ZENworks® Endpoint Security Management 單一伺服器安裝 (Single Server Installation, SSI) 可允許「規則配送服務」和「管理服務」共存於相同的伺服器中,若未使用此安裝選項時則無法共存。基於安全性考量,伺服器必須部署在防火牆內,使用者必須位於公司架構內或透過 VPN 連接時才能接收規則更新。
基於安全性和功能性的原因,您無法將「單一伺服器安裝」部署在主要領域控制器 (PDC) 上。
附註:我們建議您在設定 (強化) SSI 伺服器時,停用所有的應用程式、服務、帳戶以及伺服器功能性所不需要的其他選項。執行此作業的步驟將視本機環境而定,因此無法預先說明。我們建議管理員參閱 Microsoft Technet 安全性網頁中適合的區段。《ZENworks Endpoint Security Management 管理指南》還提供其他的存取控制建議。
若要保護僅存取受信任的機器,可將虛擬目錄和 IIS 設定為具有 ACL。請參考以下文章:
基於安全性考量,我們強烈建議您在任何的 IIS 安裝中移除以下預設資料夾:
IISHelp
IISAdmin
Scripts
Printers
我們也建議您使用 microsoft.com 提供的 IIS Lockdown Tool 2.1。
2.1 版是由各大適用 IIS 相關 Microsoft 產品的範本所驅動。請選取最符合此伺服器角色的範本。如果您不確定,建議您使用動態 Web 伺服器範本。
在開始進行安裝「之前」,請確定已完成以下必要條件:
確認可存取已支援的目錄服務 (eDirectory™、Active Directory 或 NT Domains)。只有當「單一伺服器服務」安裝在 Microsoft Windows 2000 Advanced Server (SP4) 上時,才能支援 NT 領域。
如果您使用 eDirectory 服務進行部署,請確定 Novell Client™ 已安裝在伺服器上,並可正確驗證至 eDirectory。請建立不會變更的帳戶密碼,可以供「管理主控台」驗證時使用 (請參閱 節 7.2.1, 新增 eDirectory 服務)。
對於 Endpoint Security Client 至「單一伺服器」的伺服器名稱解析,請驗證目標電腦 (已安裝 Endpoint Security Client) 可 Ping SSI 伺服器名稱。若不成功,則您必須在繼續進行安裝之前先將問題解決。(將 SSI 伺服器名稱變更為 FQDN/NETBIOS、將 AD 變更為使用 FQDN/NETBIOS、變更 DNS 組態、修改目標電腦上的本地主機檔案以包含正確的 MS 資訊等)。
啟用或安裝 Microsoft Internet Information Services (IIS),並將其設定為接受保全插槽層 (SSL) 證書。
重要:請勿在「安全通訊」頁面選取「」核取方塊 (在「Microsoft 電腦管理」公用程式中,展開「」>展開「」> 展開「」> 以滑鼠右鍵按一下「」> 按一下「」> 按一下「」索引標籤 > 按一下「安全通訊」群組方塊中的「」按鈕)。 選取此選項會中斷 ZENworks Endpoint Security Management 伺服器與端點上之 ZENworks Endpoint Security 用戶端之間的通訊。
如果您使用自己的 SSL 證書,請確定已將 Web 服務證書和根 CA 載入機器,且在之前步驟中驗證的伺服器名稱 (無論是 NETBIOS 或 FQDN) 符合在 IIS 中設定之證書的「」值。
如果您使用自己的證書,或者已安裝 Novell 自我簽署證書,您也可以在已安裝 Endpoint Security Client 的機器中嘗試使用以下 URL 來驗證 SSL:https://SSI_SERVER_NAME/AuthenticationServer/UserService.asmx (其中 SSI_SERVER_NAME 為伺服器名稱)。這將會傳回有效的資料 (html 頁面),而不是證書警告。任何的證書警告都必須在安裝前解決,除非您選擇使用 Novell 自我簽署證書。
確定可存取支援的 RDBMS (Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise)。將資料庫設為「混合」模式。