方案:创建通过 Kaspersky Security Center 云控制台管理的管理服务器层次结构
此方案描述了创建通过 Kaspersky Security Center 云控制台管理的管理服务器层次结构所必须执行的操作,服务器从而承担主管理服务器的角色。此层次结构随后可用于将受管理设备和对象从 Kaspersky Security Center 迁移到 Kaspersky Security Center 云控制台,以及通过 Kaspersky Security Center 云控制台管理从属管理服务器和设备。
Kaspersky Security Center 云控制台只能充当主管理服务器,而本地运行的管理服务器只能充当从属管理服务器。其他分层方案不可用。
先决条件
在开始之前,请确保满足以下先决条件:
- 将内部运行的管理服务器升级到版本 12 或更高版本。
- 在内部运行的管理服务器上安装 Kaspersky Security Center Web Console。
- 为要通过 Kaspersky Security Center 云控制台管理的应用程序安装 Web 插件。
- 将受管理应用程序升级到 Kaspersky Security Center 云控制台支持的版本。
- 确保本地运行的管理服务器上的“下载管理服务器存储库更新”任务没有将主管理服务器指定为更新源;如有必要,相应地修改任务设置。
创建层次结构后,Kaspersky Security Center 云控制台中有效的策略和任务将应用到从属管理服务器上,从而取代其现有策略和任务。如果您想避免此行为,请在创建层次结构之前删除Kaspersky Security Center 云控制台的所有策略和任务。或者,您可以在其设置中将每个Kaspersky Security Center 云控制台策略的状态更改为不活动 ,并在每个Kaspersky Security Center 云控制台任务的设置中禁用分发到从属和虚拟管理服务器”选项。
如有必要,您可以随时删除管理服务器的层次结构。
层次结构创建的阶段
基本方案提供了无法通过 Internet 访问的从属管理服务器。但是,如果可以通过 Internet 访问从属管理服务器,则下面描述的某些步骤中的一组操作可能会有所不同。此外,在这种情况下必须跳过某些步骤。
管理服务器层次结构的创建包括以下阶段:
- 检索从属管理服务器的证书
如果从属管理服务器可通过互联网访问,请跳过此步骤。
在本地运行的 Kaspersky Security Center Web Console 中,打开管理服务器属性,然后在常规选项卡上打开常规部分。单击查看管理服务器证书链接。CER 格式的证书文件会自动保存在浏览器设置中指定的文件夹中。
- 从 Kaspersky Security Center 云控制台检索连接设置和证书
如果从属管理服务器可通过互联网访问,请跳过此步骤。
在 Kaspersky Security Center 云控制台中,打开管理服务器属性,然后在常规选项卡上打开管理服务器层级部分。以下连接设置将显示:
该部分还包含两个链接:
通过使用剪贴板或任何其他方便的方式手动复制连接设置,并将它们保存到任何方便格式的文件中。单击查看管理服务器证书链接并等待证书文件下载。单击HDS 根 CA 证书链接并等待下载包含证书颁发机构颁发的受信任根证书列表的文件。这两个文件都保存到浏览器设置中指定的文件夹中。
- 选择用于连接的从属管理服务器
在管理服务器属性中,转到管理服务器选项卡。在管理组的层次结构中,选中要包含从属管理服务器及其所有受管理设备的管理组旁边的复选框。单击连接从属管理服务器按钮。
在打开的页面上,在从属管理服务器显示名称字段中指定从属管理服务器必须在层次结构中显示的名称。它只是为了您的方便而使用,因此如有必要,它可以与实际的从属管理服务器名称不同。单击“下一步”。
如果可以通过互联网访问从属管理服务器,则还必须在从属从属管理服务器地址(可选)字段中指定从属管理服务器的地址。
在下一页上,单击浏览按钮并指定您从从属管理服务器保存的 .pem 文件。单击“下一步”。
- 启用并配置代理服务器
此步骤中描述的操作是可选的。仅当您的连接需要使用代理服务器时才执行它们。
单击“下一步”。在连接和身份验证设置页面上,您可以根据需要启用和配置代理服务器的使用。选中使用代理服务器复选框并指定以下代理设置:
- 指定身份验证设置并将从属管理服务器添加到层次结构中
单击“下一步”。在从属管理服务器凭证页面上,指定以下设置:
单击下一步并等待从属管理服务器出现在层次结构中。
如果从属管理服务器可通过互联网访问,它将连接到主管理服务器。
如果从属管理服务器可通过互联网访问,并且两个管理服务器之间的连接已成功建立,则跳过所有后续步骤。
如果无法通过互联网访问从属管理服务器,它将变为可见,但您必须在从属管理服务器上执行其他操作才能获得对其的控制。
- 在本地运行的 Kaspersky Security Center Web Console 中配置连接
在本地运行的 Kaspersky Security Center Web Console 中,打开管理服务器属性,然后在常规选项卡上打开管理服务器层级部分。选中该管理服务器是服务器层级中的从属复选框。在主管理服务器类型列表中,选择Kaspersky Security Center 云控制台选项。
Kaspersky Security Center Web Console 会检查是否将主管理服务器指定为“将更新下载到管理服务器存储库”任务中的更新源。如果将主管理服务器指定为更新源,您将收到相应的警告消息和任务设置的链接。您可以修改设置,然后返回层次结构创建,也可以跳过此操作并继续创建层次结构。
在用于在从属管理服务器与主管理服务器之间建立连接的设置组中,指定以下设置:
- 正在添加文件到从属管理服务器
单击指定主管理服务器证书按钮,并指定您从 Kaspersky Security Center 云控制台的管理服务器属性中保存的证书文件。
单击指定 Hosted Discovery Service 证书按钮,并指定您从 Kaspersky Security Center 云控制台的管理服务器属性中保存的 .pem 文件。
如果您在 Kaspersky Security Center 云控制台中连接从属管理服务器时启用了代理服务器的使用,请选中使用代理服务器复选框并指定与 Kaspersky Security Center 云控制台中相同的代理设置。
如果从属管理服务器位于隔离区 (DMZ)中,您还可以选中“连接主管理服务器到 DMZ 中的从属管理服务器”复选框。
从属管理服务器将连接到主管理服务器。
结果
执行上述步骤后,您可以确保层次结构已成功创建:
- 主管理服务器的活动策略在从属管理服务器上生效。主管理服务器的任务被分发到从属管理服务器。如果在组任务设置中启用了分发到从属和虚拟管理服务器选项,则每个此类任务也会被分发到从属管理服务器。
- 主管理服务器上针对更改锁定的策略设置在从属管理服务器上的所有策略中显示为针对更改锁定。
- 主管理服务器应用的策略显示在从属管理服务器的策略列表中 (资产(设备)→策略和配置文件)。
- 主管理服务器分发的组任务显示在从属管理服务器的任务列表中(资产(设备)→任务)。
- 在主管理服务器上创建的策略和任务无法在从属管理服务器上修改。
- 在 Kaspersky Security Center 云控制台中,在管理组结构中,从属管理服务器显示在您添加此管理服务器时选择的组内。