分发点和连接网关的调整

Kaspersky Security Center 云控制台中的管理组结构执行以下功能：

• 设置策略范围

  将相关设置应用到设备还有一种方式：使用策略配置文件。此种情况下，策略范围使用标签、Active Directory 组织单元中的设备位置、Active Directory 安全组中的成员关系等进行设置。

• 设置组任务范围

  还有一个不基于管理组层级定义组任务范围的方法：使用设备分类的任务和特定设备的任务。

• 设置设备和从属管理服务器的访问权限
• 分配分发点

当建立管理组结构时，您必须考虑到组织网络的拓扑以便最优分配分发点。分发点的最优分发可让您在企业网络中节省流量。

根据组织图表和网络拓扑，以下标准配置可以被应用到管理组结构：

• 单一办公室
• 多个小远程分办公室

作为分发点的设备必须被保护，包括物理保护，以防范非授权的访问。

计算分发点的数量和配置

网络包含越多的客户端设备，就需要越多的分发点。使用下表计算您的网络所需的分发点数量。

确保您要用作分发点的设备具有足够的剩余磁盘空间卷，不定期关闭，且禁用了睡眠模式。

网络中基于网络设备数量被专门分配的包含单一网段的分发点的数量

网络中基于网络设备数量被专门分配的包含多个网段的分发点的数量

使用标准客户端设备（工作站）作为分发点

如果您计划使用标准客户端设备（就是，工作站）作为分发点，我们建议您按照所示分配分发点（参见下表），以便避免通信渠道和管理服务器过载。

网络中基于网络设备数量作为分发点工作的包含单一网段的工作站的数量

网络中基于网络设备数量作为分发点工作的包含多个网段的工作站的数量

如果分发点不可用，请手动或直接从卡巴斯基更新服务器更新卡巴斯基数据库、软件模块和应用程序。

分发点的标准配置：单一办公室

在标准“单一办公室”配置中，所有设备都在组织网络中，因此它们能看见彼此。组织网络可能包含几部分(网络或网段)，由窄通道连接。

有以下构建管理组结构的方法：

• 构建管理组结构涉及到网络拓扑。管理组结构可能不精确反映网络拓扑。网络各部分之间以及特定管理组相互匹配。
• 不考虑网络拓扑而构建管理组结构。此种情况下，您必须为网络中每个部分的根管理组分配一个或几个设备作为分发点，例如为受管理设备组。所有分发点将处于相同级别，并将掌控组织网络中所有设备的相同范围。此种情况下，每个网络代理都将连接到具有最短路由的分发点。分发点的路由可以使用 tracert 使用工具跟踪。

分发点的标准配置：多个小远程办公室

该标准配置可用于多个小型远程办公室，它们可能通过互联网与总部联络。每个远程办公室都位于 NAT 之外，就是说，从一个远程办公室到另一个远程办公室的连接是不可能的，因为办公室是彼此隔离的。

配置必须在管理组中体现：必须为每个远程办公室创建各自的管理组(下图中的组办公室 1 和办公室 2)。

远程办公室包含在管理组结构

必须指定一个或多个分发点给每个办公室的对应管理组。分发点必须是远程办公室中具有足够剩余磁盘空间的设备。部署在办公室 1 组的设备，例如，将访问分配到办公室 1 管理组的分发点。

如果一些用户在办公室之间移动他们的便携电脑，您必须在远程办公室选择两个或更多设备(除了现有的分发点)并分配它们作为等级管理组的分发点(上图中办公室根组)。

例如：便携式电脑部署在办公室 1 管理组，然后被移动到对应于办公室 2 管理组的办公室。在移动便携式电脑后，网络代理试图访问分配到办公室 1 组的分发点，但是那些分发点不可用。然后，网络代理开始尝试访问分配到办公室根组的分发点。因为远程办公室是彼此隔离的，尝试访问分配到办公室根组管理组的分发点仅在网络代理尝试访问办公室 2 组中的分发点时才会成功。就是说，便携式电脑将保持在原始办公室对应的管理组，但是将使用它当时所在办公室的分发点。

手动分配分发点

扩展所有 | 折叠所有

Kaspersky Security Center 云控制台允许您手动指定设备做为分发点。我们建议您计算数字并配置您网络所需的分发点。

运行 MacOS 的分发点设备无法从 Kaspersky 更新服务器下载更新。

如果一个或多个运行 macOS 的设备在“将更新下载至分发点存储库”任务范围内，则该任务将以“失败”状态完成，即使该任务在所有 Windows 设备上均已成功完成。

作为分发点的设备必须被保护，包括物理保护，以防范非授权的访问。

要手动指派设备做为分发点：

1. 在主菜单，单击所需的管理服务器名称旁边的“设置”图标 ()。

   管理服务器属性窗口将打开。

2. 在“常规”选项卡上，选择“分发点”区域。
3. 单击“分配”按钮。
4. 选择您要制作分发点的设备。

   选择设备时，请牢记分发点的操作功能以及设备做为分发点的需求。

5. 选择您要包含在所选分发点范围的管理组。
6. 单击“添加”按钮。

   您添加的分发点将显示在“分发点”区域的分发点列表中。

7. 在列表中选择新添加的分发点以打开其属性窗口。
8. 在属性窗口中配置分发点：
   • “常规”区域中包含用于设定分发点与客户端设备进行交互的设置：
     • SSL 端口

       客户端设备与分发点之间，使用 SSL 进行安全连接的 SSL 端口号。

       默认情况下使用端口 13000。

     • 使用多点传送

       如果启用此选项，将使用 IP 多点传送自动向组内的客户端设备上分发安装包。

       IP 多点传送减少了将应用程序从安装包安装到一组客户端设备所需的时间，但是增加了在将应用程序安装到单个客户端设备时的安装时间。

     • IP 多点传送地址

       用于多点传送的 IP 地址。您可以定义范围是 224.0.0.0 – 239.255.255.255 的 IP 地址

       默认情况下，Kaspersky Security Center 云控制台自动分配一个在给定范围内的唯一 IP 组播地址。

     • IP 多点传送端口号

       IP 多点传送的端口号。

       默认情况下，端口号指定为 15001。如果运行管理服务器的设备指定为分发点，端口 13001 默认用于 SSL 连接。

     • 部署更新

       更新被从以下来源分发到受管理设备：

       • 此分发点（如果启用此选项）。
       • 其他分发点、管理服务器或 Kaspersky 更新服务器（如果禁用此选项）。

       如果您使用分发点来部署更新，则可以节省流量，因为您减少了下载次数。此外，您可以减轻管理服务器上的负载并在分发点之间重新定位负载。你可以计算分发点的数量以便网络优化流量和负载。

       如果禁用此选项，管理服务器上的更新下载和加载次数可能会增加。默认情况下已启用该选项。

     • 部署安装包

       安装包被从以下来源分发到受管理设备：

       • 此分发点（如果启用此选项）。
       • 其他分发点、管理服务器或 Kaspersky 更新服务器（如果禁用此选项）。

       如果使用分发点部署安装包，您可以节省流量，因为减少了下载次数。此外，您可以减轻管理服务器上的负载并在分发点之间重新定位负载。你可以计算分发点的数量以便网络优化流量和负载。

       如果禁用此选项，管理服务器上的安装包下载和加载次数可能会增加。默认情况下已启用该选项。

     • 运行推送服务器

       在 Kaspersky Security Center 云控制台中，分发点可以充当由网络代理管理的基于 Windows 和 Linux 的设备的推送服务器。推送服务器与启用该推送服务器的分发点具有相同的受管理设备范围。如果为同一个管理组分配了多个分发点，则可以在每个分发点上都启用推送服务器。在这种情况下，管理服务器会平衡分发点之间的负载。

     • 推送服务器端口

       推送服务器的端口号。您可以指定任何未占用的端口号。

   • 在“范围”区域，指定分发点发布更新的范围（管理组和/或网络定位）。

     仅运行 Windows 操作系统的设备可以定义网络位置。网络位置无法定义在运行其他操作系统的设备上。

   • 在“KSN 代理”区域，您可以配置应用程序使用分发点从受管理设备转发 KSN 请求：

     在分发点端启用 KSN 代理

     KSN 代理服务运行在用作分发点的设备上。使用该功能重新分发和优化网络流量。

     运行 Linux 或 macOS 的分发点设备不支持此功能。

     分发点发送列在卡巴斯基安全网络声明中的 KSN 统计信息到 Kaspersky。默认下，KSN 声明位于 %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula。

     默认情况下已禁用该选项。启用该选项仅在我同意使用卡巴斯基安全网络选项在管理服务器属性窗口中被启用时起作用。

     您可以分配活动被动集群节点到分发点并在该节点上启用 KSN 代理服务器。

   • 按分发点配置 Windows 域、域控制器和 IP 范围的轮询：
     • Windows 域轮询

       您可以启用 Windows 域设备发现并为发现设置计划。

     • 域控制器轮询

       您可以启用活动目录域网络轮询并为轮询设置计划。

       如果您使用 Windows 分发点，则可以选择以下选项之一：

       • 轮询当前活动目录域。
       • 轮询活动目录域森林。
       • 仅轮询所选活动目录域。如果您选择该选项，添加一个或更多活动目录域到列表。

       如果您使用安装了网络代理版本 15 的 Linux 分发点，则只能轮询为其指定地址和用户凭据的 Active Directory 域。当前 Active Directory 域和 Active Directory 域林的轮询不可用。

       您可以对域控制器启用设备发现。

       如果选择启用域控制器轮询选项，则可以选择要轮询的域控制器并为其指定轮询计划。

       如果使用 Linux 分发点，请在轮询指定域部分中单击添加 ，然后指定域控制器的地址和用户凭据。

       如果使用 Windows 分发点，则可以选择以下选项之一：

       • 轮询当前域
       • 轮询整个域森林
       • 轮询指定域
     • IP 范围轮询

       您可以针对 IPv4 范围和 IPv6 网络启用设备发现。

       如果启用“启用范围轮询”选项，则可以添加扫描范围并为其设置计划。您可以添加 IP 范围到已扫描范围列表。

       如果启用“使用 Zeroconf 轮询 IPv6 网络”选项，分发点将使用零配置网络（也称为 Zeroconf）自动轮询 IPv6 网络。在这种情况下，指定的 IP 范围将被忽略，因为分发点会轮询整个网络。如果分发点运行 Linux，则使用 Zeroconf 轮询 IPv6 网络选项可用。要使用 Zeroconf IPv6 轮询，您必须在分发点上安装 avahi-browse 实用程序。

   • 在高级区域，指定分发点必须使用以存储发布数据的文件夹：
     • 使用默认文件夹

       如果您选择此选项，应用程序使用分发点上的网络代理安装文件夹。

     • 使用指定文件夹

       如果您选择该选项，则可以在下面的字段中指定该文件夹的路径。它可以是分发点上的本地文件夹，也可以是企业网络中任何设备上的目录。

       分发点上用于运行网络代理的用户账户必须具有对指定文件夹的访问权限以进行读写操作。

9. 单击“确定”按钮。

所选设备作为分发点运行。

修改管理组的分发点列表

您可以查看为特定管理组分配的分发点列表并通过添加或删除分发点来修改列表。

要查看和修改分配给管理组的分发点列表：

1. 在主菜单中，转到“资产(设备)”→“组”。
2. 在管理组结构中，选择您要查看其分配的分发点的管理组。
3. 单击“分发点”选项卡。
4. 通过使用“分配”按钮为管理组添加新分发点，或使用“取消分配”按钮删除已分配的分发点。

根据于您的修改，新分发点被添加到列表或现有分发点被从列表删除。

将分发点用作推送服务器

在 Kaspersky Security Center 云控制台中，分发点可以充当由网络代理管理的基于 Windows 和 Linux 的设备的推送服务器。推送服务器与启用该推送服务器的分发点具有相同的受管理设备范围。如果为同一个管理组分配了多个分发点，则可以在每个分发点上都启用推送服务器。在这种情况下，管理服务器会平衡分发点之间的负载。

您可以将分发点用作推送服务器，以确保受管理设备和管理服务器之间存在持续连接。某些操作需要持续连接，例如运行和停止本地任务、接收受管理应用程序的统计信息或创建隧道。如果使用分发点作为推送服务器，则不必将数据包发送到网络代理的 UDP 端口。

要将分发点用作推送服务器：

1. 在主菜单，单击所需的管理服务器名称旁边的“设置”图标 ()。

   管理服务器属性窗口将打开。

2. 在“常规”选项卡上，选择“分发点”区域。
3. 单击要用作推送服务器的分发点。
4. 在所选分发点的属性列表中，转到常规部分，然后启用运行推送服务器选项。

   推送服务器端口输入字段变为可用。

5. 在推送服务器端口输入字段中，指定推送服务器端口号，即客户端设备将用于连接的分发点上的端口。默认情况下使用端口 13295。

   要在充当推送服务器的分发点和受管理设备之间建立连接，必须手动将指定的推送服务器端口添加到 Microsoft Windows 防火墙排除列表。

6. 单击“确定”退出分发点属性窗口，然后单击“保存”应用更改。

   启用运行推送服务器选项后，将在充当推送服务器的分发点上自动启用不断开与管理服务器的连接选项。此选项提供网络代理和管理服务器之间的早期连接。

7. 打开网络代理策略设置窗口。
8. 转至连接→网络，然后启用使用分发点强制连接到管理服务器选项。关闭此选项的锁。
9. 另外，在网络部分中，您可以禁用使用 UDP 端口选项。配置的推送服务器将在受管理设备和管理服务器之间提供连续的连接，而不是通过 UDP 端口发送数据包。
10. 单击“确定”退出窗口。

该分发点将开始用作推送服务器。它现在可以向客户端设备发送推送通知。

使用“不要断开与管理服务器的连接”选项提供受管理设备和管理服务器之间的持续连接

如果你不使用推送服务器，则 Kaspersky Security Center 云控制台不提供受管理设备和管理服务器之间的持续连接。受管理设备上的网络代理定期建立连接并与管理服务器同步。同步会话之间的时间间隔定义在网络代理策略中。如果需要提前同步，管理服务器（或分发点，如果正在使用）会通过 IPv4 或 IPv6 网络将签名的网络数据包发送到网络代理的 UDP 端口。默认情况下，端口号指定为 15000。如果在管理服务器和受管理设备之间无法通过 UDP 建立连接，则在同步间隔内的下次网络代理和管理服务器常规连接时将运行同步。

如果没有网络代理和管理服务器之间的早期连接，某些操作将无法执行，例如运行和停止本地任务、接收受管理应用程序的统计信息或创建隧道。要解决此问题，如果您不使用推送服务器，则可以使用“不断开与管理服务器的连接”选项来确保受管理设备与管理服务器之间存在持续连接。

要提供客户端设备与管理服务器之间的持续连接：

1. 执行以下操作之一：
   • 如果受管理设备直接（即不通过分发点）访问管理服务器：
     1. 在主菜单中，转到“设备”→“受管理设备”。
     2. 单击您想要提供连续连接的设备的名称。

        受管理设备的属性窗口打开。

   • 如果受管理设备通过在网关模式下运行的分发点访问管理服务器，而不是直接访问：
     1. 在主菜单，单击所需的管理服务器名称旁边的“设置”图标 ()。

        管理服务器属性窗口将打开。

     2. 在“常规”选项卡上，选择“分发点”区域。
     3. 在分发点列表中，单击所需分发点的名称。

        将打开所选分发点的属性窗口。

2. 在打开的属性窗口的“常规”区域中，选择“不断开与管理服务器的连接”选项。

持续连接在受管理设备和管理服务器之间被建立。

选中“不断开与管理服务器的连接”选项时的最大设备总数为 300。