用户应始终可以访问驻留 ZENworks® Endpoint Security Management 策略分发服务的服务器,无论在网络中还是在 DMZ 外部。确保安装之前在服务器上安装了必需的软件(请参见系统要求)。选择了服务器后,请记录服务器的名称,即 NETBIOS 和完全限定的域名 (FQDN)。
不支持将策略分发服务部署在主域控制器 (PDC) 上,这既是出于安全上的原因,也有功能方面的考虑。
注:建议对 SSI 服务器进行配置(强化),以便停用并非服务器预期功能必需的所有应用程序、服务、帐户和其它选项。所涉及的配置步骤根据本地环境的具体情况而定,所以此处不预先说明。建议管理员查阅 Microsoft Technet 安全万维网页面中的相应部分。其他访问控制建议在《ZENworks Endpoint Security Management 管理指南》中提供。
要对访问进行保护,仅允许访问受信任的计算机,可设置虚拟目录和 IIS,以便包含 ACL。请参考以下文章:
为安全起见,强烈建议您从 IIS 安装中去除下列默认文件夹:
IISHelp
IISAdmin
Scripts
Printers
还建议使用 IIS Lockdown Tool 2.1,可以在 microsoft.com 获取此工具。
2.1 版本由提供的主流 IIS 相关 Microsoft 产品模板驱动。选择与此服务器的角色最匹配的模板。如果不确定,建议使用动态万维网服务器模板。
请在开始安装之前校验是否满足下列先决条件:
确保管理服务 (MS) 到策略分发服务 (DS) 的服务器名称解析:确保安装 MS 的目标计算机可以对 DS 服务器名称(如果在网络防火墙之内配置 DS,则为 NETBIOS,如果在 DMZ 之外安装,则为 FQDN)进行“ping”操作。
如果此操作成功,这是安装中要输入的服务器名称。如果此操作失败,您必须在继续安装之前解决此问题。
确保 Endpoint Security Client 到 DS 服务器名称解析:验证安装 Endpoint Security Client 的端点客户端是否可以对上面使用的同一 DS 服务器名称进行“ping”操作。如果此操作失败,您必须在继续安装之前解决此问题。
启用或安装 Microsoft Internet 信息服务 (IIS),确保启用了 ASP.NET,并将其配置为接受安全套字层 (SSL) 证书。
重要说明:不要启用“安全通信”页面(在 Microsoft 计算机管理实用程序中,展开 > 展开 > 展开 > 右击 > 单击 > 单击选项卡 > 单击“安全通信分组”框中的按钮)上的 复选框。启用此选项将中断 ZENworks Endpoint Security Management 服务器和端点上 ZENworks Endpoint Security Client 之间的通信。
如果使用的是自己的 SSL 证书,请确保将万维网服务证书装载到计算机上,而且前面步骤中验证的服务器名称(NETBIOS 或 FQDN)与 IIS 中配置的证书的值相匹配。
如果使用的是自己的 SSL 证书,请验证从 MS 服务器到 DS 服务器的 SSL:在管理服务上打开万维网浏览器,并输入以下 URL:https://DSNAME(其中,DSNAME 是 DS 的服务器名称)。该操作应返回有效数据,而不是证书警告(有效数据可能是“该页正在建立中”)。必须在安装之前解决所有证书警告(除非选择改用 Novell 自我签名的证书)。
确保可以访问支持的 RDBMS(Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise 和 SQL Server 2005)。将数据库设置为混合模式。应将此数据库驻留在管理服务服务器上,或由企业防火墙保护的共享服务器上。