NAT设置
要使用 Mobile Device Manager Plus MSP 管理移动设备,必须确保设备随时能够访问 MDM MSP 服务器。虽然当设备与服务器处于同一网络时,设备可以访问 MDM MSP 服务器,但设备无法从网络外部访问服务器。由于被管理的设备是移动的,大多数时间在网络外部,因此必须确保设备能够与 MDM MSP 服务器通信,以实现持续的设备管理。这可以通过将内部 IP 地址映射到公共 IP 地址或 FQDN(完全限定域名)实现,这样局域网内或外部网络的设备都可以访问 MDM MSP 服务器。此过程称为网络地址转换(NAT),对于管理组织网络外的设备是强制性的。
为确保数据安全,可以使用自签名或 第三方证书 。由于证书加密服务器与设备之间的通信,因此通过互联网传输的企业数据是安全的。
建议使用 FQDN,因为任何内部 IP 地址的更改都会自动映射到 FQDN,无需干预,除非您 修改 NAT 设置。此外,第三方证书会使用 FQDN 识别服务器。
配置 NAT 设置的方法
配置 NAT 设置有两种方法:
将 MDM MSP 服务器暴露在互联网上:
MDM MSP 服务器应可通过公共 IP 地址访问,您可以配置 NAT 设置,使所有发送到公共 IP 地址的请求都重定向到 MDM MSP 服务器。
对于局域网内的设备
如果对公共和私有 IP 使用相同 DNS 名称,则局域网内的所有内部请求都会通过内部 DNS 定向到私有 IP,而不会经过公共 IP 路由。
对于互联网内的设备
来自互联网等外部网络的设备使用 DNS 名称访问公共 IP 地址,从那里转发到私有 IP 地址。
将 ManageEngine Secure Gateway 暴露在互联网上:
本节讲解如何在不直接将 MDM MSP 服务器暴露于互联网的情况下管理移动设备。这可以通过使用 Secure Gateway 实现,该网关确保 MDM MSP 服务器免受脆弱攻击的风险和威胁。ManageEngine Secure Gateway 才是暴露于互联网的组件,而非 MDM MSP 服务器。Secure Gateway 充当管理的移动设备与 MDM MSP 服务器之间的中介。 如果 MDM MSP 服务器设置在非军事区(DMZ),则不需要配置 Secure Gateway,因为部署在 DMZ 的 MDM MSP 服务器安全性最高。
MDM MSP 服务器与 APNs/FCM/WNS 通信以唤醒移动设备。所有来自移动设备的通信都会通过 Secure Gateway 路由。当设备尝试联系 MDM MSP 服务器时,Secure Gateway 接收所有请求并将其重定向至 MDM MSP 服务器。
配置 NAT 设置的步骤
按照以下步骤配置 NAT:
- (如果您使用的是 Endpoint Central 中的 MDM)可以通过导航至 NAT 菜单下的 设置 下拉列表中进行配置。
- (如果您使用的是本地部署的 MDM) 在 Web 控制台中,选择 管理 选项卡。
- 点击 NAT设置 菜单下的 设置 左侧面板中的。
- 根据您当前的设置,Mobile Device Manager Plus MSP 服务器及端口信息会被预填写。
- 提供 Secure Gateway 的公共 IP 和端口, 并点击 保存。 MDM 现在已成功设置为管理移动设备。要管理 iOS 设备,您需要
创建 APNs 证书 并上传至 MDM 服务器。请参阅 iOS、Android 和 Windows 设备的 端口详情。 我们让您的工作更简单!
通过
此演示视频 了解如何在 3 分钟内设置 Secure Gateway。 修改 NAT 设置 最初指定的 FQDN/IP 会在注册设备上注册,并用于 MDM MSP 服务器与设备间的通信。根据组织的需求,可能需要更改 FQDN/IP,尤其是在以下情况下:.
如果之前使用的是公共 IP,而组织决定切换到 FQDN。
组织即将进行品牌重塑,需要更改域名。现有的公共 FQDN/IP 需替换为与新域名对应的新 FQDN/IP。
- 如果设备需要从外部网络访问 MDM MSP 服务器,则私有 FQDN/IP 需更改为公共 FQDN/IP。
- 尽管 NAT 已被修改,已注册的设备仍会使用之前的 FQDN/IP 访问 MDM MSP 服务器。通过对环境进行一些更改
- 将新地址映射到现有 FQDN/IP
可以解决此问题。若不更改,设备将无法被 MDM 管理。但修改 NAT 后注册的新设备不受影响,依然可以正常管理。 要进行必要的更改,请按照以下步骤操作。除 Android 以外的所有平台:
新 FQDN/IP 需在组织的内部域名系统(DNS)中与之前的 FQDN/IP 进行映射。
注意
- :请确保输入的 FQDN/IP 可访问,以确保从外部网络能访问 MDM MSP 服务器。
每次修改 NAT 设置时,所采购的证书需包含所有之前使用过的 FQDN/IP,以实现旧值与新值的映射。对于 MDM 颁发的证书,修改会自动完成。若使用自签名或第三方证书,请确保之前使用的 FQDN/IP 也包含在内。:对于这些设备,通信会使用之前的 FQDN/IP 重定向到新地址。因此有必要保留之前使用的 FQDN/IP 于证书中,否则设备将失去管理。 - 对于 Android 设备,
每次修改 NAT 设置时,所采购的证书需包含所有之前使用过的 FQDN/IP,以实现旧值与新值的映射。对于 MDM 颁发的证书,修改会自动完成。若使用自签名或第三方证书,请确保之前使用的 FQDN/IP 也包含在内。可通过联系 MDM 支持邮箱
mdm-support@manageengine.com注册新 FQDN/IP 到注册设备。如果要修改端口,请确保在内部环境中将其重定向到端口 9383,以便继续管理除 Android 以外的所有平台,Android 设备则需联系 MDM 支持。.
设置 Secure Gateway 如果要修改端口,请确保在内部环境中将其重定向到端口 9383,以便继续管理除 Android 以外的所有平台,Android 设备则需联系 MDM 支持。
设置 Secure Gateway 包含以下内容。
配置 Secure Gateway 的步骤
从
- 此处 下载 Secure Gateway 安装文件。
- 双击安装文件以启动安装过程。
- 在提示时输入 MDM MSP 服务器名称、HTTP 和 HTTPS 端口号,点击下一步.
- MDM MSP 服务器名称:指定 MDM MSP 服务器的 FQDN/DNS/IP 地址
- HTTPS 端口:移动设备用于访问 MDM MSP 服务器的端口号(例如:9343 — 推荐在安全模式下将 MDM MSP 服务器端口统一使用 9343(HTTPS))
安装证书
- 处理器:Intel Core i5(4 核/8 线程)2.3 GHz,6 MB 缓存
- 内存大小:4 GB
安装证书
MDM 会自动同步 Secure Gateway 所需证书。若同步失败,管理员可手动安装所需证书。请按以下步骤手动安装证书。
- 如果使用自签名证书,按以下步骤操作:复制 server.crt 和 server.key 文件,位于 ManageEngine\MDMServer\apache\conf ,粘贴到安装 Secure Gateway 的机器上 ManageEngine\ME_Secure_Gateway_Server\nginx\conf 文件夹中。
- 如果使用第三方证书,按以下步骤操作:
- 第三方服务器证书需重命名为 server.crt
- 私钥文件需重命名为 server.key
- 如果使用中间证书,请将其文件名修改为 intermediate.crt
- 复制 server.crt、server.key 和中间证书,将它们粘贴至 Secure Gateway 安装目录 — ManageEngine\ME_Secure_Gateway_Server\nginx\conf
- 打开ManageEngine\ME_Secure_Gateway_Server\conf\websetting.conf 添加以下行: intermediate.certificate=intermediate.crt
证书复制成功后,点击 安装 完成安装过程。
验证 Secure Gateway
Secure Gateway 会自动启动。您可以通过在同一台机器上运行 services.msc 来验证,也确认 ManageEngine Secure Gateway 是否已启动。您已成功配置 Secure Gateway。
故障排除技巧
- 确认证书是否正确复制到指定位置。
- 确保端口号 9383 未被其他服务/进程占用。
- 确保您以“以管理员身份运行”的方式启动,并拥有安装服务的必要权限。
卸载 Secure Gateway
卸载 Secure Gateway 包括以下步骤:
- 在安装 Secure Gateway 的机器上,点击 开始 菜单,在搜索框中输入并打开。
- 选择 ManageEngine Secure Gateway Server ,这是已安装程序列表中的一项。
- 选择 卸载 保存。 ,完成安装向导中的卸载。 确保 MDM MSP 服务器上的 FQDN 与已删除的 Secure Gateway 服务器保持一致。如果 FQDN 不同或无法访问,现有管理的设备将无法与 MDM MSP 服务器通信。
故障排除技巧
- 确认 MDM MSP 服务器通过 NAT 设置中配置的公共 IP/FQDN 地址可访问。
- 跳转至