Scénario : création d'une hiérarchie de Serveurs d'administration administrés par Kaspersky Security Center Cloud Console

Tout développer | Tout réduire

Ce scénario décrit les actions que vous devez effectuer pour créer une hiérarchie de Serveurs d'administration administrés par Kaspersky Security Center Cloud Console, qui remplit ainsi le rôle de Serveur d'administration principal. Cette hiérarchie peut ensuite être utilisée pour la migration des appareils et des objets administrés de Kaspersky Security Center vers Kaspersky Security Center Cloud Console, ainsi que pour l'administration des Serveurs d'administration secondaires et des appareils par Kaspersky Security Center Cloud Console.

Kaspersky Security Center Cloud Console ne peut agir que comme un Serveur d'administration principal, tandis que les Serveurs d'administration fonctionnant sur site ne peuvent agir que comme Serveurs d'administration secondaires. Il n'existe pas d'autres schémas hiérarchiques.

Prérequis

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

• Mise à jour du Serveur d'administration fonctionnant sur site vers la version 12 ou version ultérieure.
• Installation de Kaspersky Security Center Web Console sur le Serveur d'administration fonctionnant sur site.
• Installation des plug-ins Internet pour les applications que vous avez l'intention d'administrer via Kaspersky Security Center Cloud Console.
• Mise à niveau des applications administrées vers des versions prises en charge par Kaspersky Security Center Cloud Console.
• Vérification que la tâche de téléchargement des mises à jour sur le stockage du Serveur d'administration sur le Serveur d'administration fonctionnant sur site n'a pas pour source de mises à jour le Serveur d'administration principal ; modification des paramètres de la tâche en conséquence, si nécessaire.

Une fois la hiérarchie créée, les stratégies et les tâches en vigueur dans Kaspersky Security Center Cloud Console sont appliquées sur le Serveur d'administration secondaire, remplaçant ainsi ses stratégies et ses tâches existantes. Si vous souhaitez éviter ce comportement, supprimez toutes les stratégies et les tâches de Kaspersky Security Center Cloud Console avant la création de la hiérarchie. Vous pouvez également modifier l'état de chaque stratégie de Kaspersky Security Center Cloud Console en Inactif dans ses paramètres et désactiver l'option Envoyer aux Serveurs d'administration secondaires et virtuels dans les paramètres de chaque tâche de Kaspersky Security Center Cloud Console.

Vous pouvez supprimer votre hiérarchie de Serveurs d'administration à tout moment, si nécessaire.

Étapes de création d'une hiérarchie

Le scénario de base prévoit un Serveur d'administration secondaire inaccessible sur Internet. Cependant, la série d'actions dans le cadre de certaines des étapes décrites ci-dessous peut varier si le Serveur d'administration secondaire est accessible sur Internet. En outre, certaines étapes doivent être ignorées dans ce cas.

La création d'une hiérarchie de Serveurs d'administration comprend les étapes suivantes :

1. Récupération du certificat du Serveur d'administration secondaire

   Si le Serveur d'administration secondaire est accessible sur Internet, ignorez cette étape.

   Dans Kaspersky Security Center Web Console fonctionnant sur site, ouvrez les propriétés du Serveur d'administration et, sous l'onglet Général, ouvrez la section Général. Cliquez sur le lien Afficher le certificat du Serveur d'administration. Le fichier du certificat, au format CER, est automatiquement enregistré dans le dossier indiqué dans les paramètres de votre navigateur.

2. Récupération des paramètres de connexion et des certificats à partir de Kaspersky Security Center Cloud Console

   Si le Serveur d'administration secondaire est accessible sur Internet, ignorez cette étape.

   Dans Kaspersky Security Center Cloud Console, ouvrez les propriétés du Serveur d'administration et, sous l'onglet Général, ouvrez la section Hiérarchie des Serveurs d'administration. Les paramètres de connexion suivants s'affichent :

   • Adresse HDS

     Affiche l'adresse Internet utilisée pour établir la connexion au service de découverte hébergé (HDS).

   • Port HDS

     Affiche le numéro du port utilisé pour la connexion au service HDS.

   La section contient également deux liens :

   • Afficher le certificat du Serveur d'administration

     Cliquez sur ce lien pour lancer le téléchargement de la clé publique du certificat de l'instance de Kaspersky Security Center Cloud Console.

   • Certificat CA de la racine HDS

     Cliquez sur ce lien pour démarrer le téléchargement du fichier au format.pem qui contient une liste de certificats racines de confiance émis par des autorités de certification (CA). Ce fichier est conçu pour être utilisé par le Serveur d'administration secondaire : il est nécessaire pour vérifier le certificat HDS.

   Copiez les paramètres de connexion manuellement (en utilisant le presse-papiers ou toute autre solution pratique) et enregistrez-les dans un fichier au format qui vous convient. Cliquez sur le lien Afficher le certificat du Serveur d'administration et attendez que le fichier du certificat soit téléchargé. Cliquez sur le lien Certificat CA de la racine HDS et attendez que le fichier contenant la liste de certificats racines de confiance émis par des autorités de certification soit téléchargé. Les deux fichiers sont enregistrés dans le dossier défini dans les paramètres de votre navigateur.

3. Sélection du Serveur d'administration secondaire pour établir la connexion

   Dans les propriétés du Serveur d'administration, accédez à l'onglet Serveurs d'administration. Dans la hiérarchie des groupes d'administration, cochez la case en regard du groupe d'administration qui doit contenir le Serveur d'administration secondaire avec tous ses appareils administrés. Cliquez sur le bouton Connecter un Serveur d'administration secondaire.

   Sur la page qui s'ouvre, dans le champ Nom d'affichage du Serveur d'administration secondaire, indiquez le nom sous lequel le Serveur d'administration secondaire doit être affiché dans la hiérarchie. Il est utilisé uniquement pour votre facilité et peut donc différer du nom réel du Serveur d'administration secondaire, si nécessaire. Cliquez sur Suivant.

   Si le Serveur d'administration secondaire est accessible sur Internet, vous devez également indiquer l'adresse du Serveur d'administration secondaire dans le champ Adresse du Serveur d'administration secondaire (facultative).

   Sur la page suivante, cliquez sur le bouton Parcourir et sélectionnez le fichier .pem que vous avez enregistré à partir du Serveur d'administration secondaire. Cliquez sur Suivant.

4. Activation et configuration du serveur proxy

   Les actions décrites dans cette étape sont facultatives. Effectuez-les uniquement si votre connexion nécessite l'utilisation d'un serveur proxy.

   Cliquez sur Suivant. Sur la page Définir la façon de connecter le Serveur d'administration secondaire au Serveur d'administration principal, vous pouvez activer et configurer l'utilisation du serveur proxy, si nécessaire. Cochez la case Utiliser un serveur proxy et définissez les paramètres de proxy suivants :

   • Adresse

     L'adresse du serveur proxy.

   • Nom d'utilisateur

     Le nom d'utilisateur pour se connecter au serveur proxy.

   • Mot de passe

     Le mot de passe pour se connecter au serveur proxy.

5. Définition des paramètres d'authentification et ajout du Serveur d'administration secondaire à la hiérarchie

   Cliquez sur Suivant. Sur la page Identifiants du Serveur d'administration secondaire, veuillez spécifier les paramètres suivants :

   • Nom d'utilisateur

     Le nom d'utilisateur que vous utilisez pour vous connecter au Serveur d'administration secondaire.

   • Mot de passe

     Le mot de passe que vous utilisez pour vous connecter au Serveur d'administration secondaire.

   Cliquez sur Suivant et attendez que le Serveur d'administration secondaire s'affiche dans la hiérarchie.

   Si le Serveur d'administration secondaire est accessible sur Internet, il se connecte au Serveur d'administration principal.

   Si le Serveur d'administration secondaire est accessible sur Internet et que la connexion entre les deux Serveurs d'administration est établie avec succès, ignorez toutes les étapes suivantes.

   Si le Serveur d'administration secondaire n'est pas accessible sur Internet, il devient visible, mais vous devez effectuer des actions supplémentaires sur le Serveur d'administration secondaire pour en prendre le contrôle.

6. Configuration de la connexion dans Kaspersky Security Center Web Console fonctionnant sur site

   Dans Kaspersky Security Center Web Console fonctionnant sur site, ouvrez les propriétés du Serveur d'administration et, sous l'onglet Général, ouvrez la section Hiérarchie des Serveurs d'administration. Cochez la case Ce Serveur d'administration est secondaire dans la hiérarchie. Dans la liste Type de Serveur d'administration principal, sélectionnez l'option Kaspersky Security Center Cloud Console.

   Kaspersky Security Center Web Console vérifie si le Serveur d'administration principal est défini comme source de mises à jour dans la tâche de téléchargement des mises à jour sur le stockage du Serveur d'administration. Si le Serveur d'administration principal est défini comme source de mises à jour, vous obtenez le message d'avertissement correspondant et un lien vers les paramètres de la tâche. Vous pouvez modifier les paramètres, puis revenir à la création de la hiérarchie, ou vous pouvez ignorer cette action et poursuivre la création de la hiérarchie.

   Dans le groupe Paramètres de connexion entre les Serveurs d'administration principal et secondaire, définissez les paramètres suivants :

   • Adresse du serveur HDS (à partir du Serveur d'administration principal sur Cloud Console)

     Saisissez l'adresse du serveur HDS au format Nom de domaine pleinement qualifié (FQDN) que vous avez copiée et enregistrée à partir des propriétés du Serveur d'administration dans Kaspersky Security Center Cloud Console.

   • Ports du serveur HDS

     Saisissez le ou les numéros de ports du serveur HDS que vous avez copiés et enregistrés à partir des propriétés du Serveur d'administration dans Kaspersky Security Center Cloud Console.

7. Ajout des certificats au Serveur d'administration secondaire

   Cliquez sur le bouton Indiquer le certificat du Serveur d'administration principal et sélectionnez le fichier de certificat que vous avez enregistré à partir des propriétés du Serveur d'administration dans Kaspersky Security Center Cloud Console.

   Cliquez sur le bouton Indiquer les certificats du service de découverte hébergé et sélectionnez le fichier .pem que vous avez enregistré à partir des propriétés du Serveur d'administration dans Kaspersky Security Center Cloud Console.

   Si vous avez activé l'utilisation du serveur proxy lors de la connexion du Serveur d'administration secondaire dans Kaspersky Security Center Cloud Console, cochez la case Utiliser un serveur proxy et définissez les mêmes paramètres de proxy que ceux utilisés dans Kaspersky Security Center Cloud Console.

   Vous pouvez également cocher la case Connecter le Serveur d'administration principal au Serveur d'administration secondaire dans la DMZ si le Serveur d'administration secondaire est dans une zone démilitarisée (DMZ).

   La zone démilitarisée est un segment du réseau local où se trouvent les serveurs qui répondent aux requêtes Internet. Afin de garantir la sécurité du réseau local, l'accès à celui-ci depuis la zone démilitarisée est limité et protégé par un pare-feu.

   Le Serveur d'administration secondaire se connecte au Serveur d'administration principal.

Résultats

Après avoir effectué les étapes ci-dessus, vous pouvez vous assurer que la hiérarchie est bien créée :

• Les stratégies actives du Serveur d'administration principal prennent effet sur le Serveur d'administration secondaire. Les tâches du Serveur d'administration principal sont distribuées au Serveur d'administration secondaire. Si l'option Envoyer aux Serveurs d'administration secondaires et virtuels est activée dans les paramètres d'une tâche de groupe, chacune de ces tâches est également distribuée au Serveur d'administration secondaire.
• Les paramètres de la stratégie qui sont verrouillés contre toute modification sur le Serveur d'administration principal sont affichés comme étant verrouillés contre toute modification dans toutes les stratégies sur le Serveur d'administration secondaire.
• Les stratégies appliquées par le Serveur d'administration principal sont affichées dans la liste des stratégies du Serveur d'administration secondaire (Ressources (Appareils) → Stratégies et profils).
• Les tâches de groupe distribuées par le Serveur d'administration principal sont affichées dans la liste des tâches du Serveur d'administration secondaire (Ressources (Appareils) → Tâches).
• Les stratégies et les tâches créées sur le Serveur d'administration principal ne peuvent pas être modifiées sur le Serveur d'administration secondaire.
• Dans Kaspersky Security Center Cloud Console, dans la structure des groupes d'administration, le Serveur d'administration secondaire s'affiche dans le groupe que vous avez sélectionné lors de l'ajout de ce Serveur d'administration.

Haut de page