シナリオ:Kaspersky Security Center Cloud コンソールで管理される管理サーバーの階層の作成
このシナリオでは、Kaspersky Security Center Cloud コンソールで管理される管理サーバーの階層を作成するために実行する必要がある操作について、プライマリ管理サーバーのロールを想定して説明します。作成後、この階層は Kaspersky Security Center から Kaspersky Security Center Cloud コンソールに管理対象デバイスやオブジェクトを移行するために使用できます。また、Kaspersky Security Center Cloud コンソールによるセカンダリ管理サーバーとデバイスの管理にも使用できます。
Kaspersky Security Center Cloud コンソールはプライマリ管理サーバーとしてのみ動作でき、オンプレミスで実行されている管理サーバーはセカンダリ管理サーバーとしてのみ動作できます。その他の階層スキームは利用できません。
必須条件
開始する前に、次の前提条件が満たされていることを確認してください:
- オンプレミスで実行されている管理サーバーがバージョン 12 以降にアップグレードされている。
- オンプレミスで実行されている管理サーバーに Kaspersky Security Center Web コンソールがインストールされている。
- Kaspersky Security Center Cloud コンソールを使用して管理するアプリケーション用の Web プラグインがインストールされている。
- 管理対象アプリケーションが、Kaspersky Security Center Cloud コンソールでサポートされているバージョンにアップグレードされている。
- オンプレミスで実行されている管理サーバーで、管理サーバーのリポジトリへのアップデートのダウンロードタスクにプライマリ管理サーバーがアップデート元として割り当てられていないことを確認し、必要に応じてタスク設定を変更した。
階層の作成後、Kaspersky Security Center Cloud コンソールで有効なポリシーとタスクがセカンダリ管理サーバーに適用され、既存のポリシーとタスクより優先されます。この動作を避けるには、階層の作成前に、Kaspersky Security Center Cloud コンソールに既存のポリシーとタスクを削除します。または、Kaspersky Security Center Cloud コンソールの各ポリシーの設定でステータスを[非アクティブ]に変更し、Kaspersky Security Center Cloud コンソールの各タスクの設定で[セカンダリまたは仮想管理サーバーに配信]をオフにします。
必要に応じて、いつでも管理サーバーの階層を削除できます。
階層の作成手順
基本的なシナリオでは、インターネット経由でアクセスできないセカンダリ管理サーバーを指定します。ただし、インターネット経由でセカンダリ管理サーバーにアクセスできる場合は、次に説明するステップの一部に含まれる一連の操作が異なる可能性があります。また、この場合はステップの一部を省略する必要があります。
管理サーバーの階層の作成は、次の手順で構成されます:
- セカンダリ管理サーバーの証明書の取得
インターネット経由でセカンダリ管理サーバーにアクセスできる場合は、このステップを省略します。
オンプレミスで実行されている Kaspersky Security Center Web コンソールで、管理サーバーのプロパティを開き、[全般]タブで[全般]セクションを開きます。[管理サーバー証明書を表示]をクリックします。CER 形式の証明書ファイルは、ブラウザーの設定で指定したフォルダーに自動的に保存されます。
- Kaspersky Security Center Cloud コンソールからの接続設定と証明書の取得
インターネット経由でセカンダリ管理サーバーにアクセスできる場合は、このステップを省略します。
Kaspersky Security Center Cloud コンソールで管理サーバーのプロパティを開き、[全般]タブで[管理サーバーの階層]セクションを開きます。次の接続設定が表示されます:
このセクションには次の 2 つのリンクも含まれています:
クリップボードの使用など都合のよい方法で、接続設定を手動でコピーして任意の形式のファイルに保存します。[管理サーバー証明書を表示]をクリックして、証明書ファイルがダウンロードされるまで待ちます。[HDS ルート認証局証明書]をクリックして、認証局が発行した信頼されたルート証明書のリストを含むファイルがダウンロードされるまで待ちます。2 つのファイルはブラウザー設定で指定されているフォルダーに保存されます。
- 接続用のセカンダリ管理サーバーの選択
管理サーバーのプロパティで、[管理サーバー]タブに移動します。管理グループの階層で、セカンダリ管理サーバーとそのすべての管理対象デバイスを含める管理グループの横にあるチェックボックスをオンにします。[セカンダリ管理サーバーの接続]をクリックします。
表示されたページで、階層で表示するセカンダリ管理サーバーの名前を[セカンダリ管理サーバーの表示名]に指定します。この名前は使いやすさのためにのみ使用されるため、必要に応じて実際のセカンダリ管理サーバー名と異なる名前を指定できます。[次へ]をクリックします。
インターネット経由でセカンダリ管理サーバーにアクセスできる場合は、[セカンダリ管理サーバーアドレス(任意)]にセカンダリ管理サーバーのアドレスも指定する必要があります。
次のページで[参照]をクリックし、セカンダリ管理サーバーから保存した pem ファイルを指定します。[次へ]をクリックします。
- プロキシサーバーの有効化と設定
このステップで説明されている操作は任意です。接続でプロキシサーバーを使用する必要がある場合のみ実行してください。
[次へ]をクリックします。[接続と認証設定]ページで、必要に応じてプロキシサーバーの使用を有効にして設定できます。[プロキシサーバーを使用する]を選択して、次のプロキシ設定を指定します:
- 認証設定の指定と階層へのセカンダリ管理サーバーの追加
[次へ]をクリックします。[セカンダリ管理サーバーの資格情報]ページで、次の設定を指定します:
[次へ]をクリックして、セカンダリ管理サーバーが階層に表示されるまで待ちます。
インターネット経由でセカンダリ管理サーバーにアクセスできる場合、セカンダリ管理サーバーはプライマリ管理サーバーに接続します。
インターネット経由でセカンダリ管理サーバーにアクセスでき、2 つの管理サーバー間の接続が正常に確立されている場合は、以降のステップをすべて省略します。
インターネット経由でセカンダリ管理サーバーにアクセスできない場合、セカンダリ管理サーバーは表示されますが、コントロールできるようにするにはセカンダリ管理サーバーで追加の操作を実行する必要があります。
- オンプレミスで実行されている Kaspersky Security Center Web コンソールの接続の設定
オンプレミスで実行されている Kaspersky Security Center Web コンソールで、管理サーバーのプロパティを開き、[全般]タブで[ 管理サーバーの階層]セクションを開きます。[この管理サーバーをセカンダリ管理サーバーとして使用する]をオンにします。[プライマリ管理サーバーの種別]リストで[Kaspersky Security Center Cloud コンソール]をオンにます。
Kaspersky Security Center Web コンソールで、プライマリ管理サーバーが管理サーバーのリポジトリへのアップデートのダウンロードタスクのアップデート元として指定されているかどうかが確認されます。プライマリ管理サーバーがアップデート元として指定されている場合は、対応する警告メッセージとタスク設定へのリンクが表示されます。設定を変更して階層の作成に戻るか、この操作を省略して階層の作成に進むことができます。
[セカンダリ管理サーバーとプライマリ管理サーバー間の接続を確立するための設定]グループで、次の設定を指定します:
- セカンダリ管理サーバーの証明書の追加
[プライマリ管理サーバーの証明書を指定する]をクリックし、Kaspersky Security Center Cloud コンソールの管理サーバーのプロパティから保存した証明書ファイルを指定します。
[Hosted Discovery Service の証明書を指定する]をクリックし、Kaspersky Security Center Cloud コンソールから保存した pem ファイルを指定します。
Kaspersky Security Center Cloud コンソールでセカンダリ管理サーバーへの接続にプロキシサーバーの使用を有効にした場合は、[プロキシサーバーを使用する]をオンにして、Kaspersky Security Center Cloud コンソールと同じプロキシ設定を指定します。
セカンダリ管理サーバーが非武装地帯(DMZ)にある場合は、[プライマリ管理サーバーを DMZ 内のセカンダリ管理サーバーに接続する]をオンにすることもできます。
セカンダリ管理サーバーがプライマリ管理サーバーに接続します。
結果
上記のステップを実行することで、階層が正常に作成されたことを確認できます:
- プライマリ管理サーバーのアクティブポリシーがセカンダリ管理サーバーで有効になります。プライマリ管理サーバーのタスクがセカンダリ管理サーバーに配信されます。[セカンダリまたは仮想管理サーバーに配信]がグループタスクの設定でオンになっている場合、そのようなタスクもセカンダリ管理サーバーに配信されます。
- プライマリ管理サーバーで変更がロックされているポリシー設定は、セカンダリ管理サーバーのすべてのポリシーで変更がロックされているとして表示されます。
- プライマリ管理サーバーによって適用されたポリシーが、セカンダリ管理サーバーのポリシーのリストに表示されます([アセット(デバイス)]→[ポリシーとプロファイル])。
- プライマリ管理サーバーによって配信されたグループタスクが、セカンダリ管理サーバーのタスクのリストに表示されます([アセット(デバイス)]→[タスク])。
- プライマリ管理サーバーで作成したポリシーとタスクは、セカンダリ管理サーバーで変更できません。
- Kaspersky Security Center Cloud コンソールの管理グループの構造で、セカンダリ管理サーバーは、この管理サーバーの追加時に選択したグループ内に表示されます。