ZENworks® Endpoint Security Management 单服务器安装 (SSI) 允许策略分发服务和管理服务在同一服务器上共存(如果不使用此安装选项则不能实现此状态)。为安全起见,必须将此服务器部署在防火墙以内,并要求用户只能在处于公司基础结构内部或通过 VPN 进行连接时接收策略更新。
出于安全和功能两方面的考虑,不支持将单服务器部署在主域控制器 (PDC) 上。
注:建议对 SSI 服务器进行配置(强化),以便停用并非服务器预期功能必需的所有应用程序、服务、帐户和其它选项。所涉及的配置步骤根据本地环境的具体情况而定,所以此处不预先说明。建议管理员查阅 Microsoft Technet 安全万维网页面中的相应部分。其他访问控制建议在《ZENworks Endpoint Security Management 管理指南》中提供。
要对访问进行保护,仅允许访问受信任的计算机,可设置虚拟目录和 IIS,以便包含 ACL。请参考以下文章:
为安全起见,强烈建议您从 IIS 安装中去除下列默认文件夹:
IISHelp
IISAdmin
Scripts
Printers
还建议使用 IIS Lockdown Tool 2.1,可以在 microsoft.com 获取此工具。
2.1 版本由提供的主流 IIS 相关 Microsoft 产品模板驱动。选择与此服务器的角色最匹配的模板。如果不确定,建议使用动态万维网服务器模板。
在开始安装之前,请确保满足下列先决条件:
确保可以访问支持的目录服务(eDirectory™、Active Directory 或 NT 域)。只有将单服务器服务安装在 Microsoft Windows 2000 Advanced server (SP4) 上时,才支持 NT 域。
如果使用 eDirectory 服务进行部署,请确保服务器上安装了 Novell Client™,并且能够正确鉴定到 eDirectory。创建一个永不改变的帐户口令,用于管理控制台鉴定(请参见部分 7.2.1, 添加 eDirectory 服务)。
对于 Endpoint Security Client 到单服务器的服务器名称解析,验证安装 Endpoint Security Client 的目标计算机能否对 SSI 服务器名称进行“ping”操作。如果此操作失败,您必须在继续安装之前解决此问题。(将 SSI 服务器名称更改为 FQDN/NETBIOS,将 AD 更改为使用 FQDN/NETBIOS,更改 DNS 配置,在目标计算机上修改本地主机文件以包含正确的 MS 信息等)。
启用或安装 Microsoft Internet 信息服务 (IIS),并将其配置为接受安全套字层 (SSL) 证书。
重要说明:不要启用“安全通信”页面(在 Microsoft 计算机管理实用程序中,展开 > 展开 > 展开 > 右击 > 单击 > 单击选项卡 > 单击“安全通信分组”框中的按钮)上的 复选框。启用此选项将中断 ZENworks Endpoint Security Management 服务器和端点上 ZENworks Endpoint Security Client 之间的通信。
如果使用的是自己的 SSL 证书,请确保将万维网服务证书和根 CA 装载到计算机上,而且前面步骤中验证的服务器名称(NETBIOS 或 FQDN)与 IIS 中配置的证书的值相匹配。
如果使用自己的证书或者已安装 Novell 自我签名证书,仍可以通过在安装了 Endpoint Security Client 的计算机上尝试使用以下 URL 来验证 SSL:https://SSI_SERVER_NAME/AuthenticationServer/UserService.asmx(其中 SSI_SERVER_NAME 是服务器名称)。该操作应返回有效数据(HTML 页),而不是证书警告。必须在安装之前解决所有证书警告(除非选择改用 Novell 自我签名的证书)。
确保可以访问支持的 RDBMS(Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise)。将数据库设置为混合模式。