Ce scénario décrit comment connecter au Serveur d'administration des appareils administrés situés en dehors du réseau principal.
Prérequis
Le scénario prévoit les conditions préalables suivantes :
Étapes
Ce scénario se déroule par étapes :
Cet appareil sera utilisé comme passerelle de connexion L'appareil que vous sélectionnez doit répondre aux exigences en matière de passerelles de connexion.
Nous vous recommandons d'utiliser une installation locale pour installer l'Agent d'administration sur l'appareil sélectionné.
Par défaut, le fichier d'installation se trouve à l'adresse suivante : \\<nom du serveur>\KLSHARE\PkgInst\NetAgent_<numéro de la version>
Dans la fenêtre Passerelle de connexion de l'Assistant d'installation de l'Agent d'administration, sélectionnez l'option Utiliser l'Agent d'administration en tant que passerelle de connexion en DMZ. Ce mode active simultanément le rôle de passerelle de connexion et indique à l'Agent d'administration d'attendre les connexions du Serveur d'administration plutôt que d'établir des connexions avec le Serveur d'administration.
Vous pouvez également installer l'Agent d'administration sur un appareil Linux et le configurer pour qu'il fonctionne en tant que passerelle de connexion, mais faites attention à la liste des limitations de l'Agent d'administration s'exécutant sur les appareils Linux.
Pour vous assurer que le Serveur d'administration peut réellement se connecter à la passerelle de connexion dans la DMZ, autorisez les connexions au port TCP 13000 dans tous les pare-feux entre le Serveur d'administration et la passerelle de connexion.
Si la passerelle de connexion ne dispose d'aucune adresse IP réelle sur Internet, mais se trouve plutôt derrière une Traduction d'adresses réseau (NAT), configurez une règle pour transférer les connexions via la NAT.
Créez un nouveau groupe sous le groupe Appareils administrés. Ce nouveau groupe contiendra des appareils externes administrés.
La passerelle de connexion que vous avez configurée attend une connexion à partir du Serveur d'administration. Cependant, le Serveur d'administration n'énumère pas l'appareil avec la passerelle de connexion parmi les appareils administrés. Cela est dû au fait que la passerelle de connexion n'a pas tenté d'établir une connexion avec le Serveur d'administration. Par conséquent, vous avez besoin d'une procédure spéciale pour vous assurer que le Serveur d'administration amorce une connexion à la passerelle de connexion.
Procédez comme suit :
La passerelle de connexion est connectée et configurée.
En règle générale, les ordinateurs de bureau externes ne sont pas déplacés à l'intérieur du périmètre. Par conséquent, vous devez les configurer pour vous connecter au Serveur d'administration via la passerelle lors de l'installation de l'Agent d'administration.
Si les mises à jour des applications de sécurité sont configurées de manière à être téléchargées à partir du Serveur d'administration, les ordinateurs externes téléchargent les mises à jour via la passerelle de connexion. Ceci présente deux inconvénients :
Procédez comme suit :
Les ordinateurs portables itinérants se trouvent parfois au sein du réseau, et parfois en dehors de celui-ci. Pour assurer une gestion efficace, vous avez besoin qu'ils se connectent au Serveur d'administration différemment en fonction de leur position. Pour utiliser le trafic de manière efficace, ils doivent également recevoir des mises à jour de différentes sources en fonction de leur position.
Vous devez configurer des règles pour les utilisateurs itinérants : profils de connexion et descriptions d'emplacement réseau. Chaque règle définit l'instance de Serveur d'administration à laquelle les ordinateurs portables itinérants doivent se connecter en fonction de leur position et l'instance de Serveur d'administration à partir de laquelle ils doivent recevoir les mises à jour.