此方案描述了如何将位于主网络外部的受管理设备连接到管理服务器。
先决条件
该方案具有以下先决条件:
阶段
此方案的实施分为几个阶段:
我们建议您使用本地安装在所选设备上安装网络代理。
默认情况下,安装文件位于:\\<服务器名称>\KLSHARE\PkgInst\NetAgent_<版本号>
在网络代理安装向导的“连接网关”窗口中,选择“使用网络代理作为 DMZ 连接网关”。此模式同时激活连接网关角色,并通知网络代理等待来自管理服务器的连接,而不是建立与管理服务器的连接。
或者,您可以在 Linux 设备上安装网络代理,并将网络代理配置为连接网关,但是要注意在 Linux 设备上运行的网络代理的限制列表。
为确保管理服务器可以实际连接到 DMZ 中的连接网关,请在管理服务器与连接网关之间的所有防火墙中允许与 TCP 端口 13000 的连接。
如果连接网关在互联网上没有真实 IP 地址,而是位于网络地址转换 (NAT) 后面,请配置规则以通过 NAT 转发连接。
在“受管理设备”组下创建一个新组。该新组将包含外部受管理设备。
您配置的连接网关正在等待来自管理服务器的连接。但是,管理服务器未在受管理设备中列出具有连接网关的设备。这是因为连接网关尚未尝试建立与管理服务器的连接。因此,您需要一个特殊程序来确保管理服务器发起与连接网关的连接。
执行以下操作:
连接网关连接并配置完毕。
通常,外部台式机不在周界内移动。因此,在安装网络代理时,需要将这些计算机配置为通过网关连接到管理服务器。
如果将安全应用程序更新配置为从管理服务器下载,则外部计算机将通过连接网关下载更新。这有两个缺点:
执行以下操作:
移动中的笔记本电脑有时在网络内部,有时在网络外部。为实现有效管理,您需要它们根据所在位置以不同方式连接到管理服务器。为了有效利用流量,它们还需要根据所在位置从不同来源接收更新。
您需要配置针对漫游用户的规则:连接配置文件和网络位置描述。每个规则都定义了移动中的笔记本电脑必须根据所在位置连接到的管理服务器实例,以及必须从中接收更新的管理服务器实例。