Der Server, der als Host für den Richtlinienverteilungsservice von ZENworks® Endpoint Security Management festgelegt ist sollte für Ihre Benutzer immer erreichbar sein, ob im Netzwerk oder außen in der DMZ. Vergewissern Sie sich, dass die erforderliche Software vor der Installation auf dem Server installiert ist (siehe Systemvoraussetzungen). Notieren Sie sich den Servernamen, nachdem Sie den Server ausgewählt haben, und zwar sowohl den NetBIOS-Namen als auch den Fully Qualified Domain Name (FQDN).
Die Implementierung des Richtlinienverteilungsservices auf einem PDC (Primärdomänencontroller) wird aus Gründen der Sicherheit und der Funktionalität nicht unterstützt.
HINWEIS:Es wird empfohlen, den SSI-Server so zu konfigurieren (härten), dass alle Anwendungen, Dienste, Konten und andere Optionen, die für die vorgesehene Serverfunktionalität nicht benötigt werden, deaktiviert sind. Die dafür erforderlichen Schritte hängen von den Einzelheiten der lokalen Umgebung ab und lassen sich deshalb nicht vorausgreifend beschreiben. Administratoren sollten den entsprechenden Abschnitt der Microsoft Technet Sicherheitswebseite nachschlagen. Weitere Empfehlungen für die Zugriffssteuerung finden Sie im ZENworks Endpoint Security Management-Administratorenhandbuch.
Wenn Sie den Zugriff auf verbürgte Computer begrenzen möchten, können das virtuelle Verzeichnis und IIS mit ACLs eingerichtet werden. Schlagen Sie folgende Artikel nach:
Aus Sicherheitsgründen empfiehlt es sich, folgende Standardordner aus allen IIS-Installationen zu entfernen:
IISHelp
IISAdmin
Skripts
Drucker
Novell empfiehlt außerdem, das IIS-Lockdown-Werkzeug zu verwenden, das auf microsoft.com zur Verfügung steht.
Die Version 2.1 wird von den für die wichtigsten IIS-abhängigen Microsoft-Produkte bereitgestellten Schablonen gesteuert. Wählen Sie die Schablone, die der Funktion dieses Servers am besten entspricht. Im Zweifelsfall wird die Schablone "Dynamischer Webserver" empfohlen.
Vergewissern Sie sich, dass folgende Voraussetzungen erfüllt sind, bevor Sie mit der Installation beginnen:
Servernamenauflösung vom Verwaltungsdienst (MS) zu Richtlinienverteilungsservice (DS): Vergewissern Sie sich, dass der Zielcomputer, auf dem MS installiert werden soll, Pings für den DS-Servernamen senden kann (NetBIOS, wenn der DS innerhalb der Netzwerk-Firewall konfiguriert wird, FQDN bei Installation außerhalb in der DMZ).
Bei Erfolg wird dieser Servername bei der Installation eingegeben. Wenn dieser Vorgang nicht erfolgreich verläuft, müssen Sie das Problem lösen, bevor Sie mit der Installation fortfahren.
Servernamenauflösung vom Endpoint Security Client an DS: Überprüfen Sie, ob die Endgerät-Clients (auf denen der Endpoint Security Client installiert ist) Pings für den DS-Servernamen senden können. Wenn dieser Vorgang nicht erfolgreich verläuft, müssen Sie das Problem lösen, bevor Sie mit der Installation fortfahren.
Aktivieren oder installieren Sie Microsoft Internetinformationsdienste (IIS), stellen Sie sicher, dass ASP.NET aktiviert ist, und konfigurieren Sie es so, dass SSL- (Secure Socket Layer) Zertifikate akzeptiert werden.
WICHTIG:Deaktivieren Sie auf der Seite "Sichere Kommunikation" das Kontrollkästchen . Erweitern Sie dazu im Dienstprogramm "Microsoft Computer Management" > erweitern Sie > erweitern Sie > klicken Sie mit der rechten Maustaste auf > klicken Sie auf > klicken Sie auf die Registerkarte > und klicken Sie im Gruppenfeld "Sichere Kommunikation" auf die Schaltfläche . Durch das Aktivieren dieser Option bricht die Kommunikation zwischen dem ZENworks Endpoint Security Management-Server und dem ZENworks Endpoint Security-Client auf dem Endgerät ab.
Wenn Sie eigene SSL-Zertifikate verwenden, vergewissern Sie sich, dass das Webservice-Zertifikat auf dem Computer geladen ist und dass der in den vorhergehenden Schritten überprüfte Servername (NetBIOS oder FQDN) dem Wert für das in IIS konfigurierte Zertifikat entspricht.
Wenn Sie eigene SSL-Zertifikate verwenden, überprüfen Sie die SSL vom MS-Server zum DS-Server: Öffnen Sie einen Webbrowser im Verwaltungsdienst und geben Sie folgende URL ein: https://DSNAME (wobei DSNAME der Servername des DS ist). Es müssen gültige Daten zurückgegeben werden, nicht Zertifikatswarnungen ("Diese Seite befindet sich im Aufbau" zählt zu den gültigen Daten). Zertifikatswarnungen müssen vor der Installation gelöst werden (es sei denn, Sie entscheiden sich dafür, Novell Self Signed Certificates zu verwenden).
Stellen Sie sicher, dass Zugriff auf ein unterstütztes RDBMS besteht (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL Server 2005). Legen Sie die Datenbank auf "Gemischter Modus" fest. Der Host für diese Datenbank sollte der Verwaltungsdienst-Server oder ein gemeinsam genutzter Server sein, der hinter der firmeninternen Firewall gesichert ist.