Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>LANDesk</strong> <strong>Security</strong> <strong>Suite</strong> 使用者指南<br />
<strong>LANDesk</strong> DHCP 信任存取建置的網路拓樸與設計注意事項<br />
設計 <strong>LANDesk</strong> DHCP 信任存取建置時,您必須牢記以下問題‥<br />
• 隔離網路不能檢視到 <strong>LANDesk</strong> 核心伺服器。<br />
• <strong>LANDesk</strong> DHCP 伺服器需要位於用戶端路由器/交換器的另一側。<br />
• 路由器須支援路由器用戶端一側的主子網路與次子網路。<br />
• 路由器需要組態,以轉送廣播的 BOOTP/DHCP 請求至 <strong>LANDesk</strong> DHCP 伺<br />
服器(轉送代理程式或 IP 幫手)。<br />
• 主 DHCP 伺服器須與 <strong>LANDesk</strong> DHCP 伺服器一樣,位於路由器的同一側。<br />
• <strong>LANDesk</strong> DHCP 伺服器能服務數個隔離子網路,因此僅需要一個 <strong>LANDesk</strong><br />
DHCP 伺服器。<br />
• 不要將 <strong>LANDesk</strong> DHCP 伺服器與主 DHCP 伺服器放置於同一機殼內;它們<br />
不能使用同一連接埠。<br />
• 修補伺服器與 Posture 驗證伺服器可與 <strong>LANDesk</strong> DHCP 伺服器電腦被安裝於<br />
同一機殼內,但如果出現效能或延展性問題,則可將它們移至它們自己的伺<br />
服器電腦。<br />
• 路由器必須組態為使用真實子網路作為主子網路,將隔離子網路作為次子網<br />
路。<br />
• 次子網路應限制為僅能看到修補伺服器。<br />
在裝置上安裝 <strong>LANDesk</strong> 信任代理程式以啟用符合性掃描<br />
必須為裝置安裝 <strong>LANDesk</strong> 信任代理程式 (LTA),以便與 <strong>LANDesk</strong> DHCP 伺服器和<br />
Posture 驗證伺服器進行通訊,並評估它的健全性態勢。<br />
請記住,為了提供附加的裝置管理功能,即使您正在使用 Cisco NAC 解決方案,<br />
亦可在受管理裝置上安裝 LTA(包括清單掃描器和本機排程器)。即,裝置上可<br />
以安裝兩種信任代理程式。然而,如果您正在使用 <strong>LANDesk</strong> DHCP 解決方案,則<br />
不可在受管理裝置上安裝 CTA。<br />
安裝完全標準的 <strong>LANDesk</strong> 代理程式的重要附註‥ 您必須在裝置安裝完全標準的 <strong>LANDesk</strong> 代理程<br />
式,以防止自動離開網路的健全裝置在下次連線您的網路時,被授權存取沒有經過安全性符合性掃<br />
描的網路(這樣將妨礙態勢驗證過程)。<br />
如果某裝置僅安裝了適用信任代理程式(CTA 或 LTA),則它將被視為健全的,且不經態勢驗證就<br />
能返回網路。<br />
要防止以上情況發生,請儘量在您的裝置上安裝完全標準的 <strong>LANDesk</strong> 代理程式。<br />
要在受管理的僱員裝置上安裝 <strong>LANDesk</strong> 信任代理程式<br />
• 如果裝置已有標準 <strong>LANDesk</strong> 代理程式,則使用新裝置代理程式組態安裝<br />
LTA<br />
57