Ręczne przypisywanie punktów dystrybucji

Rozwiń wszystko | Zwiń wszystko

Kaspersky Security Center umożliwia ręczne wskazanie urządzeń do pełnienia roli punktów dystrybucji.

Zalecane jest automatyczne przypisywanie punktów dystrybucji. W tym przypadku, Kaspersky Security Center sam wybierze urządzenia, które mają być punktami dystrybucji. Jednakże, jeśli z jakiegoś powodu musisz zrezygnować z automatycznego przypisywania punktów dystrybucji (na przykład, jeśli chcesz korzystać ze specjalnie wybranych serwerów), możesz ręcznie przypisać punkty dystrybucji po obliczeniu ich liczby i konfiguracji.

Urządzenia pełniące rolę punktów dystrybucji muszą być chronione, włączając w to ochronę fizyczną, przed wszelkim nieautoryzowanym dostępem.

W celu ręcznego wskazania urządzenia jako punktu dystrybucji:

1. W menu aplikacji kliknij ikonę ustawienia () obok nazwy żądanego Serwera administracyjnego.

   Zostanie otwarte okno właściwości Serwera administracyjnego.

2. Na zakładce Ogólne wybierz sekcję Punkty dystrybucji.
3. Wybierz opcję Ręcznie przypisz punkty dystrybucji.
4. Kliknij przycisk Przypisz.
5. Wybierz urządzenie, które ma być punktem dystrybucji.

   Podczas wybierania urządzenia pamiętaj o zasadach działania punktów dystrybucji i wymaganiach ustawionych dla urządzenia pełniącego rolę punktu dystrybucji.

6. Wybierz grupę administracyjną, którą chcesz uwzględnić w obszarze wybranego punktu dystrybucji.
7. Kliknij przycisk OK.

   Dodany punkt dystrybucji będzie wyświetlany na liście punktów dystrybucji, w sekcji Punkty dystrybucji.

8. Na liście kliknij nowo dodany punkt dystrybucji, aby otworzyć jego okno właściwości.
9. Skonfiguruj punkt dystrybucji w oknie właściwości:
   • Sekcja Ogólne zawiera ustawienie interakcji pomiędzy punktem dystrybucji a urządzeniami klienckimi:
     • Port SSL

       Numer portu SSL do nawiązywania zaszyfrowanych połączeń między urządzeniami klienckimi a punktem dystrybucji przy użyciu SSL.

       Domyślnie wykorzystywany jest port 13000.

     • Użyj multiemisji

       Jeśli ta opcja jest włączona, multicasting IP będzie używany do automatycznego rozsyłania pakietów instalacyjnych na urządzenia klienckie w obrębie grupy.

       Multiemisja IP zmniejsza czas wymagany do zainstalowania aplikacji z pakietu instalacyjnego w grupie urządzeń klienckich, ale zwiększa czas instalacji, gdy instalujesz aplikację na jednym urządzeniu klienckim.

     • Adres multiemisji IP

       Adres IP, który będzie używany do multiemisji. Możesz zdefiniować adres IP z zakresu 224.0.0.0 – 239.255.255.255

       Domyślnie, Kaspersky Security Center automatycznie przypisze unikatowy adres IP multiemisji w obrębie danego zakresu.

     • Numer portu multiemisji IP

       Numer portu do multiemisji IP.

       Domyślnym numerem portu jest 15001. Jeśli jako punkt dystrybucji określono urządzenie, na którym działa Serwer administracyjny, domyślnie dla połączenia SSL używany jest port 13001.

     • Adres bramy dla urządzeń zdalnych

       Adres IPv4, za pośrednictwem którego urządzenia zdalne łączą się z punktem dystrybucji.

     • Roześlij aktualizacje

       Aktualizacje są dystrybuowane na zarządzane urządzenia z następujących źródeł:

       • Ten punkt dystrybucji, jeśli ta opcja jest włączona.
       • Inne punkty dystrybucji, Serwer administracyjny lub serwery aktualizacji Kaspersky, jeśli ta opcja jest wyłączona.

       Jeśli używasz punktów dystrybucji do wdrażania aktualizacji, możesz zmniejszyć ruch, ponieważ zmniejszasz liczbę pobrań. Możesz także odciążyć Serwer administracyjny i przenieść obciążenie między punktami dystrybucji. Możesz obliczyć liczbę punktów dystrybucji w Twojej sieci w celu optymalizacji ruchu i obciążenia.

       Jeśli wyłączysz tę opcję, liczba pobrań aktualizacji i obciążenia Serwera administracyjnego mogą wzrosnąć. Domyślnie opcja ta jest włączona.

     • Roześlij pakiety instalacyjne

       Pakiety instalacyjne są dystrybuowane na zarządzane urządzenia z następujących źródeł:

       • Ten punkt dystrybucji, jeśli ta opcja jest włączona.
       • Inne punkty dystrybucji, Serwer administracyjny lub serwery aktualizacji Kaspersky, jeśli ta opcja jest wyłączona.

       Jeśli używasz punktów dystrybucji do wdrażania pakietów instalacyjnych, możesz zmniejszyć ruch, ponieważ zmniejszasz liczbę pobrań. Możesz także odciążyć Serwer administracyjny i przenieść obciążenie między punktami dystrybucji. Możesz obliczyć liczbę punktów dystrybucji w Twojej sieci w celu optymalizacji ruchu i obciążenia.

       Jeśli wyłączysz tę opcję, liczba pobrań pakietów instalacyjnych i obciążenie Serwera administracyjnego może wzrosnąć. Domyślnie opcja ta jest włączona.

     • Uruchom serwer push

       W Kaspersky Security Center punkt dystrybucji może działać jako serwer push dla urządzeń zarządzanych za pośrednictwem protokołu mobilnego oraz zarządzanych za pośrednictwem agenta sieciowego. Na przykład, serwer push musi być włączony, jeśli chcesz mieć możliwość wymuszenia synchronizacji urządzeń KasperskyOS z Serwerem administracyjnym. Serwer push posiada ten sam obszar zarządzanych urządzeń jako punkt dystrybucji, na którym włączono serwer push. Jeśli posiadasz kilka punktów dystrybucji przypisanych dla tej samej grupy administracyjnej, możesz włączyć serwer push na każdym punkcie dystrybucji. W tym przypadku Serwer administracyjny rozkłada obciążenie między punkty dystrybucji.

     • Port serwera push

       Numer portu serwera push. Możesz określić numer dowolnego zajętego portu.

   • W sekcji Zakres określ obszar, w jakim punkt dystrybucji będzie rozsyłał uaktualnienia (grupy administracyjne i/lub lokalizacja sieciowa).

     Tylko urządzenia działające pod kontrolą systemu operacyjnego Windows mogą determinować swoją lokalizację sieciową. Lokalizacja sieciowa nie może zostać określona dla urządzeń z zainstalowanymi innymi systemami operacyjnymi.

   • Jeżeli punkt dystrybucji działa na komputerze innym niż Serwer administracyjny, w sekcji Źródło aktualizacji możesz wybrać źródło aktualizacji dla punktu dystrybucji:
     • Źródło uaktualnień

       Wybierz źródło uaktualnień dla punktu dystrybucji:

       • Aby zezwolić punktowi dystrybucji na pobieranie uaktualnień z Serwera administracyjnego, zaznacz opcję Pobierz z Serwera administracyjnego.
       • Aby umożliwić punktowi dystrybucji otrzymywanie aktualizacji za pomocą zadania, wybierz Użyj zadania pobierania aktualizacji, a następnie określ zadanie Pobierz aktualizacje do repozytoriów punktów dystrybucji:
         • Jeśli takie zadanie już istnieje na urządzeniu, wybierz zadanie z listy.
         • Jeśli takie zadanie jeszcze nie istnieje na urządzeniu, kliknij łącze Utwórz zadanie, aby utworzyć zadanie. Zostanie uruchomiony Kreator dodawania zadań. Postępuj zgodnie z instrukcjami Kreatora.
     • Pobierz pliki diff

       Ta opcja włącza funkcję pobierania plików diff.

       Domyślnie opcja ta jest włączona.

   • W podsekcji Ustawienia połączenia z Internetem możesz określić ustawienia dostępu do Internetu:
     • Użyj serwera proxy

       Jeśli to pole jest zaznaczone, w polach wejściowych możesz skonfigurować połączenie z serwerem proxy.

       Domyślnie pole to nie jest zaznaczone.

     • Adres serwera proxy

       Adres serwera proxy.

     • Numer portu

       Numer portu używanego do nawiązywania połączenia.

     • Pomiń serwer proxy dla adresów lokalnych

       Jeśli ta opcja jest włączona, żaden serwer proxy nie będzie używany do nawiązywania połączenia z urządzeniami w sieci lokalnej.

       Domyślnie opcja ta jest wyłączona.

     • Uwierzytelnianie na serwerze proxy

       Jeśli to pole jest zaznaczone, w polach wejściowych możesz określić dane uwierzytelniające do autoryzacji na serwerze proxy.

       Domyślnie pole to nie jest zaznaczone.

     • Nazwa użytkownika

       Konto użytkownika, z poziomu którego nawiązywane jest połączenie z serwerem proxy.

     • Hasło

       Hasło do konta, z poziomu którego zadanie będzie uruchamiane.

   • W sekcji KSN Proxy możesz skonfigurować aplikację, aby używała punktu dystrybucji do przesyłania żądań KSN z zarządzanych urządzeń:
     • Włącz KSN Proxy po stronie punktu dystrybucji

       Usługa KSN proxy jest uruchamiana na urządzeniu, które jest używane jako punkt dystrybucji. Użyj tej funkcji do redystrybucji i optymalizacji ruchu w sieci.

       Punkt dystrybucji wysyła statystyki KSN, które zostały wymienione w Oświadczeniu Kaspersky Security Network, do Kaspersky. Domyślnie, Oświadczenie KSN znajduje się w %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.

       Domyślnie opcja ta jest wyłączona. Włączenie tej opcji działa, jeśli opcje Użyj Serwera administracyjnego jako serwera proxy i Zgadzam się na korzystanie z Kaspersky Security Network zostały włączone w oknie właściwości Serwera administracyjnego.

       Możesz przypisać węzeł klastra aktywny-pasywny do punktu dystrybucji i włączyć serwer proxy KSN na tym węźle.

     • Przesyłaj żądania KSN do Serwera administracyjnego

       Punkt dystrybucji przesyła żądania KSN z zarządzanych urządzeń do Serwera administracyjnego.

       Domyślnie opcja ta jest włączona.

     • Dostęp do KSN Cloud/Private KSN bezpośrednio przez Internet

       Punkt dystrybucji przesyła żądania KSN z zarządzanych urządzeń do chmury KSN lub Private KSN. Żądania KSN wygenerowane na samym punkcie dystrybucji są także wysyłane bezpośrednio do chmury KSN lub Private KSN.

       Punkty dystrybucji, na których jest zainstalowany Agent sieciowy w wersji 11 (lub wcześniejszej), nie może uzyskać bezpośredniego dostępu do Private KSN. Jeśli chcesz ponownie skonfigurować punkty dystrybucji do wysyłania żądań KSN do prywatnej sieci KSN, włącz opcję Przesyłaj żądania KSN do Serwera administracyjnego dla każdego punktu dystrybucji.

       Punkty dystrybucji, na których jest zainstalowany Agent sieciowy w wersji 12 (lub późniejszej), może uzyskać bezpośredni dostęp do Private KSN.

     • Ignoruj ustawienia serwera proxy w przypadku łączenia z Private KSN

       Włącz tę opcję, jeśli skonfigurowałeś ustawienia serwera proxy we właściwościach punktu dystrybucji lub w zasadzie Agenta sieciowego, ale architektura Twojej sieci wymaga bezpośredniego korzystania z Private KSN. W przeciwnym razie, żądania z zarządzanych aplikacji nie będą mogły dotrzeć do Private KSN.

       Ta opcja jest dostępna, jeśli wybierzesz opcję Dostęp do KSN Cloud/Private KSN bezpośrednio przez Internet.

     • Port

       Numer portu TCP, którego zarządzane urządzenia będą używały do nawiązywania połączenia z serwerem KSN proxy. Domyślny numer portu to 13111.

     • Użyj portu UDP

       Jeśli chcesz, żeby zarządzane urządzenia nawiązywały połączenie z serwerem KSN proxy poprzez port UDP, włącz opcję Użyj portu UDP i określ numer portu UDP. Domyślnie opcja ta jest włączona.

     • Port UDP

       Numer portu UDP, którego zarządzane urządzenia będą używały do nawiązywania połączenia z serwerem KSN proxy. Domyślny port UDP do nawiązywania połączenia z serwerem KSN Proxy to 15111.

   • Jeżeli punkt dystrybucji działa na komputerze innym niż Serwer administracyjny, w sekcji Brama połączenia możesz skonfigurować punkt dystrybucji tak, aby działał jako brama dla połączenia między instancjami Agenta sieciowego a Serwerem administracyjnym:
     • Brama połączenia

       Jeżeli bezpośrednie połączenie między Serwerem administracyjnym a Agentami sieciowymi nie może zostać nawiązane z powodu organizacji Twojej sieci, możesz użyć punktu dystrybucji, aby działał jako brama połączenia między Serwerem administracyjnym a Agentami sieciowymi.

       Włącz tę opcję, jeśli chcesz, aby punkt dystrybucji działał jako brama połączenia między Agentami sieciowymi a Serwerem administracyjnym. Domyślnie opcja ta jest wyłączona.

     • Nawiąż połączenie z bramą z poziomu Serwera administracyjnego (jeśli brama znajduje się w DMZ)

       Jeżeli Serwer administracyjny znajduje się poza strefą zdemilitaryzowaną (DMZ), w sieci lokalnej, Agenty sieciowe zainstalowane na zdalnych urządzeniach nie mogą łączyć się z Serwerem administracyjnym. Możesz użyć punktu dystrybucji jako bramy połączenia z odwrotną łącznością (Serwer administracyjny nawiązuje połączenie z punktem dystrybucji).

       Włącz tę opcję, jeśli chcesz połączyć Serwer administracyjny z bramą połączenia w strefie DMZ.

     • Otwórz port lokalny dla Kaspersky Security Center 14 Web Console

       Włącz tę opcję, jeśli chcesz, aby brama połączenia w strefie DMZ otwierała port konsoli internetowej znajdujący się w strefie DMZ lub w Internecie. Określ numer portu, który będzie używany do połączenia z konsoli internetowej do punktu dystrybucji. Domyślny numer portu to 13299.

       Ta opcja jest dostępna, jeśli włączysz opcję Nawiąż połączenie z bramą z poziomu Serwera administracyjnego (jeśli brama znajduje się w DMZ).

     Podczas podłączania urządzeń mobilnych do Serwera administracyjnego za pośrednictwem punktu dystrybucji pełniącego funkcję bramy połączenia można włączyć następujące opcje:

     • Otwórz port dla urządzeń mobilnych (tylko uwierzytelnianie SSL Serwera administracyjnego)

       Włącz tę opcję, jeśli potrzebujesz, aby brama połączenia otwierała port dla urządzeń mobilnych i określała numer portu, którego będą używać urządzenia mobilne do łączenia się z punktem dystrybucji. Domyślny numer portu to 13292. Urządzenie mobilne sprawdzi certyfikat Serwera administracyjnego. Podczas nawiązywania połączenia uwierzytelniany jest tylko Serwer administracyjny.

     • Otwórz port dla urządzeń mobilnych (wzajemne uwierzytelnianie SSL)

       Włącz tę opcję, jeśli potrzebujesz bramy połączenia, aby otworzyć port, który będzie używany do dwukierunkowej autoryzacji Serwera administracyjnego i urządzeń mobilnych. Urządzenie mobilne sprawdzi certyfikat Serwera administracyjnego, a Serwer administracyjny sprawdzi certyfikat urządzenia mobilnego. Określ następujące parametry:

       • Numer portu, którego urządzenia mobilne będą używać do łączenia się z punktem dystrybucji. Domyślny numer portu to 13293.
       • Nazwy domen DNS bramy połączenia, które będą używane przez urządzenia mobilne. Oddziel nazwy domen przecinkami. Określone nazwy domen zostaną uwzględnione w certyfikacie punktu dystrybucji. Jeśli nazwy domen używane przez urządzenia mobilne nie są zgodne z nazwą wspólną w certyfikacie punktu dystrybucji, urządzenia mobilne nie łączą się z punktem dystrybucji.

         Domyślną nazwą domeny DNS jest nazwa FQDN bramy połączenia.

     W obu przypadkach certyfikaty są sprawdzane wyłącznie podczas nawiązywania sesji TLS w punkcie dystrybucji. Certyfikaty nie są przesyłane do sprawdzenia przez Serwer administracyjny. Po nawiązaniu sesji TLS z urządzeniem mobilnym punkt dystrybucji używa certyfikatu serwera administracyjnego w celu utworzenia tunelu umożliwiającego synchronizację między urządzeniem mobilnym a Serwerem administracyjnym. Jeśli otworzysz port dla dwukierunkowego uwierzytelniania SSL, jedynym sposobem na dystrybucję certyfikatu urządzenia mobilnego będzie użycie pakietu instalacyjnego.

   • Skonfiguruj przeszukiwanie domen Windows, Active Directory i zakresów IP przez punkt dystrybucji:
     • Domeny Windows

       Możesz włączyć wykrywanie urządzeń dla domen Windows i ustawić terminarz dla wyszukiwania.

     • Active Directory

       Możesz włączyć przeszukiwanie sieci dla Active Directory i ustawić terminarz dla przeszukiwania.

       Jeśli korzystasz z punktu dystrybucji systemu Windows, możesz wybrać jedną z następujących opcji:

       • Przeszukaj bieżącą domenę Active Directory.
       • Przeszukaj las domen Active Directory.
       • Przeszukaj tylko wybrane domeny Active Directory. Jeśli wybierzesz tę opcję, dodaj jedną lub kilka domen Active Directory do listy.
     • Zakresy IP

       Możesz włączyć wykrywanie urządzeń dla zakresów IPv4 i sieci IPv6.

       Jeśli włączysz opcję Włącz przeszukiwanie zakresów, możesz dodać skanowane zakresy i skonfigurować dla nich terminarz. Możesz dodać zakresy IP do listy skanowanych zakresów.

       Jeśli włączysz opcję Użyj Zeroconf do przeszukiwania sieci IPv6, punkt dystrybucji automatycznie odpytuje sieć IPv6 za pomocą zero-configuration networking (zwany również Zeroconf). W takim przypadku określone zakresy adresów IP są ignorowane, ponieważ punkt dystrybucji przeszukuje całą sieć. Opcja Użyj Zeroconf do przeszukiwania sieci IPv6 jest dostępna, jeśli w punkcie dystrybucji działa system Linux. Aby korzystać z odpytywania Zerocong IPv6, musisz zainstalować narzędzie avahi-browse w punkcie dystrybucji.

   • W sekcji Zaawansowane określ folder, którego punkt dystrybucji musi używać do przechowywania rozsyłanych danych:
     • Użyj folderu domyślnego

       Jeśli wybierzesz tę opcję, aplikacja użyje folderu instalacyjnego Agenta sieciowego na urządzeniu działającym jako punkt dystrybucji.

     • Użyj określonego folderu

       Jeśli wybierzesz tę opcję, w polu poniżej możesz określić ścieżkę dostępu do wybranego folderu. Może to być folder lokalny na urządzeniu działającym jako punkt dystrybucji lub folder na dowolnym urządzeniu w obrębie sieci korporacyjnej.

       Konto użytkownika używane na urządzeniu działającym jako punkt dystrybucji do uruchamiania Agenta sieciowego musi mieć uprawnienia do odczytu/zapisu określonego folderu.

10. Kliknij przycisk OK.

Wybrane urządzenia będą pełnić rolę punktów dystrybucji.

Zobacz również: Scenariusz: Regularne aktualizowanie baz danych i aplikacji Kaspersky

Przejdź do góry