Zugriff aus dem Internet: Administrationsserver in der demilitarisierten Zone

Wenn sich der Administrationsserver in der demilitarisierten Zone des Unternehmensnetzwerks befindet, hat er keinen Zugriff auf das interne Netzwerk des Unternehmens. Daraus ergeben sich die folgenden Einschränkungen:

• Der Administrationsserver kann neue Geräte nicht selbstständig finden.
• Der Administrationsserver kann die erstmalige Bereitstellung des Administrationsagenten nicht mittels erzwungener Installation auf den Geräten des internen Netzwerks des Unternehmens ausführen.

Es handelt sich nur um die erstmalige Installation des Administrationsagenten. Die nachfolgenden Updates der Version des Administrationsagenten oder die Installation der Sicherheitsanwendungen können bereits vom Administrationsserver ausgeführt werden. Jedoch kann die erstmalige Bereitstellung der Administrationsagenten mit anderen Mitteln, beispielsweise mithilfe der Gruppenrichtlinien von Microsoft® Active Directory® ausgeführt werden.

• Der Administrationsserver kann über den UDP-Port 15000 keine Benachrichtigungen an die verwalteten Geräte senden. Dies ist nicht kritisch für die Funktionalität von Kaspersky Security Center.
• Der Administrationsserver kann keine Abfrage von Active Directory durchführen. Die Ergebnisse einer Active Directory-Abfrage sind allerdings in der Mehrzahl der Szenarien nicht erforderlich.

Wenn die oben beschriebenen Beschränkungen kritisch sind, können sie mithilfe von Verteilungspunkten aufgehoben werden, die sich im Unternehmensnetzwerk befinden:

• Für das Ausführen der erstmaligen Bereitstellung auf Geräten ohne Administrationsagenten muss der Administrationsagent vorläufig auf einem der Geräte installiert und dieses Gerät als Verteilungspunkt bestimmt werden. Daraufhin wird die erstmalige Installation des Administrationsagenten auf den übrigen Geräten vom Administrationsserver durch diesen Verteilungspunkt ausgeführt.
• Für das Finden neuer Geräte im internen Netzwerk des Unternehmens und für die Abfrage von Active Directory müssen auf einem der Verteilungspunkte die erwünschten Methoden zur Gerätesuche aktiviert werden.

Um sicherzustellen, dass Benachrichtigungen an den UDP-Port 15000 erfolgreich auf verwalteten Geräten gesendet werden, die sich im internen Unternehmensnetzwerk befinden, müssen Sie das gesamte Unternehmensnetzwerk mit Verteilungspunkten abdecken. Aktivieren Sie in den Eigenschaften der zugewiesenen Verteilungspunkte das Kontrollkästchen Verbindung mit Administrationsserver nicht trennen. Dadurch stellt der Administrationsserver eine kontinuierliche Verbindung zu den Verteilungspunkten her und die Verteilungspunkte können Benachrichtigungen an den UDP-Port 15000 auf den Geräten senden, die sich im internen Unternehmensnetzwerk befinden (das trifft auf IPv4- oder IPv6-Netzwerke zu).

Siehe auch: Administrationsserver in der DMZ, verwaltete Geräte im Internet

Nach oben