制御されているネットワーク環境にユーザが入ったときにのみこのサーバにアクセスできるようにし、ユーザが確実にZENworks® Security Clientによって特定された環境内にいないと操作ができません。フェイルオーバおよび冗長性の設定方法については後で説明します。クライアントロケーション保証サービス(CLAS)は必要に応じて、シングルサーバインストールまたはマルチサーバ管理サービスインストールをホストするサーバと同じサーバに展開できます。
暗号化の検証を必要とするネットワーク環境にある場合にのみエンドポイントを検出できるサーバにCLASをインストールします。
セキュリティ上および機能上の理由から、プライマリドメインコントローラ(PDC)にCLASを展開することはできません。
メモ:サーバの目的の機能には必要ないすべてのアプリケーション、サービス、アカウント、および他のオプションが無効になるように、SSIサーバを設定(強化)することをお勧めします。このための手順はローカル環境の仕様によって異なるため、前もって説明しておくことはできません。管理者は、Microsoft TechnetセキュリティセンターのWebページの該当するセクションを参照することをお勧めします。アクセス制御に関するその他の推奨事項は、『ZENworks Endpoint Security Management管理ガイド』に記載されています。
信頼されたマシンに対するアクセスのみを保護するために、仮想ディレクトリおよびIISにACLを設定できます。次の記事を参照してください。
セキュリティ上の理由から、次のデフォルトのフォルダをIISのインストールから削除することを強くお勧めします。
IISHelp
IISAdmin
スクリプト
プリンタ
microsoft.comで入手可能なIIS Lockdown Tool 2.1を使用することもお勧めします。
バージョン2.1は、IISに依存する主要なマイクロソフト製品用に提供されたテンプレートによって駆動されます。このサーバの役割に最も厳密に適合したテンプレートを選択してください。どれが適切かわからない場合は、Dynamic Webサーバテンプレートを使用することをお勧めします。
インストールを開始する前に、次の前提条件が満たされていることを確認してください。
管理サービス(MS)によるポリシー配布サービス(DS)サーバ名の解決の確認: MSのインストール先コンピュータがDSサーバ名に対してpingを実行できることを確認します(DSサーバ名は、DSがネットワークファイアウォール内に設定される場合はNETBIOS、ファイアウォール外部のDMZにインストールされる場合はFQDNになります)。
Microsoftインターネットインフォメーションサービス(IIS)を有効にするかインストールして、ASP.NETが確実に動作するようにします。
重要:[セキュリティで保護された通信]ページの[
]チェックボックスは有効にしないでください(Microsoftコンピュータの管理ユーティリティで、[ ]>[ ]>[ ]の順に展開し、[ ]を右クリックし、[ ]>[ ]タブ>[セキュリティで保護された通信]グループボックスの[ ]ボタンの順にクリックします)。 このオプションを有効にすると、Zenworks Endpoint Security Managementサーバとエンドポイント上のZenworks Endpoint Security Clientとの通信が切断されます。[Installation Interface (インストールインタフェース)]メニューの[Client Location Assurance Service Installation (クライアントロケーション保証サービスのインストール)]をクリックします。CLASのインストールが開始されます。
起動時にインストーラは、必要なすべてのソフトウェアがサーバ上にあるかどうかを確認します。必要なソフトウェアがインストールされていない場合は、[Welcome (ようこそ)]画面に移行する前に自動的にソフトウェアがインストールされます(追加するソフトウェアのライセンス契約の受諾が必要になる場合があります)。Microsoft Data Access Components 2.8がインストールされていない場合は、MDACのインストール後にサーバを再起動しないと、ZENworks Endpoint Security Managementのインストールを続行できません。 Windows 2003 Serverを使用している場合は、ASP.NET 2.0を実行するように設定されます。