管理服务应安装在受防火墙保护的安全服务器上,不能与策略分发服务共用同一台服务器(单服务器安装除外,请参见部分 3.0, 执行单服务器安装)。为了安全起见,不应将管理服务安装在网络防火墙之外。选择了服务器后,请记录服务器的名称,即 NETBIOS 和完全限定的域名 (FQDN)。出于安全和功能两方面的考虑,不支持将管理服务部署在主域控制器 (PDC) 上。
注:建议对 SSI 服务器进行配置(强化),以便停用并非服务器预期功能必需的所有应用程序、服务、帐户和其它选项。所涉及的配置步骤根据本地环境的具体情况而定,所以此处不预先说明。建议管理员查阅 Microsoft Technet 安全万维网页面中的相应部分。其他访问控制建议在《ZENworks Endpoint Security Management 管理指南》中提供。
要对访问进行保护,仅允许访问受信任的计算机,可设置虚拟目录和 IIS,以便包含 ACL。请参考以下文章:
为安全起见,强烈建议您从 IIS 安装中去除下列默认文件夹:
IISHelp
IISAdmin
Scripts
Printers
还建议使用 IIS Lockdown Tool 2.1,可以在 microsoft.com 获取此工具。
2.1 版本由提供的主流 IIS 相关 Microsoft 产品模板驱动。选择与此服务器的角色最匹配的模板。如果不确定,建议使用动态万维网服务器模板。
在开始安装之前,请确保满足下列先决条件:
确保可以访问支持的目录服务(eDirectory、Active Directory 或 NT 域*)。*= 只有管理服务安装在 Microsoft Windows 2000 Advanced Server (SP4) 上时才支持。
如果使用 eDirectory™ 服务进行部署,请确保服务器上安装了 Novell Client™,并且能够正确鉴定到 eDirectory。创建一个永不改变的帐户口令,用于管理控制台鉴定(请参见部分 7.2.1, 添加 eDirectory 服务)。
确保 Endpoint Security Client 到 MS 服务器名称解析:验证安装 Endpoint Security Client 的目标计算机能否对 MS 服务器名称进行“ping”操作。如果此操作成功,则为安装中输入的值。如果此操作失败,您必须在继续安装之前解决此问题。
启用或安装 Microsoft Internet 信息服务 (IIS),确保启用了 ASP.NET,并将其配置为接受安全套接字层 (SSL) 证书。
重要说明:不要启用“安全通信”页面(在 Microsoft 计算机管理实用程序中,展开 > 展开 > 展开 > 右击 > 单击 > 单击选项卡 > 单击“安全通信分组”框中的按钮)上的 复选框。启用此选项将中断 ZENworks Endpoint Security Management 服务器和端点上 ZENworks Endpoint Security Client 之间的通信。
如果使用的是自己的 SSL 证书,请确保将根 CA 装载到计算机上,而且前面步骤中验证的服务器名称(NETBIOS 或 FQDN)与 IIS 中配置的证书的值相匹配。
如果使用自己的证书或者已安装 Novell 自我签名证书,仍可以通过在安装了 Endpoint Security Client 的计算机上尝试使用以下 URL 来验证 SSL:https://SSI_SERVER_NAME/AuthenticationServer/UserService.asmx(其中 SSI_SERVER_NAME 是服务器名称)。该操作应返回有效数据(HTML 页),而不是证书警告。必须在安装之前解决所有的证书警告问题。
确保可以访问支持的 RDBMS(Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise 和 SQL 2005)。将数据库设置为混合模式。
将包含策略分发服务安装 ID 和策略分发服务根 SSL 证书的 ESM Setup Files 目录复制到此服务器的安装目录中。