In Kaspersky Security Center Cloud Console haben Sie die Möglichkeit, Geräte manuell zu Verteilungspunkten zu bestimmen. Es wird empfohlen, die Anzahl und Konfiguration der für Ihr Netzwerk benötigten Verteilungspunkte zu berechnen.
Geräte mit Verteilungspunkten unter macOS können keine Updates von Kaspersky Update-Servern herunterladen.
Wenn ein oder mehrere Geräte, die unter macOS laufen, in den Bereich der Aufgabe zum Download von Updates in die Datenverwaltung der Verteilungspunkte fallen, schließt die Aufgabe mit dem Status Fehlgeschlagen ab, selbst wenn sie auf allen Windows-Geräten erfolgreich abgeschlossen wurde.
Geräte, die als Verteilungspunkte fungieren, müssen vor unberechtigtem Zugriff (auch physischer Natur) geschützt werden.
Um ein Gerät manuell zum Verteilungspunkt zu bestimmen, gehen Sie wie folgt vor:
Klicken Sie im Hauptmenü auf den Namen des Administrationsservers.
Das Eigenschaftenfenster des Administrationsservers wird geöffnet.
Wählen Sie auf der Registerkarte Allgemein den Abschnitt Verteilungspunkte aus.
Klicken Sie auf die Schaltfläche Zuweisen.
Wählen Sie das Gerät aus, das Sie zu einem Verteilungspunkt machen möchten.
Berücksichtigen Sie bei der Auswahl des Geräts die Besonderheiten des Verteilungspunkts und die Anforderungen an das Gerät, das die Rolle des Verteilungspunkts übernehmen soll.
Wählen Sie die Administrationsgruppe aus, die zum Gültigkeitsbereich des ausgewählten Verteilungspunkts gehören soll.
Klicken Sie auf die Schaltfläche Hinzufügen.
Der hinzugefügte Verteilungspunkt wird in der Liste der Verteilungspunkte im Abschnitt Verteilungspunkte angezeigt.
Wählen Sie den hinzugefügten Verteilungspunkt in der Liste aus und öffnen Sie sein Eigenschaftenfenster.
Passen Sie im Eigenschaftenfenster die Einstellungen des Verteilungspunkts an:
Der Abschnitt Allgemein enthält die Einstellungen für die Interaktion des Verteilungspunkts mit den Client-Geräten:
Wenn diese Option aktiviert ist, werden die Installationspakete automatisch mithilfe von IP-Multicasting an die Client-Geräte innerhalb einer Gruppe verteilt.
IP-Multicasting erhöht die Dauer für die Installation einer Anwendung aus einem Installationspaket in eine Gruppe von Client-Geräten. Dagegen reduziert es die Installationsdauer, wenn Sie eine Anwendung auf einem einzelnen Client-Gerät installieren.
Standardmäßig wird Port 15001 verwendet. Wenn als Verteilungspunkt ein Gerät angegeben wurde, auf dem der Administrationsserver installiert ist, wird für die Verbindung mit dem SSL-Protokoll standardmäßig Port 13001 verwendet.
Aus den folgenden Quellen werden Updates an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Updates Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Update-Downloads und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
Aus den folgenden Quellen werden Installationspakete an verwaltete Geräte verteilt:
Von diesen Verteilungspunkt, wenn diese Option aktiviert ist.
Von anderen Verteilungspunkten, dem Administrationsserver oder Kaspersky-Update-Servern, wenn diese Option deaktiviert ist.
Wenn Sie zur Bereitstellung von Installationspaketen Verteilungspunkte verwenden, können Sie Datenverkehr sparen, da Sie die Anzahl der Downloads reduzieren. Außerdem können Sie den Administrationsserver entlasten und die Last auf die Verteilungspunkten verlegen. Um den Datenverkehr und die Last zu optimieren, können Sie die Anzahl der Verteilungspunkte für Ihr Netzwerk berechnen.
Wenn Sie diese Option deaktivieren, kann sich die Anzahl der Downloads von Installationspaketen und die Belastung des Administrationsservers erhöhen. Diese Option ist standardmäßig aktiviert.
In Kaspersky Security Center Cloud Console kann ein Verteilungspunkt als Push-Server für Windows-basierte und Linux-basierte Geräte fungieren, die durch einen Administrationsagenten verwaltet werden. Ein Push-Server besitzt denselben Umfang verwalteter Geräte wie der Verteilungspunkt, auf dem der Push-Server aktiviert ist. Wenn Sie mehrere Verteilungspunkte derselben Administrationsgruppe zugewiesen haben, können Sie auf jedem der Verteilungspunkte einen Push-Server aktivieren. In diesem Fall verteilt der Administrationsserver die Last zwischen den Verteilungspunkten.
Die Portnummer des Push-Servers. Sie können die Nummer eines beliebigen unbelegten Ports angeben.
Geben Sie im Abschnitt Bereich den Bereich an, auf den der Verteilungspunkt die Updates verteilen soll (Administrationsgruppen und/oder Netzwerkstandort).
Wenn Sie eine Administrationsgruppe angeben möchten, klicken Sie auf die Schaltfläche Gruppe hinzufügen. Wählen Sie im neuen rechten Bereich die Administrationsgruppe aus der Dropdown-Liste und klicken Sie anschließend auf die Schaltfläche Hinzufügen.
Wenn Sie ein Subnetz angeben möchten, klicken Sie auf die Schaltfläche Subnetz hinzufügen. Klicken Sie im neuen rechten Bereich auf die Schaltfläche Hinzufügen und geben Sie anschließend den Namen des Subnetzes ein.
Für Geräte mit Windows-Betriebssystem wird der Umschalter Verteilungspunkte mit dieser Beschreibung des Netzwerkstandorts automatisch zuweisen angezeigt. Die Bestimmung des Netzwerkspeicherorts ist für Geräte unter der Verwaltung anderer Betriebssysteme nicht verfügbar.
Im Abschnitt Update-Quelle können Sie eine Update-Quelle für den Verteilungspunkt auswählen:
Wenn Ihre Verteilungspunkte für die Verbindung mit dem Internet einen Proxyserver verwenden, können Sie im Abschnitt Einstellungen für die Internetverbindung die folgenden Einstellungen festlegen:
Kennwort des Benutzerkontos, unter dessen Namen die Aufgabe gestartet wird.
Im Abschnitt KSN Proxy können Sie die Anwendung anpassen, um den Verteilungspunkt zum Weiterleiten von KSN-Anfragen von den verwalteten Geräten zu verwenden:
Der KSN-Proxy-Service wird auf dem Gerät ausgeführt, das als Verteilungspunkt verwendet wird. Verwenden Sie diese Funktion, um Datenverkehr im Netzwerk neu zu verteilen und zu optimieren.
Diese Funktion wird von Verteilungspunktgeräten unter Linux- oder macOS nicht unterstützt.
Diese Option ist standardmäßig deaktiviert. Die Aktivierung dieser Option wird erst wirksam, wenn die Option Ich akzeptiere die Nutzungsbedingungen von Kaspersky Security Network im Fenster mit den Eigenschaften des Administrationsservers aktiviert ist.
Sie können dem Knoten eines aktiv-passiven Clusters die Rolle als Verteilungspunkt zuweisen und den KSN-Proxyserver auf diesem Knoten aktivieren.
Die Nummer des TCP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Standardmäßig wird Portnummer 13111 verwendet.
Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen UDP-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option UDP-Port verwenden und geben Sie eine UDP-Portnummer an. Diese Option ist standardmäßig aktiviert.
Die Nummer des UDP-Ports, den die verwalteten Geräte verwenden werden, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Der standardmäßige UDP-Port für die Verbindung zum KSN-Proxyserver ist 15111.
Wenn es erforderlich ist, dass sich die verwalteten Geräte über einen HTTPS-Port mit dem KSN-Proxyserver verbinden, aktivieren Sie die Option HTTPS-Port verwenden und geben Sie im Feld HTTPS über Port eine Nummer an. Der standardmäßige HTTPS-Port für die Verbindung zum KSN-Proxyserver ist 17111.
Die Nummer des HTTPS-Ports, den die verwalteten Geräte verwenden sollen, um eine Verbindung mit dem KSN-Proxyserver herzustellen. Der standardmäßige HTTPS-Port für die Verbindung zum KSN-Proxyserver ist 17111.
Im Abschnitt Verbindungs-Gateway können Sie den Verteilungspunkt so konfigurieren, dass er als Gateway für die Verbindung zwischen den Instanzen der Administrationsagenten und dem Administrationsserver dient, wenn aufgrund der Organisation Ihres Netzwerks keine direkte Verbindung hergestellt werden kann. Aktivieren Sie dazu den Umschalter Verbindungs-Gateway.
Diese Option ist standardmäßig deaktiviert.
Wenn Sie mobile Geräte über den Verteilungspunkt, der als Verbindungs-Gateway fungiert, mit dem Administrationsserver verbinden, können Sie die folgenden Optionen aktivieren:
Aktivieren Sie diese Option, wenn das Verbindungs-Gateway einen Port für mobile Geräte öffnen soll, und geben Sie die Portnummer an, die mobile Geräte für die Verbindung zum Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13292 verwendet. Das mobile Gerät überprüft das Zertifikat des Administrationsservers. Beim Verbindungsaufbau wird nur der Administrationsserver authentifiziert.
Aktivieren Sie diese Option, wenn Sie ein Verbindungs-Gateway benötigen, um einen Port zu öffnen, der für die bidirektionale Authentifizierung des Administrationsservers und mobiler Geräte verwendet wird. Das mobile Gerät überprüft das Zertifikat des Administrationsservers und der Administrationsserver überprüft das Zertifikat des mobilen Geräts. Geben Sie die folgenden Parameter an:
Portnummer, die mobile Geräte für die Verbindung mit dem Verteilungspunkt verwenden. Standardmäßig wird Portnummer 13293 verwendet.
DNS-Domänennamen des Verbindungs-Gateways, die von mobilen Geräten verwendet werden. Trennen Sie Domänennamen durch Kommas. Die angegebenen Domänennamen werden in das Zertifikat des Verteilungspunkts aufgenommen. Wenn die von den mobilen Geräten verwendeten Domänennamen nicht mit dem allgemeinen Namen im Verteilungspunktzertifikat übereinstimmen, stellen die mobilen Geräte keine Verbindung zum Verteilungspunkt her.
Standardmäßig entspricht der DNS-Domänenname dem FQDN-Namen des Verbindungsgateways.
In beiden Fällen werden die Zertifikate nur während des Aufbaus der TLS-Sitzung auf dem Verteilungspunkt überprüft. Die Zertifikate werden nicht zur Prüfung durch den Administrationsserver weitergeleitet. Nachdem eine TLS-Sitzung mit dem mobilen Gerät hergestellt wurde, verwendet der Verteilungspunkt das Zertifikat des Administrationsservers, um einen Tunnel für die Synchronisierung zwischen dem mobilen Gerät und dem Administrationsserver herzustellen. Wenn Sie den Port für die bidirektionale SSL-Authentifizierung öffnen, kann das Zertifikat für mobile Geräte nur mithilfe eines Installationspakets verteilt werden.
Passen Sie die Einstellungen für die Abfrage der Windows-Domänen, des Domänencontrollers oder des IP-Bereichs für den Verteilungspunkt an:
Sie können die Geräteerkennung für Windows-Domänen aktivieren, indem Sie den Umschalter Netzwerkabfrage aktivieren aktivieren und anschließend auf die Schaltfläche Zeitplan für vollständige Abfragen festlegen klicken, um den Zeitplan für die Erkennung festzulegen.
Geben Sie im nächsten Fenster den Abfragezeitplan an:
Start nach Zeitplan
Sie können eine der folgenden Varianten für den Zeitplan auswählen:
Alle n Tage
Die Abfrage wird ab dem angegebenen Datum und der Uhrzeit regelmäßig im angegebenen Intervall in Tagen ausgeführt. Standardmäßig wird die Abfrage ab aktuellem Systemdatum und -uhrzeit täglich ausgeführt.
Alle n Minuten
Die Abfrage wird ab der angegebenen Uhrzeit regelmäßig im angegebenen Intervall in Minuten ausgeführt. Standardmäßig wird die Abfrage ab der aktuellen Systemzeit alle fünf Minuten ausgeführt.
Nach Wochentagen
Die Abfrage wird regelmäßig an den festgelegten Wochentagen und zur festgelegten Uhrzeit ausgeführt. Die Abfrage wird standardmäßig jeden Freitag um 18:00:00 Uhr ausgeführt.
Monatlich, an angegebenen Tagen der gewählten Wochen
Die Abfrage wird regelmäßig an den festgelegten Tagen des Monats und zur festgelegten Uhrzeit ausgeführt. Standardmäßig sind keine Tage des Monats ausgewählt; die Standardstartzeit ist 18:00:00 Uhr.
Startintervall (Tage)
Geben Sie an, wofür n steht (Minuten oder Tage).
Das Feld wird angezeigt, wenn Sie für den Zeitplan die Option Alle n Tage oder Alle n Minuten ausgewählt haben.
Beginnend ab
Geben Sie an, wann mit der ersten Abfrage begonnen werden soll.
Das Feld wird angezeigt, wenn Sie für den Zeitplan die Option Alle n Tage oder Alle n Minuten ausgewählt haben.
Übersprungene Aufgaben starten
Wenn der Administrationsserver während der für die Abfrage geplanten Zeit abgeschaltet oder nicht verfügbar ist, kann der Administrationsserver die Abfrage entweder sofort nachdem er eingeschaltet wurde starten, oder auf die nächste planmäßige Durchführung warten.
Diese Option ist standardmäßig deaktiviert, weshalb der Administrationsserver auf den nächsten für die Abfrage geplanten Zeitpunkt wartet.
Wenn Sie diese Option aktivieren, startet der Administrationsserver die Abfrage sofort, nachdem er eingeschaltet wurde.
Dieser Abschnitt wird nur für Verteilungspunkte mit Windows angezeigt.
Sie können für Active Directory die Netzwerkabfrage erlauben und den Zeitplan für die Abfrage festlegen.
Wenn Sie einen Windows-Verteilungspunkt verwenden, können Sie eine der folgenden Optionen auswählen:
Aktuelle Domäne des Active Directory abfragen.
Domänengesamtstruktur des Active Directory abfragen.
Angegebene Domänen des Active Directory abfragen. Wenn Sie diese Option auswählen, fügen Sie eine oder mehrere Active Directory-Domänen zur Liste hinzu.
Wenn Sie einen Linux-Verteilungspunkt mit installiertem Administrationsagenten Version 15 verwenden, können Sie nur Active Directory-Domänen abfragen, für die Sie die Adresse und die Anmeldeinformationen des Benutzers angeben. Die Abfrage der aktuellen Active Directory-Domäne und der Active Directory-Domänen-Gesamtstruktur ist nicht verfügbar.
Sie können für Domänencontroller die Gerätesuche aktivieren.
Nachdem Sie im Feld Abfrage die Taste auf Aktiviert gewechselt haben, können Sie Domänencontroller für die Abfrage auswählen und den Abfragezeitplan für diese festlegen.
Wenn Sie einen Linux-Verteilungspunkt verwenden, klicken Sie im Abschnitt Angegebene Domänen abfragen auf Hinzufügen und geben Sie anschließend die Adresse und die Anmeldeinformationen des Domänencontrollers an. Außerdem können Sie den Typ der abzufragenden Domäne angeben: Active Directory oder Samba, FreeIPA, ALD Pro.
Wenn Sie einen Windows-Verteilungspunkt verwenden, können Sie eine der folgenden Optionen auswählen:
Sie können die Gerätesuche für IPv4-Bereiche und IPv6-Netzwerke aktivieren.
Wenn Sie die Option Abfrage des Bereichs zulassen aktivieren, können Sie zu untersuchende Bereiche hinzufügen und den Zeitplan für sie festlegen. Sie können IP-Bereich zur Liste der untersuchten Bereiche hinzufügen.
Wenn Sie die Option Zeroconf zum Abfragen von IPv6-Netzwerken verwenden aktiviert haben, fragt der Verteilungspunkt das IPv6-Netzwerk automatisch unter Verwendung von Zero-configuration Networking (auch als Zeroconf bezeichnet) ab. In diesem Fall werden angegebene IP-Bereiche ignoriert, da der Verteilungspunkt das gesamte Netzwerk abfragt. Für Verteilungspunkte mit Linux ist die Option Zeroconf zum Abfragen von IPv6-Netzwerken verwenden verfügbar. Um die Zeroconf IPv6-Abfrage verwenden zu können, müssen Sie das Tool "avahi-browser" auf dem Verteilungspunkt installieren.
Geben Sie im Abschnitt Erweitert den Ordner an, den der Verteilungspunkt zum Speichern der zu verteilenden Daten verwenden soll:
Bei Auswahl dieser Option können Sie im unteren Feld den Pfad zum Ordner angeben. Dabei können Sie einen lokalen Ordner des Verteilungspunkts oder einen Ordner auf einem beliebigen, sich im Unternehmensnetzwerk befindlichen Remote-Gerät angeben.
Das Benutzerkonto, unter dem der Administrationsagent auf dem Verteilungspunkt gestartet wird, muss über die Lese- und Schreibberechtigungen für den angegebenen Ordner verfügen.
Im Abschnitt Statistik können Sie Statistiken zum Download von Antiviren-Datenbanken oder zur Installation von Paketen auf dem Gerät anzeigen.
Klicken Sie auf die Schaltfläche OK.
Daraufhin übernehmen die ausgewählten Geräte die Rolle des Verteilungspunkts.