インターネットアクセス:DMZ 内の管理サーバー
インターネットアクセス:DMZ 内の管理サーバー
2023年4月17日
ID 92238
組織ネットワークの DMZ 内に管理サーバーが置かれている場合、組織の内部ネットワークにはアクセスできません。この場合、次の制限事項が適用されます:
- 管理サーバーは新しいデバイスを検出できません。
- 管理サーバーは、組織の内部ネットワーク上のデバイスに対して、強制インストールによるネットワークエージェントの初期導入を実行できません。
これが適用されるのは、ネットワークエージェントの初期インストールに対してのみです。ただし、ネットワークエージェントに関する以降のアップグレードやセキュリティ製品のインストールは、管理サーバーで実行できます。同時に、ネットワークエージェントの初期導入は、Microsoft Active Directory のグループポリシーを使用するなどのその他の方法で実行可能です。
- 管理サーバーは、UDP ポート 15000 を介して管理対象デバイスに通知を送信できません。ただし、このことは Kaspersky Security Center の動作に関して重要ではありません。
- 管理サーバーは Active Directory をポーリングできません。ただし、たいていの場合、Active Directory をポーリングした結果は必要にはなりません。
上記の制限事項によって大きな問題が発生する場合は、組織ネットワーク内に置かれているディストリビューションポイントを使用して、これらの制限事項を取り除くことができます:
- 複数のデバイスでネットワークエージェントを使用せずに初期導入を実行するには、最初にいずれかのデバイスにネットワークエージェントをインストールしてから、そのネットワークエージェントにディストリビューションポイントステータスを割り当てます。そうすることにより、管理サーバーがこのディストリビューションポイントを使用して、その他のデバイスにネットワークエージェントを初期インストールできるようになります。
- 組織の内部ネットワーク上で新しいデバイスを検出して Active Directory をポーリングするには、いずれかのディストリビューションポイントで該当するデバイスの検出手法を有効にする必要があります。
組織の内部ネットワーク内にある管理対象デバイスから UDP ポート 15000 に対して正常に通知を送信するには、ネットワーク全体がディストリビューションポイントの管理下にある必要があります。割り当てたディストリビューションポイントのプロパティで、[管理サーバーから切断しない]をオンにします。その結果、管理サーバーがディストリビューションポイントに常時接続できるようになると同時に、ディストリビューションポイントは組織の内部ネットワーク(IPv4 または IPv6 ネットワーク)内のデバイスの UDP ポート 15000 に対して通知を送信できるようになります。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。