Tworzenie hierarchii Serwerów administracyjnych: dodawanie podrzędnego Serwera administracyjnego

Rozwiń wszystko | Zwiń wszystko

W hierarchii serwer administracyjny oparty na systemie Linux może działać zarówno jako serwer podstawowy, jak i serwer pomocniczy. Podstawowy serwer oparty na systemie Linux może zarządzać serwerami pomocniczymi opartymi na systemie Linux i Windows. Podstawowy serwer oparty na systemie Windows może zarządzać dodatkowym serwerem opartym na systemie Linux.

Dodawanie podrzędnego Serwera administracyjnego (wykonywane na przyszłym głównym Serwerze administracyjnym)

Możesz dodać Serwer administracyjny jako podrzędny Serwer administracyjny, a tym samym utworzyć hierarchię „główny/podrzędny”.

W celu dodania podrzędnego Serwera administracyjnego, który jest dostępny do połączenia poprzez Kaspersky Security Center Web Console:

1. Upewnij się, że port 13000 przyszłego głównego Serwera administracyjnego jest dostępny do odbierania połączeń od podrzędnych Serwerów administracyjnych.
2. Na przyszłym głównym Serwerze administracyjnym kliknij ikonę ustawienia ().
3. W otwartym oknie właściwości przejdź na zakładkę Serwery administracyjne.
4. Zaznacz pole obok nazwy grupy administracyjnej, do której chcesz dodać Serwer administracyjny.
5. W wierszu menu kliknij Połącz podrzędny Serwer administracyjny.

   Zostanie uruchomiony Kreator dodawania podrzędnego Serwera administracyjnego.

6. W pierwszym kroku kreatora wypełnij następujące pola:
   • Wyświetlana nazwa podrzędnego Serwera administracyjnego

     Nazwa, pod którą podrzędny Serwer administracyjny będzie wyświetlany w hierarchii. Jeśli chcesz, możesz wprowadzić adres IP jako nazwę lub możesz użyć nazwy, na przykład „Serwer podrzędny dla grupy 1”.

   • Adres podrzędnego Serwera administracyjnego (opcjonalnie)

     Określ adres IP lub nazwę domeny podrzędnego Serwera administracyjnego.

     Ten parametr jest wymagany, jeśli włączona jest opcja Połącz główny Serwer administracyjny z podrzędnym Serwerem administracyjnym w DMZ.

   • Port SSL Serwera administracyjnego

     Określ numer portu SSL na głównym Serwerze administracyjnym. Domyślny numer portu to 13000.

   • Port API Serwera administracyjnego

     Określ numer portu na głównym Serwerze administracyjnym do odbierania połączeń poprzez OpenAPI. Domyślny numer portu to 13299.

   • Połącz główny Serwer administracyjny z podrzędnym Serwerem administracyjnym w DMZ

     Wybierz tę opcję, jeśli podrzędny Serwer administracyjny znajduje się w strefie zdemilitaryzowanej (DMZ).

     Jeżeli ta opcja jest zaznaczona, podstawowy Serwer administracyjny inicjuje połączenie z pomocniczym Serwerem administracyjnym. W przeciwnym razie pomocniczy Serwer administracyjny inicjuje połączenie z podstawowym Serwerem administracyjnym.

   • Użyj serwera proxy

     Wybierz tę opcję, jeśli używasz serwera proxy do łączenia się z podrzędnym Serwerem administracyjnym.

     W tym przypadku musisz także określić następujące ustawienia serwera proxy:

     • Adres
     • Nazwa użytkownika
     • Hasło

7. Określ ustawienia połączenia:
   • Wprowadź adres przyszłego podstawowego Serwera administracyjnego.
   • Jeśli przyszły pomocniczy Serwer administracyjny będzie korzystał z serwera proxy, wprowadź adres serwera proxy i poświadczenia użytkownika, aby połączyć się z serwerem proxy.
8. Wprowadź poświadczenia użytkownika, który ma prawa dostępu na przyszłym pomocniczym Serwerze administracyjnym.

   Upewnij się, że weryfikacja dwuetapowa jest wyłączona dla określonego konta. Jeśli dla tego konta włączona jest weryfikacja dwuetapowa, możesz utworzyć hierarchię tylko z przyszłego serwera pomocniczego (zobacz instrukcje poniżej). To znany problem.

Jeśli ustawienia połączenia są prawidłowe, nawiązywane jest połączenie z przyszłym serwerem pomocniczym i budowana jest hierarchia „primary/secondary”. Jeśli połączenie nie powiodło się, sprawdź ustawienia połączenia lub ręcznie określ certyfikat przyszłego Serwera pomocniczego.

Połączenie może się również nie powieść, ponieważ przyszły serwer pomocniczy jest uwierzytelniany za pomocą samopodpisanego certyfikatu, który został automatycznie wygenerowany przez Kaspersky Security Center Linux. W rezultacie przeglądarka może zablokować pobieranie automatycznie podpisanego certyfikatu. W takim przypadku możesz wykonać jedną z następujących czynności:

• Dla przyszłego serwera pomocniczego utwórz certyfikat zaufany w Twojej infrastrukturze i spełniający wymagania dotyczące certyfikatów niestandardowych.
• Dodaj automatycznie podpisany certyfikat przyszłego serwera pomocniczego do listy zaufanych certyfikatów przeglądarki. Zalecamy korzystanie z tej opcji tylko wtedy, gdy nie można utworzyć certyfikatu niestandardowego. Informacje na temat dodawania certyfikatu do listy zaufanych certyfikatów znajdziesz w dokumentacji swojej przeglądarki.

Po zakończeniu pracy kreatora zostanie utworzona hierarchia „główny/podrzędny”. Połączenie między głównym i pomocniczym Serwerem administracyjnym jest nawiązywane przez port 13000. Zostaną pobrane i zastosowane zadania i zasady z głównego Serwera administracyjnego. Podrzędny Serwer administracyjny jest wyświetlany na głównym Serwerze administracyjnym w grupie administracyjnej, do której został dodany.

Dodawanie podrzędnego Serwera administracyjnego (wykonywane na przyszłym podrzędnym Serwerze administracyjnym)

Jeśli nie możesz połączyć się z przyszłym pomocniczym Serwerem administracyjnym (na przykład ponieważ był on tymczasowo odłączony lub niedostępny albo ponieważ plik certyfikatu dodatkowego Serwera administracyjnego jest samopodpisany), nadal możesz dodać dodatkowy Serwer administracyjny.

W celu dodania podrzędnego Serwera administracyjnego, który nie jest dostępny do połączenia poprzez Kaspersky Security Center Web Console:

1. Wyślij plik certyfikatu przyszłego głównego Serwera administracyjnego do administratora systemu biura, w którym znajduje się przyszły podrzędny Serwer administracyjny (możesz, na przykład, zapisać plik na urządzeniu zewnętrznym, takim jak dysk flash, lub wysłać go przez pocztę e-mail).

   Plik certyfikatu znajduje się na przyszłym głównym serwerze administracyjnym w katalogu /var/opt/kaspersky/klnagent_srv/1093/cert/.

2. Poproś administratora systemu zarządzającego przyszłym podrzędnym Serwerem administracyjnym o wykonanie następujących czynności:
   1. Kliknij ikonę ustawienia ().
   2. W otwartym oknie właściwości przejdź do sekcji Hierarchia Serwerów administracyjnych zakładki Ogólne.
   3. Wybierz opcję Ten Serwer administracyjny jest podrzędnym w hierarchii.
   4. W polu Adres głównego Serwera administracyjnego wprowadź nazwę sieci przyszłego głównego Serwera administracyjnego.
   5. Wybierz wcześniej zapisany plik z certyfikatem przyszłego głównego Serwera administracyjnego, klikając Przeglądaj.
   6. Jeśli to konieczne, zaznacz pole Połącz główny Serwer administracyjny z podrzędnym Serwerem administracyjnym w DMZ.
   7. Jeśli połączenie z przyszłym głównym Serwerem administracyjnym odbywa się poprzez serwer proxy, wybierz opcję Użyj serwera proxy i określ ustawienia połączenia.
   8. Kliknij Zapisz.

Zostanie utworzona hierarchia „główny/podrzędny”. Główny Serwer administracyjny rozpocznie odbieranie połączenia od podrzędnego Serwera administracyjnego za pośrednictwem portu 13000. Zostaną pobrane i zastosowane zadania i zasady z głównego Serwera administracyjnego. Podrzędny Serwer administracyjny jest wyświetlany na głównym Serwerze administracyjnym w grupie administracyjnej, do której został dodany.