内部ネットワークでの利用のために、以下の表ではKACEシステム管理アプライアンス(SMA)が使用するトラフィック(受信、送信、双方向)および必要なURLを説明します。
・インターネットへのアクセスが必要な通信については 接続の向きの列に "NAT"という言葉を含めています。
・SMTPを直接のSMAへの受信を許可させるなどいくつかの独自の設定を行う場合にはこの表の内容からは若干はずれたカスタム設定が必要な場合があります。
Quest KACE®システム管理アプライアンス(SMA)のパッチ及び更新プロセスはセキュリティ機能を備えています。例えばQuestのパッチ転送とSMAのメタデータの更新は暗号化されています。SMAパッチペイロードの完全性の検証にはチェックサムが使用されます。かつパッチペイロードの配置されるディレクトリはユーザーによる改ざんを妨げるようにパーミッションが制御されています。
ファイヤーウォール、暗号化、ポートアクセス、役割、AntiVirus、SSL、アクセスコントロールリスト、ディザスタリカバリなどを考慮して取り組むことを強くお勧めします。 インターネットにSMAを公開する際の ベストプラクティス は ファイアウォールを通してSMAの受信を443(HTTPS)だけに許可して公開する範囲を限定することです。
HTTPSの使用を強く推奨しますが同時にユーザーインターフェイス(UI)を HTTP(80)で表示させることは可能です。
UIへのアクセスはアクセス制御リスト機能を利用してさらに閉じ込めることができます。(システムの設定 | コントロールパネル | アクセス制御リスト)
| ポート | 用途 | 設定箇所 | 必須 または オプション | 接続の向き | プロトコル |
|---|---|---|---|---|---|
| 20/21 | バックアップ共有へのFTP | セキュリティ設定 | オプション | 受信 | FTP |
| 22 | KACE サポートTether用SSH | セキュリティ設定 | オプション | 送信/NAT | SSH |
| 25 | SMTP | キュー設定/ネットワーク設定 | オプション | 双方向 | TCP |
| 80 | (非SSL)ユーザー/管理/システムコンソールUI | セキュリティ設定 | 受信:オプション SSLが有効でない場合のUI 送信/NAT:必須あるいはProxy経由; SMA自身がインターネットアクセスする |
受信 (非SSL); | HTTP |
| 161 | SMAをSNMPで監視 | セキュリティ設定 | オプション | 受信 | UDP |
| 199 | SNMP読み込みアクセス (SMUX) | セキュリティ設定 | オプション | 受信 | TCP |
| 443 | (SSL)ユーザー/管理/システムコンソール UI (SSL)エージェントの通信およびレプリケーション共有ダウンロード | セキュリティ設定 | 必須 |
受信(SSL): エージェント、レプリケーション作成; 送信: 送信/NAT (HTTPS経由でインターネットからパッチデータなどを含むデータの取得), | HTTPS |
| 587 | SMTPSメール送信リレー | キュー設定 / ネットワーク設定 | SMTPS経由場合、メール送信ために必須 |
送信; NAT (接続先サーバーがクラウドの場合) | TCP |
| 110/995 | POP3/SPOPメール受信 | キュー設定 / ネットワーク設定 | POP/SPOPからのメール取得の場合に必須 |
送信; NAT (接続先サーバーがクラウドの場合) | TCP |
| 139/445 | Samba共有へのアクセス(典型的にはWinRMではないエージェントプロビジョニングで使用) | セキュリティ設定 | プロビジョニング(非WinRM)で必須 | 双方向 | SMB |
| 389/636 | LDAP/LDAPS | LDAPフィルタ / LDAP認証 | オプション |
送信; NAT (接続先サーバーがクラウドの場合) | LDAP |
| 3306 | 読み取り専用のリモートデータベースアクセス(ODBCなど) | セキュリティ設定 | オプション | 受信 | TCP |
| 5985 | WinRM (HTTP/HTTPS) ベースのエージェントプロビジョニングで使用 | エージェントピロビジョニング | オプション | 送信 | HTTP/HTTPS |
| 52231 | アップグレード中のステータス表示 (アップグレード中に一時的に使用) | 構成不可 | オプション | 受信 | HTTP/HTTPS |
KACE SMAを適切に機能させるために必要なURL
以下のURLホストはSMAがKACEの更新、OVAL, SCAP, デル保証、Dell Update の情報を取得するために必要です。お客様のFirewallのホワイトリストにこれらのサイトの80番と443番(HTTP/HTTPS)を追加してください。
| Purpose | URL |
|---|---|
| Basic Functionality / UI Links |
service.kace.com servicecdn.kace.com www.kace.com quest.com |
| KACE Tether | tether.kace.com |
| KACE GO App Notifications | notify.kace.com |
| Dell Updates Feed / Packages |
ftp.dell.com downloads.dell.com |
| Dell Warranty |
*.dell.com *.us.dell.com |
| Lenovo Warranty | SupportAPI.lenovo.com |
| KACE Support chat | livehelpnow.net |
| Office365 OAuth |
* Microsoft 365 GCC environment - * Microsoft 365 GCC High environment - |
| Time sync | time.kace.com (if used as ntp server) Paris Observatory IERS Centers |
| Remote Control |
*.splashtop.com Also see: Splashtop Cloud Secuity |
以下のURLはパッチリストを更新するために使用されます。お客様のFirewallのホワイトリストにこれらのサイトの80番と443番(HTTP/HTTPS)を追加してください。:
| Publisher | URL(s) |
|---|---|
| KACE Patch Catalog | cdn01.catalog.kace.com |
| KacePatch Binaries |
These binaries are distributed in a zip file from cdn01.catalog.kace.com. See Error: KacePatch version check failed (326055) for more information. The files inside the current Windows zip file are as follows: DismApi.dll dismcore.dll dismcoreps.dll dismprov.dll folderprovider.dll KacePatch.exe KUserAlert.exe KUserAlertLang_de-DE.dll KUserAlertLang_es-ES.dll KUserAlertLang_es-LA.dll KUserAlertLang_fr-FR.dll KUserAlertLang_it-IT.dll KUserAlertLang_ja-jp.dll KUserAlertLang_pt-BR.dll KUserAlertLang_zh-CN.dll KUserAlertLang_zh-TW.dll The files inside the current Mac zip file are as follows: KacePatch KUserAlert.app (this is a directory with many files inside) munki\install_munki_kace.sh munki\munkitools.pkg munki\uninstall_munki_kace.sh start-asus-ws.sh stop-asus-ws.sh |
| Adobe Systems, Inc. |
ardownload.adobe.com armdl.adobe.com |
| Altova, Inc. | cdn.sw.altova.com |
| Atlassian Software Systems Ltd | s3.amazonaws.com |
| Autodesk, Inc. |
download.autodesk.com knowledge.autodesk.com up.autodesk.com |
| Canneverbe Limited | download.cdburnerxp.se |
| Don HO | download.notepad-plus-plus.org |
| EverNote Corporation | cdn1.evernote.com |
| Foxit Software | cdn01.foxitsoftware.com |
| GlavSoft LLC. | www.tightvnc.com |
| inkscape.org | media.inkscape.org |
| LIGHTNING UK! | download.imgburn.com |
| Microsoft Corporation |
b1.download.windowsupdate.com dl.delivery.mp.microsoft.com download.microsoft.com download.windowsupdate.com endpoint920510.azureedge.net officecdn.microsoft.com officecdn-microsoft-com.akamaized.net |
| Mozilla | ftp.mozilla.org |
| Mysql | cdn.mysql.com |
| Opera Software ASA | ftp.opera.com |
| Piriform Ltd | download.ccleaner.com |
| Python Software Foundation | www.python.org |
| RealVNC Ltd. | www.realvnc.com |
| Simon Tatham | the.earth.li |
| The GIMP developer community | download.gimp.org |
| VideoLAN Team | download.videolan.org |
| VMWare, Inc. | download3.vmware.com |
| win.rar GmbH | www.rarlab.com |
| Wireshark Foundation |
ftp.uni-kl.de www.wireshark.org |
ロードバランサーやコンテンツフィルタ、あるいはネットワーク機器がブロックするような挙動を示す場合があります。.exeや.msiのような拡張子が許可されているか、ダウンロードサイズに制限がないこと、その他の関連する設定およびこの記事で説明されている要件を満たしていることをお確かめください。
