Eine Einzelserverinstallation (SSI) von ZENworks® Endpoint Security Management ermöglicht die Koexistenz des Richtlinienverteilungsservices und des Verwaltungsdienstes auf demselben Server. (Dies ist ohne Verwendung dieser Installationsoption nicht möglich.) Aus Sicherheitsgründen muss der Server innerhalb der Firewall bereitgestellt werden. In diesem Fall dürfen Benutzer Richtlinienaktualisierungen nur zu empfangen, wenn sie sich innerhalb der Firmeninfrastruktur befinden oder per VPN verbunden sind.
Die Bereitstellung der Einzelserverinstallation auf einem PDC (Primärdomänencontroller) wird aus Gründen der Sicherheit und der Funktionalität nicht unterstützt.
HINWEIS:Es wird empfohlen, den SSI-Server so zu konfigurieren (härten), dass alle Anwendungen, Dienste, Konten und andere Optionen, die für die vorgesehene Serverfunktionalität nicht benötigt werden, deaktiviert sind. Die dafür erforderlichen Schritte hängen von den Einzelheiten der lokalen Umgebung ab und lassen sich deshalb nicht vorausgreifend beschreiben. Administratoren sollten den entsprechenden Abschnitt der Microsoft Technet Sicherheitswebseite nachschlagen. Weitere Empfehlungen für die Zugriffssteuerung finden Sie im ZENworks Endpoint Security Management-Administratorenhandbuch.
Wenn Sie den Zugriff auf verbürgte Computer begrenzen möchten, können das virtuelle Verzeichnis und IIS mit ACLs eingerichtet werden. Schlagen Sie folgende Artikel nach:
Aus Sicherheitsgründen empfiehlt es sich, folgende Standardordner aus allen IIS-Installationen zu entfernen:
IISHelp
IISAdmin
Skripts
Drucker
Novell empfiehlt außerdem, das IIS-Lockdown-Werkzeug zu verwenden, das auf microsoft.com zur Verfügung steht.
Die Version 2.1 wird von den für die wichtigsten IIS-abhängigen Microsoft-Produkte bereitgestellten Schablonen gesteuert. Wählen Sie die Schablone, die der Funktion dieses Servers am besten entspricht. Im Zweifelsfall wird die Schablone "Dynamischer Webserver" empfohlen.
Vergewissern Sie sich bitte, dass folgende Voraussetzungen gegeben sind, bevor Sie mit der Installation beginnen:
Stellen Sie sicher, dass Zugriff auf einen unterstützten Verzeichnisdienst besteht (eDirectory™, Active Directory oder NT Domänen). NT Domänen werden nur unterstützt, wenn der Einzelserverdienst auf einem Microsoft Windows 2000 Advanced Server (SP4) installiert ist.
Vergewissern Sie sich, dass der Novell-Client™ auf dem Server installiert ist und sich korrekt bei eDirectory authentifizieren kann, wenn für die Bereitstellung ein eDirectory-Service verwendet wird. Erstellen Sie für die Verwaltungskonsolen-Authentifizierung ein Kontopasswort, das nicht geändert wird (siehe Abschnitt 7.2.1, eDirectory Services hinzufügen).
Überprüfen Sie für die Servernamenauflösung vom Endpoint Security Client zu SSI, ob die Zielcomputer (auf denen der Endpoint Security Client installiert ist) Pings für den SSI-Servernamen senden können. Wenn dieser Vorgang nicht erfolgreich verläuft, müssen Sie das Problem lösen, bevor Sie mit der Installation fortfahren. (Ändern Sie den SSI-Servernamen in FQDN/NetBIOS, ändern Sie AD, damit FQDN/NetBIOS verwendet wird, ändern Sie die DNS-Konfigurationen, indem Sie die lokale Hostdatei auf den Zielcomputern so ändern, dass die richtigen MS-Informationen enthalten sind etc.)
Aktivieren oder installieren Sie Microsoft Internetinformationsdienste (IIS) und konfigurieren Sie IIS so, dass SSL- (Secure Socket Layer) Zertifikate akzeptiert werden.
WICHTIG:Deaktivieren Sie auf der Seite "Sichere Kommunikation" das Kontrollkästchen . Erweitern Sie dazu im Microsoft-Dienstprogramm "Computerverwaltung" den Knoten > erweitern Sie > erweitern Sie > klicken Sie mit der rechten Maustaste auf > klicken Sie auf > klicken Sie auf die Registerkarte > und klicken Sie im Gruppenfeld "Sichere Kommunikation" auf die Schaltfläche . Durch das Aktivieren dieser Option bricht die Kommunikation zwischen dem ZENworks Endpoint Security Management-Server und dem ZENworks Endpoint Security-Client auf dem Endgerät ab.
Wenn Sie eigene SSL-Zertifikate verwenden, vergewissern Sie sich, dass das Webservice-Zertifikat und die Herkunftsverbürgungs-Zertifizierungsstelle auf dem Computer geladen sind und dass der in den vorhergehenden Schritten überprüfte Servername (NetBIOS oder FQDN) dem Wert für das in IIS konfigurierte Zertifikat entspricht.
Wenn Sie eigene Zertifikate verwenden oder bereits ein eigensigniertes Zertifikat von Novell installiert haben, können Sie SSL auch überprüfen, indem Sie folgende URL von einem Computer aus eingeben, auf dem der Endpoint Security Client installiert ist: https://SSI_SERVER_NAME/AuthenticationServer/UserService.asmx (wobei SSI_SERVER_NAME der Servername ist). Es müssen gültige Daten (eine HTML-Seite) zurückgegeben werden, nicht Zertifikatswarnungen. Zertifikatswarnungen müssen vor der Installation gelöst werden (es sei denn, Sie entscheiden sich dafür, Novell Self Signed Certificates zu verwenden).
Stellen Sie sicher, dass Zugriff auf ein unterstütztes RDBMS besteht (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise). Legen Sie die Datenbank auf "Gemischter Modus" fest.