互联网访问：DMZ 中的管理服务器

如果管理服务器位于组织网络的 DMZ 中，它不能访问组织内部网络。因此，以下限制被应用：

• 管理服务器无法检测新设备。
• 管理服务器无法通过在组织内部网络设备上强制安装来运行网络代理初始化部署。

这仅应用到网络代理初始化安装上。任何网络代理的后续升级或安全应用程序安装可以被管理服务器运行。同时，网络代理的初始化部署可以用其他方法运行，例如，通过 Microsoft 活动目录组策略。

• 管理服务器无法通过端口 15000 UDP 发送通知到受管理设备，该端口不是 Kaspersky Security Center 关键的运行端口。
• 管理服务器无法轮询活动目录。然而，活动目录轮询结果在大多数方案下不需要。

如果上述限制被视为严重限制，可以通过使用组织网络中的分发点删除这些限制：

• 要在没有网络代理的设备上运行初始化部署，您首先要在其中一台设备上安装网络代理，然后给它分配分发点状态。结果，在其他设备上的网络代理初始化安装将通过该分发点由管理服务器运行。
• 要在组织内部网络中检测新设备并轮询活动目录，您必须在其中一个分发点上启用相关的设备发现方法。

要确保将通知成功发送到组织内部网络中受管理设备的端口 15000 UDP，您必须使用分发点覆盖整个网络。在被分配的分发点的属性中，选择不断开与管理服务器的连接复选框。因此，管理服务器将建立一个到分发点的持续连接，同时这些分发点能够发送通知到组织内部网络（可以是 IPv4 或 IPv6 网络）中的设备的端口 15000 UDP。