Verwalten eines HA-Paars von Sophos Central

Befolgen Sie diese Anweisungen, um ein HA-Paar (High Availability) zu Sophos Centralhinzuzufügen und in Sophos Central zu verwalten.

Einleitung

Bevor Sie die in diesem Thema beschriebenen Schritte ausführen, müssen Sie Folgendes tun:

  • Stellen Sie ein HA-Link-Paar her. In diesem Beispiel haben Sie zwei XG-Firewalls in einem HA-Paar. XG1 ist die primäre und XG2 die sekundäre Appliance.
  • Stellen Sie sicher, dass auf beiden Firewalls Version 18.0.MR3 ausgeführt wird.
Einschränkung Sie müssen Ihre Firewalls auf Version 18.0.MR3 aktualisieren, bevor Sie sie bei Sophos Central registrieren. Sie können Ihre Firewalls nicht registrieren, bevor Sie sie aktualisieren, und sie werden nicht in Sophos Central angezeigt.

Hinzufügen von XG1 zu Sophos Central

  1. Gehen Sie auf XG1 zur Central-Synchronisierung und registrieren Sie die Firewall bei Sophos Central.
  2. Aktivieren Sie die zentrale Verwaltung.

    Die Abbildung zeigt die Seite „Central-Synchronisierung“.

    Weitere Informationen finden Sie unter Central-Synchronisierung.

  3. Gehen Sie in Sophos Central zu Firewall Management > Firewalls.

    Unter Gruppierung aufgehoben sehen Sie XG1 und XG2. Der Synchronisierungs- und Verwaltungsstatus von XG1 lautet Genehmigung ausstehend. Der Synchronisierungs- und Verwaltungsstatus von XG2 lautet Management deaktiviert.

    Die folgende Abbildung zeigt den Status des HA-Paars auf der Seite Firewalls.


    Die Abbildung zeigt das HA-Paar auf der Seite „Firewalls“.
  4. Klicken Sie auf Dienste akzeptieren für XG1.

    Die Abbildung zeigt, wie Dienste angenommen werden.

    XG1 stellt eine Verbindung zu Sophos Central her.

    Der Synchronisierungs- und Verwaltungsstatus von XG1 lautet nun verbunden. Der Synchronisierungs- und Verwaltungsstatus von XG2 lautet Management deaktiviert.

    Anmerkung XG2 kann als getrennt angezeigt werden, wenn dreißig Minuten seit der Registrierung vergangen sind.

XG2 zu Sophos Central hinzufügen

  1. Führen Sie ein manuelles Failover durch, damit die Geräte von primär auf sekundär und umgekehrt wechseln.

    Sie können XG1 entweder neu starten oder auf XG1 zu Systemdienste > Hochverfügbarkeit wechseln und auf Zu passivem Gerät wechseln klicken.

    XG2 ist jetzt das primäre Gerät und XG1 ist die sekundäre Appliance.

  2. Melden Sie sich bei XG2 an.
  3. Gehen Sie zu Central-Synchronisierung und registrieren Sie die Firewall bei Sophos Central.
  4. Aktivieren Sie die zentrale Verwaltung.

    Weitere Informationen finden Sie unter Central-Synchronisierung.

  5. Gehen Sie in Sophos Central zu Firewall Management > Firewalls.
    Der Synchronisierungs- und Verwaltungsstatus von XG2 lautet nun Genehmigung ausstehend.
  6. Klicken Sie für XG2 auf Service akzeptieren.

    XG2 stellt eine Verbindung zu Sophos Central her.

    Die folgende Abbildung zeigt beide Firewalls, die mit Sophos Central verbunden sind.


    Die Abbildung zeigt die mit Sophos Central verbundenen Firewalls.

Sie können nun beide Firewalls in eine Gruppe verschieben und als HA-Paar verwalten. Bei einem Failover müssen Sie die Firewalls nicht erneut registrieren oder die Central-Verwaltung erneut aktivieren.

Wichtige Hinweise

  • Sie können die zentrale Verwaltung für beide HA-Geräte nicht gleichzeitig aktivieren. Sie müssen die zentrale Verwaltung auf jedem Gerät aktivieren, indem Sie jedes Gerät nacheinander zum aktiven Gerät machen. Dies muss nur einmal durchgeführt werden.
  • Sophos Central zeigt die Geräte nicht als Paar an. Sie werden separat dargestellt.
  • Verschieben Sie die Geräte nicht in verschiedene Gruppen. Wenn Sie dies tun, erhält das HA-Paar unterschiedliche Konfigurationen.
  • Konfigurationen werden an die sekundäre Appliance übertragen, wo sie ausstehen. Sie können dies ignorieren, da die Konfiguration mithilfe des lokalen HA-Synchronisierungsmechanismus synchronisiert wird.
  • In Sophos Central ist die RP-SSO-Verbindung für die sekundäre Appliance aktiviert, aber Sie können keine Verbindung zur sekundären Appliance herstellen.
  • Konfigurationen, die sich auf dynamische Zonen oder Gateways beziehen, werden nicht auf die beiden Geräte repliziert. Sie müssen dies manuell vornehmen.
  • HA-Paare teilen sich die Lizenzen für Central Firewall Reporting. Das HA-Paar wird zu Berichtszwecken als einzelnes logisches Gerät behandelt.