Типовые схемы и сценарии развертывания программы

Этот раздел содержит информацию о конфигурациях почтовой инфраструктуры Microsoft Exchange, в которых может быть развернута программа Kaspersky Security.

Основные схемы установки программы

Вы можете выбрать один из двух вариантов развертывания программы в зависимости от почтовой инфраструктуры Microsoft Exchange в вашей организации:

• Сервер безопасности устанавливаются на компьютер, на котором развернут одиночный сервер Microsoft Exchange. Консоль управления устанавливается на тот же компьютер.
• Сервер безопасности устанавливается в группе доступности баз данных Microsoft Exchange (Database Availability Group, далее также группа DAG). В этом случае Сервер безопасности и Консоль управления устанавливаются вместе на каждом сервере Microsoft Exchange, входящем в группу DAG.

Вы можете дополнительно установить Консоль управления на любой другой компьютер сети вашей организации для удаленного управления Серверами безопасности.

Особенности установки программы на одиночном сервере Microsoft Exchange

Программа может быть установлена на одном или нескольких одиночных серверах Microsoft Exchange. На сервере Microsoft Exchange могут быть одновременно установлены Сервер безопасности и Консоль управления, с помощью которой осуществляется управление Сервером безопасности.

При необходимости вы можете установить Консоль управления отдельно от Сервера безопасности на любой компьютер сети организации для удаленного управления Сервером безопасности. В случае совместной работы нескольких администраторов Консоль управления может быть установлена на компьютер каждого из них.

Подключение Консоли управления к Серверу безопасности осуществляется через порт TCP 13100. Необходимо открыть этот порт в брандмауэре на удаленном сервере Microsoft Exchange или добавить службу Kaspersky Security для Microsoft Exchange Servers в список доверенных программ брандмауэра.

Особенности установки программы в группе доступности баз данных Microsoft Exchange

Программа Kaspersky Security может быть установлена на серверах, входящих в группу доступности баз данных Microsoft Exchange (группу DAG). В этом случае Сервер безопасности и Консоль управления устанавливаются вместе на каждом сервере Microsoft Exchange, входящем в группу DAG. Вы можете дополнительно установить Консоль управления на любой другой компьютер в сети вашей организации для удаленного управления Серверами безопасности.

При установке программа автоматически распознает группу DAG. Последовательность установки программы на узлы, входящие в группу DAG, не имеет значения.

Установка Kaspersky Security в группе доступности баз данных имеет следующие особенности:

• Требуется использовать единую базу данных для всех узлов группы DAG. Для этого вам нужно указать эту базу данных при установке Kaspersky Security на всех узлах группы DAG.
• Учетная запись, от имени которой выполняется установка, должна иметь права на запись в раздел конфигурации Active Directory.
• Если на серверах, входящих в группу DAG, включен брандмауэр, вам нужно добавить службу Kaspersky Security для Microsoft Exchange Servers в список доверенных программ на каждом сервере, входящем в группу DAG. Это необходимо для работы Kaspersky Security с резервным хранилищем.

Во время обновления предыдущей версии программы на серверах, входящих в DAG, не рекомендуется подключаться к этим серверам с помощью Консоли управления и изменять параметры программы. В противном случае обновление может завершиться с ошибкой, что может привести к сбоям в работе программы. Если подключение во время обновления необходимо, перед подключением требуется убедиться, что версии Сервера безопасности и Консоли управления, с помощью которой выполняется подключение, совпадают.

После установки программы на серверах группы DAG большая часть параметров программы хранится в Active Directory, и все серверы, входящие в группу DAG, работают с этими параметрами. Kaspersky Security автоматически определяет активные серверы и распространяет на них конфигурацию из Active Directory. Однако индивидуальные параметры сервера Microsoft Exchange требуется настроить вручную для каждого сервера. Индивидуальными параметрами сервера Microsoft Exchange являются, например, параметры антивирусной защиты для роли Транспортный концентратор, параметры проверки на спам, параметры резервного хранилища, параметры отчетов о работе Анти-Спама и работе Антивируса для роли Транспортный концентратор, параметры обновления баз Анти-Спама.

Использование профилей для настройки параметров серверов, входящих в группу DAG, имеет следующие особенности:

• вы можете добавить в профиль серверы, входящие в группу DAG, только все вместе одновременно;
• при добавлении группы DAG в профиль все серверы и все их роли (включая роль Транспортный концентратор) добавляются в этот профиль;
• вы можете удалить из профиля все серверы группы DAG только одновременно.

После удаления Kaspersky Security с серверов в составе группы DAG конфигурация хранится в Active Directory и может быть использована при повторной установке программы.

Сценарии развертывания программы

Перед развертыванием программы необходимо подготовить следующие учетные записи:

• Учетная запись для установки программы. От имени этой учетной записи запускается мастер установки программы и мастер настройки программы.
• Учетная запись для запуска службы программы. Если SQL-сервер находится на том же компьютере, на котором выполняется установка программы, роль этой учетной записи может выполнять учетная запись Local System. В этом случае создавать специальную учетную запись для запуска службы не нужно.
• Учетная запись для подготовки базы данных. От имени этой учетной записи мастер установки программы выполняет подготовку базы данных программы на SQL-сервере. После завершения установки эта учетная запись не используется.

Для работы программы необходимо, чтобы на всех компьютерах, предназначенных для установки Сервера безопасности и Консоли управления, а также на пути передачи данных между ними был открыт сетевой порт TCP 13100. Для взаимодействия с

Вы можете выполнить развертывание программы по одному из следующих сценариев:

• Сценарий развертывания программы с полным набором прав доступа.
• Сценарий развертывания программы с ограниченным набором прав доступа.

Сценарий развертывания программы с полным набором прав доступа

Этот сценарий развертывания подходит вам, если вы обладаете достаточными полномочиями, чтобы выполнить все действия по установке самостоятельно, не привлекая других специалистов, а ваша учетная запись обладает соответствующим набором прав доступа.

Чтобы выполнить развертывание программы с полным набором прав доступа, выполните следующие действия:

1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.
2. Убедитесь, что учетная запись, предназначенная для установки программы, включена в группы "Администраторы домена" и "Администраторы предприятия". Если не включена, включите учетную запись в эти группы. Это необходимо, чтобы мастер установки программы мог создать конфигурационное хранилище и группы разграничения доступа в Active Directory.

   Если установка программы уже выполнена хотя бы на одном компьютере в сети организации, для установки программы на других компьютерах организации достаточно учетной записи локального администратора. При этом требуется предоставить учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:
   CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

3. Назначьте учетной записи, предназначенной для подготовки базы данных, роль sysadmin на SQL-сервере. Эти права необходимы для создания и настройки базы данных. Учетная запись также должна обладать правом Allow Logon Locally ("Разрешить локальный вход в систему"), выданным в локальной политике безопасности на сервере Microsoft Exchange, на котором выполняется установка программы.
4. Добавьте учетную запись, предназначенную для запуска службы, в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

   Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право учетной записи, предназначенной для запуска службы.

5. Добавьте учетную запись, предназначенную для запуска службы, в группу Organization Management. Это необходимо для получения программой конфигурационных параметров сервера Microsoft Exchange.
6. Запустите и выполните шаги мастера установки программы и мастера настройки программы.

   Если вы планируете использование протокола сетевой аутентификации Kerberos, убедитесь, что у учетной записи, предназначенной для установки программы, имеются полномочия на регистрацию SPN-записи. Если такие полномочия отсутствуют, вы можете зарегистрировать SPN вручную после установки программы.

7. Назначьте учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
   • Учетные записи администраторов – в группу Kse Administrators.
   • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
   • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.
8. Выполните репликацию данных Active Directory во всей организации. Это действие необходимо, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При создании базы данных SQL сервер использует локальные правила сопоставления. Учитывайте параметр Collation при установке программы для избежания регистрозависимого поведения и ошибок при подключении к базе данных.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn требуется синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.

Сценарий развертывания программы с ограниченным набором прав доступа

Этот сценарий развертывания подходит вам, если политика безопасности вашей организации не позволяет выполнить все действия по установке программы от имени вашей учетной записи и ограничивает права доступа к SQL-серверу или к Active Directory. Например, если администрирование баз данных в организации осуществляется другим специалистом, имеющим полный доступ к SQL-серверу.

Чтобы подготовиться к установке с ограниченным набором прав доступа к SQL-серверу или Active Directory, выполните следующие действия:

1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы. Если не включена, включите учетную запись в эту группу.
2. Создайте в Active Directory следующий контейнер:

   CN=KasperskyLab,CN=Services,CN=Configuration,DC=<root domain>

3. Настройте полный доступ к этому контейнеру и ко всем его дочерним объектам для учетной записи, предназначенной для установки программы.
4. Создайте группу учетных записей Kse Watchdog Service. Тип группы – «Универсальная». Включите в нее учетную запись, предназначенную для работы службы программы. Если в качестве этой учетной записи используется Local System, включите в группу Kse Watchdog Service также учетную запись компьютера, на котором выполняется установка.
5. Добавьте группу Kse Watchdog Service в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

   Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право группе Kse Watchdog Service.

6. Предоставьте группе Kse Watchdog Service и учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:

   CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

7. Предоставьте группе Kse Watchdog Services право ms-Exch-Store-Admin. Для этого выполните в консоли Exchange Management Shell следующую команду:

   Add-ADPermission -Identity "<путь к контейнеру с конфигурацией Microsoft Exchange>" -User "<имя домена>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

   Например:

   Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

8. Предоставьте группе Kse Watchdog Service право на запуск под другим именем (impersonation). Для этого выполните в консоли Exchange Management Shell следующую команду:

   New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

9. Создайте следующие группы учетных записей: Kse Administrators, Kse AV Security Officers, Kse AV Operators. Эти группы могут быть созданы в любом домене организации. Тип групп – "Универсальная".
10. Выполните репликацию данных Active Directory во всей организации.
11. Назначьте учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
    • Учетные записи администраторов – в группу Kse Administrators.
    • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
    • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.

    Если вы планируете управлять программой с помощью Kaspersky Security Center, добавьте учетные записи всех компьютеров, на которые вы устанавливаете Kaspersky Security, в группу KSE Administrators в Active Directory.

    Если вы не добавили учетные записи всех компьютеров, на которых вы устанавливаете Kaspersky Security в группу KSE Administrators в Active Directory, на экране появляется сообщение с информацией о том, как обеспечить возможность управления программой с помощью Kaspersky Security Center.

12. Убедитесь, что учетная запись, предназначенная для установки программы, также входит в группу KSE Administrators в Active Directory.

    Если установка программы уже выполнена хотя бы на одном компьютере в сети организации, для установки программы на других компьютерах организации достаточно учетной записи локального администратора. При этом требуется предоставить учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

13. Обеспечьте создание базы данных программы. Выполните это действие самостоятельно или делегируйте его выполнение уполномоченному специалисту.
14. Создайте на SQL-сервере учетную запись для следующей группы Active Directory: Kse Watchdog Service.
15. Назначьте группе учетных записей Kse Watchdog Service роли db_owner на уровне базы данных программы.
16. Назначьте учетной записи, предназначенной для подготовки базы данных, роли db_owner на уровне базы данных программы и права VIEW ANY DEFINITION на уровне SQL-сервера.

    Если вы не предоставили этой учетной записи право VIEW ANY DEFINITION, при проверке мастером установки ролей и прав пользователей на базу данных программы на экране появляется сообщение с запросом права ALTER ANY LOGIN. Право ALTER ANY LOGIN требуется мастеру установки, чтобы создать пользователей SQL-сервера, присвоить этим пользователям роли и выдать им права на использование базы данных.

17. Предоставьте учетной записи, предназначенной для подготовки базы данных, права Allow Logon Locally ("Разрешить локальный вход в систему").
18. Предоставьте учетной записи, предназначенной для работы службы программы, права Allow Logon Locally ("Разрешить локальный вход в систему").
19. Выполните шаги мастера установки программы и мастера настройки программы от имени учетной записи, предназначенной для установки программы.

    Если вы планируете использование протокола сетевой аутентификации Kerberos, убедитесь, что у учетной записи, предназначенной для установки программы, имеются полномочия на регистрацию SPN-записи. Если такие полномочия отсутствуют, вы можете зарегистрировать SPN вручную после установки программы.

20. Выполните репликацию данных Active Directory во всей организации. Это действие требуется, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При создании базы данных SQL сервер использует локальные правила сопоставления. Учитывайте параметр Collation при установке программы для избежания регистрозависимого поведения и ошибок при подключении к базе данных.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn требуется синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.