Установка Сервера администрирования на отказоустойчивом кластере Windows Server

Процедура установки Сервера администрирования на отказоустойчивом кластере отличается как от стандартной, так и от выборочной установки на автономном устройстве.

Выполните процедуру, описанную в этом разделе, на узле, который содержит общее хранилище данных кластера.

Чтобы установить Сервер администрирования Kaspersky Security Center на кластер,

запустите исполняемый файл ksc_<номер версии>.<номер сборки>_full_<язык локализации>.exe.

Откроется окно с выбором программ "Лаборатории Касперского" для установки. В окне с выбором программ по ссылке Установить Сервер администрирования Kaspersky Security Center 14 запустите мастер установки Сервера администрирования. Следуйте далее указаниям мастера.

Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности

На этом шаге мастера установки требуется ознакомиться с Лицензионным соглашением, которое заключается между вами и "Лабораторией Касперского", и Политикой конфиденциальности.

Вам также может быть предложено ознакомиться с Лицензионными соглашениями и Политиками конфиденциальности на доступные в дистрибутиве Kaspersky Security Center плагины управления программами.

Внимательно прочитайте Лицензионное соглашение, которое заключается между вами и "Лабораторией Касперского", и Политику конфиденциальности. Если вы согласны со всеми пунктами Лицензионного соглашения и Политики конфиденциальности, в блоке Я подтверждаю, что полностью прочитал, понимаю и принимаю установите флажки:

• Положения и условия настоящего Лицензионного соглашения
• Политику конфиденциальности, которая описывает обработку данных

Установка программы будет продолжена после установки обоих флажков.

Если вы не согласны с Лицензионным соглашением или Политикой конфиденциальности, то отмените установку программы, нажав на кнопку Отмена.

Шаг 2. Выбор типа установки на кластер

Выберите тип установки на кластере:

• Кластер (установить на всех узлах кластера)

  Рекомендуется выбрать этот параметр. Если вы выберете этот параметр, Сервер администрирования будет установлен на всех узлах кластера одновременно.

  На шаге выбора Консоли администрирования для установки требуется выбрать Консоль, которая будет установлена на текущем узле кластера. Если вы устанавливаете Консоль только на узле кластера, в случае сбоя узла вы потеряете доступ к Серверу администрирования. Рекомендуется на этом шаге выбрать Консоль администрирования на основе консоли Microsoft Management Console (MMC) для установки на все узлы кластера. После установки Сервера администрирования установите Kaspersky Security Center Web Console на отдельном устройстве, не являющемся узлом кластера. Это позволяет управлять Сервером администрирования с помощью Kaspersky Security Center Web Console в случае сбоя узла кластера.

• Локально (установить только на это устройство)

  Если вы выберете этот параметр, Сервер администрирования будет установлен только на текущем узле, как на автономном сервере, и Сервер администрирования не будет работать как кластерная программа. Например, вы можете выбрать этот параметр для экономии свободного пространства в общем хранилище, если отказоустойчивость не требуется для Сервера администрирования. В случае выхода из строя текущего узла вам придется установить Сервер администрирования на другой узел и восстановить состояние Сервера администрирования из резервной копии данных.

Дальнейшие действия такие же, как при использовании стандартного или выборочного способа установки, начиная с шага выбора способа установки.

Шаг 3. Указание имени виртуального Сервера администрирования

Укажите сетевое имя нового виртуального Сервера администрирования. Вы сможете использовать это имя для подключения Консоли администрирования или Kaspersky Security Center Web Console к Серверу администрирования.

Указанное имя должно отличаться от имени кластера.

Шаг 4. Указание параметров сети виртуального Сервера администрирования

Чтобы указать сетевые данные нового экземпляра виртуального Сервера администрирования:

1. В разделе Сеть для использования выберите сеть домена, к которой подключен текущий узел кластера.
2. Выполните одно из следующих действий:
   • Если DHCP используется в выбранной сети для назначения IP-адресов, выберите параметр Использовать DHCP.
   • Если DHCP не используется в выбранной сети, укажите требуемый IP-адрес.

     Указанный вами IP-адрес должен отличаться от IP-адреса кластера.

3. Нажмите на кнопку Добавить, чтобы применить указанные параметры.

Вы сможете использовать автоматически назначенный или указанный IP-адрес для подключения Консоли администрирования или Kaspersky Security Center Web Console к Серверу администрирования.

Шаг 5. Указание группы кластеров

Группа кластера – это особая роль отказоустойчивого кластера, которая содержит общие ресурсы для всех узлов. У вас есть два варианта:

• Создание новой кластерной группы.

  Этот вариант рекомендуется в большинстве случаев. Новая группа кластера будет содержать все общие ресурсы, относящиеся к экземпляру Сервера администрирования.

• Выбор существующей группы кластеров.

  Выберите этот параметр, если вы хотите использовать общий ресурс, который уже связан с существующей группой кластера. Например, вы можете использовать этот вариант, если хотите использовать хранилище, связанное с существующей группой кластера, и если нет другого доступного хранилища для новой группы кластера.

Шаг 6. Выбор кластерного хранилища данных

Чтобы выбрать кластерное хранилище данных:

1. В разделе Доступные хранилища выберите хранилище, в которое будут установлены общие ресурсы экземпляра виртуального Сервера администрирования.
2. Если выбранное хранилище данных содержит несколько томов, в разделе Доступные разделы на диске выберите нужный том.
3. В поле Путь установки введите путь к общему хранилищу данных, в который будут установлены ресурсы экземпляра виртуального Сервера администрирования.

Хранилище данных выбрано.

Шаг 7. Указание учетной записи для удаленной установки

Укажите имя пользователя и пароль, которые будут использоваться для удаленной установки экземпляра виртуального Сервера администрирования на пассивный узел кластера.

Для указанной вами учетной записи должны быть предоставлены права администратора на всех узлах кластера.

Шаг 8. Выбор компонентов для установки

Выберите компоненты Сервера администрирования Kaspersky Security Center, которые вы хотите установить:

• Управление мобильными устройствами. Установите этот флажок, если требуется создать инсталляционные пакеты для мобильных устройств во время работы мастера установки Kaspersky Security Center. Вы можете также создать инсталляционные пакеты для мобильных устройств вручную, после установки Сервера администрирования средствами Консоли администрирования.
• Агент SNMP. Получает статистическую информацию для Сервера администрирования по протоколу SNMP. Компонент доступен при установке программы на устройство с установленным компонентом SNMP.

  После установки Kaspersky Security Center необходимые для получения статистической информации mib-файлы будут расположены в папке установки программы во вложенной папке SNMP.

Компоненты Агент администрирования и Консоль администрирования не отображаются в списке компонентов. Эти компоненты устанавливаются автоматически, их установку отменить нельзя.

На этом шаге мастера также следует указать папку для установки компонентов Сервера администрирования. По умолчанию компоненты устанавливаются в папку <Диск>:\Program Files\Kaspersky Lab\Kaspersky Security Center. Если папки с таким названием нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.

Шаг 9. Выбор размера сети

Укажите размер сети, в которой устанавливается Kaspersky Security Center. В зависимости от количества устройств в сети мастер настраивает параметры установки и отображение интерфейса программы.

В таблице ниже перечислены параметры установки программы и отображения интерфейса при выборе разных размеров сети.

Зависимость параметров установки от выбора размеров сети

При подключении Сервера администрирования к серверу базы данных MySQL 5.7 и SQL Express не рекомендуется использовать программу для управления более чем 10 000 устройств. Для системы управления базами данных MariaDB максимальное рекомендуемое количество управляемых устройств составляет 20 000.

Шаг 10. Выбор базы данных

На этом шаге мастера выберите один из следующих вариантов, который будет использоваться для хранения системы управления базами данных (СУБД) Сервера администрирования:

• Microsoft SQL Server (SQL Server Express).
• MySQL. Выберите этот вариант, если вы хотите установить MySQL или MariaDB. Вы можете настроить любую из этих СУБД на следующем шаге мастера.

Рекомендуется устанавливать Сервер администрирования на выделенный сервер, а не на контроллер домена. Если вы устанавливаете Kaspersky Security Center на сервер, выполняющий роль контроллера домена только для чтения (RODC), Microsoft SQL Server (SQL Express) не должен быть установлен локально (на этом же устройстве). В этом случае рекомендуется установить Microsoft SQL Server (SQL Express) удаленно (на другое устройство) или использовать MySQL или MariaDB, если вам нужно установить СУБД локально.

Структура базы данных Сервера администрирования описана в файле klakdb.chm, который расположен в папке установки программы Kaspersky Security Center (этот файл в виде архива доступен на портале "Лаборатории Касперского": klakdb.zip).

Шаг 11. Настройка параметров SQL-сервера

На этом шаге мастера вы настраиваете SQL Server.

В зависимости от выбранной вами базы данных укажите следующие параметры:

• Если вы выбрали Microsoft SQL Server (SQL Server Express) на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя SQL-сервера, установленного в сети. При помощи кнопки Обзор вы можете открыть список всех SQL-серверов, установленных в сети. По умолчанию поле не заполнено.

    Если вы подключаетесь к SQL Server через пользовательский порт, то вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_host_name,1433

    Если вы защищаете соединение между Сервером администрирования и SQL Server с помощью сертификата, укажите в поле Имя SQL-сервера то же имя экземпляра, которое использовалось при создании сертификата. Если вы используете именованный экземпляр SQL Server, вместе с именем экземпляра SQL Server укажите через запятую номер порта, например:

    SQL_Server_name,1433

    Если вы используете несколько экземпляров SQL Server на одном устройстве, дополнительно укажите через обратную косую черту имя экземпляра, например:

    SQL_Server_name\SQL_Server_instance_name,1433

    Если для SQL Server в корпоративной сети включена функция Always On, укажите имя прослушивателя группы доступности в поле Имя SQL-сервера. Обратите внимание, что Сервер администрирования поддерживает только режим доступности с синхронной фиксацией, когда включена функция Always On.

  • В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

  Если на этом шаге вы хотите установить SQL-сервер на то устройство, с которого производите установку Kaspersky Security Center, нужно прервать установку и запустить ее снова после установки SQL-сервера. Поддерживаемые SQL-серверы перечислены в требованиях к системе.

  Если вы хотите установить SQL-сервер на удаленное устройство, прерывать работу мастера установки Kaspersky Security Center не требуется. Установите SQL Server и вернитесь к установке Kaspersky Security Center.

• Если вы выбрали MySQL на предыдущем шаге:
  • В поле Имя SQL-сервера укажите имя экземпляра SQL Server. По умолчанию используется IP-адрес устройства, на который устанавливается Kaspersky Security Center.
  • В поле Порт укажите порт для подключения Сервера администрирования к базе данных SQL-сервера. По умолчанию установлен порт 3306.

В поле Имя базы данных задайте имя базы данных, которая была создана для размещения информации Сервера администрирования. По умолчанию указано значение KAV.

Шаг 12. Выбор режима аутентификации

Определите режим аутентификации, который будет использоваться при подключении Сервера администрирования к SQL-серверу.

В зависимости от выбранной базы данных вы можете выбрать следующие режимы аутентификации:

• Для SQL Express или Microsoft SQL Server выберите один из следующих вариантов:
  • Режим аутентификации Microsoft Windows. В этом случае при проверке прав будет использоваться учетная запись для запуска Сервера администрирования.
  • Режим аутентификации SQL-сервера. В случае выбора этого варианта для проверки прав будет использоваться указанная в окне учетная запись. Заполните поля Учетная запись и Пароль.

    Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

  Программа проверяет, доступна ли база данных для обоих режимов аутентификации. Если база данных недоступна, отображается сообщение об ошибке и вам нужно указать правильные учетные данные.

  Если база данных Сервера администрирования находится на другом устройстве и учетная запись Сервера администрирования не имеет доступа к серверу базы данных, то при установке или обновлении Сервера администрирования следует использовать режим аутентификации SQL-сервера. Это может происходить в случае, когда устройство с базой данных находится не в домене, или Сервер администрирования установлен под учетной записью LocalSystem.

Для MySQL Server или MariaDB Server укажите учетную запись и пароль.

Шаг 13. Выбор учетной записи для запуска Сервера администрирования

Выберите учетную запись, под которой Сервер администрирования будет запускаться как служба.

• Создать учетную запись автоматически. Программа создает локальную учетную запись KL-AK-*, под которой будет запускаться служба Сервера администрирования kladminserver.

  Вы можете выбрать этот вариант, если вы планируете разместить папку общего доступа и СУБД на том же устройстве, что и Сервер администрирования.

• Выбрать учетную запись. Служба Сервера администрирования (kladminserver) будет запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете использовать в качестве СУБД SQL-сервер любого выпуска, в том числе SQL-express, расположенный на другом устройстве, и/или если вы планируете разместить папку общего доступа на другом устройстве.

  Kaspersky Security Center поддерживает управляемые учетные записи службы (MSA) и групповые управляемые учетные записи службы (gMSA). Если такие учетные записи используются в вашем домене, вы можете выбрать одну из них в качестве учетной записи для службы Сервера администрирования.

  Прежде чем выбрать MSA или gMSA, необходимо установить учетную запись на том же устройстве, на котором вы хотите установить Сервер администрирования. Если учетная запись еще не установлена, отмените установку Сервера администрирования, установите учетную запись и перезапустите установку Сервера администрирования. Подробнее об установке управляемых учетных записей служб на локальном устройстве см. в официальной документации Microsoft.

  Чтобы указать MSA или gMSA:

  1. Нажмите на кнопку Обзор.
  2. В появившемся окне нажмите на кнопку Object type.
  3. Выберите тип Учетная запись для служб и нажмите на кнопку OK.
  4. Выберите нужную учетную запись и нажмите на кнопку OK.

Выбранная вами учетная запись должна обладать различными правами в зависимости от того, какую СУБД вы планируете использовать.

Из соображений безопасности не делайте учетную запись, под которой запускается Сервер администрирования, привилегированной.

Если в дальнейшем вы захотите изменить учетную запись Сервера администрирования, вы можете воспользоваться утилитой смены учетной записи Сервера администрирования (klsrvswch). Обратите внимание, что вам нужно запустить утилиту klsrvswch на устройстве Сервера администрирования под учетной записью с правами администратора, которая использовалась для установки Сервера администрирования.

Шаг 14. Выбор учетной записи для запуска служб Kaspersky Security Center

Выберите учетную запись, под которой будут запускаться службы Kaspersky Security Center на этом устройстве:

• Создать учетную запись автоматически. Kaspersky Security Center создает локальную учетную запись KlScSvc на этом устройстве в группе kladmins. Службы Kaspersky Security Center будут запускаться под созданной учетной записью.
• Выбрать учетную запись. Службы Kaspersky Security Center будут запускаться под выбранной вами учетной записью.

  Вам потребуется выбрать доменную учетную запись, например, если вы планируете сохранять отчеты в папке, расположенной на другом устройстве, или же если этого требует политика безопасности в вашей организации. Также вам может потребоваться выбрать доменную учетную запись при установке Сервера администрирования на отказоустойчивый кластер.

Из соображений безопасности не делайте учетную запись, под которой запускаются службы, привилегированной.

Под выбранной учетной записью будут запускаться службы прокси-сервера KSN (ksnproxy), прокси-сервера активации "Лаборатории Касперского" (klactprx) и портала авторизации "Лаборатории Касперского" (klwebsrv).

Шаг 15. Определение папки общего доступа

Определите место размещения и название папки общего доступа, которая будет использоваться для следующих целей:

• хранения файлов, необходимых для удаленной установки программ (файлы копируются на Сервер администрирования при создании инсталляционных пакетов);
• размещения обновлений, копируемых с источника обновлений на Сервер администрирования.

К этому ресурсу будет открыт общий доступ на чтение для всех пользователей.

Вы можете выбрать один из двух вариантов:

• Создать папку общего доступа. Создание новой папки. Укажите путь к папке в расположенном ниже поле.
• Выбрать существующую папку общего доступа. Выбор папки общего доступа из числа уже существующих.

Папка общего доступа может размещаться как локально на устройстве, с которого производится установка, так и удаленно, на любом из клиентских устройств, входящих в состав сети организации. Вы можете указать папку общего доступа с помощью кнопки Обзор или вручную, введя в соответствующем поле UNC-путь (например, \\server\Share).

По умолчанию создается локальная папка Share в папке, заданной для установки программных компонентов Kaspersky Security Center.

Вы можете определить общую папку позже, если нужно.

Шаг 16. Настройка параметров подключения к Серверу администрирования

Развернуть все | Свернуть все

Настройте параметры подключения к Серверу администрирования:

• Порт

  Номер порта, по которому выполняется подключение к Серверу администрирования.

  По умолчанию установлен порт 14000.

• SSL-порт

  Номер SSL-порта, по которому осуществляется защищенное подключение к Серверу администрирования с использованием протокола SSL.

  По умолчанию установлен порт 13000.

• Длина ключа шифрования

  Выберите длину ключа шифрования: 1024 бита или 2048 бит.

  Ключ шифрования длиной 1024 бита оказывает меньшую нагрузку на процессор, но считается устаревшим и по техническим характеристикам может не обеспечивать надежное шифрование. Также есть вероятность, что имеющееся оборудование несовместимо с SSL-сертификатами с длиной ключа 1024 бита.

  Ключ шифрования длиной 2048 бит отвечает современным стандартам шифрования. Однако использование 2048-битного ключа шифрования может привести к дополнительной нагрузке на процессор.

  По умолчанию выбран вариант 2048 бит (большая безопасность).

Также можно изменить параметры подключения к Серверу администрирования позже:

• Вы можете изменить порт и номера SSL-портов в разделе Порты подключения в свойствах Сервера администрирования. Дополнительную информацию о портах для подключения к Серверу администрирования см. в разделе Порты, используемые Kaspersky Security Center.
• Вы можете изменить длину ключа шифрования при замене сертификата Сервера администрирования утилитой klsetsrvcert с помощью параметра -o RsaKeyLen:<длина ключа>.

Шаг 17. Задание адреса Сервера администрирования

Задайте адрес Сервера администрирования. Вы можете выбрать один из следующих вариантов:

• Имя DNS-домена. Этот способ используется в том случае, когда в сети присутствует DNS-сервер, и клиентские устройства могут получить с его помощью адрес Сервера администрирования.
• NetBIOS-имя. Этот способ используется, если клиентские устройства получают адрес Сервера администрирования с помощью протокола NetBIOS, или в сети присутствует WINS-сервер.
• IP-адрес. Этот способ используется, если Сервер администрирования имеет статический IP-адрес, который в дальнейшем не будет изменяться.

Шаг 18. Адрес Сервера для подключения мобильных устройств

Этот шаг мастера установки доступен, если вы выбрали для установки компонент Управление мобильными устройствами.

В окне Адрес для подключения мобильных устройств укажите внешний адрес Сервера администрирования для подключения мобильных устройств, которые находятся за пределами локальной сети. Вы можете указать IP-адрес или DNS (Domain Name System) Сервера администрирования.

Шаг 19. Распаковка и установка файлов на жесткий диск

По окончании настройки параметров установки компонентов Kaspersky Security Center вы можете запустить установку файлов на жесткий диск.

Если для запуска установки требуются дополнительные программы, мастер установки сообщит об этом перед началом установки Kaspersky Security Center в окне Установка обязательных компонентов. Необходимые программы будут установлены автоматически после нажатия на кнопку Далее.

На последней странице можно выбрать, какую консоль требуется запустить для работы с Kaspersky Security Center:

• Запустить Консоль на основе MMC
• Запустить как Kaspersky Security Center Web Console

  Этот параметр доступен, только если на одном из предыдущих шагов вы выбрали установку Kaspersky Security Center Web Console.

Вы можете завершить работу мастера без запуска Kaspersky Security Center. Для этого нажмите на кнопку Готово. Работу с Kaspersky Security Center можно начать позже в любое время.

При первом запуске Консоли администрирования или Kaspersky Security Center Web Console вы можете выполнить первоначальную настройку программы.