Der Verwaltungsdienst sollte auf einem sicheren Server hinter der Firewall installiert werden und kann nicht auf demselben Server wie der Richtlinienverteilungsservice installiert werden. (mit Ausnahme der Einzelserverinstallation, siehe Abschnitt 3.0, Durchführen einer Einzelserverinstallation). Der Verwaltungsdienst sollte aus Sicherheitsgründen nicht außerhalb der Netzwerkfirewall installiert werden. Notieren Sie sich den Servernamen, nachdem Sie den Server ausgewählt haben, und zwar sowohl den NetBIOS-Namen als auch den Fully Qualified Domain Name (FQDN). Die Bereitstellung des·Verwaltungsdienst auf einem PDC (Primärdomänencontroller) wird aus Gründen der Sicherheit und der Funktionalität nicht unterstützt.
HINWEIS:Es wird empfohlen, den SSI-Server so zu konfigurieren (härten), dass alle Anwendungen, Dienste, Konten und andere Optionen, die für die vorgesehene Serverfunktionalität nicht benötigt werden, deaktiviert sind. Die dafür erforderlichen Schritte hängen von den Einzelheiten der lokalen Umgebung ab und lassen sich deshalb nicht vorausgreifend beschreiben. Administratoren sollten den entsprechenden Abschnitt der Microsoft Technet Sicherheitswebseite nachschlagen. Weitere Empfehlungen für die Zugriffssteuerung finden Sie im ZENworks Endpoint Security Management-Administratorenhandbuch.
Wenn Sie den Zugriff auf verbürgte Computer begrenzen möchten, können das virtuelle Verzeichnis und IIS mit ACLs eingerichtet werden. Schlagen Sie folgende Artikel nach:
Aus Sicherheitsgründen empfiehlt es sich, folgende Standardordner aus allen IIS-Installationen zu entfernen:
IISHelp
IISAdmin
Skripts
Drucker
Novell empfiehlt außerdem, das IIS-Lockdown-Werkzeug zu verwenden, das auf microsoft.com zur Verfügung steht.
Die Version 2.1 wird von den für die wichtigsten IIS-abhängigen Microsoft-Produkte bereitgestellten Schablonen gesteuert. Wählen Sie die Schablone, die der Funktion dieses Servers am besten entspricht. Im Zweifelsfall wird die Schablone "Dynamischer Webserver" empfohlen.
Vergewissern Sie sich bitte, dass folgende Voraussetzungen gegeben sind, bevor Sie mit der Installation beginnen:
Stellen Sie sicher, dass Zugriff auf einen unterstützten Verzeichnisdienst besteht (eDirectory, Active Directory oder NT Domänen*). * = Wird nur unterstützt, wenn der Verwaltungsdienst auf einem Windows 2000 Advanced Server (SP4) installiert ist.
Vergewissern Sie sich, dass der Novell-Client™ auf dem Server installiert ist und sich korrekt bei eDirectory authentifizieren kann, wenn für die Bereitstellung ein eDirectory™-Service verwendet wird. Erstellen Sie für die Verwaltungskonsolen-Authentifizierung ein Kontopasswort, das nicht geändert wird (siehe Abschnitt 7.2.1, eDirectory Services hinzufügen).
Überprüfen Sie für die Servernamenauflösung vom Endpoint Security Client zum Verwaltungsdienst (MS), ob die Zielcomputer (auf denen der Endpoint Security Client installiert werden soll) Pings für den MS-Servernamen senden können. Bei Erfolg wird dieser Wert bei der Installation eingegeben. Wenn dieser Vorgang nicht erfolgreich verläuft, müssen Sie das Problem lösen, bevor Sie mit der Installation fortfahren.
Aktivieren oder installieren Sie Microsoft Internetinformationsdienste (IIS), stellen Sie sicher, dass ASP.NET aktiviert ist, und konfigurieren Sie es so, dass SSL-Zertifikate (Secure Socket Layer) akzeptiert werden.
WICHTIG:Deaktivieren Sie auf der Seite "Sichere Kommunikation" das Kontrollkästchen . Erweitern Sie dazu im Dienstprogramm "Microsoft Computer Management" > erweitern Sie > erweitern Sie > klicken Sie mit der rechten Maustaste auf > klicken Sie auf > klicken Sie auf die Registerkarte > und klicken Sie im Gruppenfeld "Sichere Kommunikation" auf die Schaltfläche . Durch das Aktivieren dieser Option bricht die Kommunikation zwischen dem ZENworks Endpoint Security Management-Server und dem ZENworks Endpoint Security-Client auf dem Endgerät ab.
Wenn Sie eigene SSL-Zertifikate verwenden, vergewissern Sie sich, dass die Herkunftsverbürgungs-Zertifizierungsstelle auf dem Computer geladen ist und dass der in den vorhergehenden Schritten überprüfte Servername (NetBIOS oder FQDN) dem Wert für das in IIS konfigurierte Zertifikat entspricht.
Wenn Sie eigene Zertifikate verwenden oder bereits ein eigensigniertes Zertifikat von Novell installiert haben, können Sie die SSL auch überprüfen, indem Sie folgende URL von einem Computer aus eingeben, auf dem der Endpoint Security Client installiert ist: https://MS_SERVER_NAME/AuthenticationServer/UserService.asmx (wobei MS_SERVER_NAME der Servername ist). Es müssen gültige Daten (eine HTML-Seite) zurückgegeben werden, nicht Zertifikatswarnungen. Alle Zertifikatswarnungen müssen vor der Installation gelöst werden.
Stellen Sie sicher, dass Zugriff auf ein unterstütztes RDBMS besteht (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL 2005). Legen Sie die Datenbank·auf "Gemischter Modus" fest.
Kopieren Sie das Verzeichnis ESM Setupdateien in das Installationsverzeichnis dieses Servers. Dieser Ordner enthält die Richtlinienverteilungsservice-Setup-ID und das SSL-Herkunftsverbürgungszertifikat für den Richtlinienverteilungsservice.