   • Adresse

     Die Adresse des Proxyservers.

   • Benutzername

     Der Benutzername für die Anmeldung am Proxyserver.

   • Kennwort

     Das Kennwort für die Anmeldung am Proxyserver.

5. Festlegen der Authentifizierungseinstellungen und hinzufügen des sekundären Administrationsservers zur Hierarchie

   Klicken Sie auf die Schaltfläche Weiter. Geben Sie auf der Seite Anmeldedaten des sekundären Administrationsservers die folgenden Einstellungen an:

   • Benutzername

     Der Benutzername für die Anmeldung am sekundären Administrationsserver.

   • Kennwort

     Das Kennwort für die Anmeldung am sekundären Administrationsserver.

   Klicken Sie auf Weiter und warten Sie, bis der sekundäre Administrationsserver in der Hierarchie angezeigt wird.

   Wenn der sekundäre Administrationsserver über das Internet erreichbar ist, verbindet er sich mit dem primären Administrationsserver.

   Wenn der sekundäre Administrationsserver über das Internet erreichbar ist und die Verbindung zwischen den beiden Administrationsservern erfolgreich hergestellt werden konnte, ignorieren Sie alle weiteren Schritte.

   Wenn der sekundäre Administrationsserver nicht über das Internet erreichbar ist, wird dieser zwar sichtbar, aber Sie müssen zusätzliche Maßnahmen ergreifen, um Kontrolle über den sekundären Administrationsserver zu erlangen.

6. Konfigurieren der Verbindung in der lokal ausgeführten Kaspersky Security Center Web Console

   Öffnen Sie in der lokal ausgeführten Kaspersky Security Center Web Console die Eigenschaften des Administrationsservers und öffnen Sie auf der Registerkarte Allgemein den Abschnitt Hierarchie der Administrationsserver. Aktivieren Sie das Kontrollkästchen Dieser Administrationsserver ist in der Server-Hierarchie sekundär. Wählen Sie in der Liste Typ des primären Administrationsservers die Option Cloud Console.

   Kaspersky Security Center Web Console prüft, ob der primäre Administrationsserver als Update-Quelle in der Aufgabe zum Download von Updates in die Datenverwaltung des Administrationsservers angegeben wurde. Wurde der primäre Administrationsserver als Update-Quelle angegeben, erhalten Sie eine entsprechende Meldung mit einer Warnung und einen Link zu den Aufgabeneinstellungen. Sie können die Einstellungen anpassen und danach zur Erstellung der Hierarchie zurückkehren, oder Sie überspringen den Schritt und fahren mit der Erstellung der Hierarchie fort.

   Geben Sie in der Gruppe Einstellungen für den Verbindungsaufbau zwischen dem sekundären und dem primären Administrationsserver die folgenden Einstellungen an:

   • HDS-Serveradresse (des primären Administrationsservers in Cloud Console)

     Geben Sie die Adresse des HDS im Format des vollqualifizierten Domänennamens (FQDN) ein, den Sie aus den Einstellungen des Administrationsservers in Kaspersky Security Center Cloud Console kopiert und gespeichert haben.

   • HDS-Serverports

     Geben Sie Nummer(n) des/der HDS-Serverports an, den/die Sie aus den Einstellungen des Administrationsservers in Kaspersky Security Center Cloud Console kopiert und gespeichert haben.

7. Hinzufügen der Zertifikate zum sekundären Administrationsserver

   Klicken Sie auf Zertifikat des primären Administrationsservers angeben und geben Sie die Zertifikats-Datei an, die Sie aus den Einstellungen des Administrationsservers in Kaspersky Security Center Cloud Console gespeichert haben.

   Klicken Sie auf Zertifikate des Hosted Discovery Service angeben und geben Sie die pem-Datei an, die Sie aus den Einstellungen des Administrationsservers in Kaspersky Security Center Cloud Console gespeichert haben.

   Wenn Sie bei der Verbindung des sekundären Administrationsservers in Kaspersky Security Center Cloud Console die Verwendung eines Proxyservers aktiviert haben, wählen Sie das Kontrollkästchen Proxyserver verwenden aus und geben Sie die gleichen Proxyeinstellungen wie in Kaspersky Security Center Cloud Console an.

   Sie können ebenfalls das Kontrollkästchen Primären Administrationsserver mit sekundärem Administrationsserver in der DMZ verbinden aktivieren, wenn sich der sekundäre Administrationsserver in einer demilitarisierten Zone (DMZ) befindet.

   Die demilitarisierte Zone ist ein Segment eines lokalen Netzwerks, das Server enthält, die auf Anfragen aus dem globalen Internet antworten. Um die Sicherheit des lokalen Netzwerks einer Organisation zu gewährleisten, wird der Zugriff auf das LAN aus der demilitarisierten Zone mithilfe einer Firewall geschützt.

   Der sekundäre Administrationsserver verbindet sich mit dem primären Administrationsserver.

Ergebnisse

Nach dem Ausführen der obigen Schritte, können Sie folgendermaßen überprüfen, ob die Hierarchie erfolgreich erstellt wurde:

• Die aktiven Richtlinien des primären Administrationsservers sind auch auf dem sekundären Administrationsserver aktiv. Die Aufgaben des primären Administrationsservers wurden auf den sekundären Administrationsserver verteilt. Wenn die Option An sekundäre und virtuelle Administrationsserver verteilen in den Einstellungen einer Gruppenaufgabe aktiviert wurde, wird jede dieser Aufgaben ebenso auf den sekundären Administrationsserver verteilt.
• Richtlinieneinstellungen, die auf dem primären Administrationsserver vor Anpassungen gesperrt wurden, werden in allen Richtlinien auf dem sekundären Administrationsserver als gesperrt angezeigt.
• Die vom primären Administrationsserver angewandten Richtlinien werden in dem sekundären Administrationsserver in der Liste der Richtlinien angezeigt (Geräte→ Richtlinien und Profile).
• Die vom primären Administrationsserver verteilten Gruppenaufgaben werden in dem sekundären Administrationsserver in der Liste der Aufgaben angezeigt (Geräte → Aufgaben).
• Richtlinien und Aufgaben, die auf dem primären Administrationsserver erstellt wurden, können in dem sekundären Administrationsserver nicht angepasst werden.
• In Kaspersky Security Center Cloud Console wird der sekundäre Administrationsserver innerhalb der Struktur der Administrationsgruppen in der Gruppe angezeigt, die Sie beim Hinzufügen dieses Administrationsservers festgelegt haben.

Nach oben