情境：為透過卡巴斯基安全管理中心雲端主控台管理的管理伺服器建立階層

支援

企業解決方案支援

Kaspersky Security Center Cloud Console

2024年12月5日

ID 200848

此情境說明您在為透過卡巴斯基安全管理中心雲端主控台（建立階層時會擔任主管理伺服器的角色）管理的管理伺服器建立階層時，所必須執行的操作。之後，該階層可用於將受管理裝置和物件從卡巴斯基安全管理中心移轉到卡巴斯基安全管理中心雲端主控台，以及透過卡巴斯基安全管理中心雲端主控台管理從屬管理伺服器和裝置。

卡巴斯基安全管理中心雲端主控台僅能擔任主管理伺服器，而內部部署運作的管理伺服器則僅能擔任從屬管理伺服器。其他階層模式均無法使用。

先決條件

在開始之前，請確保滿足以下先決條件：

將內部部署運作的管理伺服器升級至版本 12 或以上版本。
在內部部署運作的管理伺服器上，安裝卡巴斯基安全管理中心網頁主控台。
為您計畫透過卡巴斯基安全管理中心雲端主控台管理的應用程式安裝專用的 Web 外掛程式。
將受管理應用程式升級至卡巴斯基安全管理中心雲端主控台支援的版本。
在內部部署運作的管理伺服器上，確定「將更新下載至管理伺服器儲存區」工作中指定的更新來源並非主管理伺服器；如有必要，請適當修改工作設定。

建立階層後，卡巴斯基安全管理中心雲端主控台中有效的政策與工作會套用到從屬管理伺服器，進而取代其上現有的政策與工作。若要避免此行為，請在建立階層之前先刪除卡巴斯基安全管理中心雲端主控台的所有政策與工作。或者，您也可以到每個卡巴斯基安全管理中心雲端主控台政策的設定中將狀態變更為非作用中，並且到每個卡巴斯基安全管理中心雲端主控台工作的設定中停用分發到從屬和虛擬管理伺服器選項。

如有必要，您可以隨時刪除管理伺服器階層。

階層建立的各階段

本基本情境是針對從屬管理伺服器在網際網路上無法供存取的情況來提供。不過，如果從屬管理伺服器在網際網路上可供存取，則以下所述部分步驟中的操作可能會有所不同。此外，在此種情況下還必須略過某些步驟。

管理伺服器階層的建立包括以下階段：

擷取從屬管理伺服器的憑證
如果從屬管理伺服器在網際網路上可供存取，請略過此步驟。
在內部部署運作的卡巴斯基安全管理中心網頁主控台中，開啟管理伺服器內容，然後開啟一般頁籤上的一般區段。點擊檢視管理伺服器憑證連結。在您瀏覽器設定中所指定的資料夾內會自動儲存 CER 格式的憑證檔案。
從卡巴斯基安全管理中心雲端主控台擷取連線設定和憑證
如果從屬管理伺服器在網際網路上可供存取，請略過此步驟。
在卡巴斯基安全管理中心雲端主控台中，開啟管理伺服器內容，然後開啟一般頁籤上的管理伺服器階層區段。畫面上即會顯示以下連線設定：
- HDS 位址
  顯示用於進行 Hosted Discovery Service (HDS) 連線的網址。
- HDS 連接埠
  顯示用於進行 HDS 連線的連接埠號。
該區段還包含兩個連結：
- 檢視管理伺服器憑證
  點擊此連結會開始下載卡巴斯基安全管理中心雲端主控台實例憑證的公開金鑰。
- HDS 根 CA 憑證
  點擊此連結會開始下載 .pem 格式的檔案，其中會包含憑證機構 (CA) 所簽發受信任根憑證的清單。此檔案是專為供從屬管理伺服器使用而設計：需要有它才能驗證 HDS 憑證。
手動複製連線設定（使用剪貼簿或透過任何其他您方便的方式），然後儲存到任何格式（您方便就好）的檔案。點擊檢視管理伺服器憑證連結，然後等待憑證檔案下載完成。點擊 HDS 根 CA 憑證連結，然後等待含有憑證機構所簽發受信任根憑證之清單的檔案下載完成。這兩個檔案都會儲存到您的瀏覽器設定中所指定的資料夾內。
選取要連線的從屬管理伺服器
在管理伺服器內容中，前往管理伺服器頁籤。在管理群組階層中，選取要包含從屬管理伺服器及其所有受管理裝置的管理群組旁邊的核取方塊。點擊連線從屬管理伺服器按鈕。
在開啟的頁面上，在從屬管理伺服器顯示名稱欄位中指定從屬管理伺服器在階層中必須顯示的名稱。這純粹是方便您辨識之用，因此可視需要設為與從屬管理伺服器的實際名稱不同的名稱。點擊“下一步”。
如果從屬管理伺服器在網際網路上可供存取，則您還必須在從屬管理伺服器位址（可選）欄位中指定從屬管理伺服器的位址。
在下一頁，點擊瀏覽按鈕，然後指定您從從屬管理伺服器儲存的 .pem 檔案。點擊“下一步”。
啟用並設定代理伺服器
此步驟中所述的操作為可選的操作。僅有當您的連線需要使用代理伺服器時，才需要執行這些操作。
點擊“下一步”。在連線和身分驗證設定頁面上，您可以視需要啟用並設定代理伺服器。選取使用代理伺服器核取方塊，然後指定以下代理設定：
- 代理伺服器位址
  代理伺服器位址。
- 使用者名稱
  用於登入代理伺服器的使用者名稱。
- 密碼
  用於登入代理伺服器的密碼。
指定身分驗證設定，然後將從屬管理伺服器新增至階層中
點擊“下一步”。在從屬管理伺服器憑證頁面上，指定以下設定：
- 使用者名稱
  您用於登入從屬管理伺服器的使用者名稱。
- 密碼
  用於登入從屬管理伺服器的密碼。
點擊下一步，然後等待從屬管理伺服器出現在階層中。
如果從屬管理伺服器在網際網路上可供存取，則它會連線到主管理伺服器。
如果從屬管理伺服器在網際網路上可供存取，且這兩個管理伺服器之間的連線建立成功，則請略過所有進一步的步驟。
如果從屬管理伺服器在網際網路上無法供存取，則它會變得可見，但您必須在從屬管理伺服器上執行額外操作，才能對其進行控制。
在內部部署運作的卡巴斯基安全管理中心網頁主控台中設定連線
在內部部署運作的卡巴斯基安全管理中心網頁主控台中，開啟管理伺服器內容，然後開啟一般頁籤上的管理伺服器階層區段。選取此管理伺服器是階層中的從屬伺服器核取方塊。在主管理伺服器類型清單中，選取Kaspersky Security Center Cloud Console選項。
卡巴斯基安全管理中心網頁主控台會檢查將更新下載至管理伺服器儲存區工作中指定的更新來源是否為主管理伺服器。如果指定的更新來源是主管理伺服器，則您會收到相對應的警告訊息以及工作設定連結。您可以先修改設定再回來建立階層，也可以略過此操作，直接繼續建立階層。
在用於在從屬管理伺服器與主管理伺服器之間建立連線的設定群組中，指定以下設定：
- HDS 伺服器位址（從 Cloud Console 上的主管理伺服器）
  輸入您從卡巴斯基安全管理中心雲端主控台的管理伺服器內容中複製並儲存之完全限定網域名稱 (FQDN) 格式的 HDS 伺服器位址。
- HDS 伺服器連接埠
  輸入您從卡巴斯基安全管理中心雲端主控台的管理伺服器內容中複製並儲存的 HDS 伺服器連接埠號。
將憑證新增到從屬管理伺服器中
點擊指定主管理伺服器憑證按鈕，然後指定您從卡巴斯基安全管理中心雲端主控台的管理伺服器內容中儲存的憑證檔案。
點擊指定 Hosted Discovery Service 憑證按鈕，然後指定您從卡巴斯基安全管理中心雲端主控台的管理伺服器內容中儲存的 .pem 檔案。
如果您在卡巴斯基安全管理中心雲端主控台中連接從屬管理伺服器時啟用了代理伺服器，請選取使用代理伺服器核取方塊，然後指定與卡巴斯基安全管理中心雲端主控台中相同的代理設定。
如果從屬管理伺服器是位於非警戒區 (DMZ)，您還可以選取將主管理伺服器連線到 DMZ 中的從屬管理伺服器核取方塊。
隔離區是一段本機網路，其中包含相應來自全局網路的請求的伺服器。為確保組織的本機網路的安全性 LAN 的存取受防火牆的防護。

從屬管理伺服器即會連線到主管理伺服器。

結果

執行上述步驟後，您可以透過以下跡象，確認階層建立成功：

主管理伺服器的作用中政策在從屬管理伺服器上生效。主管理伺服器的工作獲分發給從屬管理伺服器。如果某個群組工作的設定中啟用了分發到從屬和虛擬管理伺服器選項，則每個該等工作也會獲分發給從屬管理伺服器。
在主管理伺服器上被鎖定而無法變更的政策設定，在從屬管理伺服器上的所有原則中都顯示為被鎖定而無法變更。
主管理伺服器套用的政策顯示在從屬管理伺服器的政策清單中（資產（裝置）→政策和設定檔）。
主管理伺服器分發的群組工作顯示在從屬管理伺服器的工作清單中（資產（裝置）→工作）。
在主管理伺服器上建立的政策和工作，在從屬管理伺服器上無法被修改。
在卡巴斯基安全管理中心雲端主控台中的管理群組結構內，從屬管理伺服器顯示在您新增該管理伺服器時所選的群組內。

');

Kaspersky Endpoint Security for Business Advanced: Adaptive security of your company

Web and device controls. Data encryption. Centralized and convenient management from a single console.

');

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).